152-ФЗ. ЦОДы, базы данных и уведомления о них / Хабр
Согласно изменениям, внесенным в Федеральный закон 152-ФЗ Федеральным законом от 21.07.2014 N 242-ФЗ, уведомление, направляемое в Роскомнадзор должно содержать:
10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;
До недавнего времени данное требование не дублировалось ни в Административном регламенте Роскомнадзора, ни в формах соответствующих Уведомлений (их две — для подачи в бумажном и в электронном виде — и как ни странно они различны). Но поскольку закон-есть-закон (изменения 152-ФЗ, требующие указывать местонахождение БД с ПДн вступили в силу этим летом), то логично, что Роскомнадзор требовал с операторов указывать эти данные в уведомлении. И естественно это вызывало трудности у операторов, поскольку на вопрос что и где нужно указывать ответить никто не мог.
Но все меняется и Минсвязи выпустило Приказ от 28 августа 2015 г. N 315 (ссылки в pdf, текстовом виде).
Согласно Приказу вносятся изменения в Административный регламент — пункты 46 (данные, вносимые в реестр) и 54 (данные, указываемые в Уведомлении) дополняются следующим:
Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации.
Соответственно меняется и форма Уведомления (она приведена в приложении к Приказу). И вот тут начинается интересное.
Напомним, что согласно текущей редакции 152-ФЗ:
3. Уведомление, предусмотренное частью 1 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения:Уведомление должно содержать следующие сведения:
1) наименование (фамилия, имя, отчество), адрес оператора;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
8) дата начала обработки персональных данных;
9) срок или условие прекращения обработки персональных данных;
10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;
То есть Уведомление:
- может направляться либо в бумажном, либо в электронном виде;
- закон не делает разницы по составу предоставляемой информации между обоими вариантами.
И если мы посмотрим на бумажную форму Уведомления, то добавился абзац, в котором нужно указать страну, адрес местонахождения базы данных, наименование информационной системы (базы данных).
Кстати, если посмотреть в текст 152-ФЗ, то информационная система персональных данных это:
совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Даже не говоря о том, что персональные данные могут быть не только в составе баз данных — баз данных может быть множество (и это логично), но вот указать согласно форме уведомления нужно одну. Почему так? Загадко.
Но перейдем к электронной форме Уведомления.
После трансграничной передачи данных идет раздел, описывающий сведения о базе данных. Но это по заголовку. А по тексту требуется описать адрес ЦОДа! Сразу вопрос — все перешли в облака? Что писать, если ЦОД не используется?
Заполним форму
Несмотря на предложение выбрать из справочника — никакого справочника нет. Данные вводятся вручную
Если не указать явно, что используется собственный ЦОД, то появляется запрос на указание данных о владельце ЦОДа:
Естественно ничего подобного по Административному регламенту не требуется:
46. В Реестр вносятся следующие сведения:
46.1. Регистрационный номер.
46.2. Наименование (фамилия, имя, отчество), адрес Оператора.
46.3. Адреса филиалов (представительств) Оператора (при наличии).46.4. Дата направления Уведомления.
46.5. Цель обработки персональных данных.
46.6. Категории персональных данных.
46.7. Категории субъектов, персональные данные которых обрабатываются.
46.8. Правовое основание обработки персональных данных.
46.9. Перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных.
46.10. Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.
46.11. Фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты.
46.12. Сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки.
46.12.1. Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации
46.13. Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
46.14. Дата начала обработки персональных данных.46.15. Срок или условие прекращения обработки персональных данных.
Еще одно отличие электронной формы от бумажной — возможность (необходимость?) указания всех баз данных (ЦОДов в формулировке электронного Уведомления), которые есть в организации. Ни в вышеупомянутом Приказе (и в утвержденной им формой уведомления), ни в законе подобного требования нет.
Помимо общей информации, требуемой в бумажной форме, здесь нужно указывать куда больше сведений и каждой базе данных — причем согласно форме одна база соответствует одной ИС
Требуется ли в связи со вступлением в силу этих уведомлений направлять уведомление? Согласно Закону:
7. В случае изменения сведений (ранее поданных в Роскомнадзор)… а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.
То есть Закон четко говорит, что уведомлять не нужно. Согласно закону по новой форме нужно подавать данные только тем операторам, которые будут отправлять свое первое уведомление после 1-го декабря 2015-го года (дата вступления в силу изменений в Уведомлении) или на крайний случай и тем, кто отправляет уведомления после вступления в силу изменений в Законе.
Но это формально. По факту традиционно все будет решаться позицией на местах — и прецеденты уже имеются.
Начальник отдела по защите прав субъектов персональных данных и надзора в сфере информационных технологий Управления Роскомнадзора по Алтайскому краю и Республике Алтай Жданов А. П. прямо и четко сказал, что они (это управление и отдел в частности) считают, что ч. 7 ст. 22 152-ФЗ распространяется и на ситуацию с добавление в ч. 3 ст 22 новый пунктов вообще и расположении БД в частности. Т.е. они при проверках будут считать нарушение не подачу Информационного письма о внесении изменений…
И последнее. О собственно базах данных. Что это такое — определения нет. Но есть позиция Роскомнадзора
(подробнее тут). То есть под понятие базы данных попадет любой упорядоченный список данных — хоть в текстовом файле. Соответственно заполняя электронное уведомление нужно указать все места расположения всех упорядоченных массивов информации. Для всех офисов, ЦОДов и субподрядчиков. Благо пока не требуют указывать адреса личных (BYOD!) и домашних компьютеров.
Подведем итоги:
- Уведомления бумажное и электронное существенно отличаются.
- Согласно 152-ФЗ персональные данные могут быть только в составе баз данных.
- Что есть база данных — определения нет, но скорее всего толковаться будет как неким образом упорядоченная информация, сохраненная в электронном виде.
- Указывать нужно места хранения только баз данных для граждан РФ. В принципе понятно, откуда взялось это требование — оно родилось на волне требований о переносе мест обработки персональных данных в Россию. Но войдя в закон — оно стало выглядеть странно — мы не заинтересованы в защите данных граждан и подданных иных стран? Отсюда же кстати возникли и базы данных — борьба шла за перенос из зарубежных ЦОДов. Но опять же войдя в закон это стало источником странностей.
- Не определено, что есть месторасположение. С какой точностью нужно указывать согласно закону — с точностью до страны или дома? Лично мне не понятно, зачем государству знать все места расположения всех персональных данных (да — согласно букве закона — с точностью до последнего мобильного на любой момент времени, если на нем хранится упорядоченная информация).
Обработка и хранение персональных данных: закон требует, ЦОДы предлагают
Законодательство Российской Федерации в области персональных данных предъявляет строгие требования к обеспечению их безопасности при обработке. Решение части проблем могут взять на себя ЦОДы.
Сергей СМОЛИН, ведущий юрист, DataSpace
В последнее время у всех на слуху новеллы, вносимые законодателем в правовое регулирование действий по обработке и хранению персональных данных граждан. Изменения в Федеральном законе «О персональных данных» (№ 152-ФЗ) направлены на ужесточение контроля за операторами, обрабатывающими такие данные. Помимо введения обязанности хранить персональные данные российских граждан только на территории РФ, законодатель расширил полномочия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), на которую возложен контроль за операторами, обрабатывающими персональные данные граждан. Указанные изменения в той или иной степени затрагивают деятельность широкого круга участников экономического оборота — от небольших интернет-магазинов до операторов центров обработки данных.
Какие данные — персональные?
В соответствии с п. 1 ст. 3 152-ФЗ персональными данными является «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу», т.е. любая информация, при помощи которой можно идентифицировать личность. Как правило, к персональным данным относят: ФИО, дату и место рождения, паспортные данные, физические характеристики, контактную информацию и т.д. — перечень подобных сведений достаточно широк, но не является исчерпывающим.
Кто является оператором?
Понятие «оператор» в значении, определенном в 152-ФЗ, значительно шире, чем мы привыкли считать. Согласно п. 2 ст. 3 упомянутого закона, оператор — это «государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными».
Персональные данные граждан в той или иной степени получает, обрабатывает и хранит практически каждая компания — при приеме на работу новых сотрудников или при переписке с клиентами — и любая из них может быть признана оператором персональных данных. Операторов можно разделить на две группы: на тех, которые обязаны уведомлять Роскомнадзор об обработке персональных данных, и тех, которые делать это не обязаны.
Кто не обязан уведомлять Роскомнадзор?
Перечень действий по обработке персональных данных, которые не требуют уведомления Роскомнадзора, приведен в ст. 22 152-ФЗ. К таким действиям относятся действия юридических лиц, которые получают и обрабатывают персональные данные граждан в следующих случаях:
- Для исполнения требований трудового законодательства.
- При заключении компанией договора с физическим лицом.
- Если персональные данные содержат только ФИО граждан.
- Если персональные данные раскрываются для предоставления разового пропуска.
- Если персональные данные обрабатываются без использования компьютера.
- Если персональные данные обрабатываются в целях транспортной безопасности.
Во всех перечисленных случаях компания не обязана уведомлять уполномоченный орган о том, что осуществляет сбор, обработку и хранение персональных данных. Тем не менее всегда существует риск того, что компания неумышленно может осуществлять такую обработку персональных данных, которая влечет за собой обязанность уведомлять Роскомнадзор.
Кто обязан уведомлять Роскомнадзор?
К таким операторам относятся компании, которые обрабатывают персональные данные на постоянной основе. В эту категорию попадают владельцы сайтов с регистрацией пользователей (с указанием ФИО, электронной почты и телефона), туристические агентства, банки, розничные магазины с клубными картами, медицинские клиники, бизнес-центры и т.п.
Список компаний и организаций, обязанных уведомлять Роскомнадзор об обработке персональных данных, не является исчерпывающим. Часто компании, получая персональные данные граждан, не осознают, что их обработка регулируется законом.
Что должен делать оператор?
Если компания относится к первой группе, то никаких действий предпринимать не требуется. Операторы персональных данных, входящие во вторую группу, должны подготовить необходимый пакет документов (перечень можно найти на сайте Роскомнадзора) и направить их в ведомство для внесения компании в реестр операторов персональных данных.
В настоящий момент в этом реестре зарегистрировано почти 370 тыс. компаний. Процедура регистрации не сложна, но после внесения в реестр оператор должен будет следить за изменениями, вносимыми в ФЗ «О персональных данных». Такие изменения могут повлечь необходимость подачи дополнительных документов в Роскомнадзор. Неуведомление уполномоченного органа об обработке персональных данных может привести к серьезным последствиям.
Каковы последствия нарушения требований закона?
В первую очередь компании необходимо оценить риск того, что факт обработки персональных данных, не подпадающий под ст. 22 152-ФЗ, будет выявлен Роскомнадзором. Если компания однократно произвела обработку персональных данных и работа с такими данными не является для нее постоянной, то риск привлечения к ответственности относительно низок.
Большинство ИT-компаний являются операторами персональных данных и максимально вовлечены в процесс их обработки. В связи с этим велика вероятность проверки Роскомнадзором соблюдения ими положений 152-ФЗ.
Роскомнадзор может привлечь к ответственности сотрудников, руководителя компании и саму компанию. Как правило, за различные выявленные нарушения — от нарушения порядка сбора, хранения и обработки информации о гражданах до несоответствия требованиям лицензий — на оператора персональных данных накладывается целый ряд штрафов. Крупные игроки ИT-индустрии помимо штрафов подвержены репутационным рискам, которые трудно оценить в денежном выражении. Центр обработки данных или оператор связи, не способный надлежащим образом организовать обработку персональных данных, может вызвать сомнение у потенциальных клиентов.
Необходимо также учитывать, что проверки Роскомнадзора могут быть не только плановыми, но и организованными по заявлению третьих лиц или сотрудника компании, который сочтет, что при обработке персональных данных были нарушены его права.
Что могут обеспечить ЦОДы?
Организация надлежащей работы с персональными данными, требующаяся от любой ИT-компании, должна быть многосторонней. Она должна охватывать как юридические направления (правовые аспекты получения персональных данных), так и практические (организация процедуры хранения персональных данных, ведения журналов доступа к персональным данным и т.д.).
Логика законодательного ужесточения требований к процедурам обработки персональных данных обусловлена в первую очередь необходимостью обеспечения безопасности граждан. С каждым годом все больше персональных данных вовлекается в оборот во всемирной сети: номера телефонов, данные банковских карт, личная переписка — и все они должны храниться надежно. Многие компании передают хранение персональных данных специалистам — профессиональным операторам связи и дата-центрам. В такой ситуации сохранность персональных данных зависит от правильного выбора поставщика услуг. Центр обработки данных, имеющий не только отказоустойчивую инфраструктуру, но и надежную физическую охрану, в полной мере способен обеспечить защиту серверов клиентов и не допустить несанкционированного доступа к персональным данным. По этой причине большинство банков и крупных компаний доверяют хранение персональных данных ЦОДам высокого уровня надежности.
Инструкция заполнения уведомления об обработке персональных данных
Предприниматели, осуществляющие сбор и обработку персональных данных пользователей своих Интернет-сайтов или Интернет-магазинов обязаны направить уведомление об обработке персональных данных в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее Роскомнадзор).
Способы направления уведомления о начале обработки персональных данных
Уведомление об обработке персональных данных можно направить в Роскомнадзор тремя способами:
- сформировать уведомление и направить в бумажном виде в территориальный орган Роскомнадзора.
- сформировать уведомление и направить в электронном виде с использованием усиленной квалифицированной электронной подписи
- сформировать уведомление и направить в электронном виде с использованием средств аутентификации ЕСИА.
Заполнение уведомления о начале обработки персональных данных на примере юридического лица
Самая первая строка уведомления «Наименование ТО Роскомнадзора» – это наименование территориального органа Роскомнадзора, куда будет отправлено уведомление. Из выпадающего списка нужно выбрать соответствующее управление.
Например, управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Татарстан.
Сведения об операторе
Далее выбираем «Тип оператора» – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
В нашем примере выбираем «Юридическое лицо».
Юридическое лицо:
Далее сообщаем сведения о юридическом лице из Единого государственного реестра юридических лиц:
- Наименование оператора – полное наименование оператора с указанием организационно- правовой формы.
- Сокращенное наименование оператора:
- Адрес оператора — вводится с обязательным указанием почтового индекса.
- Aдрес местонахождения
- Почтовый адрес
- Телефон
- Факс
- Адрес электронной почты
- Регион это перечень субъектов Российской Федерации, на территории которых оператор осуществляет обработку персональных данных.
- ИНН
- ОГРН и дата присвоения ОГРН
- ОКВЭД
- ОКПО
- ОKФС
- ОКОГУ
- ОКОПФ
- Филиалы, их наименование и адрес.
Общие сведения:
Правовое основание обработки персональных данных — здесь могут быть указаны правовые основания, которые соответствуют полномочиям Оператора, отраженных в уставных документах, Федеральных законах и принятых на их основе нормативных правовых актов в части, касающейся компетенции Оператора, закрепляющий основание и порядок обработки Оператором персональных данных указываются статьи нормативно-правового акта, регулирующие осуществляемый вид деятельности и касающиеся обработки персональных данных (например: Трудового кодекса Российской Федерации, Воздушного кодекса Российской Федерации, Федерального закона «Об актах гражданского состояния» и др. Номер, дату выдачи и наименование лицензии на осуществляемый вид деятельности, с указанием лицензионных условий, закрепляющих запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных. Номер лицензии и пункт лицензионных условий, закрепляющий запрет на передачу персональных данных (или информации, касающейся физических лиц), допускается при наличии лицензии и (или) соответствующего пункта лицензионных условий.
Цель обработки персональных данных — здесь указываем цели обработки персональных данных (а также их соответствие полномочиям оператора). Под «целью обработки персональных данных» понимаются, как цели, указанные в учредительных документах оператора, так и цели, фактически осуществляемой оператором деятельности по обработке персональных данных.
Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных» — а) описание мер, предусмотренных ст. ст. 18.1 и 19 Федерального закона от 27. 07.2006 №152- ФЗ «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименование этих средств. б) организационные и технические меры, применяемые для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных.
Средства обеспечения безопасности – это сведения о средствах обеспечения безопасности персональных данных при их обработке не являются общедоступными.
Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ – здесь указываются сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
Дата начала обработки персональных данных – указывается конкретная дата начала совершения действий с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных (фактическая дата начала обработки персональных данных).
Срок или условие прекращения обработки персональных данных – здесь указывается конкретная дата или основание (условие), наступление которого повлечет прекращение обработки персональных данных.
Сведения об информационных системах:
В этом блоке указываются сведения о способе обработки персональных данных или об информационной системе.
Далее перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных – указываются действия, совершаемые оператором с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение(обновление, изменение), извлечение, использование, передачу(распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, а так же описание используемых оператором способов обработки персональных данных.
Выбираете способы обработки персональных данных:
- автоматизированная.
- неавтоматизированная.
- смешанная.
- без передачи по внутренней сети юридического лица.
- с передачей по внутренней сети юридического лица.
- без передачи по сети Интернет.
- с передачей по сети Интернет.
Категории персональных данных:
Персональные данные:
- фамилия, имя, отчество
- год рождения
- месяц рождения
- дата рождения
- место рождения
- адрес
- семейное положение
- социальное положение
- имущественное положение
- образование
- профессия
- доходы
Специальные категории персональных данных:
- расовая принадлежность
- национальная принадлежность
- политические взгляды
- религиозные убеждения
- философские убеждения
- состояние здоровья
- состояние интимной жизни
Биометрические персональные данные – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
Можно указать другие категории персональных данных, не указанные в данном перечне.
Категории субъектов, персональные данные которых обрабатываются – указываются категории субъектов (физических лиц) и виды отношений с субъектами (физическими лицами), персональные данные которых обрабатываются. Например, работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором), физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.) (субъекты), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором) и др.
Осуществление трансграничной передачи персональных данных: да или нет.
Использование шифровальных (криптографических) средств: да или нет.
Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ: страна, адрес ЦОДа,
Собственный ЦОД: да или нет.
В последнем блоке сообщаем контактные данные ответственного лица за организацию обработки персональных данных – указывается фамилия, имя, отчество физического лица (назначенного оператором, подавшим уведомление), или наименование юридического лица(наименование организации, которой оператор поручил обработку персональных данных на основании заключенного договора), ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты:
- Физическое лицо.
- ФИО.
- Фамилия.
- Имя.
- Отчество.
- Почтовый адрес.
- Номера контактных телефонов.
- Адрес электронной почты.
- ФИО исполнителя.
- Должность.
- Контактная информация исполнителя.
Далее читаете порядок подачи уведомления в электронном виде и согласие на передачу информации в электронной форме уведомления (в том числе персональных данных) по открытым каналам связи сети Интернет.
Отправляете электронное уведомление и подготавливаете форму к распечатке. После заполнения формы уведомления о намерении осуществлять обработку персональных данных и отправки ее в информационную систему Роскомнадзора, необходимо распечатать заполненную форму, после чего ее подписать и направить в соответствующий территориальный орган Роскомнадзора по месту регистрации оператора.
[email protected] +7(952) 045-74-83
Интеллектуальные сети и сетевая экосистема
О нас / Направления
Решения центра: сети, унифицированные коммуникации, инженерная инфраструктура, мультимедиа
О направлении
Темпы технологического развития компаний и их растущие потребности в скорости коммуникаций становятся вызовом для корпоративных сетей: им надо не просто успевать за инновационным прогрессом, но и стать для него прочным фундаментом.
С помощью наших специалистов вы можете усовершенствовать свою сеть и сделать ее безотказным инструментом на службе вашего бизнеса.
Ежегодно «Инфосистемы Джет» расширяет портфель решений, регулярно добавляя инновационные технологии: SDN, SD-WAN, DevNetOps, NFV, Wi-Fi 6, но при этом сохраняя классические решения, например, IP, TDM и DWDM.
На основе новых и проверенных технологий мы реализуем для вас проект любой сложности и масштаба, охватывая сети связи, инженерную инфраструктуру, унифицированные коммуникации и мультимедийные решения.
полное описание-
30 лет
на рынке сетевых технологий
-
150+
проектов ежегодно
-
ГЕОГРАФИЯ ПРОЕКТОВ
от Шотландии до Вьетнама
-
ЭКСПЕРТИЗА
собственная лаборатория Wi-Fi 6
-
ПЕРВЫЙ В РОССИИ ШОУРУМ
видео и голосовых решений ведущих производителей рынка
Лицензии и сертификаты
Орган по сертификации TUV NORD CERT GmbH
Сертификат системы менеджмента качества ISO 9001:2015
Раскрыть
Проектирование, разработка, реализация, сопровождение и сервисное обслуживание информационных систем и их компонентовОрган по сертификации «СТРОЙПРОЕКТСЕРТ»
Сертификат соответствия системы менеджмента качества ГОСТ Р ИСО 9001:2015
РаскрытьУправление ФСБ России по г.
Москве и Московской областиЛицензия на проведение работ, связанных с использованием сведений, составляющих государственную тайну
РаскрытьЦентр по лицензированию, сертификации и защите государственной тайны ФСБ России
Лицензия на осуществление разработки, производства, распространения шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнения работ, оказания услуг в области шифрования информации, технического обслуживания шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических средств), осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)
РаскрытьГУ МЧС России по Московской области
Лицензия на осуществление деятельности по монтажу, техническому обслуживанию и ремонту средств обеспечения пожарной безопасности зданий и сооружений
РаскрытьАссоциация СРО «Аукцион»
Типы объектов на которых выполняются работы: Объекты капитального строительства/Особо опасные, технически сложные и уникальные объекты капитального строительства
Раскрыть
*Согласно 372-ФЗ, выписка из реестра СРО, с 01 июля 2017, является главным документом подтверждающим членство компании в СРОСРО «Межрегиональная ассоциация проектировщиков»
Типы объектов на которых выполняются работы: Объекты капитального строительства/Особо опасные, технически сложные и уникальные объекты капитального строительства
Раскрыть
*Согласно 372-ФЗ, выписка из реестра СРО, с 01 июля 2017, является главным документом подтверждающим членство компании в СРОАссоциация СРО «МежРегионИзыскания»
Типы объектов на которых выполняются работы: Объекты капитального строительства/Особо опасные, технически сложные и уникальные объекты капитального строительства
Раскрыть
*Согласно 372-ФЗ, выписка из реестра СРО, с 01 июля 2017, является главным документом подтверждающим членство компании в СРООбщество с ограниченной ответственностью «ГАЗПРОМ ГАЗНАДЗОР» (ПАО «ГАЗПРОМ»)
Заключение об организационно-технической готовности организации к ведению работ
Раскрыть
Работы по монтажу и пуско-наладке систем и средств обеспечения и безопасности газовых объектов, сигнализации и взаимосвязанных устройств, в том числе КИТСО и САЗ, АСПТ и КЗ, ПС, КИПиА, АСУ ТП, ЭХЗ смонтированных трубопроводов и оборудования, сооружений и средств связи (в т. Ч. ВОЛС, РРЛС), средств телемеханики (ТМ) (только в части монтажа систем КИПиА, КИТСО и САЗ) при капитальном строительстве и реконструкции объектов ПАО «Газпром»Национальное Агентство Контроля Сварки
Свидетельство о готовности организации-заявителя к использованию аттестованной технологии сварки в соответствии с требованиями РД 03-615-03
РаскрытьОрган по сертификации системы «ЕВРОСЕРТ» ООО «ИСОСТАНДАРТ»
Сертификат соответствия системы менеджмента качества ГОСТ Р ИСО 9001-2015(ISO 9001:2015)
Раскрыть
применительно к выполнению работ по инженерным изысканиям, проектированию, строительству, реконструкции, капитальному ремонту, сносу объектов капитального строительства, в том числе при работе на особо опасных, технически сложных и уникальных объектахОрган по сертификации систем менеджмента ООО «ЛИТЭК ПРО» (Система добровольной сертификации «ГАРАНТ СООТВЕТСТВИЯ»)
Сертификат соответствия системы менеджмента качества ГОСТ РВ 0015-002-2012, ГОСТ Р ИСО 9001-2015
Раскрыть
применительно к разработке, производству, реализации, испытаниям, ремонту, техническому обслуживанию, установке и монтажу продукции в соответствии с классами ЕК 001-2014 5805, 5819, 5820, 7010, 7015, 7025, 7030, 7031, 7035, 7055, 7060, 7061, 7062, 7063Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (РОСКОМНАДЗОР)
Лицензия на оказание телематических услуг связи
РаскрытьФедеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (РОСКОМНАДЗОР)
Лицензия на оказание услуг связи по передаче данных, за исключением услуг связи по передаче данных для целей передачи голосовой информации
Раскрыть
Проекты
-
РАСШИРЕНИЕ ТЕХНИЧЕСКИХ ВОЗМОЖНОСТИ LTE В РОУМИНГЕ
Телекоммуникации
-
МОДЕРНИЗАЦИЯ ИНЖЕНЕРНОЙ ИНФРАСТРУКТУРЫ ДАТА-ЦЕНТРОВ
Промышленность
-
КОМПЛЕКС ПО УПРАВЛЕНИЮ ТРАФИКОМ
Телекоммуникации
-
КОНТЕЙНЕРНЫЙ ЦОД
Промышленность
-
ИТ-ПЛАТФОРМА ВЫСОКОЙ ГОТОВНОСТИ
Строительство и транспорт
-
СОЗДАНИЕ ЦОД
Ритейл
-
СТРОИТЕЛЬСТВО КЦОД
Промышленность
-
СОЗДАНИЕ КАНАЛА СВЯЗИ ДЛЯ РАБОТЫ УЧЕНЫХ В РАМКАХ ПРОЕКТА «БОЛЬШОЙ АДРОННЫЙ КОЛЛАЙДЕР»
Государственные структуры
-
ПОСТРОЕНИЕ СЕТИ НОВОГО ПОКОЛЕНИЯ В КАЗАХСТАНЕ
Телекоммуникации
-
МОДЕРНИЗАЦИЯ ЛВС (2016 г.
)Промышленность
-
ПОСТРОЕНИЕ ИТ-ИНФРАСТРУКТУРЫ ДЛЯ СЕТИ ГИПЕРМАРКЕТОВ
Ритейл
-
ВНЕДРЕНИЕ ТЕХНОЛОГИИ АНАЛИЗА И ЭФФЕКТИВНОГО УПРАВЛЕНИЯ ТРАФИКОМ (DPI)
Телекоммуникации
-
СОЗДАНИЕ ЦОД ПОВЫШЕННОЙ МОЩНОСТИ (2015 г.
)Финансы и страхование
-
СОЗДАНИЕ СИСТЕМЫ ВИДЕОКОНФЕРЕНЦСВЯЗИ
Промышленность
-
МОДЕРНИЗАЦИЯ ВНУТРЕННЕЙ СЕТИ
Телекоммуникации
-
СОЗДАНИЕ ОТКАЗОУСТОЙЧИВОЙ ИТ-ИНФРАСТРУКТУРЫ (2013 г.
)Промышленность
Все проекты компании
Услуги и решения
- Беспроводные решения
- Сетевые решения
- Балансировка приложений
- Унифицированные коммуникации
- Цифровое рабочее пространство
- Решения для операторов связи
- Инженерная инфраструктура ЦОД
- Мультимедийные решения
- Сервис и аутстаффинг сети
и инженерной инфраструктуры
Не нашли подходящее решение?
Свяжитесь с нами, и мы совместно подберем для вас оптимальное решение.
Партнёры
Все партнеры
Команда
-
Возможность реализовать себя в социально-значимых IT-проектах
-
Изучение технологических новинок и экспертизы мирового класса
-
Сотрудничество с крупнейшими компаниями России и стран СНГ
-
Работа бок о бок с гуру ИТ-рынка, готовыми делиться знаниями
-
Доступ к десятку демолабораторий
Сергей Андронов директор центра сетевых решений «Инфосистемы Джет»
ЦОДы выходят в правовое поле
Госдума рассмотрела в первом чтении поправки к закону «О связи», которые вводят в правовое поле понятие центров обработки данных (ЦОД) как инфраструктурных объектов. Они уточняют перечень видов информации, которую необходимо предоставлять властям. Принятие документа даст дополнительный стимул к развитию отрасли, считают эксперты.
ЦОД (или дата-центр) – это специально обустроенное здание или помещение, в котором устанавливается серверное и сетевое оборудование, обеспечивающее обработку и хранение данных, а также выполняется подключение абонентов к каналам сети интернет. Они приспособлены для непрерывного поддержания техники в состоянии бесперебойной работы и защиты от влияния внешних факторов. Несмотря на то, что отрасль в России сформировалась и быстро развивается, определения на законодательном уровне ЦОДа нет. В случае принятия нового закона ситуация изменится.
Поправки в закон «О связи» были подготовлены Минцифры и внесены в Госдуму в июне 2021 года.
Законопроект, в частности, предусматривает:
- введение в правовое поле понятий центра обработки информации как специализированного сооружения связи (т.е. инфраструктурного объекта) и оператора ЦОД;
- установление обязанностей операторов дата-центров;
- выделение и законодательное закрепление перечня видов информации, подлежащей предоставлению операторами ЦОД в Минцифры.
В пояснительной записке к законопроекту указывается, что в перспективе ЦОДы, которые в настоящее время вынужденно являются операторами связи, смогут отказаться от лицензий на оказание телеком-услуг и получить собственный код внешнеэкономической деятельности, введение которого планируется после вступления документа в силу.
Также отмечается, что обязанность предоставлять информацию властям нужна для управления сетью связи общего пользования в чрезвычайных ситуациях и для понимания необходимости в удовлетворении потребностей региона/района в услугах ЦОД.
Это, в частности, данные:
- о местоположении центра обработки данных;
- о технологической мощности ЦОДа, в том числе неиспользуемой;
- о параметрах электроснабжения дата-центра;
- о способах и параметрах подключения ЦОДа к сети связи общего пользования;
- о средней стоимости услуг размещения оборудования, обеспечивающего обработку и (или) хранение данных в ЦОД;
- о перспективах развития дата-центра на очередной год.
Наличие этой актуальной информации должно упростить процесс подключения социально значимых объектов к высокоскоростному интернету, а также создания в них узлов связи для последующего подключения к ней домохозяйств и организаций, отмечают авторы законопроекта.
Это, в свою очередь, позволит выполнить положение указа президента РФ № 204, в соответствии с которым к 2024 году в РФ должна быть создана устойчивая и безопасная информационно-телекоммуникационная инфраструктура высокоскоростной передачи, обработки и хранения больших объемов данных, доступная для всех организаций и домохозяйств.
«Принятие законопроекта даст дополнительный стимул к развитию центров обработки данных», – заявил замминистра цифрового развития, связи и массовых коммуникаций Дмитрий Ким, представляя законопроект во время пленарного заседания Госдумы.
Дата-центры уже давно выросли из узлов связи или залов с оборудованием в самостоятельные инфраструктурные объекты с определенным функционалом и ролью в структуре IТ-отрасли в целом, отметил в комментарии для RSpectr руководитель ЦОД Linxdatacenter в Санкт-Петербурге Тарас Чирков.
По мнению эксперта, определение дата-центра и требования к нему в этом статусе должны быть описаны и закреплены на законодательном уровне.
Тарас Чирков, Linxdatacenter:
– Это облегчит дальнейшее развитие отрасли, поможет избежать различных ситуаций недопонимания, избавит от рисков различной трактовки терминов и упростит взаимодействие на разных уровнях.
Т.Чирков подчеркивает, что
данная инициатива – еще одно подтверждение того, что государство обращает необходимое внимание на IТ как на составляющую национальной экономики
Поправки о регулировании деятельности ЦОДов готовилась Минцифры во взаимодействии с участниками рынка, рассказал RSpectr генеральный директор АНО «Координационный совет по ЦОДам и облачным технологиям» (АНО КС ЦОД) Дмитрий Бедердинов. По его словам, эксперты организации принимали активное участие непосредственно в разработке документа и дальнейших этапах согласования с начала 2020 года. Текущие формулировки определений Д. Бедердинов называет наиболее приемлемыми, учитывающими важные отраслевые особенности и требования.
Дмитрий Бедердинов, АНО КС ЦОД:
– Наличие определений «ЦОД» и «оператор ЦОД» в законе позволяет выделить уже существующую отрасль как часть экономики страны и дает возможность стимулировать ее развитие. Особенно в регионах, где качественной инфраструктуры дата-центров сейчас практически нет. Она необходима и бизнесу, и государству для оказания цифровых услуг населению.
Директор по стратегии и маркетинговым коммуникациям «Ростелеком-ЦОД» Видия Железнов в комментарии для RSpectr отмечает, что
отсутствие регулирования и определения понятия ЦОДа накладывало ограничения на отрасль в вопросах господдержки, а также полноценного использования услуг дата-центров со стороны государственных организаций
Принятие закона поможет сфере дата-центров в развитии, в первую очередь, за счет четкого разделения между деятельностью операторов ЦОДов как инфраструктурных объектов и поставщиками облачных услуг и сервисов, добавил В. Железнов.
Видия Железнов, «Ростелеком-ЦОД»:
– На мой взгляд, одним из важнейших позитивных аспектов регулирования станет возможность введения в общероссийский классификатор видов экономической деятельности (ОКВЭД) специальных кодов, определяющих деятельность ЦОДов. На сегодняшний день операторы дата-центров вынуждены использовать коды ОКВЭД по смежным направлениям, и предлагаемые изменения в закон «О связи» помогут четко выделить их основную деятельность.
У комитета Госдумы по информполитике есть ряд замечаний к законопроекту, которые могут быть устранены ко второму чтению, сообщил его зампред Антон Горелкин.
Прежде всего, по его словам, необходимо установить ограничения для иностранных юрлиц в части пользования и владения ЦОДами, поскольку это может создавать определенные информационные угрозы.
Антон Горелкин, Госдума:
– Мы сейчас не говорим о каких-то запретах, но условия должны быть проработаны, прописаны и согласованы с профильными ведомствами, которые отвечают за информационную безопасность.
Кроме того, по словам депутата, в законопроекте отсутствуют нормы, предусматривающие использование в ЦОДах российского программного и аппаратного обеспечения. «Это важное замечание. Мы просто обязаны расставить акценты в пользу российских разработчиков технических решений для ЦОДов», – заявил А.Горелкин.
Он также обратил внимание на предусмотренную законопроектом обязанность оператора ЦОД передавать техническую документацию в Минцифры. Это требование излишне, а информация будет дублироваться, уверен депутат. «Соответствующая документация уже предоставляется в подведомственную Роскомнадзору организацию (ФГУП “Главный радиочастотный центр”, на базе которого создан Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) – прим. RSpectr). Мы считаем, что здесь не нужна избыточная нагрузка. ЦОДы необходимо развивать, строить, они должны расти, как грибы после дождя! Это очень важная индустрия для нас», – заключил политик.
В.Железнов сообщил, что при подготовке ко второму чтению эксперты «Ростелеком-ЦОД» планируют предложить изменения в части состава информации, которую предоставляют операторы дата-центров, а именно средней стоимости услуг ЦОД. «Этот пункт, по нашему мнению, по ряду причин не имеет практической ценности в регулировании деятельности операторов дата-центров, а лишь внесет дополнительную нагрузку как на сами ЦОДы, так и на отраслевые ведомства», – говорит эксперт.
Т.Чирков уверен, что для дальнейшего развития операторы дата-центров заинтересованы в упрощении различных согласований при строительстве и запуске в эксплуатацию новых площадок. В частности, когда речь идет о выделении электромощностей для объекта.
«В своей работе с АНО КС ЦОД ранее мы озвучивали подобные рекомендации, и для отрасли их включение в дальнейшие чтения было бы крайне стимулирующим фактором», – подчеркивает Т.Чирков.
Согласно исследованию компании «Ростелеком», 66,7% российских дата-центров находятся в Москве, 15,2% – в Санкт-Петербурге, 17,3% – в других регионах. Доля РФ на мировом рынке ЦОДов составляет 0,9% (354 млн долларов) в стоимостном объеме и 1,1% в количестве стойко-мест. Лидером является «Ростелеком» с долей в 11,4 тыс. стоек. Также в тройку входят IXcellerate и DataPro с показателями в 3,3 тыс. и 2,4 тыс. соответственно.
Изображение: RSpectr, Adobe Stock
Возможности размещения ЦОД
Тептерёв Марк, Руководитель ИТ-проектовОдин из наиболее часто встречающихся вопросов у клиентов, планирующих размещение в стороннем ЦОД, касается соблюдения Федерального закона 152-ФЗ «О персональных данных». Заказчики зачастую имеют достаточно поверхностное представление о данном законе, слабо представляют как правильно защищать персональные данные, и что необходимо выполнить, чтобы пройти проверку надзорных органов. В данной статье я попробую популярно разъяснить основные моменты.
Самым распространённым заблуждением является тот факт, что ЦОД должен быть сертифицирован на соответствие 152-ФЗ. В неделю приходит два-три подобных вопроса от потенциальных заказчиков. Но ответ на данный вопрос достаточно прост: подобной сертификации для ЦОД не существует. Правильнее спрашивать о соответствии услуг ЦОД техническим требованиям защиты конфиденциальной информации (ТЗКИ), указывая при этом необходимый уровень защищённости. Об уровнях защищённости можно более подробно прочитать в соответствующем документе (http://fstec.ru/normotvorcheskaya/akty/53-prikazy/691-prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21).
Также у многих клиентов сложилось мнение, что, приобретение услуги ЦОД, соответствующих требованиям 152-ФЗ, уже само по себе является достаточным условием для соблюдения закона, и не требует каких-либо других действий. Это не совсем так. По закону вся информационная система, начиная от физической безопасности оборудования и заканчивая конечным программным продуктом, используемым для хранения и обработки персональных данных, должны соответствовать ТЗКИ. Как правило, услуги ЦОД ограничиваются размещением оборудования клиента в дата-центре или предоставлении оборудования в аренду. Во всех этих случаях ЦОД не имеет отношения к конечному программному продукту, и, соответственно, не может обеспечить защиту информационной системы в целом.
Помимо технической защиты персональных данных закон накладывает множество административных требований, которые относятся исключительно к деятельности заказчика, а не к ЦОД. Большинство этих требований сводится к наличию в компании тех или иных документов, которые необходимо поддерживать в актуальном состоянии. В список этих документов входят положения, регламенты, приказы, инструкции, соглашения, журналы, модель угроз и т.д. Без наличия данных документов пройти проверку со стороны Роскомнадзора не получится. К сожалению, многие клиенты упускают эти требования из виду.
Из всего вышеизложенного может сложиться впечатление, что заниматься защитой персональных данных клиенту придётся в любом случае самому. На самом деле по закону оператор персональных данных может привлечь на договорной основе стороннюю организацию, которая будет выполнять работы по обеспечению безопасности этих данных. Многие компании так и делают, так как самим выполнить все требования 152-ФЗ достаточно сложно. Стоит отметить, что подобные услуги могут оказывать только компании, имеющие лицензию на деятельность по технической защите конфиденциальной информации.
Подобные услуги по обеспечению безопасности в соответствии с 152-ФЗ зачастую предоставляются отдельно от услуг ЦОД и оказываются сторонними компаниями, которых за последнее время на рынке появилось немало. Многие из них оказывают услуги от проектирования, создания и обслуживания информационной системы, до ведения всех необходимых документов, а некоторые ограничиваются лишь юридическим консалтингом.
Комплексных предложений на рынке, сочетающих в себе услуги ЦОД, обеспечение технической защиты конфиденциальных данных, ведение документации и юридический консалтинг на данный момент достаточно мало. Обусловлено это тем, что ЦОДы — это в первую очередь сугубо технологические компании, нацеленные на оказание качественных технических услуг, но не готовые к оказанию полноценных юридических услуг и не имеющие соответствующей экспертизы.
Подводя итог, можно выделить несколько вариантов для клиентов, планирующих размещение персональных данных в стороннем ЦОД:
- Защищать свои персональные данные самостоятельно, с привлечением стороннего юридического консалтинга или без него.
- Привлекать стороннюю компанию на полное обслуживание как информационной системы, так и юридической составляющей.
- Искать комплексные услуги ЦОД с предоставлением услуг по защите персональных данных и юридическим обслуживанием.
Первый вариант не требует больших затрат, но может быть сложен для выполнения. Второй вариант будет достаточно затратным. Третий вариант не распространен на рынке и зачастую не отвечает всем требованиям заказчика (техническим, юридическим или коммерческим). Как мы видим, идеального варианта нет, поэтому каждому оператору персональных данных необходимо выбирать решение, подходящее именно для него. Пока же большинство клиентов придерживаются четвёртого варианта: игнорируют выполнение закона до первой проверки.
- Информационная безопасность
- ЦОД
Поделиться:
Как правительство России заблокировало наш бизнес — и как мы с этим справились
АВТОР: КИРИЛЛ ШИРИНКИН
Консультант по DevOps и инфраструктуре, эксперт по облачным технологиям, Kubernetes и OpenShift, сборщик платформ, писатель, разработчик программного обеспечения.
Как и многие другие сервисы, мы также стали жертвами недавней кампании по блокировке, которую проводил Роскомнадзор. Это привело к значительной потере трафика, что лишило нас многих потенциальных клиентов. Сначала пользователи нескольких мобильных операторов не могли открыть mkdev, а затем от блокировок начали страдать и крупные интернет-провайдеры.
Первые два дня мы надеялись, что здравый смысл восторжествует. Но этого не произошло и через какое-то время все изменилось только в худшую сторону, так что нам лично пришлось взять это под контроль. А теперь поговорим о том, как мы боролись с блокировкой нашего сервиса и в итоге завоевали и сохранили критически важную для нашего бизнеса часть рынка.
Как официально разблокировать сайт без каких-либо технических навыков
Очень легко попасть в список заблокированных сайтов и не так просто быть официально исключенным из него.
Мы даже не успели придумать, что делать и куда писать, так как на второй день войны Интернет был переполнен разнообразно полезными наставлениями от разных правозащитных организаций.
В первую очередь мы хотели написать претензию напрямую в Роскомнадзор, так как у них на этот счет есть какая-то особая процедура. Но, к сожалению, мы не смогли этого сделать, так как сам сайт и форма заявки были либо DDoS-атак, либо заблокированы. На момент написания он все еще не работает должным образом.
А пока они официально заявили, что тонны заявлений о блокировке безобидных сайтов — не более чем вымысел. И после этого просили сообщать о таких случаях на их горячую линию, чтобы их тщательно проверяли.
Мы так и сделали и даже добавили скриншоты заблокированного сайта от наших клиентов и с официального сайта Роскомнадзора, упомянув, что наш IP заблокирован. В ответ мы получили ошибку 554 (когда хост забанен за рассылку спама). Некоторые другие предприятия столкнулись с той же проблемой. Похоже, что исполнительный орган заранее внес в черный список всех провайдеров электронной почты.
Несколько дней спустя они, наконец, опомнились и создали учетную запись электронной почты Яндекса. Мы также отправили ему сообщение с той же претензией, но на сегодняшний день у нас до сих пор нет ответа. От РОЦИТ (Региональный центр интернет-технологий) и РАЭК (Российская ассоциация электронных коммуникаций) мы тоже ничего не получили, хотя на их сайтах упоминаются успешные переговоры с Роскомнадзором.
Такой же диалог у нас был с интернет-провайдерами, особенно крупными. В большинстве случаев это было примерно так:
— Почему сайт недоступен?
— Мы не при чем, обновите браузер, обратитесь к вашему хостинг-провайдеру
— Но это доступно с VPN. Это означает, что с браузером все в порядке, и провайдер не несет за это ответственности.
— У нас больше нет для вас рекомендаций.
— А доступен ли вам mkdev.me?
— Нет, это не так.
— Почему?
— Приятного аппетита.
Некоторые из них действительно признались, что сайт был недоступен из-за кампании по блокировке Telegram. Однако они не смогли предоставить решение суда о запрете нашего сервиса.
Перевод:
Добрый вечер! Ваша претензия обработана. Сайт недоступен в полном объеме, так как использует веб-сервисы, заблокированные в связи с проводимой по решению суда кампанией по блокировке Telegram. Сайты (а также IP-сети, подсети и т. д.), подлежащие блокировке, определяются Роскомнадзором, и наша компания, как оператор связи, обязана блокировать такие сайты.
Если у вас возникнут дополнительные вопросы, ответьте на это сообщение.
Спасибо, что выбрали Билайн!
Удовлетворение ваших потребностей, Дарья Шевцова
—— Предыдущее сообщение —— Пользователи Билайн не могут зайти на https://mkdev.me/
Прошло 3 дня.
Видимо, провайдеры либо замаскировались под сделки Роскомнадзора, либо поступили непрофессионально (а может, боялись засудить?). Разговор был плодотворным лишь с некоторыми небольшими региональными компаниями.
Перевод:
Добрый день!
Сеть, к которой относится ваш домен (18. 194.0.0/15), заблокирована по решению Генпрокуратуры 2018-14-16 14:17:32.
Операторы связи обязаны блокировать сайты и IP-адреса из Единого реестра запрещенных интернет-ресурсов в соответствии с Федеральным законом от 27 июля 2006 г. № 149.
С уважением,
Техническая поддержка VGS
———
Добрый день!
Спасибо за вашу приверженность этому вопросу. Мы готовы помочь вам как можно больше. В Интернете есть информация…
Через две недели после бана нам так и не сообщили ни причины, ни официального заявления. Мы абсолютно уверены, что получим ответ в суде, но это займет очень много времени. Трафик из России с тех пор снизился на 60%, а материальные потери, а также репутационный ущерб растут.
В конце дня мы поняли, что не стоит безнадежно ждать, пока свершится правосудие. И вот мы решили подумать, как решить наши проблемы техническими средствами.
Несколько слов об инфраструктуре mkdev
Здесь, в mkdev, мы не просто используем пару сервисов AWS. Вся инфраструктура находится в облаке Amazon. Более того, mkdev не может обойтись без EC2, RDS, S3, CloudWatch, CloudFrount, SES и SNS. Поскольку mkdev де-юре является немецким предприятием, мы используем Франкфуртский регион AWS (eu-central-1) в качестве нашего центра обработки данных и не можем просто переместить все наши данные и серверы в какую-то другую страну.
Переносить инфраструктуру в другую страну или к другому интернет-провайдеру также бессмысленно, поскольку блокировка настолько тупая, что от нее практически невозможно избавиться. Они просто блокируют все IP-адреса во всех подсетях. Как вы, возможно, уже заметили, список этих адресов растет с каждым мгновением. Нет никакой гарантии, что после того, как мы переместим наш дата-центр куда-то еще, Роскомнадзор не заблокирует и его со всеми его IP-адресами. Мы не хотели тратить свое время и деньги на переезд только для того, чтобы потом снова быть заблокированными, в этом не было смысла.
Несмотря на то, что мы не можем полностью избавиться от блокировки, есть несколько способов ее обойти. Но сначала поговорим об IPv6.
Почему IPv6 не может помочь с блокировками Роскомнадзора
Исполнительный орган блокирует только адреса IPv4. Так что теоретически вы можете наконец-то начать использовать IPv6. Проблема в том, что он должен быть и у сервера сайта, и у конечного пользователя. Как оказалось, в России довольно низкая доступность IPv6. Поэтому нам не было смысла переходить на IPv6, поскольку провайдеры наших клиентов могли еще не сделать того же.
Но мы все равно получили IPv6-адрес, хотя сейчас он нам и не нужен, но это уже другая история. Продолжим разговор о нашем окончательном решении.
Почему еще можно обойти бан
Говорят, что в какой-то момент Роскомнадзор заблокировал 1% всех IP-адресов. Может показаться, что это много, что отчасти верно. Но давайте не будем забывать о том, что 99% все еще доступны, среди них миллионы адресов AWS.
Если бы у нас была возможность получить публичный адрес, не заблокированный в России, и сервер, не заблокированный блокировками (любой, не базирующийся в России), мы могли бы направить весь трафик через этот промежуточный сервер. Вот так мы и обошли запрет.
Шаг 1. Ищем адреса, не заблокированные Роскомнадзором
Для начала нам нужен тот самый незаблокированный адрес. Проверить, забанен ли адрес, можно на специальной странице на сайте Роскомнадзора. Если вам нужен список запрещенных подсетей, вы можете просто загуглить его.
К счастью для нас, 28 апреля исполнительный орган разблокировал две основные подсети AWS. Но, с другой стороны, немецкий регион AWS не входил в эти две подсети. Amazon публикует все свои текущие диапазоны IP-адресов в Интернете. Мы немного порылись в списке и нашли регионы с нужными IP-адресами. К сожалению, большинство из них располагалось в Японии и США, но нам и этого хватило, чтобы сделать ход.
Мы выбрали Японский регион и начали играть в какие-то игровые автоматы, пытаясь получить нужный адрес. Мы искали Elastic IP, который всегда мог быть доступен только нам. Запрос AWS генерирует случайные EIP, так что получить нужный — дело только везения. Или наши навыки программирования.
Поскольку AWS API подходит практически для всего, мы создали небольшой скрипт, который делает бесконечно длинные запросы адресов, проверяет, являются ли результаты частью нужной подсети, и освобождает их, если они не являются. Сценарий настолько прост, что нам довольно стыдно его показывать, но мы все равно это сделаем:
требуется «aws-sdk-ec2» ec2 = Aws::EC2::Client.new пока правда sleep 2 # Не превышать лимит запросов API соотв = ec2.allocate_address({ домен: "vpc", }) ip = resp.public_ip alloc = соотв.allocation_id ставит ip # Здесь начинается одна из не заблокированных в России подсетей. если ip.start_with?("54.170") ставит "Победа!" ломать еще ec2.release_address({ аллокация_идентификатор: выделить, }) конец конец
Поигравшись со скриптом некоторое время, мы получили незаблокированный адрес, который хотели. Что ж, возможно, все адреса были заняты другими клиентами AWS, так что это был лишь вопрос удачи. И нам повезло.
Небольшое примечание: здесь мы говорим об AWS и о том, как найти нужный адрес в их дата-центрах. Но само решение не только для Amazon. Вам просто нужен сервер с незаблокированным публичным адресом. Если вы найдете его в Digital Ocean, Google Cloud, Azure или где-то еще, это тоже здорово. Нам удобнее иметь инфраструктуру и платить за нее в одном месте, но если когда-нибудь все EIP Amazon Web Services будут заблокированы, мы просто переместим наш туннель в другое место.
Шаг 2. Настройка серверного туннеля
После того, как мы запустили сервер и присвоили ему IP-адрес, нам нужно было настроить его таким образом, чтобы он перенаправлял весь трафик на главный сервер mkdev. Есть несколько способов сделать это, может быть, даже десятки из них. Я расскажу только о двух из них, одна безумно простая, а другая немного сложнее.
Способ 1: перенаправление портов на третьем уровне OSI
Самый простой способ — перенаправить трафик на третьем уровне OSI. Во всех современных дистрибутивах Linux достаточно ввести несколько команд:
эхо "net. ipv4.conf.all.forwarding = 1" >> /etc/sysctl.conf sysctl -p firewall-cmd --permanent --add-masquerade firewall-cmd --permanent --add-forward-port=port=80:proto=tcp:toport=80:toaddr=TARGET_IP firewall-cmd --permanent --add-forward-port=port=443:proto=tcp:toport=443:toaddr=TARGET_IP брандмауэр-cmd --перезагрузить
Этого будет достаточно, чтобы весь трафик, отправляемый на прокси-сервер, перенаправлялся на реальный сервер, на котором размещен сайт. Но дело в том, что вам нужно отслеживать исходные IP-адреса клиентов. Как правило, они хранятся в заголовке HTTP, таком как X-Forwarded-For или X-Real-IP. Поскольку мы перенаправляем трафик на этом уровне без каких-либо заголовков HTTP, мы не можем уведомить сервер назначения об IP-адресе клиента.
Что в этом плохого? Что ж, наш сайт будет принимать весь трафик, как если бы он исходил с одного IP-адреса (одного из наших прокси-серверов), и это не очень круто.
Нет сомнения, что мы можем настроить прокси-сервер по-другому, мы можем просто отключить функцию маскировки и использовать прокси для всего трафика между клиентом и веб-сайтом. Для этого нам нужно настроить маршрутизацию так, чтобы все пакеты трафика шли через прокси. Но мы не хотим этого для всего трафика, только для того, что из России. Поэтому нужно говорить о втором способе — полнофункциональном прокси с nginx в качестве основной части.
Способ 2: прокси с nginx
В этом случае вам нужно настроить прокси-сервер nginx и заставить его перенаправлять весь трафик на сервер, на котором размещен сайт. Вам также необходимо уведомить об этом указанный сервер и показать ему, откуда взять реальный IP-адрес клиента.
Конфигурация прокси может выглядеть так:
поток { сервер { слушать 443; proxy_pass TARGET_IP:8443; прокси_протокол включен; } } http { log_format main '$remote_addr - $remote_user [$time_local] "$request" ' '$статус $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"'; журнал_доступа /var/log/nginx/access.log основной; отправить файл включен; tcp_nopush включен; tcp_nodelay включен; keepalive_timeout 65; типы_хэш_макс_размер 2048; включить /etc/nginx/mime. types; default_type application/octet-stream; сервер { слушать 80 default_server; слушать [::]:80 default_server; имя сервера _; расположение / { proxy_pass http://TARGET_IP; proxy_set_header Хост $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } } }
Также необходимо настроить конфигурацию на сайте nginx-server:
сервер { слушать 443 ssl; слушать 8443 ssl proxy_protocol; # .... add_header Cache-Control общедоступный; set_real_ip_from PROXY_IP; real_ip_header proxy_protocol; # ... }
Сразу скажу, что это не идеальная конфигурация, а самая грубая и быстрая. Вы можете использовать его в качестве справочного материала при реализации собственного.
Эта конфигурация заставит nginx пересылать весь трафик, и целевой сервер сможет получить реальный IP-адрес клиента из proxy_protocol. Этого будет более чем достаточно в конце дня. Остался еще один шаг: DNS.
Шаг 3. Изменение настроек DNS
Мы хотим, чтобы весь клиентский трафик, кроме трафика из России, шел напрямую на наши серверы mkdev. Мы также хотим направлять трафик наших российских клиентов через наш IP-адрес прокси, когда они заходят на mkdev.me. Route53 может сделать это без проблем, используя политику маршрутизации геолокации. Мы просто указываем, какой адрес следует использовать нашим российским клиентам, а какой — остальным. В итоге русские идут на прокси сервер, а весь остальной мир сразу на mkdev.
И все?
В основном да. Мы выполнили шаги, настроили простейший прокси nginx и теперь mkdev снова работает в России. Если наш IP-адрес прокси снова заблокируют, мы всегда можем найти другой и перейти на него.
Важно, чтобы прокси-сервер не находился слишком далеко от основных серверов. Изначально мы пытались установить сервер в Токио, но это ухудшило скорость отклика. Итак, после быстрой проверки концепции мы перенесли ее в Париж.
Так что, если ваш сервис был заблокирован Роскомнадзором или другим официальным органом, не расстраивайтесь! Есть несколько способов обойти блокировку. Вам определенно нужно будет начать официальное расследование, но это может занять несколько недель, и вам нужно, чтобы ваш сервис был доступен прямо сейчас.
Выводы, к которым мы пришли после блока
Есть один и он довольно неутешительный: нам нет смысла больше ориентироваться на российский рынок. В какой-то момент группа людей, не до конца осознающих свои действия, может просто задушить ваш бизнес в зародыше или, как минимум, серьезно его повредить, и мы не готовы работать в таких условиях. Мы всегда будем предоставлять свои услуги российским клиентам, но после того, что произошло, отдадим предпочтение некоторым другим рынкам.
Быстрое обновление: вся эта история произошла в апреле 2018 года. Примерно в июле 2018 года наш основной IP-адрес был наконец разблокирован, и мы могли временно отключить прокси. Мы все же решили перевести эту статью и поделиться ею с более широкой аудиторией, потому что кто знает, кто и когда так заблокирует ваш бизнес и когда вам понадобятся быстрые технические советы для решения проблемы.
Внутри обширного российского государства наблюдения: «Они наблюдают»
Через четыре дня после начала войны в Украине обширный российский аппарат наблюдения и цензуры уже усердно работал.
Примерно в 800 милях к востоку от Москвы власти Республики Башкортостан, одного из 85 регионов России, были заняты подсчетом настроения комментариев в сообщениях в социальных сетях. Они отметили посты на YouTube, которые, по их словам, критикуют российское правительство. Они отметили реакцию на местный протест.
Затем они обобщили свои выводы. В одном сообщении о «дестабилизации российского общества» указывалось на редакционную статью новостного сайта, считающегося «оппозиционным» правительству, в которой говорилось, что президент Владимир Путин преследует свои собственные интересы, вторгаясь в Украину. В досье в другом месте подробно описано, кому принадлежало это место и где они жили.
В другой депеше от 28 февраля под названием «Наличие протестных настроений» предупреждалось, что некоторые выражали поддержку демонстрантам и «говорили о необходимости остановить войну».
Отчет был среди почти 160 000 записей из Башкортостанского офиса влиятельного российского интернет-регулятора Роскомнадзора.
В совокупности документы подробно описывают внутреннюю работу критически важного аспекта системы слежки и цензуры г-на Путина, которую его правительство использует для поиска и отслеживания противников, подавления инакомыслия и подавления независимой информации даже в самых отдаленных уголках страны.
Утечка документов ведомства «это как маленькая замочная скважина, позволяющая заглянуть в реальные масштабы цензуры и интернет-слежки в России», — заявил Леонид Волков, имя которого фигурирует в документах и является начальником штаба оппозиционера, находящегося в заключении. Алексей А. Навальный.
— Он намного больше, — сказал он.
Благодаря действиям Роскомнадзора Россия, наряду с такими авторитарными странами, как Китай и Иран, оказалась в первых рядах стран, агрессивно использующих технологии в качестве инструмента репрессий. С тех пор как агентство было создано в 2008 году, г-н Путин превратил его в важный рычаг, чтобы усилить свою власть, поскольку он превратил Россию в еще более авторитарное государство.
Интернет-регулятор является частью более крупного технологического аппарата, который г-н Путин построил за эти годы, который также включает в себя систему внутреннего шпионажа, которая перехватывает телефонные звонки и интернет-трафик, проводит онлайн-кампании по дезинформации и взламывает правительственные системы других стран.
Согласно документам, роль агентства в этой цифровой сети шире, чем было известно ранее. За прошедшие годы он превратился из сонного регулятора телекоммуникаций в полномасштабное разведывательное агентство, внимательно отслеживающее веб-сайты, социальные сети и новостные агентства и называющее их «проправительственными», «антиправительственными» или «аполитичными».
Согласно документам, Роскомнадзор также работал над разоблачением и слежкой за людьми, стоящими за антиправительственными аккаунтами, и предоставлял спецслужбам подробную информацию об онлайн-деятельности критиков. Это дополнило действия в реальном мире, когда те, за кем ведется наблюдение, подвергаются нападкам за высказывания в Интернете. Некоторые из них были арестованы полицией и задержаны на несколько месяцев. Другие бежали из России, опасаясь судебного преследования.
Файлы раскрывают особую одержимость г-ном Навальным и показывают, что происходит, когда на одну цель возлагается вся тяжесть российской безопасности.
Система создана для контроля вспышек, подобных той, что произошла на этой неделе, когда протестующие по всей России вышли на митинг против новой политики, согласно которой около 300 000 человек должны были быть призваны на военную службу для участия в войне в Украине. По меньшей мере 1200 человек уже задержаны за демонстрацию.
Более 700 гигабайт записей управления Роскомнадзора по Башкортостану в марте были выложены в открытый доступ онлайн группой DDoSecrets, которая публикует взломанные документы.
The New York Times создала программное обеспечение и инструмент поиска для анализа русскоязычных документов, электронных таблиц, видео и правительственных презентаций. Были опрошены пять человек, непосредственно фигурировавших в файлах Роскомнадзора, а также юристы, активисты и компании, которые боролись с агентством, и другие эксперты по российской слежке и цензуре.
Роскомнадзор не ответил на запросы о комментариях.
«Это часть авторитаризма», — сказал Аббас Галлямов, бывший высокопоставленный правительственный чиновник Башкортостана, который подвергся тщательной проверке Роскомнадзором из-за его критики г-на Путина. «Они смотрят.»
Глаза Путина в Интернете
Роскомнадзор (произносится как Роском-нодзор) был основан в 2008 году как бюрократическая заводь с несколькими десятками сотрудников, которые регулировали радиосигналы, телекоммуникации и почтовые отправления. Его роль расширилась по мере роста озабоченности Кремля по поводу Интернета, который находился под меньшим контролем государства, чем телевидение и радио, что привело к большей активности независимых и оппозиционных СМИ.
После того, как социальные сети помогли спровоцировать массовые протесты во время Арабской весны 2010 года и в Москве, начиная с 2011 года, российские власти усилили контроль со стороны Роскомнадзора, сказал Андрей Солдатов, соавтор книги о российской интернет-цензуре и слежке.
Из своей штаб-квартиры в Москве агентство выжимало из компаний, предоставлявших доступ в интернет. Начиная с 2012 года, когда г-н Путин снова стал президентом, Роскомнадзор составил черный список веб-сайтов, которые компании должны были блокировать. Этот список, который постоянно растет, теперь включает более 1,2 миллиона запрещенных URL-адресов, в том числе местные веб-сайты политических новостей, страницы профилей в социальных сетях, порнографические и игорные платформы, по данным Роскомсвободы, группы гражданского общества, отслеживающей блокировки.
За последнее десятилетие агентство также оштрафовало и наказало Google, Facebook, Twitter и Telegram, чтобы заставить их удалить то, что власти сочли незаконным контентом. В 2016 году LinkedIn закрыли в России после того, как на него наложили санкции за то, что он не хранит данные о российских пользователях в дата-центрах страны.
К 2019 году власти хотели, чтобы контроль над интернетом пошел еще дальше. Согласно документам, Роскомнадзор заказал новую технологию цензуры, известную как «техническое средство противодействия угрозам», установить в телекоммуникационных сетях по всей стране, в том числе в Башкортостане. Затем агентство заблокировало и замедлило работу сайтов из Москвы.
Согласно документам, чиновники потребовали от местных интернет-сервисов подтверждения установки систем цензуры. Схема показала, где в сети должны быть размещены ящики цензуры. Работники Роскомнадзора выезжали на объекты, проверяли правильность установки оборудования и присылали отчеты об эффективности технологии.
Одной из первых целей системы блокировки был Twitter. В 2021 году власти ограничили доступ к социальной сети до минимума. После вторжения в Украину в этом году Роскомнадзор также заблокировал Facebook, Instagram и другие веб-сайты, а также многие виртуальные частные сети или VPN, которые используются для обхода интернет-контроля.
В 2020 году Роскомнадзор возглавил Андрей Липов, правительственный технократ, поддерживающий более закрытый от Запада российский интернет. Под его руководством агентство стало еще больше похоже на разведывательную службу.
Только в Башкортостане, богатом нефтью регионе с населением около 4 миллионов человек, Роскомнадзор отследил онлайн-активность сотен людей и организаций. Он собрал информацию о критике правительства и выявил изменение политических взглядов в социальных сетях. Оно собрало досье на независимые СМИ и влиятельных лиц в Интернете, которые делились неблагоприятной для правительства информацией, которая могла бы привлечь внимание российской общественности.
«Раньше Роскомнадзор никогда не участвовал в этой игре по предоставлению политической информации», — сказал г-н Солдатов, сотрудник Центра анализа европейской политики, продемократического аналитического центра. «Они становятся все более и более амбициозными».
Владимир Воронин, юрист, который представлял активистов и медиа-группы, преследуемые Роскомнадзором, сказал, что агентство также стало ближе к Федеральной службе безопасности, или ФСБ, внутренней разведке, когда-то возглавляемой г-ном Путиным. ФСБ управляет шпионской системой под названием «Система оперативно-розыскной деятельности», которая используется для отслеживания телефонных звонков и интернет-трафика в России.
По словам Воронина, Роскомнадзор помогает ФСБ следить за оппонентами и выявлять новые угрозы г-ну Путину. «Роскомнадзор — это больше полицейский орган и не только следит, но и преследует оппозиционеров, активистов и СМИ», — сказал он.
Документы показывают, что в отличие от более технологически подкованных китайских коллег, где слежка за интернетом более автоматизирована, большая часть работы российских цензоров выполняется вручную. Но то, чего России не хватало в изощренности, она компенсировала решимостью.
В Башкортостане такие документы, как , этот шестистраничный отчет о региональном «информационном пространстве» от декабря 2021 года обобщил критику г-на Путина со стороны ученых мужей и блогеров. В отчете официальные лица измерили настроения с помощью диаграммы, показывающей события, которые усилили общественное неодобрение, такие как видео с участием активистов оппозиции и новости о возможном вторжении в Украину.
Иногда оценки звучат почти как прогнозы погоды. «Спокойствие с отдельными небольшими очагами напряженности», — говорится в одном из отчетов Роскомнадзора, резюмирующих общественные настроения после ареста местного активиста.
Согласно одному документу, социальные сети рассматривались агентством как форма «мягкой силы», которая могла «влиять на мнение масс». Согласно некоторым документам, работники Роскомнадзора следили за «дестабилизирующими темами», такими как оппозиционные группы и «антимилитаризм», а также за социальными проблемами, такими как легализация наркотиков и «сексуальные свободы». Ранее об этих конкретных документах сообщала независимая русскоязычная новостная организация «Медуза».
Роскомнадзор также отслеживал местные государственные СМИ и политических лидеров, чтобы г-н Путин мог следить как за врагами, так и за союзниками, сказал г-н Галлямов, который сейчас является политическим обозревателем, живущим за пределами России.
В некоторых случаях цензоры записывали свои экраны , показывая детали вплоть до движений их компьютерной мыши , когда они смотрели через Интернет. Они отслеживали откровенно политические видео, а в другое время сосредотачивались на менее явно тревожном контенте, таком как эта вирусная песня молодого рэпера KEML. Башкортостан известен как центр рэпа в России.
Роскомнадзор также помог г-ну Путину централизовать власть вдали от Москвы. Согласно одному документу, региональное отделение в Башкортостане разделяло лишь часть своей работы с местными властями. Вместо этого многие отчеты направлялись прямо в ФСБ и другие центральные органы.
Проверка нанесла ущерб объектам наблюдения. ProUfu.ru, местный новостной сайт в Башкортостане, который критически писал о правительстве, заявил, что власти оказывали давление на бизнес, чтобы они прекратили размещать на нем рекламу. В документах цензоры пометили ProUfu.ru как критическую редакционную статью об Украине, написанную о Путине в феврале. Группа была предметом регулярно обновляемого досье о ее освещении, собственности и главном редакторе.
«Бизнесменам угрожают закрытием предприятий, если они посмеют пойти нам навстречу», — говорится на сайте группы, которая теперь называется Prufy. «Наши ресурсы истощены». Пруфи отказался от комментариев.
Охота на Навального
Г-н Навальный, находящийся в заключении лидер крупнейшего в России оппозиционного движения, затмевает других внутренних противников г-на Путина. В управлении Роскомнадзора по Башкортостану ни одно упоминание г-на Навального не могло остаться незамеченным.
Рабочие помечали статьи и комментарии в социальных сетях о г-не Навальном и веб-сайтах, где его имя появлялось на полях как связанную ссылку. В ежемесячных отчетах они ежедневно подсчитывали онлайн-критику правительства, часто наряду с крупными новостями, связанными с г-ном Навальным.
После того, как ProUfu.ru опубликовал в 2020 году видеозапись интервью с Навальным, сайту было предъявлено обвинение в административном правонарушении за размещение информации об «уголовно наказуемых деяниях», согласно протоколу о правонарушении, приложенному к файлам.
Агентство работало с различными подразделениями российской службы безопасности, чтобы преследовать не только г-на Навального, но и его сторонников. В Башкортостане главной мишенью стала Лилия Чанышева, 40-летняя юрист.
Г-жа Чанышева, которая поддерживала г-на Навального не менее десяти лет, в 2013 году переехала из Москвы в Уфу, крупнейший город Башкортостана, где жили ее родители. В 2017 году она сменила хорошо оплачиваемую работу аудитора в международной консалтинговой фирме Deloitte, чтобы открыть региональный офис для г-на Навального.
«Она понимала, что если она этого не сделает, то никто этого не сделает», — сказал Максим Курников, бывший редактор регионального отделения радиостанции «Эхо Москвы», познакомившийся с госпожой Чанышевой в Уфе.
Г-жа Чанышева планировала акции протеста и связывала группы, которые были не согласны не только с правлением г-на Путина, но и руководствовались местными проблемами, такими как коррупция в правительстве и эксплуатация окружающей среды в богатом полезными ископаемыми Башкортостане. По словам друзей и коллег, она была известна тем, что добровольно оказывала юридическую помощь всем, кто в ней нуждался.
Согласно документам, власти внимательно следили за ней. В 2017 году чиновники Роскомнадзора направили письмо в ФСБ и другие подразделения аппарата национальной безопасности, предупреждая, что команда г-на Навального объединяет «различные небольшие оппозиционные региональные сообщества в «единый фронт»».
Г-жа Чанышева столкнулась с выборочными обысками и задержаниями милиции. По словам коллег, во время президентской кампании Навального накануне выборов 2018 года она провела более 45 суток в СИЗО за проведение несанкционированных акций протеста и другие правонарушения. По их словам, поскольку власти любили задерживать лидеров задолго до организованных протестов, она имела привычку исчезать, а затем появляться на митингах.
«Они выглядели очень глупо», — сказал г-н Волков, руководитель аппарата г-на Навального, нанявший г-жу Чанышеву.
Власти включили г-жу Чанышеву в регулярные отчеты о деятельности оппозиционеров, которые появлялись в местных и социальных сетях, в том числе о встрече 2020 года с активистами, которые выступали против застройки, связанной с вырубкой леса.
Согласно протоколам, Роскомнадзор предъявил ей обвинения в мелких правонарушениях, в том числе в нарушении правил защиты данных. Она возглавила список другого документа , в котором предлагались лица для расширенного мониторинга и наблюдения 9.0182 .
В электронной таблице «лидеров общественного мнения» в Башкортостане сотрудники Роскомнадзора выделили имя г-жи Чанышевой темно-красным цветом вместе со ссылками на ее учетные записи в социальных сетях и общее количество подписчиков.
В октябре 2020 года она была внесена в список «дестабилизирующих источников» региона и отмечена за «критику федерального и регионального правительства России».
В апреле 2021 года организации г-на Навального были вынуждены распуститься после того, как Кремль внес их в список незаконных экстремистских группировок. Опасаясь тюремного заключения, многие высокопоставленные оперативники покинули Россию. Госпожа Чанышева осталась. В ноябре 2021 года ее арестовали по обвинению в экстремизме.
Согласно протоколу инцидента, цензоры Роскомнадзора отметили, что ее задержание «вызвало резонанс как среди активистов, так и среди пользователей социальных сетей». Они не были слишком обеспокоены. В верхней части отчета они написали: «Активность протеста была на относительно низком уровне».
Связаться с г-жой Чанышевой, находящейся в следственном изоляторе в Москве, для комментариев не удалось. Г-н Воронин, ее адвокат, сказал, что она тратит свое время на написание писем и сортировку мусора. Ей грозит десятилетие тюрьмы.
Одинокий протестующий
Согласно документам, в первые недели войны на Украине цензура Роскомнадзора усилилась. Они сосредоточились не только на войне, но и на ее побочных эффектах, включая общественную реакцию на подавление инакомыслия внутри страны и ворчание по поводу влияния вторжения на рост стоимости товаров.
27 февраля сотрудники ведомства следили за реакцией на сообщения о задержании семьи из Уфы, в том числе малолетних детей, за протест против войны. В другом репортаже был отмечен быстро распространившийся в Интернете материал, в котором описывалось, как сотрудники ФСБ жестоко избили протестующего и убили его электрическим током.
«Некоторые пользователи негативно оценили действия правоохранительных органов», — написали они, отметив, что новости в мессенджере Telegram просмотрели 200 000 пользователей.
Файлы также показали, что офисная жизнь цензоров, которые являются частью среднего класса силовых структур, созданного г-ном Путиным за последние 20 лет для консолидации власти, шла своим чередом. Сотрудники отметили национальный праздник, посвященный женщинам, и поделились мемами. В шутливом видео, распространенном по офису, шутили о случайном блокировании сайта Кремля и подкупе судей алкоголем и шоколадом.
В марте цензоры выделили в Instagram пост с акции протеста в Башкортостане. Демонстрант — одинокая женщина по имени Ляйсан Султангареева — стояла в Туймазах, промышленном городе к западу от областной столицы, чтобы осудить вторжение в Украину.
В сообщении было показано, что г-жа Султангареева держит плакат с надписью «Нет Путину, нет войне». Комментарии были заполнены смайликами, подбадривающими ее.
Во время акции протеста полиция арестовала 24-летнюю политическую активистку и продержала ее всю ночь в тюрьме. Роскомнадзор цензоры охарактеризовали ее задержание лаконично и по делу : «Состоялось, митингующая задержана».
В одном из интервью г-жа Султангареева рассказала, что милиция запугивала ее, спрашивала о ее поддержке г-на Навального и заставляла пройти тест на наркотики.
Г-жа Султангареева, в чьем профиле в Instagram однажды было сказано, что она «варит вкусный кофе и старается не попасть в тюрьму», в апреле протестовала еще дважды. Ее снова арестовали. В качестве доказательств против нее использовались сообщения в Интернете, а также фотографии, опубликованные в местном антивоенном Telegram-канале. Ее оштрафовали на 68 тысяч рублей или около 1100 долларов.
«О том, что Роскомнадзор следит за социальными сетями, я не знала, но догадывалась, что они не оставят меня без внимания», — сказала она. Недавно она заметила аккаунты, связанные с полицией, просматривающие ее истории в Instagram, и заблокировала их.
«Я думал, что знаю, что такое цензура»
Ужесточение Роскомнадзора проявилось в виде откровенной цензуры.
Через три дня после того, как DOXA, медиа-организация, управляемая студентами и недавними выпускниками университетов, в январе 2021 года опубликовала видео, призывающее студентов выступить против г-на Путина, от агентства пришло письмо.
В нем говорится, что видео было внесено в реестр «запрещенной информации», которая «побуждает несовершеннолетних к участию в деятельности, опасной для их здоровья и жизни». Роскомнадзор приказал DOXA удалить видео, сообщил корреспондент сайта Илья Сагитов, покинувший Россию.
DOXA подчинилась, но затем подала в суд на Роскомнадзор из-за удаления. Г-н Сагитов сказал, что сайт старался не поощрять протест непосредственно в видео, и утверждал, что в нем нет ничего противозаконного.
В 6 часов утра 14 апреля 2021 года силовики нанесли ответный удар. В ходе скоординированного рейда российская полиция ворвалась в офисы сайта и квартиры четырех его редакторов. Они поместили редакторов под домашний арест и запретили им доступ в Интернет.
«Мы считаем, что они отслеживали все, что мы делали тогда, и отчаянно пытались найти что-то, что могло бы каким-либо образом нас угнетать», — сказал г-н Сагитов. «Поэтому они, наконец, получили это — наше видео — и сразу же начали фабриковать это дело».
Тем не менее, сайт не был заблокирован, и журналисты продолжали публиковать статьи. Потом была война на Украине.
В феврале DOXA опубликовала справочник по «антивоенным спорам в семье и на работе», в который вошли 17 ответов на самые распространенные аргументы, оправдывающие войну.
Подобно историям в Соединенных Штатах, которые готовят людей к спорным обсуждениям обеда в День Благодарения или тому, как говорить с отрицателем изменения климата, статья стала вирусной. На иллюстрации из произведения изображен молодой человек, обсуждающий войну с мужчиной постарше.
На этот раз Роскомнадзор быстро заблокировал каждый из трех разных сайтов DOXA. Сайты остаются недоступными. Некоторые сотрудники бежали из страны, в то время как другие покинули организацию, опасаясь за свою безопасность. По словам тех, кто стал мишенью, Роскомнадзор применил аналогичную тактику в других местах, блокируя более жестко и широко, чем раньше.
«Нового уровня компетентности нет, просто новый, более крупный масштаб репрессий — как цифровых, так и реальных», — сказал г-н Сагитов. «Я думал, что знаю, что такое цензура, но оказалось, что нет. Ну, теперь я знаю.
DatacenterDynamics, «Данные уходят в матушку Россию» » IXcellerate
В сентябре в России вступил в силу Федеральный закон № 242-ФЗ. Короче говоря, закон требует, чтобы все иностранные компании, работающие с персональными данными граждан России, хранили эти данные на серверах, расположенных внутри страны.
Для соблюдения этой меры любой, кто собирает или обрабатывает такие данные, должен уведомить Федеральную службу по надзору в сфере информационных технологий и связи – Роскомнадзор – о точном местонахождении серверов.
Веб-гиганты получают продление
Новые правила распространяются на почтовые службы, социальные сети и поисковые системы, хотя есть сообщения о том, что такие компании, как Google, получили продление до конца года.
Чтобы изучить влияние постановления, мы связались с Гаем Вилнером, исполнительным директором IXcellerate — компании, которая владеет одним из крупнейших независимых кампусных центров обработки данных в Москве и в настоящее время планирует построить еще один. Уиллнер — британский предприниматель в области центров обработки данных с многолетним опытом: он стал соучредителем IXEurope в 1999, расширил компанию до 14 объектов и продал ее компании Equinix в 2007 году за 482 млн долларов.
Он сказал DatacenterDynamics, что иностранные компании не спешат подчиняться требованиям, но местный рынок центров обработки данных был хорошо подготовлен, чтобы выдержать этот конкретный шторм. В то же время вскоре страна может столкнуться с реальным кризисом мощностей, вызванным экономическими санкциями из-за вмешательства России в дела Украины.
Большинство русскоязычных веб-сайтов (известных как Рунет) размещены за границей, в таких местах, как Амстердам, Хельсинки или Франкфурт, поэтому закон вызовет шок на мировых рынках.
Это затронет любую организацию, которая хранит данные российских клиентов, а, по словам Вилнера, это около 2,4 миллиона предприятий, включая всех, кто принимает платежи по кредитным картам. В соответствии с законом доменные имена или сетевые адреса, не зарегистрированные в Роскомнадзоре, будут оштрафованы; рецидивисты будут занесены в черный список и могут быть отрезаны.
Поживем-увидим?
Вилнер говорит, что многие иностранные фирмы предпочли «подождать и посмотреть», независимо от этих драконовских мер. «Нет хаоса или паники, но есть игнорирование. Часто, когда в стране принимается подобный закон, ребята в головном офисе просто думают: «Это полная чушь», — говорит он.
«Только когда возникают проблемы, они понимают, что, возможно, им следует отнестись к этому серьезно».
Когда в США вступил в силу Патриотический акт, большая часть отрасли поддержала его, но были и исключения. Некоторые печально известные своей скрытностью швейцарские банки начали выполнять запросы о предоставлении информации только тогда, когда американцы начали блокировать их счета.
Так как именно это работает? Если рассматриваемая компания сохраняет официальное присутствие в России, Роскомнадзор, скорее всего, направит вежливое письмо на ее юридический адрес, чтобы договориться о ее регистрации. Все могло бы быть намного круче, если бы компания не была официально зарегистрирована. Если компания не зарегистрирована в России, то Роскомнадзору некуда писать, поэтому сайт блокируется, потому что потенциально компания может работать нелегально. «Если у него нет зарегистрированного офиса в стране и он принимает платежи, подразумевается, что он не платит никаких налогов, и нет никакой защиты [для клиента]. Я думаю, мы постепенно увидим, что все больше и больше людей подчиняются».
В настоящее время в России достаточно мощностей, чтобы удовлетворить сравнительно скромные потребности резидента данных. «Если вы говорите о хранении каких-то персональных данных, то это пара серверов — это не то, что двигать свою тяжелую артиллерию в Москву. Это не массовые установки. Даже если это сайт со 100 000 посещений в день, речь идет о половине стойки. Это не зальет систему, но мощностей в России очень мало, это понятно. На данный момент у нас есть пара тысяч квадратных метров свободной площади, а у большинства наших конкурентов от 500 до 1000 [квадратных] метров свободной площади. На всем рынке в Москве сейчас, наверное, меньше 6000-7000 метров свободных площадей», — объясняет Виллнер.
Непросто воспользоваться слаборазвитым рынком. Уиллнер говорит, что российские банки взимают непомерную комиссию за кредит, а получить инвестиции из США просто невозможно из-за экономических санкций. Ситуация может быть выгодна более крупным игрокам отрасли, которым не нужно собирать дополнительные средства для строительства объекта, но в России нет крупных игроков в ЦОД, а поставщики облачных услуг «большой пятерки» не решаются выйти на рынок в ближайшее время. момент, хотя Apple соблюдает.
«Трудно найти капитал для расширения. Странная ситуация, когда есть большой спрос, но предложение определенно ограничивается. Цена пока не очень высока, но я предполагаю, что она начнет ползти вверх. Так что ребята, которые появятся последними, заплатят больше всего — но так на любом рынке».
В то же время предприятия, уже имеющие корни на российской земле, процветают благодаря отсутствию конкуренции. Совет Вилнера? Что бы ни делал Google, несоблюдение требований в России недопустимо. «Я бы сказал, берите серверы в России: а) потому что там будет дороже; и б) потому что вас могут оштрафовать. Если вы не зарегистрированы в России, возможно, вы захотите еще раз подумать, хотите ли вы вести бизнес в России. Если вы хотите вести бизнес в России, вы можете зарегистрировать свою компанию или локализовать ее, знаете, создать местный офис».
Коммерческие последствия
По сообщениям СМИ, закон выглядит сложнее, чем он есть на самом деле, говорит Вилнер, и некоторые аналитики предсказывают, что Федеральный закон № 242-ФЗ может нанести ущерб российской экономике, но ситуация не так однозначна.
Уиллнер считает, что коммерческий провал стал благословением для местных облачных и ИТ-провайдеров, которые растут по мере того, как цифровые ресурсы возвращаются домой в Россию. «Возможно, это вообще не был генеральный план», — говорит Уиллнер. «Но то, что он на самом деле делает, — это подключение интернета к России, а это означает, что он даст много рабочих мест инженерам-программистам и специалистам по аппаратному обеспечению. Будут инвестиции в центры обработки данных».
На самом деле, возможно, непреднамеренным следствием этого является то, что Россия делает большой технологический шаг вперед. «Если убрать политическую ситуацию, Россия — удивительный рынок. По количеству пользователей Интернета она растет быстрее, чем любая другая европейская страна — их уже 80 миллионов, и рост измеряется двузначными числами», — говорит Вилнер.
«Географически Россия фантастична для финансов, потому что вы находитесь на полпути между Юго-Восточной Азией и Европой, и у нее есть своя экономическая группа [БРИКС]. Но на данный момент это как бы… приостановлено».
Цензура в России
В этом посте рассказывается о том, как российское правительство постепенно выстраивает политику цензуры на национальном уровне для тысяч интернет-провайдеров, использующих товарные DPI . Мы опасаемся, что этой тенденции последуют и другие страны с аналогичной топологической структурой. Работая с активистами на местах в России, Censored Planet получила 5 просочившихся черных списков, подписанных Роскомнадзором (Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций), а также семь лет исторических данных черного списка . Мы использовали этот авторитетный черный список, содержащий более 130 000 доменов, для проведения углубленного расследования политики цензуры, проводимой российским правительством, путем сбора данных измерений из жилых помещений, центров обработки данных и объектов инфраструктуры.
Выводы высокого уровня:
- Благодаря нашим измерениям от интернет-провайдеров, которые покрывают более 65% российского IP-пространства, и наблюдению за высоким процентом блокировки в домашних сетях, мы подтверждаем, что Россия преуспевает в создании национального аппарата цензуры из стандартного оборудования (т. е. недорогих DPI). ). Это вызывает тревогу и подтверждает, что нет необходимости ни в государственных технических узких местах с несколькими уровнями сложности, ни в крупных государственных инвестициях, как это видно из китайской GFW, для достижения синхронизированного и однородного доступа к Интернету на национальном уровне.
- Роскомнадзор ведет авторитетный черный список в режиме реального времени и принимает законы, требующие от интернет-провайдеров блокировать контент. В настоящее время черный список содержит 170 000 доменов, 1 681 000 IP-адресов и 39 подсетей. У него примерно в 10 раз больше веб-сайтов, чем в черном списке Citizen Lab из всех стран вместе взятых. Наши измерения показывают, что даже со списком такого масштаба интернет-провайдеры успешно блокируют.
- При изучении содержимого веб-сайтов в черном списке мы обнаружили, что 63% веб-сайтов на русском языке и 28% на английском языке. В то время как верхние категории включают азартные игры и порнографию, мы находим в черном списке некоторые русскоязычные новостные сайты, сайты о политике и средствах обхода цензуры.
- Глядя на ежедневные утечки блок-листов за 7 лет, кажется, что размер блок-листа быстро рос с момента его создания 1 ноября 2012 года, что указывает на растущее желание России осуществлять информационный контроль. Мы заметили, что за последний год было приложено много усилий для улучшения обслуживания и очистки черного списка.
- Наши жилые обзорные площадки подвергаются высокой степени цензуры. Интересно, что бросается в глаза прозрачность интернет-провайдеров в предоставлении явных уведомлений пользователям, когда применяется цензура, которая, как мы позже определили, основана на руководящих принципах, продиктованных Роскомнадзором.
- Наши результаты показывают, что блокировка в центрах обработки данных отличается от блокирования у частных интернет-провайдеров как по количеству, так и по методу блокировки. В большинстве стран резидентные интернет-провайдеры подчиняются различным законам и политикам в отношении контроля информации.
Контроль над информацией уже давно является целью многих стран, и с развитием технологий, которые позволяют это делать, такие организации, как Великий китайский брандмауэр, являются не единственной угрозой свободе в Интернете. По мере того, как технологии фильтрации становятся дешевле и проще в развертывании, все больше государств переходят к их использованию для достижения контроля над сетью и информацией. Одним из ярких примеров является то, что происходит в России в последнее десятилетие. Страна, в которой когда-то было очень мало цензуры, оказалась в центре внимания из-за блокировки миллионов IP-адресов для блокировки Telegram и их постоянно растущего черного списка. В нашей работе мы освещаем реальность достижения этого контроля, используя законы и политику, чтобы заставить интернет-провайдеров соблюдать и обеспечивать контроль информации.
Долгое время считалось, что широкомасштабная цензура в децентрализованных сетях, таких как Россия, США, Индия и Великобритания, непозволительно сложна. Наше исчерпывающее исследование инфраструктуры цензуры в России показывает, что это не так.
Наше исследование показало, что реализация такого децентрализованного контроля ломает шаблон того, что традиционно означает «цензура»: монолитная блокировка больших объемов контента от границы до границы внутри страны. Но в России с появлением СОРМ и коммерциализацией технологий цензуры и слежки для интернет-провайдеров стало относительно легко и дешево соблюдать требования. Однако средства, с помощью которых интернет-провайдеры соблюдают требования, сильно различаются, равно как и степень их соблюдения.
История России
Основным органом, отвечающим за общероссийскую интернет-цензуру, является Роскомнадзор. Другие государственные органы могут потребовать от Роскомнадзора заблокировать сайты, содержание которых напрямую связано с их обязанностями. Но Роскомнадзор отвечает за систематизацию и ведение единого и централизованного черного списка.
На рис. 1 отмечены важные события последнего десятилетия, иллюстрирующие ужесточение цензуры в России, которое началось со списка «экстремистских» веб-сайтов, к которому были добавлены блоги и контент политического диссидентства, и постепенно превратились в список из более чем 170 000 доменов, добавленных разнообразие причин.
Рисунок 1. Хронология российского информационного контроля
Углубленный анализ
Всестороннее исследование измерения цензуры должно решить три основные проблемы: 1) Что измерять. Измерительному исследованию необходим авторитетный черный список , чтобы понять режим цензуры. В настоящее время черные списки часто представляют собой кураторские списки доменов, созданные краудсорсингом. 2) Как получить точки обзора. Исследование нуждается в нескольких дополнительных точках зрения, чтобы получить представление о различных сетях. В предыдущих исследованиях VPS часто использовались внутри центров обработки данных или в сотрудничестве с волонтерами. 3) Как вывести цензуру. Разработка методов и установление надежного контроля, чтобы отличить естественные сбои от фактической цензуры, измеренной в исследовании.
Что измерять : Censored Planet получила пять снимков черного списка с цифровой подписью Роскомнадзора от активистов внутри страны. На снимке, сделанном 24 апреля 2019 года, который использовался в нашей статье, список содержал 132 798 доменов, 324 695 IP-адресов и 39 подсетей. Активисты также указали нам на репозиторий GitHub, содержащий более 26 000 коммитов, отслеживающих ежедневные обновления этого черного списка . Чтобы проверить этот репозиторий, мы рассчитали индекс Жаккара утекших подписанных списков блокировки с фиксацией репозитория в те же даты и обнаружили, что они превышают 9.9% похожи.
Рисунок 2. Эволюция черного списка
Используя исторические данные за 7 лет из репозитория, на рис. 2 показано изменение черного списка с течением времени. Как показано, размер черного списка, по-видимому, быстро рос, что указывает на растущее желание России осуществлять контроль над информацией . Мы видим значительный разрыв между необработанным количеством IP-адресов и количеством уникальных IP-адресов, добавленных в черный список, что связано с тем, что несколько веб-сайтов размещаются на одних и тех же IP-адресах и добавляются в список по отдельности. За последний год резкое увеличение количества как необработанных, так и уникальных IP-адресов, умеренное увеличение количества уникальных доменов показывает, что много усилий было вложено в улучшенное обслуживание и очистка черного списка . Сообщения активистов из России предполагают, что правительство предприняло преднамеренные усилия по улучшению ведения списка, в основном из-за «розыгрыша Морзе DIGITALRESISTANCE» и по той причине, что количество IP-адресов приблизилось к пределу памяти TCAM для некоторых моделей маршрутизаторов.
Сначала мы экспериментировали с использованием готовых служб категоризации для классификации доменов. Однако эти службы плохо работают с веб-страницами, написанными не на английском языке. Учитывая, что более 63% веб-сайтов на русском языке и 28% на английском языке, мы разрабатываем метод тематического моделирования на основе предыдущей работы. Хотя самыми популярными темами на сегодняшний день являются азартные игры и порнография, мы также определили некоторые российские новостные сайты с политическим содержанием, такие как chechenews. com, graniru.org, 2019.vote (тактическое голосование Алексея Навального и его команды) и средства обхода в блоклисте . Мы связываем большое количество игорных сайтов с доменами, которые быстро клонируются в зеркальный домен при добавлении в черный список (например, 02012019azino777.ru, 02012018azino777.ru).
Как получить точки обзора: Мы использовали авторитетный черный список для проведения углубленного расследования политики цензуры российского правительства путем сбора данных измерений из жилых помещений, центров обработки данных и объектов инфраструктуры. Учитывая, что аренда VPS в российских дата-центрах требует оплаты в рублях, номера телефона и адреса внутри страны, активисты на местах помогли нам получить шесть VPS в дата-центрах, которые соблюдают сетевую фильтрацию. Мы также привлекли участников для помощи в измерении из их сетей проживания. Учитывая потенциальный риск, мы полностью следовали нормам сообщества и получили их явное согласие.
Как сделать вывод о цензуре: Методы прямого измерения выигрывают от прямого доступа к машине в сети, и они очень полезны для расследования случаев цензуры. В наших прямых измерениях для данного IP-адреса или домена мы определяем, блокируется ли он; если да, определяем, как выполняется блокировка. Мы сосредоточимся на трех распространенных типах блокировки: блокировке TCP/IP, манипулировании DNS и блокировке на основе ключевых слов.
Чтобы дополнить эти данные и определить, репрезентативны ли наши прямые измерения, мы используем два инструмента удаленных измерений от Censored Planet: Satellite и Quack. Satellite и Quack используют поведение существующих интернет-протоколов и инфраструктуры для обнаружения блокировки на основе DNS и ключевых слов соответственно, т. е. нам не нужно получать доступ к точкам обзора, а просто взаимодействовать с удаленными системами для получения информации об удаленной сети.
Имея более 1000 удаленных точек обзора для Quack и Satellite и 20 прямых точек обзора, наше покрытие в России охватывает 361 уникальную AS, которые контролируют ≈ 65% российского пространства IP-адресов.
Рис. 3. Результаты прямого измерения — точка обзора центра обработки данных и жилых помещений соответственно
По результатам нашего прямого измерения мы видим, что процент блокировки (черного списка) и тип блокировки различаются между жилыми сетями и сетями центров обработки данных. Это дополнительно подтверждается нашим знанием того, что провайдеры хостинга центров обработки данных не обязаны регистрироваться в качестве интернет-провайдеров и, возможно, не обязаны соблюдать те же законы.
- Наши жилые обзорные площадки подвергаются высокой степени цензуры. Интересно, что бросается в глаза прозрачность интернет-провайдеров в предоставлении явных уведомлений пользователям, когда применяется цензура, которая, как мы позже определили, основана на руководящих принципах, продиктованных Роскомнадзором.
- Наши результаты показывают, что блокировка в центрах обработки данных отличается от блокирования у частных интернет-провайдеров как по количеству, так и по методу блокировки. Точное репрезентативное представление о цензуре достижимо только при измерении с разных точек зрения, особенно у интернет-провайдеров, проживающих в жилых помещениях. В большинстве стран резидентные интернет-провайдеры подчиняются различным законам и политикам в отношении контроля информации.
- Мы также наблюдаем, что частные интернет-провайдеры, как правило, блокируют тот тип трафика, который они видят чаще, то есть преимущественно трафик, связанный с доменами, а не с IP-адресами.
Ранее Россия была известна использованием наивных подходов к цензуре. Например, пытаясь заблокировать Telegram, они заблокировали целые подсети Amazon Elastic Compute Cloud, Google Cloud, Digital Ocean, OVH (и, следовательно, другие веб-сайты и сервисы), нанеся сопутствующий ущерб. С тех пор они перешли на более продвинутые технологии, такие как глубокая проверка пакетов (DPI) и блокировка на основе ключевых слов, из-за превращения этих технологий в товар, что делает их более дешевыми и простыми в развертывании. Закон «Суверенный Рунет» вступает в силу с 1 ноября 2019 года.требует от операторов связи устанавливать в своих сетях «специальное оборудование» для обработки 100% всего входящего трафика в качестве меры защиты от «внешних угроз». Наиболее важной частью этого правоприменения является то, что Роскомнадзору будет разрешено централизованно управлять маршрутизацией трафика на этом оборудовании.
Эту тенденцию мы наблюдаем во многих странах: Соединенные Штаты, Великобритания, Индия, Индонезия, Португалия постепенно продвигаются к этой модели, и это должно послужить предупреждением для исследователей и политиков. Архитектура цензуры в Соединенном Королевстве аналогична российской: правительство предоставляет интернет-провайдерам список веб-сайтов, которые необходимо заблокировать, и имеет руководящие органы цензуры, соответствующие различным типам цензурируемых материалов. Индонезия недавно внедрила фильтрацию контента на границах своей сети. Индия ужесточает цензуру, используя постановления Верховного суда, наложенные на интернет-провайдеров. В Соединенных Штатах отмена сетевого нейтралитета позволяет интернет-провайдерам отдавать предпочтение определенному контенту по сравнению с другим, что послужило технической отправной точкой для усиления цензуры в России.
Этическое соображение: Независимо от того, собираются ли измерения с машин-участников (например, добровольцев) или из удаленных точек обзора (например, DNS-серверов организации), цензурные измерения могут представлять риск для владельцев этих устройств. Стремясь установить высокие этические стандарты, мы тщательно разработали наши эксперименты, чтобы следовать рекомендациям, описанным в отчетах Menlo, а также нормам сообщества. Мы также сформировали наши методы сбора данных в течение года непрерывного общения с видными активистами в России, с коллегами, имеющими опыт в исследованиях цензуры и измерений, а также с главным юрисконсультом нашего университета.
Заключение
С 1 ноября 2012 года, семь лет назад, когда Роскомнадзор развернул свой первый официальный черный список для интернет-провайдеров, и до сих пор мы видим, как постепенно Россия строит политику цензуры на национальном уровне поверх своей децентрализованной сети. Россия не останавливается на достигнутом; скорее, он стремился к идеальной гармонии в блокировке, приняв на этой неделе еще один закон, российский закон о «суверенном рунете», который требует от операторов связи устанавливать «специальное оборудование» в своих сетях во имя мер безопасности от «внешних угроз».
Усилия России за последнее десятилетие контролировать контент в своих децентрализованных сетях, а также уроки и опыт, которые она извлекла при ужесточении контроля, применимы к сетям в странах по всему миру, особенно в странах, которые исторически не одобряли цензуру. Архитектура цензуры в России является образцом и, возможно, предостережением того, как могут выглядеть национальные режимы цензуры во многих других странах, имеющих такие же разнообразные экосистемы интернет-провайдеров, как и в России.0182 .
Рост популярности России в качестве цензора является тревожным сигналом для исследователей цензуры, журналистов, активистов и граждан глобального Интернета. Понимание децентрализованного контроля будет ключом к сохранению свободы Интернета на долгие годы.
Вопросы? Связаться!
Проекты
Авгур
Satellite
Satellite-v2
Hyperquack
Hyperquack-v2
Ресурсы
Отчеты
Публикации
События
О нас
Команда
Медиа
Социальные сети
© 2022 Censored Planet|Условия предоставления услуг
Российские законы о защите данных: основное руководство
Российская среда защиты данных
Защита персональных данных — это деликатная область, требующая пристального внимания для компаний, выходящих на российский рынок. Это особенно актуально для банков и финансового сектора, медицинских фондов, туристической индустрии и всех видов электронной коммерции.
Хотя российский рынок обладает большим потенциалом для иностранных компаний, глобальные бизнес-игроки рассматривают российские законы о локализации данных как серьезное препятствие для масштабирования своего бизнеса в регионе.
Иностранные компании, работающие в стране, сталкиваются с различными законами о конфиденциальности данных, регулирующими обработку персональных данных граждан. Несоблюдение этих актов может привести к штрафам, а также к другим административным ограничениям.
Эта страница предлагает краткое руководство по соблюдению положений российского законодательства о конфиденциальности данных и будет полезно как иностранным компаниям, работающим или рассматривающим возможность работы в России.
Законодательство о локализации данных в России
Какие национальные законы регулируют сбор, использование и раскрытие персональных данных?
К основным законам, регулирующим вопросы защиты и неприкосновенности частной жизни в России, относятся:
- Конституция Российской Федерации (статьи 23 и 24).
- Федеральный закон от 27.07.2066 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Закон об информации).
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (Закон о персональных данных).
- Федеральный закон от 21.07.2014 № 242-ФЗ (Закон о локализации данных).
Основным законом в этой области и основной темой данной статьи является Закон о персональных данных ФЗ 152 .
Как соблюдать законодательство о персональных данных в Российской Федерации
ФЗ 152 может повлиять на ваш бизнес как в России, так и за ее пределами, но вашими клиентами являются граждане России. Давайте рассмотрим некоторые часто задаваемые вопросы о законе ФЗ 152.
В каких случаях требование использования сервера в России распространяется на иностранные компании?
В соответствии с законодательством при сборе персональных данных оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение, извлечение персональных данных граждан Российской Федерации с использованием баз данных, расположенных на территории РФ .
Таким образом, даже если компания работает онлайн, без физического присутствия в России и ее деятельность ориентирована на граждан России, компания должна соблюдать требования закона.
Если ваш сайт находится на иностранном хостинге, но вы собираете и обрабатываете данные о гражданах РФ, ваш домен может быть включен в Реестр нарушителей прав субъектов данных. Реестр ведет Роскомнадзор.
В результате вам, как правило, следует собирать, обрабатывать и хранить базу данных персональных данных о гражданах России на серверах, расположенных в России .
Можно ли передавать персональные данные партнеру компании по хранению и защите данных?
В соответствии с 152-м законом ФЗ компании могут доверить хранение и обработку данных ограниченного доступа третьей стороне при условии, что дата-центр облачного провайдера находится в России.
Персональные данные также могут быть переданы за границу – например, для обработки. Но сначала копию нужно записать на сервер, который физически находится на территории России.
Являясь вашим партнером по защите данных в России, InCountry соответствует Федеральному закону № 152 . Мы придерживаемся самых высоких стандартов в отрасли. Вот почему мы постоянно совершенствуем наши решения, опережая последние тенденции, встраивая безопасность в каждый уровень предложений и адаптируясь к последним стандартам соответствия.
Вы должны обеспечить надежную инфраструктуру защиты персональных данных, а также правильное управление данными самой компанией и правильную организацию доступа к информации внутри организации.
При выборе облака выбирайте провайдеров, которые сертифицированы для хранения и защиты персональных данных граждан России в соответствии с законодательством Российской Федерации о защите персональных данных (152-ФЗ), например, InCountry. Пожалуйста, ознакомьтесь с нашими сертификатами и лицензиями здесь.
Какие основные шаги должна предпринять иностранная компания для управления рисками, связанными с данными, и соблюдения нормативных требований?
Чтобы управлять рисками, связанными с данными, и соблюдать нормативные и регулярные требования к конфиденциальности при ведении бизнеса в России, важно рассмотреть следующие шаги.
- определение общих бизнес-процессов, потоков данных и соответствующих категорий данных
- назначение местного сотрудника по защите данных (DPO), который будет отвечать за процессы соответствия
- принятие локальных политик защиты данных и других необходимых документов по конфиденциальности
- внедрение соответствующих мер безопасности в масштабах всей компании.
- , предоставляющий основные соглашения со всеми третьими сторонами и обработчиками данных.
- «локализация» соответствующей базы данных или ИТ-системы на территории России является обязательным условием, если персональные данные российских граждан собираются онлайн.
Наконец, мы настоятельно рекомендуем проводить регулярные проверки защиты данных, чтобы обеспечить постоянное соответствие конфиденциальности данных национальным требованиям и нормам защиты данных. Это поможет обеспечить соблюдение требований при изменении или обновлении законов.
Каждый этап проекта по защите данных должен быть детально определен с самого начала. Это станет основой для эффективного обслуживания и развития данных в будущем.
Важно помнить, что целостность обработки персональных данных должна быть четко определена для каждой компании – в рамках ее бизнес-процессов.
Любые изменения в таких процессах – напр. в протоколах безопасности, системах доступа персонал ИТ-структуры должен отражать обновления соответствующих политик, ИТ-архитектуры и моделей риска.
Штрафы за несоблюдение российского законодательства о конфиденциальности данных
Российская Федерация ввела строгие санкции за несоблюдение требований по защите данных. Штраф за первое нарушение варьируется от 33 000 до 100 000 долларов, повторное нарушение будет стоить от 100 000 до 300 000 долларов.
С 2019 года Роскомнадзор (Федеральная служба России по надзору в сфере связи, информационных технологий и массовых коммуникаций) проводит регулярные проверки, чтобы убедиться, что компании соблюдают правила.
Правила проведения расследований следующие:
- Операторы персональных данных получают уведомление за 3 дня для плановых проверок и за 24 часа для внеплановых проверок.
- Плановая проверка может длиться не более 20 дней, а внезапная – не более 10 дней.
- Юридические лица и индивидуальные предприниматели не подлежат проверке в течение первых трех лет после государственной регистрации. Это дает вновь созданным компаниям время для настройки процессов соответствия и подготовки к расследованиям.
- Частота проверок зависит от типов обрабатываемых данных и процедур обработки. Для большинства компаний проверки проводятся только один раз в 3 года.
- Компании, работающие с особыми категориями данных (например, биометрические данные), и операторы, передающие данные в зарубежные страны, могут ожидать проведения расследований каждые 2 года.
Локализация персональных данных и защита данных в России — почему InCountry — ваш идеальный партнер
Узнайте, почему InCountry — ваш идеальный партнер для управления защитой данных и соблюдением требований к данным в России.
InCountry:
- Соответствие FZ-152
- Соответствие HIPAA
- Сертификация PCI DSS
- Управление вашими данными осуществляется в соответствии с самыми высокими стандартами безопасности и конфиденциальности. Мы используем стандартные отраслевые стандарты шифрования, чтобы обеспечить безопасность и конфиденциальность ваших данных на каждом этапе нашей деятельности.
- Инфраструктура InCountry надежно управляет вашими регулируемыми данными в Российской Федерации с круглосуточной поддержкой клиентов.
- Партнерство с InCountry — это самый быстрый способ обеспечить соответствие правилам резидентности данных и открыть новые территории, такие как Российская Федерация.
По всем дополнительным вопросам обращайтесь по адресу [email protected]
Россия: Рост интернет-изоляции, контроля, цензуры
Нажмите, чтобы развернуть изображение
Демонстранты с плакатом справа, на котором написано «Интернет — наш единственный шанс», присутствуют на митинге «Свободный Интернет» в ответ на проходящий через парламент законопроект, призывающий к маршрутизации всего интернет-трафика через серверы в России, что делает VPN (виртуальные частные сетях) недействительно, в Москве, Россия, воскресенье, 10 марта 2019 г. © 2019 AP Photo/Александр ЗемляниченкоПримечание. В этой статье есть объяснения. Нажмите на выделил термины , чтобы увидеть краткое пояснение.
(Москва) – Россия значительно расширила законодательные и нормативные акты, ужесточив контроль над интернет-инфраструктурой, онлайн-контентом и конфиденциальностью коммуникаций, заявила сегодня Хьюман Райтс Вотч. Если они будут реализованы в полном объеме, новые меры серьезно подорвут способность людей в России осуществлять свои права человека в Интернете, включая свободу выражения мнений и свободу доступа к информации.
«Подход российских властей к интернету основан на двух китах: контроле и усилении изоляции от Всемирной паутины, — сказал Хью Уильямсон, директор Хьюман Райтс Вотч по Европе и Центральной Азии. «Правительство создало целый арсенал инструментов для контроля над информацией, интернет-пользователями и коммуникационными сетями».
Новые законы и постановления, принятые за последние два года, расширили и без того значительные возможности властей по автоматической фильтрации и блокировке интернет-контента, больше не завися от сотрудничества провайдеров для реализации блокировки. 2019Закон о «суверенном Интернете» требует, чтобы интернет-провайдеры (ISP) установили оборудование , которое позволяет властям обходить провайдеров и автоматически блокировать контент, запрещенный правительством, и самостоятельно перенаправлять интернет-трафик.
Закон 2018 года вводит штрафы для поисковых систем, предоставляющих доступ к прокси-сервисам , таким как виртуальные частные сети (VPN) , которые разрешают пользователю доступ к запрещенному контенту или предоставляют инструкции для получения доступа к такому контенту. Правила, принятые в 2019 годупотребовать, чтобы VPN и операторы поисковых систем оперативно блокировали доступ к веб-сайтам, включенным в список, поддерживаемый информационной системой федерального правительства, который включает в себя регулярно обновляемый список официально запрещенных сайтов.
В последние два года законодательные посягательства на частную жизнь мобильной связи также были отмечены. В июле 2018 года вступили в силу поправки к действующему антитеррористическому законодательству, согласно которым телекоммуникационные и интернет-компании, зарегистрированные в российских органах власти в качестве «организаторов распространения информации», например, мессенджеры и социальные сети, должны хранить и передавать информацию о пользователях без решения суда.
Поправки основаны на предыдущих законах о локализации данных, , которые требуют от компаний, обрабатывающих персональные данные российских граждан, хранить личные данные пользователей Интернета и мобильных приложений в России и передавать информацию службам безопасности по запросу. В 2019 году Федеральная служба безопасности России (ФСБ) потребовала от этих компаний установить специальное оборудование, дающее ФСБ автоматический доступ к их информационным системам, и ключей шифрования для расшифровки сообщений пользователей без разрешения в судебном порядке.
Законодатели обосновали эти правила необходимостью защиты государственной безопасности, российского интернета и конфиденциальности российских пользователей. В действительности эти требования способствуют массовой цензуре и сплошной слежке, вводят непрозрачные процедуры блокировки контента и ставят под угрозу безопасность и конфиденциальность общения людей в сети, отмечает Хьюман Райтс Вотч.
Эти законы и постановления эффективно подкрепляют множество законов, принятых в предыдущие годы и описанных в отчете Хьюман Райтс Вотч за 2017 г., которые позволяют властям необоснованно запрещать широкий спектр контента.
С 2017 года правительство также увеличило количество официальных органов, наделенных полномочиями блокировать контент, и увеличило штрафы для организаций, включая интернет-провайдеров, прокси-сервисы и поисковые системы, которые отказываются удалять такой контент или предоставить средства для обхода блокировки контента.
Закон о «суверенном интернете» предусматривает полную передачу управления сетями онлайн-коммуникации в руки государственного органа, от отключения сетей в отдельных районах России до отключения России от Всемирной паутины. По словам Хьюман Райтс Вотч, если он будет реализован в соответствии с планом, суверенный закон об Интернете также позволит правительству напрямую блокировать любой контент, который он сочтет нежелательным.
Эти связанные с Интернетом требования встроены в еще более широкий набор законов и правил, направленных на удушение свободы выражения мнений как в Интернете, так и за его пределами. Некоторые из недавно принятых законов ограничивают пространство для публичных дебатов в целом, и особенно по темам, которые правительство считает вызывающими разногласия или угрожающими, такими как права ЛГБТ, политические свободы или, совсем недавно, пандемия Covid-19. Другое законодательство, очевидно, направлено на дальнейшее подрыв конфиденциальности и безопасности общения в Интернете, что делает цифровую связь в России защищенной от вмешательства правительства.
По большей части недавно принятые законы и постановления находятся на ранней стадии реализации или еще не введены в действие. В результате остается неясным, как и в каком объеме они будут применяться.
Недавние изменения в российском законодательстве в области интернета, ужесточающие государственный контроль над интернет-инфраструктурой, вводящие новые технические средства для мониторинга интернет-активности, фильтрации и перенаправления интернет-трафика , а также расширяющие возможности правительства блокировать онлайн-контент, несовместимы со стандартами свободы выражения мнений и неприкосновенность частной жизни защищена Международным пактом о гражданских и политических правах и Европейской конвенцией о правах человека, участником которых является Россия. Хотя оба договора позволяют государствам ограничивать эти права для защиты законных целей национальной безопасности, эти ограничения должны устанавливаться в соответствии с четкими правовыми критериями и наименее ограничительными средствами достижения этих целей.
Международное право допускает определенные ограничения этих прав, такие как защита национальной безопасности или общественного порядка, здоровья или нравственности. Однако эти ограничения должны соответствовать критериям необходимости, пропорциональности и правовой определенности. Специальный докладчик Организации Объединенных Наций (ООН) по свободе выражения мнений заявил, что эти ограничения должны быть «предусмотрены законом, который ясен и доступен для всех», и быть предсказуемыми и прозрачными. Европейская конвенция предусматривает, что ограничения, налагаемые на свободу выражения мнений и право на неприкосновенность частной жизни, должны быть установлены законом и «убедительно установлены» как необходимые для достижения законной цели в демократическом обществе.
Конституция России гарантирует право на неприкосновенность частной жизни, в том числе на тайну сообщений. Конституция также предоставляет свободу мнений и право свободно искать, получать, передавать, производить и распространять информацию.
«Новые законы и правила ужесточают петлю государства вокруг пользователей», — сказал Уильямсон. «Они усиливают наблюдение за пользователями, лишая их возможности доступа к контенту и угрожая перспективой быть отрезанными от внешнего мира в Интернете».
Подробный анализ новых законов и правил см. ниже.
Хьюман Райтс Вотч проанализировала ключевые законы и нормативные акты, принятые или вступившие в силу с 2017 г., которые в совокупности дают российскому правительству возможность осуществлять широкий контроль над интернет-инфраструктурой и онлайн-деятельностью в России. В их числе:
- 2016 «поправки Яровой» о принудительном хранении данных; Закон
- от 2017 г., запрещающий VPN и интернет-анонимайзерам предоставлять доступ к запрещенным веб-сайтам, и последующие поправки 2018 г. к Кодексу об административных правонарушениях; Закон
- от 2017 г. об идентификации пользователей приложений для обмена сообщениями и последующее постановление правительства от 2018 г.;
- 2019 Закон «О суверенном Интернете»; и Закон
- от 2019 года о предустановленных российских приложениях.
Хьюман Райтс Вотч также проанализировала предложения по реализации этих законов, которые так и не были приняты.
Принудительное хранение данных и поправки «Яровой»Поправки «Яровой» 2016 года, названные в честь их основного автора, Ирины Яровой, депутата Государственной Думы, нижней палаты парламента, от правящей партии «Единая Россия», включал многочисленные положения, которые серьезно подрывают право на неприкосновенность частной жизни и свободу выражения мнений в Интернете. Среди них были положения, которые усилили инвазивность тревожных требований, введенных в 2015 году для технологических компаний по хранению пользовательских данных российских граждан на территории России.
Большинство положений вступило в силу в июле 2016 года, в том числе требование к телекоммуникационным компаниям хранить метаданные сообщений в течение трех лет, а также к интернет-компаниям, зарегистрированным в качестве «организаторов распространения информации», таких как мессенджеры, онлайн-форумы, платформы социальных сетей и любой другой сервис, который позволяет пользователям общаться друг с другом, хранить данные в течение одного года. Такие данные включают информацию о времени, местоположении, а также об отправителе и получателе сообщений.
Интернет- и телекоммуникационные компании также были обязаны раскрывать метаданные властям по требованию и без решения суда, а также предоставлять службам безопасности «информацию, необходимую для расшифровки» электронных сообщений, такую как ключей шифрования .
В июле 2018 года вступила в силу очередная партия поправок Яровой, требующая от компаний хранить в течение шести месяцев содержимое всех коммуникаций, таких как текстовые сообщения, голос, данные и изображения, хранить эти данные на российских серверах и делать их могут быть предоставлены властям по требованию без судебного надзора. Эти положения расширили и без того широкие и вызывающие тревогу требования к хранению пользовательских данных российских граждан на территории России. В 2016 году правительство заблокировало LinkedIn в России за несоблюдение правил хранения данных. В феврале 2020 года правительство оштрафовало Twitter и Facebook на четыре миллиона рублей (примерно 53 000 долларов США) за одно и то же правонарушение.
В 2019 году организации, состоящие в реестре «организаторов распространения информации», получили письма ФСБ с требованием установить специальное оборудование, обеспечивающее круглосуточный доступ ведомства к их информационным системам и ключам для расшифровки сообщений пользователей. В реестр вошли 237 интернет-сервисов, таких как сервисы Яндекс, Telegram, Mail.Ru Group и Сбербанк-онлайн. Власти пока не заставили сервисы Google и Facebook, включая WhatsApp, присоединиться к реестру. Некоторые компании уже установили необходимое оборудование.
В мае 2019 года правительство обязало интернет-провайдеров хранить данные в соответствии с поправками Яровой только техническими средствами российского производства. В декабре правительство ввело двухлетний запрет на государственные закупки хранилищ данных у иностранных организаций. В обоих случаях законодатели интерпретировали ограничения как защиту «критической информационной инфраструктуры» России.
Запрет VPN и интернет-анонимайзеровЗакон 2017 г. от VPN и интернет анонимайзеры (276-ФЗ) не запрещает эти прокси. Скорее, он направлен на то, чтобы запретить прокси-сервисам , включая VPN и анонимайзеры, такие как Tor или Opera, предоставлять доступ к веб-сайтам, запрещенным в России. Он также запрещает поисковым системам предоставлять ссылки на такие материалы. Закон уполномочивает Роскомнадзор, федеральный орган исполнительной власти России, отвечающий за надзор за онлайн-контентом и медиа-контентом, блокировать сайты, которые предоставляют инструкции о том, как обойти государственную блокировку, в том числе с помощью VPN. Он также уполномочивает правоохранительные органы России, в том числе МВД и ФСБ, выявлять нарушителей, а также поручает Роскомнадзору создать специальный реестр онлайн-ресурсов и сервисов, запрещенных в России.
«Законы, запрещающие VPN и анонимайзерам способствовать обходу государственных блокировок, являются частью постоянного расширения государственного регулирования блокировок, — рассказал Хьюман Райтс Вотч Александр Исавнин, эксперт по регулированию ИТ и интернета.
Закон 2017 года не устанавливал штрафы за нарушения. Штрафы были введены поправками в Кодекс об административных правонарушениях на следующий год. В апреле 2018 года Роскомнадзор заблокировал миллионы адресов интернет-протокола (IP) в безуспешной попытке заблокировать службу обмена сообщениями Telegram за то, что она не передала ключи шифрования пользователей российским службам безопасности, которых у Telegram нет. Это привело к массовым сбоям, временной блокировке законно работающих в России сервисов, таких как банки, интернет-магазины и поисковые системы. Российские интернет-пользователи все чаще стали использовать VPN, чтобы обойти эти сбои, при этом некоторые провайдеры VPN сообщают о 1000-процентном увеличении продаж в России. В ответ Роскомнадзор заблокировал 50 анонимайзеров и VPN-сервисов, предоставлявших доступ к Telegram.
В июне 2018 года Госдума приняла законопроект о введении административных штрафов до 700 000 рублей (9 000 долларов США) за нарушение закона о запрете VPN и интернет-анонимайзеров. В декабре следующего года Google был оштрафован на 500 000 рублей (6 500 долларов США) за то, что не отфильтровал результаты поиска в соответствии с законом. Этот прецедент призван подать сигнал другим компаниям.
В марте 2019 года Роскомнадзор потребовал, чтобы VPN, анонимайзеры и операторы поисковых систем блокировали сайты, включенные в регулярно обновляемый реестр запрещенных сайтов Роскомнадзора, через федеральную информационную систему правительства.
Также в марте агентство опубликовало свои планы по контролю за соблюдением закона с помощью более эффективной автоматической системы контроля, вместо того, чтобы отслеживать блокировки запрещенных сайтов вручную. В июне 2019 года Роскомнадзор пригрозил заблокировать в течение месяца 9 из 10 VPN-сервисов, получивших предписание о подключении к реестру, за невыполнение требований. Один сервис, Kaspersky Secure Connection, который также является единственным российским сервисом из 10 зарегистрированных в стране, выполнил требование. Другой, Avast SecureLine, ушел с российского рынка из-за угроз Роскомнадзора.
Несколько сервисов VPN и интернет-анонимайзеров все еще работают в России и предоставляют доступ к сайтам, заблокированным Роскомнадзором.
Идентификация пользователей приложений для обмена сообщениямиПоправки, принятые в июле 2017 года к закону об информации, запрещают приложениям для онлайн-сообщений, включенным в государственный реестр «организаторов распространения информации», обслуживать неустановленных пользователей. Закон требует, чтобы эти компании идентифицировали всех пользователей по их номерам мобильных телефонов.
Постановление правительства, принятое в 2018 году, также требует, чтобы иностранные поставщики услуг обмена мгновенными сообщениями подписывали соглашение с российскими операторами мобильной связи, обязывающее их подтверждать личность пользователя по номеру телефона в течение 20 минут с момента запроса информации поставщиком услуг. Службы обмена сообщениями не могут позволить пользователям, которых операторы мобильной связи не могут идентифицировать, оставаться зарегистрированными в службе. По словам бывшего главы Роскомнадзора Александра Жарова, требование подтверждения личности распространяется как на уже зарегистрированных, так и на новых пользователей.
Закон, однако, не требует от провайдеров услуг обмена мгновенными сообщениями, зарегистрированных в качестве юридических лиц в России, подтверждать личность пользователя через операторов мобильной связи, утверждая, что такие провайдеры могут использовать для этой цели телефонные номера. Закон предусматривал еще одно постановление, вводящее правила проверки для российских мессенджеров. Такой указ не принят.
По закону Роскомнадзор может блокировать мобильные приложения, которые не соблюдают запрет на работу с анонимными аккаунтами. Он также может возбуждать дела по ст. 13.39КоАП РФ к провайдерам мгновенных сообщений, которые не соблюдают закон об идентификации пользователей. Правонарушение наказывается штрафом до одного миллиона рублей (13 600 долларов США). Роскомнадзор еще не инициировал принудительные меры в отношении мессенджеров, не соответствующих правилам идентификации.
Неясно, обращались ли иностранные службы обмена сообщениями к операторам мобильной связи для проверки личности в течение двух лет после вступления в силу правил.
Многие мессенджеры, как российские, так и зарубежные, запрашивают номера телефонов пользователей для идентификации. Но некоторые пользователи смогли зарегистрироваться в мессенджерах с помощью SIM-карт, купленных неофициально, без предоставления паспорта и других идентификационных данных, которые им пришлось бы предоставлять официальному оператору мобильной связи.
Эксперты говорят, что среди прочего нечеткость закона затрудняет его выполнение технологическими компаниями. Постановление от 2018 года, требующее от операторов подписывать соглашения об идентификации с мессенджерами, не регулирует процедуру передачи персональных данных и не разъясняет, должны ли сотовые операторы выполнять эту процедуру бесплатно. Кроме того, получили распространение службы анонимной проверки. Эти службы «арендуют» временные телефонные номера, которые люди могут использовать для анонимной регистрации в службе обмена сообщениями, онлайн-платформе, форуме и т. д., что позволяет пользователям обходить проверку службы. Широкое использование этих услуг еще более затрудняет соблюдение закона.
Поправки 2017 года также требуют от провайдеров мгновенных сообщений ограничивать распространение сообщений отдельными пользователями по требованию Роскомнадзора, если такие сообщения содержат запрещенную в России информацию. В сентябре 2017 года правительство разработало постановление, устанавливающее правила реализации этого положения, но оно не принято. Минэкономразвития раскритиковало проект, отметив, что соответствие будет невозможно для многих мессенджеров, использующих сквозное шифрование.
Депутаты признали недостаточную эффективность этих нормативных актов, когда Госдума рассматривала аналогичную законодательную инициативу для провайдеров услуг электронной почты. Инициатива не продвинулась в парламенте, и правительство не предприняло никаких дальнейших шагов по обеспечению соблюдения закона или наложению санкций на правонарушителей.
Однако в случае полного соблюдения эти правила поставят под угрозу конфиденциальность информации и сообщений российских пользователей Интернета.
Закон о суверенном ИнтернетеВ мае 2019 года президент Владимир Путин подписал закон о «суверенном Интернете», провозглашенная цель которого — защитить российский сегмент Интернета от угроз его безопасности, целостности и устойчивости. На самом деле закон еще больше расширяет контроль государства над интернет-инфраструктурой.
Часть закона, вступившая в силу в ноябре 2019 года, обязала интернет-провайдеров (ISP) установить в своих сетях «технические средства [оборудование] для противодействия [внешним] угрозам». Это оборудование включает в себя технологию глубокой проверки пакетов (DPI), которая позволяет правительству отслеживать, фильтровать и перенаправлять интернет-трафик. Эксперты раскритиковали эту технологию как инструмент цензуры и слежки.
© © © ©Deep Packet Inspection
К середине ноября 2019 года некоторые российские интернет-провайдеры установили и протестировали оборудование на Урале и сообщили в Минкомсвязи о частично успешных результатах. Три из восьми операторов сообщили об отсутствии проблем с интернет-трафиком, в то время как пять других сообщили о ряде проблем, в том числе о более низкой скорости интернета, более слабом сигнале, продолжающейся невозможности заблокировать мессенджер Telegram и локальных сбоях в работе интернет-сервисов. Операторы отметили, что из-за малого количества пользователей в регионе, выбранном для проведения тестов, не было возможности оценить работу 9Технология 0745 DPI при работе с большими объемами интернет-трафика.
Согласно закону, эта технология должна препятствовать доступу пользователей к любому контенту, который власти считают нежелательным, с помощью прямых команд, запрограммированных властями, без ведома пользователей или интернет-провайдеров.
Российское правительство уже давно подвергается критике за чрезмерное блокирование доступа в Интернет и за использование правил Интернета для цензуры. Даже без полностью функционирующей технологии DPI по состоянию на 10 июня 2020 г. уже было заблокировано не менее 85 246 веб-сайтов. В этом контексте как местные, так и международные правозащитные организации выразили обеспокоенность непрозрачной и внесудебной блокировкой веб-сайтов с помощью технологии глубокой проверки пакетов. .
Кто заказывает блокировку контента в России?
Уполномоченный орган
Количество заблокированных источников в 2020 г.*
Причины, по которым они уполномочены блокировать
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций
3 038
Информация о детской порнографии
Федеральная служба по надзору в сфере защиты прав потребителей
358
Информация о способах совершения самоубийства
МВД
4 211
Информация, нарушающая положения о наркотиках
Генеральный прокурор
6 874
Информация, содержащая призывы к массовым беспорядкам, экстремистской деятельности и участию в нарушение требований законодательства.
Федеральная налоговая служба
34 950
Информация, нарушающая законодательство об азартных играх и лотереях
Министерство связи и массовых коммуникаций
3 712
Веб-сайты, копирующие источники, ранее заблокированные за нарушение авторских прав.
Федеральная служба Российской Федерации по регулированию алкогольного рынка
948
Информация, нарушающая правила обращения с алкоголем
Федеральное агентство по делам молодежи
8
Информация, направленная на вовлечение несовершеннолетних в противоправную деятельность или распространение информации о жертвах такой деятельности
Московский городской суд
10 673
Незаконные копии контента, защищенного законами об интеллектуальной собственности
Прочие суды
21 035
Информация, распространение которой запрещено в России на основании решения суда
* По данным Роскомсвободы, полученным 10. 06.2020
обходить правительственные блокировки в России, такие как VPN и другие прокси, такие как Tor и Telegram Open Network. Это исследование направлено на то, чтобы предоставить правительству более эффективные инструменты для фильтрации интернет-трафика.Национальная доменная система
Закон о «суверенном Интернете» также требует создания национального домена системы доменных имен (DNS) . С 1 января 2021 года интернет-провайдеры должны будут использовать национальную DNS. DNS работает как адресная книга Интернета, переводя URL-адрес в числовой IP-адрес, который затем используется для подключения пользователя к веб-сайту, который он ищет. Принуждение интернет-провайдеров к использованию национальной системы доменных имен позволит российским властям манипулировать результатами, предоставляемыми интернет-провайдеру, что позволит властям, среди прочего, подставить запрос пользователя на неправильный адрес веб-сайта или вообще не указывать адрес.
Подробнее Государственный контроль над архитектурой Интернета
Суверенный закон об Интернете еще больше расширяет государственный контроль над инфраструктурой Рунета , обязывая ее участников предоставлять Роскомнадзору подробную информацию об их «сетевой архитектуре». Российские власти могут использовать эту информацию для усиления контроля над собой.
Закон предоставляет правительству всю информацию об интернет-инфраструктуре, необходимую для осуществления полного и бесконтрольного контроля над интернетом, что приводит к нарушениям свободы слова, доступа к информации и неприкосновенности частной жизни, отмечает Хьюман Райтс Вотч.
Например, интернет-провайдеры, зарегистрированные в России, должны предоставлять информацию о том, куда уходит интернет-трафик за пределы России. Это может позволить властям перенаправлять трафик с помощью технологии глубокой проверки пакетов.
В соответствии с законом операторы точек обмена интернет-трафиком (IXP) , ключевых узлов обмена интернет-трафиком, обязаны отключать интернет-провайдеров, которые не соблюдают требования закона. Нарушение этого требования точкой обмена может привести к ее исключению из официального реестра. Это, в свою очередь, запретит интернет-провайдерам подключаться к нему.
Хотя правительство бесплатно предоставляет провайдерам интернет-услуг оборудование для технологии глубокой передачи пакетов, провайдеры несут значительные расходы, чтобы обеспечить его правильную работу.
«Вмешательство государства в отношения между интернет-провайдерами представляется наиболее опасным аспектом закона, который может повлиять на конкуренцию на рынке и привести к уходу многих мелких интернет-провайдеров», — сказал Исавнин Хьюман Райтс Вотч. «Разнообразие интернет-актеров и связей между ними — это то, что на самом деле обеспечивает интернет-безопасность».
Принятые подзаконные акты, которые дополнительно реализуют закон о «суверенном Интернете», определяют общие угрозы устойчивости, безопасности и целостности Рунета в качестве правовых оснований для активизации «централизованного государственного управления Интернетом». Этот протокол предполагает полную передачу управления сетями связи Роскомнадзору, от отключения сетей в определенных районах России до отключения России от Всемирной паутины в случае необходимости. Эти положения вызывают особую озабоченность, учитывая несколько случаев, когда российское правительство якобы временно отключало услуги мобильного интернета, в том числе во время протестов в Москве и Ингушетии.
«Суверенный закон об Интернете может быть очень эффективным [инструментом подавления в руках правительства]», — сказал Хьюман Райтс Вотч Андрей Солдатов, российский журналист-расследователь и эксперт по российской слежке. «Идея закона не в том, чтобы полностью изолировать страну, а в том, чтобы иметь инструмент для изоляции регионов, если они столкнутся с кризисом. Это может быть очень эффективно, и это то, что мы наблюдали в Ингушетии почти полтора года с протестами из-за земельного спора с Чечней. Блэкауты использовались, чтобы предотвратить распространение протестов на другие регионы».
В то же время закон о «суверенном Интернете» предоставляет российскому правительству инструмент для полного соблюдения ограничительного законодательства в области Интернета и связи и еще больше углубляет ограничения цифровых прав.
Закон о предустановленных российских приложенияхВ декабре 2019 года парламент принял поправки к российскому закону о защите прав потребителей, которые обязывают производителей предустанавливать российские приложения на определенные типы устройств, продаваемых в России. Законодатели заявили, что инициатива направлена на повышение удобства российских пользователей, предлагая им приложения, ориентированные на русскоговорящих, а также на продвижение отечественного программного обеспечения.
В соответствии с последним проектом постановления, разработанным правительством в развитие закона, все производители смартфонов, компьютеров и Smart TV, работающие в России, будут обязаны предварительно устанавливать программное обеспечение, соответствующее определенным критериям, в том числе «высокая социальная важности», наличие исключительных прав у российской компании или лица и полное соблюдение правил защиты персональных данных не менее чем за год до их установки. Типы приложений, подходящих для предварительной установки, включают мессенджеры, службы просмотра, карты, программы для чтения новостей и провайдеры электронной почты. Федеральной антимонопольной службе (ФАС) будет поручено контролировать список приложений, соответствующих этим критериям.
«Нет сомнений, что государство воспользуется этой возможностью в своих интересах, — сказал Исавнин Хьюман Райтс Вотч. «Существует риск того, что будут установлены приложения для наблюдения и сертификаты расшифровки трафика».
Закон о предустановке предоставляет российскому правительству эффективные рычаги воздействия на отечественных разработчиков прикладного программного обеспечения. Предварительная установка приложений на устройства пользователей, скорее всего, повысит их известность на российском рынке, создав тем самым экономические стимулы для разработчиков соблюдать законы о локализации и хранении пользовательских данных. Соблюдение этих требований обязательно при предустановке. В июле 2019 г., в парламент был внесен законопроект, предусматривающий штрафы в размере до 200 000 рублей (2700 долларов США) за продажу устройств без предустановленных российских приложений. Закон до сих пор не прошел первое слушание.
«Идея состоит в том, чтобы заставить российских клиентов использовать приложения российских разработчиков, которые легче контролировать, чем зарубежные», — сказал Солдатов.
Российский союз средств массовой информации и связи, в который входят крупнейшие операторы мобильной связи и медиахолдинги, уже предложил обязать все типы предустановленных приложений проверять личность пользователей, вероятно, вдохновленный недавним законом об идентификации пользователей мессенджеров.
Изначально планировалось, что закон вступит в силу в июле. Однако в свете пандемии Covid-19 дата была перенесена на 1 января 2021 года.
Интернет-провайдеры (ISP) Интернет-провайдеры (ISP) : организации, которые предоставляют доступ в Интернет своим клиентам.
Глубокая проверка пакетов (DPI) Глубокая проверка пакетов (DPI) : технология, используемая для сканирования содержимого каждого пакета данных, передаваемого по компьютерной сети. DPI можно использовать для управления сетью, а также для фильтрации, блокировки и перенаправления интернет-трафика.
Proxy Proxy : посредническая служба, через которую люди могут направлять некоторые или все свои интернет-коммуникации. Их можно использовать для обхода локальной интернет-цензуры или манипуляций, а также для анонимного просмотра Интернета.
Виртуальные частные сети (VPN) Виртуальные частные сети (VPN) : тип прокси-сервера, который позволяет пользователям просматривать Интернет так, как будто они приходят с серверов VPN, которые часто расположены в какой-то другой части мира и могут быть использованы для обхода интернет-блокировок и манипуляций.
Ключи шифрования Ключи шифрования : шифрование — это процесс кодирования данных таким образом, что доступ к ним могут получить только те, у кого есть правильные ключи шифрования. Ключ шифрования — это часть информации, которая используется для выполнения шифрования и/или дешифрования.
Интернет-трафик Интернет-трафик : поток данных через интернет-инфраструктуру.
Метаданные Метаданные : структурированное описание информационного ресурса (файл, запись в базе данных и т. д.) или цифровой деятельности (телефонный звонок, подключение к Интернету и т. д.) любого рода. (т. е. дата создания, местонахождение и т. д.). Метаданные не включают содержимое информационных ресурсов или цифровых действий, но включают информацию, которая может дать представление о них, например, строку темы электронного письма, продолжительность разговора или видео, временные рамки, в которых происходил разговор. , местонахождение человека при общении (а также с кем).
Анонимайзер Анонимайзер : тип прокси, который пытается позволить человеку анонимно пользоваться Интернетом, не связывая свою деятельность с его компьютером.