Как выяснила «Медуза», Федеральная служба безопасности летом 2019 года направила десятку российских интернет-сервисов, среди которых «Авито», «Хабр» и Rutube, письма с требованием передать спецслужбе ключи для дешифровки переписки пользователей, а также организовать «круглосуточный доступ к своей информационной системе». В феврале 2020-го «Хабр» перенес регистрацию юридического лица из России на Кипр.
В августе 2019 года десяток российских интернет-компаний, которые находятся в реестре организаторов распространения информации Роскомнадзора, получили письма из Центра оперативно-технических мероприятий ФСБ, рассказал «Медузе» источник на интернет-рынке.
Копия одного из писем есть в распоряжении «Медузы». В нем говорится, что получившая его компания обязана «организовать круглосуточный удаленный доступ Центра [ФСБ] к информационной системе организации», а также «обеспечить в возможно короткий срок техническую готовность к предоставлению в Центр информации, необходимой для декодирования электронных сообщений пользователей интернет-сервисов», то есть передачу ключей для расшифровки трафика.
Источник The Bell в компании, входящей в реестр, говорит, что взаимодействие интернет-компаний с ФСБ уже идет, как минимум часть интернет-компаний установили необходимое оборудование. «Спецслужбы за наш счет поставили инфраструктуру и уже могут получать существенную часть данных наших сервисов», — говорит он.
В ноябре 2019 года участники реестра ОРИ получили еще одно письмо — с приглашением встретиться на Лубянке для разъяснений тем, кто еще не поставил оборудование, говорит собеседник The Bell.
Он слышал и о том, как два сотрудника ФСБ сами приезжали в офис онлайн-сервиса, после чего тот установил необходимое оборудование. «Ставили те, у кого не было выбора, у кого все оборудование и товарные знаки в России», — говорит он.
Аналогичные требования закон устанавливает к операторам связи, интернет-провайдерам и владельцам дата-центров. На их сетях уже давно установлено оборудование системы СОРМ-2, которое позволяет спецслужбам отслеживать в онлайн-режиме интернет-активность пользователей и читать их переписку.
Летом 2019 году РБК сообщал, что сотрудники ФСБ выставили «Яндексу» более детальное требование — предоставлять сессионные ключи для сервисов «Яндекс.Почта» и «Яндекс.Диск», которые генерируются заново каждый раз, когда пользователь входит в систему. Тогда «Яндекс», по данным РБК, отказался выполнять требование, сочтя его чрезмерным. Чем закончилась эта история, The Bell выяснить не удалось.
Европейский суд по правам человека и так признал Россию страной с нетаргетированной слежкой — но теперь ситуация становится только хуже, говорит Дарбинян из «Роскомсвободы». «Кто и как будет получать информацию о пользователе у сотовых операторов, а теперь — и от участников реестра ОРИ, — одному богу известно. Все это означает полный крах приватности, если вы пользуетесь незашифрованными сервисами. Но, даже если сервисы зашифрованы, но исполняют закон и передают сессионные ключи ФСБ, их пользователи оказываются в аналогичной ситуации», — предупреждает он.