31 июля Дмитрий Медведев подписал ряд указов «в обеспечение пакета антитеррористических законов». 4—5 августа они были опубликованы на официальном портале pravo.gov.ru. Однако СМИ их обнаружили только седьмого числа, прочитали, как водится, по диагонали, и интернет наполнился заголовками типа «Wi-Fi теперь будет только по паспортам!». На этом фоне второе постановление о том, что «организаторов распространения информации» обяжут установить на своих сайтах оборудование для слежки за пользователями, прошло почти незамеченным — с существованием СОРМ все уже свыклись, и дополнительные меры никого удивить не могут.
Между тем выяснилось, что текст постановления № 758 невнимательно читали не только СМИ, но и чиновники.
ИТАР-ТАСС опубликовал опровержение от главы департамента информационных технологий Москвы Артема Ермолаева, заявившего, что постановление касается лишь «пунктов коллективного доступа», установленных в помещениях «Почты России» согласно решению правительства аж от 2005 года. В таком виде постановление выглядит совсем бессмысленным — пунктами доступа «Почты России» никто не пользуется (экспресс-опрос показал, что мои знакомые в большинстве и не подозревают о существовании такой услуги). К вечеру выяснилось, что московский чиновник все-таки ошибся, прочитав лишь первый пункт постановления и не обратив внимания на остальные.
Постановление говорит о том, что с 13 августа «оператор связи осуществляет идентификацию пользователей и используемого ими оконечного оборудования оператора связи», причем касается это любого «коллективного доступа» — то есть и «универсальных услуг связи» («Почты России»), и бесплатных Wi-Fi-сетей на вокзалах, в парках, в метро, кафе и т. д.
Однако в постановлении ничего не сказано о том, каким путем проводится эта самая идентификация, и вокруг этого вопроса и закрутилась дальнейшая интрига. Очевидно, что к 13 августа никто не успеет даже теоретически разработать правила идентификации для всех случаев,
и в лучшем случае это будет сделано к сентябрю, с привлечением экспертов отрасли и специалистов Минкомсвязи.
Пользователи единодушно восстали против нововведения. Социологи Исследовательского центра портала Superjob оперативно провели опрос, согласно которому 58% пользователей заявили, что в случае доступа по паспорту пользоваться бесплатным интернетом они откажутся, и лишь 17% по-прежнему станут использовать публичный доступ в Сеть (25% с ответом пока затрудняются). Вероятно, процент «отказников» в реальности будет меньше, но факт, что популярность еще не доведенной до ума услуги (в московском метро, например, оборудовать все поезда бесплатным Wi-Fi обещают лишь к концу года) существенно снизится. И не потому, что люди не хотят светиться перед органами — скажем, против СОРМ те же самые пользователи протестуют довольно вяло, — а потому, что не хотят предоставлять свои номера паспортов неизвестно кому.
В реальности, однако, именно о паспортах речи не идет. Скорее всего, как намекнуло Минкомсвязи, в бесплатных Wi-Fi-сетях будет применяться идентификация путем посылки СМС с паролем на указанный пользователем номер телефона. Такой способ действительно применяется во многих бесплатных хот-спотах по всему миру. Для примера можно указать аэропорты Шарля де Голля и Хитроу, где, однако, он применяется не для слежки, а для контроля за ограниченной длительностью сессии. Вообще, обязательная паспортизация доступа в интернет существует пока только в законодательстве двух стран — КНР и Белоруссии. Очевидно, мы имеем все шансы стать третьей такой страной — смотря, как это будет реализовано на практике.
А в этой части постановление пока что выглядит бессмысленным. Действительно, требование лично предъявлять паспорт (или иное удостоверение личности) еще может быть реализовано, например, в кафе, но совершенно не подходит в случае метро, вокзалов или парков отдыха.
Значит, будут реализованы какие-то дистанционные способы. И вот здесь и возникают вопросы. Пусть это будет рассылка СМС с паролем — каждому оператору тогда придется иметь у себя базу данных всех пользователей всех операторов России, иначе никакой идентификации не получится: не запрашивать же, в самом деле, власти в каждом случае, как это опрометчиво предложило Минкомсвязи? Кроме того, мобильник необязательно зарегистрирован на того, у кого он находится: у меня, например, он оформлен на жену, так сложилось исторически.
Вот главный вопрос, который, кажется, никто не удосужился задать: а против кого направлены подобные меры?
Если интернет-фильтры (те самые черные списки сайтов) ориентированы на те 99% пользователей, которые не будут искать путей обхода, то в этом случае дело обстоит ровно наоборот: идентификация пользователей направлена против потенциальных злоумышленников. А для них, оказывается, обойти все эти сложности совсем просто: например, что стоит воспользоваться мобильником случайного прохожего («друг, извини, забыл телефон/подсела батарейка, можно твоим телефоном попользоваться на минутку?»). Или попросту краденым? Еще хуже обстоит дело с идентификацией по запросу данных пользователя: кто мне мешает указать любые данные «от фонаря», и каким образом это можно проверить? Не хранить же у каждого оператора полную базу данных всех документов всех граждан России? Но и в случае, если удастся когда-нибудь (скорее всего, в отдаленном будущем), наладить подобную проверку без задержек, при дистанционной идентификации ничего не стоит указать реальные данные любого постороннего человека.
Отметим еще один интересный момент, отраженный в тексте постановления № 758. Он касается «уникального идентификатора оборудования сетей передачи данных» (п. 2), который должен фиксироваться «средствами связи оператора связи». Речь идет о так называемом MAC-адресе, имеющемся у каждой сетевой карты, который предполагается использовать для привязки оборудования к абоненту. В головах не слишком грамотных пользователей (включая, очевидно, и чиновников) прочно засел миф о том, что MAC-адрес есть нечто неизменное, «зашитое» еще на заводе, хотя это давно уже не так. Современные аппаратные средства программируются через флеш-память, которую переписать или подменить ничего не стоит. Более того, функция изменения MAC-адреса сетевой карты вашего ноутбука — это штатная и совершенно легальная функция операционной системы. Есть устройства (например, приставки для интернет-телевидения), где идентификационный адрес изменить довольно сложно, но при нужде и это можно проделать. Так какое именно оборудование собираются идентифицировать чиновники, заставляя операторов хранить по полгода данные всех пользователей, которые хоть раз воспользовались Сетью?
Все эти законодательные нововведения последних лет с технической точки зрения оставляют желать лучшего, но одну функцию выполняют исправно: запугивают
Очевидно, следующим шагом (и столь же бессмысленным) будет обязательство фиксировать идентификационные номера оборудования при продаже. Когда-то в СССР таким образом продавали пишущие машинки — образцы шрифта направлялись в «органы», которые таким образом имели потенциальную возможность установить распространителя вредоносной информации. Вот интересно, хоть раз за все время существования СССР это сработало? А в современных условиях инициативы, подобные «идентификации оконечного оборудования», и вовсе выглядят архаизмом из доиндустриальной эпохи.
Несколько слов по поводу постановления № 743, о том, что общедоступные сайты должны подключить дополнительные средства СОРМ. На него обратили мало внимания, а зря: самим фактом его принятия органы косвенно признали, что обычные средства СОРМ недостаточно эффективны. В самом деле, при анализе трафика приходится иметь в реальном времени дело с гигантскими объемами информации, измеряющимися в терабайтах в секунду. Очевидно, ресурсы, хоть немного приближающиеся к возможностям американского АНБ, у наших органов отсутствуют. Вот они и решили упростить себе задачу, напрямую подключившись к социальным сетям.
Вообще все эти законодательные нововведения последних лет с технической точки зрения оставляют желать лучшего. Поэтому об обществе тотальной слежки пока еще речь далеко не идет, хотя вектор и направлен в эту сторону (и далеко не только в нашей стране, заметим). Но одну функцию эти постановления действительно выполняют исправно: воспитательную, или попросту функцию запугивания. Они опутывают и пользователя, и операторов сонмом постановлений и приказов, которые все одновременно нередко выполнить физически невозможно. В результате над каждым висит дамоклов меч нарушений, которые обязательно найдутся, если поискать, и он начинает чувствовать себя виноватым, даже если реально ничего не нарушал. Когда-то роль подобной угрозы выполняли законы «о клевете на советскую власть», теперь им на замену пришли финансовые нарушения, а для широких масс — вот эти законы и постановления. Излишне говорить, что о каком-либо «инновационном» государстве говорить в такой обстановке не приходится: скорее можно констатировать, что мы полным ходом движемся к государству полицейскому.
