Суд оштрафовал компанию "Яндекс", которая не предоставила оперативникам ФСБ круглосуточный доступ к умной колонке "Алиса". Если раньше нормы "закона Яровой" распространялись в основном на мессенджеры, то теперь практически любая инфраструктура IT-компании подпадает под требование принудительного предоставления данных ФСБ.
Есть и другие новости того же рода. Первая: в июле правительство России утвердило концепцию "умных" многоквартирных домов, согласно которой к 2030 году все сервисы обмена данными жильцов должны проходить на инфраструктуре, получившей сертификацию ФСБ.
Вторая: с начала нового учебного года в Москве все школьники перейдут на национальный мессенджер Max. Студентов тоже заставляют устанавливать этот мессенджер.
Получается ли у власти создать эффективный "цифровой ГУЛАГ", и как этого избежать? Говорим в программе "Лицом к событию" с экспертом в области интернет-безопасности Михаилом Климарёвым и главным редактором проекта "Система" Андреем Сошниковым.
Штраф в 10 тысяч рублей назначил суд в московских Хамовниках 10 июня IT-корпорации Яндекс за отказ предоставить ФСБ круглосуточный удалённый доступ к информации сервиса "умного дома" "Алиса". От Яндекса в суд никто не пришёл. Попытка ФСБ связаться с колонкой, привязанной к "умному дому", пожалуй, первая.
Комментирует IT-эксперт, глава Общества защиты интернета Михаил Климарёв.
– В 2019-м году вы проверяли "Алису", тогда признаков прослушки не нашлось. Как ситуация обстоит сейчас?
– Тогда это выглядело следующим образом. Есть активационное слово: "Яндекс", "Яндекс что-то" или "Алиса". Вы говорите: "Алиса", и тогда идёт интенсивный обмен данными между колонкой и интернетом. Тогда я это проверял довольно долго и не нашёл прямой связи, что информация куда-то передаётся. Но судя по этим искам, речь не о том, что не дали доступ, а о штрафе за то, что у "Яндекса", видимо, что-то сломалось. Есть ли у ФСБ доступ к колонкам – проверить тяжело. Судя по опубликованному иску, требовали доступ к системе "умный дом". "Умный дом" – это устройства, которыми можно управлять с помощью колонки: включение-выключение, "Алиса, включи свет", "Алиса, задёрни шторы", такие слова. Но в систему "умного дома" входит система видеонаблюдения и охранных датчиков. Доступ к охранным датчикам – это не очень безопасно, их могут отключить. ФСБ-шники, или те, кому они эти данные продадут, могут проникнуть к кому-то домой. Ну и сама камера, установленная у вас дома: наверное, вы бы не хотели, чтобы всё, что у вас происходит, стало бы достоянием общественности?
– Есть микрофон, он должен включаться по кодовому слову, например, "Алиса". Но он может в теории записывать звук дальше?
– В теории, конечно, да. Поэтому на колонках у "Яндекса" была кнопка: когда её нажать, система ничего не слышит. Но это электронная кнопка, не механическая. Мы не видим, что разрываются цепи с микрофонами. А их там не один, восемь, что ли, микрофонов в этой колонке, чтобы она слышала ваш голос даже сквозь музыку.
Предположим, она постоянно что-то записывает. Дальше весь этот звук нужно положить на сервера и обработать. Почему надо обрабатывать? Если записать всё, что происходит в квартире несколько часов, сложно извлечь полезную информацию. Но сейчас есть нейронные сети, которые эту работу могут сделать. В общем, сомнений много. Не хочется пугать пользователей, но похоже, эта колонка небезопасна. Потенциально она может записывать всё. Записи "Яндекс" может сохранять, может обрабатывать с помощью нейронных сетей, то есть превратить слова в текст, и потом организовать полнотекстовый поиск. А "Яндекс" – это и есть система, которая разрабатывает поиск. И вся информация потенциально может быть доступна российским силовикам, включая ФСБ. Известно, что МВД и ФСБ – коррумпированные структуры, то есть всё это может попасть не только к ним, но и в публичный доступ. Благодаря техническим устройствам имеется кладезь информации, в том числе этим пользуются как сталкеры, так и расследователи, этот рынок богат.
В 22-м году юрист "Яндекса" сказал, что выполнению требований ФСБ мешают санкции, поскольку нужно оборудование из-за рубежа, а его невозможно купить. Нельзя исключать репутационные риски: легенды о прослушке "Алисы" ходят с её появления на рынке. Какой из мотивов "Яндекса", учитывая ситуацию на рынке и заинтересованность спецслужб, кажется наиболее вероятным?
Отвечает руководитель проекта "Система" Андрей Сошников:
– Работа юриста – защищать клиента, но как происходят реальные договорённости между крупными компаниями и органами власти, мы не знаем. У российской власти давно есть претензии к "Яндексу". Путин еще в 2014 году говорил, что интернет – проект ЦРУ, и иллюстрировал этот тезис, что якобы в совете директоров "Яндекса" есть представители Запада, они каким-то образом могут взаимодействовать с ЦРУ. Тогда акции "Яндекса" обрушились на Нью-Йоркской бирже, где они тогда торговались. Несколько эпизодов взаимодействия Кремля с "Яндексом" было. Думаю, через много лет станет известно, как складывались эти отношения.
ФСБ хочет получить доступ к метаданным
Но решение суда об "умном доме" и колонке"Алиса" не отвечает на этот вопрос. Там есть ссылка на постановление правительства, а в нём речь не о том, чтобы круглосуточно ФСБ могло бы слушать, что говорят люди в квартирах. Там говорится о метаданных, и юристы, которые комментируют ситуацию, это подтверждают. Речь о том, когда человек регистрировал колонку, на какие контактные данные, как он платил, с какой банковской карты. Если он меняет данные внутри своего аккаунта, то на какие данные? К этому ФСБ хочет получить круглосуточный доступ. Но это поэтапная система. Никто не мог представить, что будет действовать "закон Яровой", по которому всё, что "Яндекс" отправляет от вас на свой сервер, в том числе голосовые сообщения, письма, поисковые запросы – всё должно храниться до полугода, а метаданные, то есть скрытые характеристики этих сообщений, должны храниться до года. По этому закону у ФСБ есть доступ к важной информации, не круглосуточный, а по запросу. Таких запросов правоохранительные российские органы отправляют в год в "Яндекс" больше 60 тысяч. И этот показатель постоянно растёт, если верить самому "Яндексу".
– Штрафовать компании можно до бесконечности. Google – самый яркий, пожалуй, пример. Предполагаете ли вы, что в какой-то момент "Яндекс" проявит сговорчивость?
– Тут дело не в сговорчивости. Понятно, что можно сделать предложение компании, от которого она не сможет отказаться. Дело в том, что власти приходится лавировать, так как у "Яндекса" есть конкуренты, достаточно мощные. Google, например, другие "умные колонки". Их можно настроить в России – сложно, но можно.
Власти приходится лавировать
И если власть покажет, что "Яндекс" больше не надёжная компания для пользователей, что "Яндекс" делится всеми данными, аудитория этого сервиса перейдёт туда, куда Кремль не сможет дотянуться, в западные компании. Люди будут пользоваться VPN-сервисами, пытаться обходить блокировки. Сейчас те, кто пытается получить доступ к независимым источникам, пользуются VPN, но миллионы людей в России ещё не пользуются. Если они перестанут доверять "Яндексу" и начнут пользоваться сервисами, заблокированными в России, тогда будут осваивать VPN и получать доступ к большему объёму информации, которую Кремль считает нежелательной.
Власти отдельных регионов начали инициативу по активному трансферу школьных и родительских чатов в национальный мессенджер Max, в том числе в Москве. Подробнее – в нашем сюжете.
Что известно о Max, его технических составляющих, что вызывает беспокойство в сравнении с Telegram, WhatsApp, Viber, которые тоже запрашивали, например, доступ к фото?
Отвечает Михаил Климарёв:
– Были исследования, проверяли его код. Но он закрытый, и чтобы разобраться, нужна соответствующая команда разработчиков – это долго и дорого. Современные операционные системы, как iOS на телефонах Apple или операционная система Android (не подделки, которые делают в России) – мы не знаем, что у них происходит.
Переписка в Max будет доступна силовикам
Но современные операционные системы запрещают использование какого-то оборудования без разрешения пользователя: пока вы не нажмёте кнопку "окей", камера не включится. С Max наверняка должно быть так же. И он не сможет (просто технически) делать скриншоты каждые 5 минут, включать микрофоны или камеру по своему усмотрению. Но вся переписка в Max будет доступна силовикам.
Второе. Вы даёте ему вашу контактную книжку целиком: адреса, телефоны и так далее. Это можно будет сохранить и использовать против вас. Ещё более опасная вещь – мониторинг геопозиционирования, можно с точностью до десятков метров определить ваше местоположение. Этого достаточно, чтобы человек, у которого есть чувство самосохранения, этот мессенджер не ставил.
Одним из потенциальных преимуществ Max называют его рабочее состояние во время отключения интернета. Как это вообще технически возможно? Допустим, атака беспилотников, власти вырубают мобильный интернет в таком-то регионе.
Отвечает Андрей Сошников:
– Когда власти отключают интернет, то могут с помощью технологии DPI, технологии глубокого анализа пакетов трафика, понимать, какой трафик блокируют. Они таким образом замедляют YouTube, блокируют звонки через Telegram и WhatsApp. Мы пока не тестировали это, но, возможно, власти, блокируя определённый трафик, смогут из общего объёма выделять трафик Max и позволять ему работать, отключая остальное. То есть создаётся некий "белый список" того, что можно передавать от устройства к устройству, от сервера к серверу, остальное заблокировано. Так работает интернет в Иране или в Северной Корее: есть то, что разрешено, а остальное нельзя. Max будет разрешён, а остальные способы коммуникации будут запрещены. Скорее всего, властям нужно будет из-под палки заставлять людей регистрироваться в Max.
Так работает интернет в Иране или в Северной Корее
– Не вижу, ради чего люди должны его устанавливать. Потому что их заставляют это делать на работе? И почему они должны будут пользоваться им в повседневной жизни?
– Когда появился Telegram, было понятно: каждый мог создать канал в два клика и делиться контентом с любым количеством друзей и неограниченной аудиторией: рецепты, политические инсайды, журналистские расследования, никакой премодерации. В Max пока нельзя создавать каналы. Вот такой мессенджер. Если будут ограничения интернета, может, тогда люди захотят им пользоваться, чтобы созваниваться с близкими. Это ситуация, когда не остаётся выбора, как его не остаётся у сотрудников бюджетных сфер и у школьников со студентами. С них начали, потому что это лёгкий стартовый рост по скачиванию, по большому количеству, приток аудитории. Потому что если они это освоят, то научат родственников пользоваться. Так, собственно, люди и Telegram осваивали, и другие интернет-сервисы. Сначала молодёжь, потом более старшее поколение.
