Яндекс отказалась предоставить ФСБ ключи шифрования
Подобный отказ в свое время привел к блокировке Telegram. ФСБ запросила ключи от Яндекс.Диска и Яндекс.Почты, но они могут дать доступ к паролям всей экосистемы Яндекс. Компания отказалась их предоставить.
Требование было направлено в Яндекс несколько месяцев назад. Несмотря на то, что по закону на это отводится не более 10 дней, компания так и не сделала этого до сих пор.
Так как Яндекс.Диск и Яндекс.Почта являются интернет площадками, на которых пользователи могут обмениваться сообщениями, они находятся в ОРИ. А значит обязаны подчиняться так называемому закону Яровой. В нем говорится о том, что ФСБ может потребовать передать любую информацию, необходимую для декодирования как получаемых, так и передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей интернета.
ФСБ отказалась от комментариев и не объяснила, с чем связано такое внимание.
Представитель Яндекс заявил, что компания действует в рамках действующего законодательства, но отказался подтверждать, что в ответ на требование ключи не были переданы.
Как сообщает источник, Яндекс считает, что ФСБ слишком широко трактует данную норму закона. Получив сессионные ключи, служба получит доступ не только к сообщениям почты. Это позволит ей анализировать весь трафик от пользователей к находящимся в реестре ОРИ сервисам Яндекса. К тому же это плохо скажется на безопасности.
Что именно требует ФСБ?
Сессионные ключи. Они используются только для одной сессии соединения между пользователем и сервером. В случае с Яндекс.Почтой он вырабатывается только когда человек заходит на mail.yandex. Срок окончания его действия зависит от настроек: это может быть момент, когда пользователь закрыл вкладку с почтой, или браузер, или вообще выключил устройство. Этим ключом шифруются не только сообщения пользователя, но и все метаданные. Сама идея состоит в его несохраняемости, а требование заключается в том, чтобы его хранить.
Алексей Лукацкий заметил, что Яндекс использует систему Single Sign-On. Это значит, что повторная аутентификация на других сервисах компании не нужна, когда он уже вошел в почту. Если при переходах ключи шифрования не меняются, то это может вылиться в открытие данных в этих сервисах.
Леонид Евдокимов также отметил, что на том же Яндекс.Диск таким образом можно проанализировать поведение пользователя, посмотрев, какие файлы он скачивал.
Так как отказ предоставить ключи – это нарушение законодательства, ФСБ должна будет составить протокол об административном правонарушении. В случае решения суда в пользу ФСБ, Яндекс получит штраф в размере до 1 млн руб. Если и это не подействует, в дело вступит Роскомнадзор. В теории он может потребовать блокировки сервиса на территории России. В законе прямо не указаны полномочия Роскомнадзора и ФСБ в данной ситуации.
В этой статье я поделюсь практическими наработками из опыта своей компании по организации эффективной коммуникации при создании ПО на заказ.
Источник: rbc.ru