Катастрофа вплоть до коллапса банковской системы
Госдума приняла "антитеррористические поправки", заставившие ужаснуться участников рынка IT и телекоммуникаций
Москва. 24 июня. INTERFAX.RU - "Катастрофа", "коллапс", "крах" - такие вердикты отрасли связи звучат от ее крупнейших игроков на фоне принятых в пятницу в третьем, окончательном чтении поправок в законодательство из так называемого "антитеррористического пакета".
Набор инициатив депутатов Ирины Яровой и Виктора Озерова в основном затрагивает гражданские права, однако касается и интересов телеком- и интернет-бизнеса, который после публикации законопроекта общими силами забил тревогу.
После принятия поправок игроки рынка предрекают не только рост цен на услуги связи, но даже "коллапс банковской системы". Даже если предположить, что отраслевые лоббисты по привычке преувеличивают последствия и разделить их опасения на десять, картина все равно получается довольно мрачной.
Несите ваши денежки, иначе быть беде
Поправки, принятые в окончательном варианте, требуют хранить содержание текстовых сообщений, голосовую информацию, изображения, звуки и видео в срок до полугода. Точные сроки и порядок хранения при этом будет определять правительство. Кроме того, операторы должны будут в течение трех лет хранить так называемые метаданные - факты приема, передачи, доставки сообщений и звонков. Для интернет-компаний этот срок сокращен до одного года. Содержание коммуникации и метаданные компании обязаны предоставлять силовым структурам "для выполнения возложенных на эти органы задач в случаях, установленных федеральными законами".
Поправки о метаданных вступают в силу уже с 20 июля этого года, о содержании звонков и переписки - с 1 июля 2018 года.
"Хранение содержания потребует затрат в размере нескольких триллионов рублей. Хранение информации о фактах - меньше, но это также значимые расходы, исчисляемые миллиардами рублей. Сейчас возможность хранения информации о фактах полноценно может работать только для голосовых вызовов и текстовых сообщений, хранение информации о фактах интернет сессий потребует значимых затрат от операторов связи и имеет массу проблем в части технической реализуемости", - сказал "Интерфаксу" представитель "Мегафона".
Если операторы понесут затраты такого уровня, они не смогут развивать сети для абонентов: строить базовые станции, расширять сети фиксированной связи, что, с учетом высоких темпов роста трафика, может привести к деградации качества голосовой связи, перебоях в доставке sms или невозможности выйти в интернет, добавил представитель МТС Дмитрий Солодовников.
Весь "антитеррористический пакет" и поправки в законы "О связи" и "Об информации, информационных технологиях и о защите информации" в частности, был внесен в Думу 7 апреля. Изначально предлагалось обязать мобильных операторов и интернет-компании хранить контент в течение трех лет. Повергнутая в шок отрасль принялась подсчитывать расходы. Выводы оказались, во-первых, неутешительными, а во-вторых, трудно поддавались анализу.
Например, "Вымпелком" в апреле оценивал трехлетние затраты на реализацию инициативы в 2,2 трлн рублей - это почти в восемь раз больше выручки компании за 2015 год. В такую сумму оператор оценил хранение 705,8 млрд минут голосовых вызовов, 39 млрд текстовых сообщений и 8 млн 606 тыс. 783 Тбайт данных.
"Мегафон" оценивал свои затраты в 1,4 трлн рублей (4,5 годовых выручек). Рабочая группа "Связь и информационные технологии" экспертного совета при правительстве сообщала в своем отчете, что суммарные затраты операторов и интернет-компаний на реализацию законопроекта составят 5,2 трлн рублей или треть доходов госбюджета за 2015 год.
Таковы были первые тревожные звоночки рынка, за которыми последовала реакция чиновников - прошли встречи с сенатором Людмилой Боковой, а затем и с вице-премьером Аркадием Дворковичем, курирующим в правительстве отрасль связи.
Но и сокращение сроков хранения существенно не повлияет на снижение расходов операторов. "Основная часть затрат связана с созданием системы сбора информации и первоначальными расходами на систему хранения. Сокращение срока влияет лишь на снижение последующих расходов на систему", - говорил ранее представитель "Вымпелкома".
Построй то, не знаю что
После встречи с Дворковичем на прошлой неделе операторы направили ему расчеты затрат на хранение контента в течение суток, трех дней и одного месяца. Для "большой тройки" первоначальные затраты только на хранение данных составят 156,7 млрд рублей. "Ростелекому" эксплуатация, хранение информации и дооборудование сети обойдутся в 949 млрд рублей в год.
Примечательно, что в материалах, направленных вице-премьеру, говорится об отсутствии технической возможности хранения содержания коммуникации. Выходит, что любые оценки, безотносительно их объективности, не учитывают всех возможных расходов бизнеса.
Во-первых, на рынке отсутствуют центры обработки данных необходимой производительности, кроме того, нет инфраструктуры для связи систем с органами, осуществляющими оперативно-разыскную деятельность. Последний факт не позволяет определить место расположения и количество ЦОДов хранения, а также порядок доступа и структуру хранения данных, говорится в материалах рабочей группы "Связь и информационные технологии". "Мегафон" оценивает сумму расходов на создание data-центров более чем в 230 млрд рублей.
Во-вторых, на рынке нет целого ряда решений для реализации инициативы, отмечают эксперты. Это и программно-аппаратное обеспечение, необходимое для идентификации голосового трафика, и средства для анализа данных. Поскольку большие массивы данных сейчас передаются в зашифрованном виде (например, переписка в мессенджерах), различать трафик по типу сообщений (голос, звук, изображение и т.д.) невозможно.
Вице-президент, технический директор Mail.ru Group Владимир Габриелян в ходе совещания в Совфеде отмечал, что компания в настоящее время не использует стандартное ПО или устройства, которые применяют операторы связи. Соответственно, для исполнения требований нового законопроекта программно-аппаратные комплексы компании придется дорабатывать самостоятельно, поскольку купить готовые решения невозможно.
"Сроки на реализацию программной части закона - это годы, нынешнее ПО разрабатывалось 17-18 лет. ЦОДов в таком объеме также не существует, это годы капитального строительства. Кроме того, вся информация, что находится на серверах организаторов распространения информации, попадает по каналам оператора связи, это значит, что данные по сути удвоятся", - говорил он.
Не расшифруете - отключим SWIFT
Одна из поправок в "антитеррористическом" пакете обязывает организаторов распространения информации (ОРИ) в интернете декодировать сообщения пользователей. Суть поправки заключается в том, что по требованию ФСБ компании должны будут предоставлять "ключи" к зашифрованному трафику. За отказ юрлицам полагается штраф от 800 тыс. рублей до 1 млн рублей. Кроме того, документ обязывает компании использовать только сертифицированные в России средства кодирования и шифрования трафика.
Если первое требование в основном распространяется на мессенджеры типа Telegram и WhatsApp и интернет-бизнес ("Яндекс", Mail.ru и др.), то второе отразится на всех компаниях, предоставляющих услуги через интернет, например, на платежных системах, говорит куратор рабочей группы "Связь и информационные технологии" Ирина Левова. По ее словам, большинство финсервисов используют не сертифицированные в России протоколы и системы шифрования.
Круг организаций, которые попадают под действие инициативы, не ограничивается вышеперечисленными. Так, если поправки вступят в силу в нынешнем виде, они напрямую отразятся на интернет-банкинге, сервисах заказов билетов и отелей и на государственных системах оказания услуг, например, на сайте госуслуг. Все эти системы используют защищенный протокол HTTPS, так как осуществляют сбор конфиденциальных данных. Этот протокол HTTPS не позволяет хранить ключи шифрования и встраивать российскую сертифицированную криптографию. Даже получив доступ к закрытому "ключу" сервера, невозможно восстановить сессионные ключи, которые использовались для шифрования пересылаемого контента.
Кроме того, широко используемая в банковских системах обмена транзакциями система SWIFT также не использует российскую криптографию. "В случае принятия этого закона общение российских банков, включая ЦБ, с зарубежными банками будет юридически запрещено, что приведет к коллапсу банковской системы страны", - говорится в заключении на законопроект рабочей группы экспертного совета при правительстве. Банки пока не комментировали свои риски от введения этой нормы, однако если выяснится, что они действительно есть, не заставят себя долго ждать: когда западные страны обсуждали отключение России от SWIFT в качестве возможной санкционной меры, глава ВТБ Андрей Костин сравнивал эффект от такого шага с полным разрывом дипломатических отношений.
Российская ассоциация электронных коммуникаций (РАЭК) в свою очередь отмечала, что в большинстве стандартов шифрования не предусмотрено хранение пользовательских "ключей", соответственно, без изменения алгоритма невозможно декодирование сообщений. Если же попробовать изменить алгоритм, то могут возникнуть угрозы кибербезопасности для бизнеса, граждан, государства, так как создание таких средств доступа - "это фактически встраивание заведомой уязвимости в систему". Как считают в РАЭК, это приведет к возможности взлома со стороны иностранных спецслужб, что противоречит риторике авторов законопроекта о безопасности киберсистем в РФ.
Кроме того, даже будучи реализованным на новых, еще не разработанных информационных технологиях, это требование означает передачу всех паролей и средств доступа граждан к своим финансовым и иным личным данным в ФСБ, что нарушает конституцию РФ, говорится в заключение рабочей группы.
В настоящее время около половины передаваемого по сетям операторов трафика является шифрованным. Ожидается, что через три года его доля составит не менее 90%.
Qiwi и "Яндекс.Деньги" считают, что принятая поправка не имеет прямого отношения к обмену финансовой информацией и платежным сообщениям.
"Адресаты электронных сообщений в платежных системах всегда определены, поэтому мы не рассматриваем платежные системы как организаторов распространения информации. Вся информация в платежных системах кодируется в целях поддержания необходимого уровня безопасности и не предназначена для использования вне системы. Кроме того, обработка и передача финансовой информации регулируется специальным законодательством в форме соответствующих федеральных законов, положений и указаний Банка России", - сказал "Интерфаксу" директор группы Qiwi по корпоративным отношениям Константин Кольцов.
Тихо сам с собою я веду беседу
Внося поправки в законопроект ко второму и третьему чтению, Яровая сказала журналистам, что в ходе подготовки документа проводились встречи с операторами связи и экспертами.
"Мы считаем такой подход компромиссным, обеспечивающим решение вопросов правоохранительного свойства и учитывающим интересы провайдеров и операторов связи", - заявила она.
"Ирина Яровая не приглашала нас к обсуждению данного законопроекта, но мы писали письмо на ее имя, где указали все риски. Судя по тексту принятого закона, она наше письмо полностью проигнорировала", - сказал "Интерфаксу" представитель "Вымпелкома".
Представитель Mail.ru Group в свою очередь также сказал, что комментарии отрасли при принятии закона учтены не были. "В настоящее время нет окончательного понимания, как закон будет применяться на практике. Мы под практическим углом еще раз изучим финальную версию законопроекта, принятую сегодня Госдумой, и, полагаем, что предстоит тесное взаимодействие с исполнительными органами при выработке подходов к порядку его реализации", - отметили в пресс-службе интернет-компании.
В "Яндексе" сообщили, что к моменту принятия законопроекта не видели его новый текст с поправками, на сайте Госдумы к этому времени он не вывешивался.
"К сожалению, в процессе подготовки законопроекта к слушаниям в Госдуме полноценный двусторонний диалог между интернет-индустрией и законодателями не состоялся - доводы и предложения компаний, отраслевых и общественных организаций не были услышаны и приняты во внимание", - сказал "Интерфаксу" советник президента РФ по интернету, председатель совета Института развития интернета (ИРИ) Герман Клименко.
Аналитик "Открытие Капитала" Александр Венгранович уверен, что операторам еще предстоят переговоры с властями по поводу закона, в ходе которых удастся добиться лучших условий его исполнения. Аналитик "ВТБ Капитала" Иван Ким в своем обзоре и вовсе не исключил, что закон, учитывая отраслевое лобби, может быть отменен.
Непатриотичная инициатива
Масштабные инвестиции в ЦОДы и умощнение сетей могут не просто "подрубить экономику операторов, но и свести ее в большой ноль", сказал представитель "Вымпелкома".
"Очевидно, что принятие законопроекта может привести к замедлению темпов развития сети и к значительному повышению тарифов на услуги связи", - отметил он. О потенциальном "драматическом росте цен" на связь говорил в апреле и глава Минкомсвязи Николай Никифоров. В пятницу пресс-служба министерства отказалась комментировать принятые поправки.
Однако если клиентам операторов связи придется смириться и с ростом цен, и с угрозой защиты персональных данных в отсутствие альтернативы, то пользователи интернет-компаний смогут обратиться к услугам зарубежных конкурентов, которые не будут обязаны хранить пользовательский контент, говорил ранее Габриелян из Mail.ru.
"В текущем варианте законопроекта равных условий или не будет, или их форсирование заставит кого-то из игроков уйти из России, что негативно повлияет на отрасль", - также предостерегал "Яндекс".
Кроме того эксперты полагают, что исполнение технических требований инициативы профинансирует зарубежных производителей оборудования. Инициатива в целом ударит по мелким игрокам рынка, например, ШПД-операторам, отмечает Ким из "ВТБ Капитала".
Там, где нас нет
Инициатива Яровой и Озерова, по словам участников рынка, не имеет прецедентов в мире.
В настоящее время в ЕС действует директива о хранении данных, позволяющих определить тип коммуникации, место и время совершения и персональные данные ее участников с целью расследования преступлений. Документ напрямую указывает, что его положения не применяются к содержанию электронной коммуникации.
"Важно отметить, что с момента принятия директивы в 2006 году до настоящего времени ее положения постоянно оспариваются. При этом в Австрии, Бельгии, Германии, Греции, Швеции, Румынии ее нормы признаны неконституционными", - отмечается в докладе рабочей группы "Связь и информационные технологии".