Saturday, October 22, 2022

КГБ и ОАЦ будут следить за пользователями онлайн-услуг

21 октября появилась новость о том, что теперь КГБ и ОАЦ будет следить за нами еще и через интернет-сайты. Речь идет об Указе президента 18 октября 2022 г. No 368 «О взаимодействии операторов электросвязи, поставщиков услуг электросвязи и владельцев интернет-ресурсов с органами, осуществляющими оперативно-розыскную деятельность». К чему нам стоит готовиться — разберёмся вместе с юристами LegalHub и цифровыми наблюдателями канала За Bynet

Это классическая иллюстрация истории о том, как лягушку варили на медленном огне. Переживать стоило еще в начале 2021 года, когда в Закон об оперативно-розыскной деятельности внесли изменения (Законом от 6 января 2021 г. № 88-З), по которым органы, осуществляющие оперативно-розыскную деятельность могут «получать безвозмездно сведения из баз данных (учетов), информационных систем путем удалённого доступа и (или) на материальных носителях информацию от организаций, которые являются собственниками этих баз данных (учетов), информационных систем, в случаях, установленных законодательными актами, и порядке, определенном законодательством». Вот, почитайте хороший обзор. Но даже 2021 нельзя назвать переломным моментом, поскольку такое право у органов ОРД было и раньше, была лишь оговорка о необходимости неких соглашений с владельцами баз данных и информационных систем. Таким образом, указ лишь дополняет уже существующие нормы и расширяет и без того неограниченные полномочия силовиков по слежке за гражданами. Что важно, в указе прописаны конкретные механизмы, как эта слежка будет работать.

К какой информации обо мне будет доступ у силовиков?

Если кто еще не в курсе, то обязанность провайдеров хранить и давать доступ силовикам к данным о своих клиентах, включая сведения об оказанных услугах, информацию о сессиях, адресах посещенных сайтов и т.д. была в законодательстве давно. Здесь мы не будем это разбирать и обратим внимание на обязанности владельцев интернет-ресурсов, баз данных и информационных систем. Указ регулирует доступ к информации о пользователях и оказываемых им интернет-услугах и других услугах.

Если говорить об интернет-услугах, это включает в себя любые подписки, рассылки, бесплатный и платный доступ к информации, размещение сообщений на форумах или в чатах и т.д. К этому надо добавить все услуги, оказываемые интернет-ресурсами, онлайн-торговля, криптобиржи, интернет-банкинг, онлайн-страхование, сервисы знакомств и прочее. То же касается взаимодействия оффлайн через онлайн, например, такси, заказ еды, запись к врачу или парикмахеру, сервисы по заказу профессиональных услуг — ремонту, сборке мебели и т.д.

Чтобы представить объем собираемой информации, надо понимать, как устроены интернет-сервисы и имеющиеся у них базы данных. Даже самый простой интернет-сайт содержит базу данных, в которой записаны данные о пользователях и совершаемых ими действиях, например заказах, подписках или комментариях. 

Например, база данных интернет-магазина содержит информацию о всех покупателях (даже тех, которые ввели данные, но не совершили заказ), а также информацию о заказываемых товарах и услугах, адресах доставки, указанных номерах телефонов и всей остальной информации, которую вы сами указали. Обычно эта информация хранится в базах данных веб-ресурсов годы, т.е. потенциально доступ будет даже к тем действиям, которые производились задолго до вступления указа в силу.

Службы такси, каршеринга, доставки еды через свои мобильные приложения собирают информацию о геолокации и ваших адресах. Поисковые сайты хранят историю поиска в интернете.

Предположим, что IoT (Internet of Things) услуги также становятся объектом интереса.  Они могут включать в себя сервисы умного дома, которые знают о своих жителях многое, а также GPS-трекинг личного или корпоративного транспорта. Уже поставили себе «умный дом» от Белтелекома с датчиками и видеокамерами или пока сомневаетесь? Сюда же можно включить интеллектуальные голосовые помощники, включая Алису от Яндекс, которую теперь будут слушать не только сотрудники ФСБ, но и КГБ с ОАЦ. 

Кстати, в свете последних трендов в регулировании ценообразования чекисты вполне могут заинтересоваться возможностью отслеживания цен напрямую в базах данных поставщиков и ритейлеров, хоть это и не выглядит так эффектно, как рейды по магазинам в сопровождении видеокамер.

На какие интернет-ресурсы распространяются новые правила?

На любые, которые ОАЦ или КГБ посчитают нужным включить в специальный перечень. И нигде не написано, что это могут быть только беларусские ресурсы. Вряд ли с завтрашнего дня все интернет-ресурсы разом подключатся к системе слежки. Это процесс сложный — придется переделывать систему под требования КГБ и ОАЦ, и дорогой — все расходы лягут на владельцев интернет-ресурсов. Мы будем отслеживать информацию о перечне интернет-ресурсов, которые должны будут подключиться к системе, но пока никакой публичной информации об этом нет.

Мы предполагаем, что в первую очередь ОАЦ и КГБ заинтересует получение доступа к крупным ресурсам, включая:

  • Поисковые системы: Google, Yandex и их сервисы, включая карты, электронную почту.
  • Сервисы, обслуживающие экосистемы Apple iOS и Google Android: маркетплейсы, платёжные системы и т.д. 
  • Социальные медиа: Facebook, VK, Odnoklassniki, Instagram, Twitter, TikTok;
  • Мессенджеры: Telegram, Viber, Whatsapp;
  • Медиа-ресурсы: Youtube, Twitch;
  • Сервисы мобильности: Яндекс.Такси и альтернативы, каршеринг-сервисы;
  • Локальные сервисы: Сервисы доставки e-dostavka, Куфар;
  • Платёжные системы;
  • Билетные операторы: Ticketpro, bezkassira, kvitki, bycard и другие;
  • Интернет-магазины: onliner.by, shop.by и другие.

Как силовики будут получать доступ к данным?

Поставщики услуг электросвязи и владельцы интернет-ресурсов, которые попадут в специальный перечень, будут обязаны для взаимодействия с КГБ и ОАЦ использовать информационную систему электронного взаимодействия, которую разрабатывает РУП «Центр цифрового развития». Владельцем и оператором информационной системы является РУП по надзору за электросвязью «БелГИЭ».

Для пользователей или сторонних наблюдателей невозможно будет определить, подключен ли интернет-сервис к системе СОРМ.

Те интернет-ресурсы, которые откажутся предоставлять доступ силовикам, могут быть заблокированы в Беларуси.

Кто будет контролировать действия силовиков?

Здесь у нас хороших новостей нет. Оперативно-розыскные мероприятия в Беларуси и так были полем для злоупотреблений, поскольку контроль за ними находится в руках самих силовиков. В данном случае это вообще две спецслужбы, прямо подчиненные Лукашенко. Прокуратура тоже должна следить за законностью ОРМ, но в последнее время они очень заняты расследованием бесчинств протестно настроенных граждан и геноцида беларусского народа. 

Документ никак не описывает ограничения, которые должны накладываться на создаваемую систему доступа к базам данных. Важно, чтобы запрашивалась только информация по пользователям, идентифицированным в рамках определенных ОРМ, но кто возьмется гарантировать, что именно так и будет. Например, в России расширение полномочий силовиков по слежке за гражданами привели к формированию целого рынка по «пробиву» и торговле персональными и корпоративными данными, полученными в ходе ОРМ. В Беларуси пока об этом мало информации. 

Что всё это значит? 

Это значит, что если раньше слежка через интернет-ресурсы и базы данных звучала как потенциальная угроза, то сейчас понятно как они собираются это делать на практике.

И мы уверены, что международные партнеры, инвесторы и заказчики, которые еще остались у беларусского IT-бизнеса, будут очень расстроены таким поворотом дел. Не все могут позволить себе сотрудничать с компанией, у которой прямой канал слива одному из самых репрессивных режимов в Европе.

Что со всем этим делать? Давайте подумаем вместе.

Если у вас есть какая-то дополнительная информация по этой теме, пишите в анонимный telegram-бот t.me/Zabynet_bot.

В Могилёве задержан инженер-программист

В Могилевё задержали 37-летнего инженера-программиста Александра Цыганкова, сообщают правозащитники.

В «покаянном» видео его заставили назвать свою зарплату. Также мужчина говорит, что в 2020 году ездил в Минск для участия в акциях протеста.

dev.by: главные ИТ-новости

Белтелеком покупает средства слежки за сайтами за $1,1 млн?

Сегодня был опубликован указ о том, что провайдеры и владельцы сайтов должны будут предоставлять КГБ и ОАЦ доступ к базам данных, содержащих информацию о пользователях. Наши читатели обратили внимание на то, что «Белтелеком» ещё с 11 октября пытается закупить технику — вероятно, именно для этих целей.

Оператор связи планирует закупить 32 «устройства системы технических средств для обеспечения оперативно-розыскных мероприятий». Ориентировочная цена — $1 170 000.

Срок поставки — до 30 апреля 2023 года. Подробнее.

dev.by: главные ИТ-новости