У Росії почали діяти основні положення “антитерористичного пакету” Ірини Ярової. Тепер спецслужби можуть отримати доступ до будь-яких даних в Мережі. Що робити користувачам?
У середу, 20 липня, вступили в силу основні положення скандального “пакета Яровий”, що зобов’язує телефонних операторів і інтернет-компанії протягом трьох років і одного року відповідно зберігати відомості про телефонні переговори, обміні текстовими повідомленнями абонентів і передачі даних в Мережі. Крім того, інтернет-компанії, що підтримують шифрування даних, тепер повинні на вимогу спецслужб надавати коди від шифрів для доступу до будь-яких даних в інтернеті. Сам зміст телефонних розмов і смс-листування, а також контент в інтернеті компанії зобов’язані зберігати, починаючи з 1 липня 2018 року.
Вступ в силу цих поправок означає, що спецслужби фактично зможуть отримати доступ до будь-якої інформації, яку людина передає мобільним зв’язком або в Мережі – через месенджери, соцмережі, електронну пошту або на інтернет-сайтах. “Cобіраться будуть абсолютно всі дані, що передаються через канали зв’язку, – пояснює заступник директора лабораторії комп’ютерної криміналістики компанії Group-IB Сергій Нікітін. – Тобто це домашній інтернет, домашній телефон, мобільний інтернет і мобільний телефон, а також 3G і 4G модеми”. Однак є кілька способів, які можуть допомогти російським користувачам захистити свої персональні дані, говорять опитані DW експерти. Ось що вони радять.
Користуватися сервісами з серверами за кордоном …
Андрій Солдатов
З 1 вересня 2015 року всі працюючі в Росії інтернет-компанії зобов’язані зберігати та обробляти особисту інформацію користувачів на серверах, що знаходяться на території країни. Однак деякі іноземні сервіси поки не локалізували обробку даних. Компанії, які не стали переносити свої сервера на територію Росії, не підпадають під дію положень “пакета Яровий”, а значить їх не можна зобов’язати розшифровувати дані користувачів, каже головний редактор ресурсу Agentura.ru Андрій Солдатов. “Тому в першу чергу потрібно звертати увагу на те, де розташовані сервери, на яких зберігається ваша інформація”, – пояснив експерт.
З популярних месенджерів обробку персональних даних в Росію переніс Viber. Серед тих, хто цього поки не зробив, наприклад Telegram і Signal. Останній не дуже популярний, проте його головна перевага в тому, що його сервери далеко від Росії, підкреслює Солдатов. Щодо надійними, додає він, можна також вважати Twitter, Facebook і поштовий сервіс Google (Gmail), поки компанії не перенесли свої сервери в Росію. Те ж правило діє і відносно інтернет-магазинів і служб квитків та готелів.
… І додатковим шифруванням end-to-end
Деякі сервіси використовують протокол end-to-end для додаткового шифрування даних, яке відбувається не на сервері провайдера, а між двома конкретними користувачами. Ключів від таких шифрів не знають навіть компанії, які надають сервіс, пояснює Солдатов, додаючи, що в нових антитерористичних поправках можливість такого шифрування даних не врахована.
Купити віртуальну приватну мережу VPN
При користуванні VPN між користувачем і сервером з’являється тунель, по якому весь трафік передається в зашифрованому вигляді, розповідає Сергій Нікітін з Group-IB: “Тобто всередині тунелю інформація буде передаватися відкрито, але для провайдера вона буде зашифрована”.
Якщо налаштувати VPN на домашньому роутере, весь трафік автоматично піде через цю мережу, говорить Нікітін. Доступ до неї можна підключити і на смартфоні. Ціна VPN залежить від обсягу трафіку, який можна пропускати через мережу, зазначає Нікітін: якщо трафік не обмежений, це, як правило, дуже дорого, якщо є ліміт – близько 20-30 євро в рік.
Тут варто зробити важливе застереження: як і у випадку з будь-яким іншим інтернет-сервісом, сервери провайдера VPN повинні знаходитися за межами Росії. Один з недоліків таких мереж, відзначає Нікітін, – зниження швидкості роботи інтернету в порівнянні з незахищеним з’єднанням.
Відмовитися від ідентифікації через мобільний телефон
Ризик, що ваші особисті дані потраплять до третіх осіб, вище, якщо ви користуєтеся мобільним телефоном для контролю доступу до своїх акаунтів в інтернеті. Ця система працює таким чином, що при вході на сторінки користувача в Мережі з чужого комп’ютера на його мобільний телефон приходить повідомлення, що дозволяє користувачеві помітити, якщо на його аккаунт намагається зайти сторонній.
Останнім часом ефективність цієї практики в Росії викликала великі сумніви, говорить Андрій Солдатов. За його словами, були випадки, коли мобільні оператори видавали користувачеві нову сім-карту замість нібито втраченої, не перевіряючи при цьому належним чином особистість абонента. “Тобто людина може прийти в офіс мобільного компанії, сказати, що втратив сім-карту, і отримати доступ до вашого профілю, – пояснив він. – Тобто в Росії користуватися варіантом двухфакторной ідентифікації через мобільний зв’язок не варто”.
Змінити сервіс голосової телефонії
Не всі сервіси однаково надійні. Так, фахівці в сфері захисту даних давно стурбовані безпекою спілкування через Skype, який в 2011 році купила американська корпорація Microsoft, розповідає Солдатов. За його словами, Microsoft “має давню традицію співпраці з російськими правоохоронними органами, яке почалося ще в 90-і роки”, коли компанія зіткнулася з підробкою свого софта в Росії.
В якості альтернативи Skype Солдатов радить користуватися програмою Google Hangout. Традиційну телефонний зв’язок, за словами експерта, також можуть замінити надійні месенджери. По-іншому убезпечити свої комунікації по мобільному неможливо.