Закон Яровой и публичный Wi-Fi

Что такое закон Яровой?

«Пакет Яровой» состоит из двух законопроектов:

  • № 1039101-6 «О внесении изменений в Уголовный кодекс Российской Федерации и Уголовно-процессуальный кодекс Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности» (№ 375-ФЗ от 6 июля 2016 г.)
  • № 1039149-6 «О внесении изменений в отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности» (№ 374-ФЗ от 6 июля 2016 г.)

Первый законопроект дополнил уголовный кодекс России тремя новыми составами преступления — несообщение о преступлении террористического характера, содействие экстремистской деятельности и совершение акта международного терроризма.

Второй законопроект обязывает операторов связи хранить звонки и SMS абонентов – 6 месяцев, а информацию о фактах приема, передачи, доставки и обработки сообщений и звонков — 3 года. Информация должна храниться исключительно на территории России.

Кого касается закон Яровой?

Согласно Статье 10.1. Федерального закона от 27.07.2006 N 149-ФЗ (ред. от 29.07.2017) «Об информации, информационных технологиях и о защите информации» Организатор распространения информации в сети «Интернет» обязан хранить на территории Российской Федерации:

1) информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков, видео- или иных электронных сообщений пользователей сети «Интернет» и информацию об этих пользователях в течение одного года с момента окончания осуществления таких действий;

2) текстовые сообщения пользователей сети «Интернет», голосовую информацию, изображения, звуки, видео-, иные электронные сообщения пользователей сети «Интернет» до шести месяцев с момента окончания их приема, передачи, доставки и (или) обработки. Порядок, сроки и объем хранения указанной в настоящем подпункте информации устанавливаются Правительством Российской Федерации (вступает в силу с 1 июля 2018 года (Федеральный закон от 06.07.2016 N 374-ФЗ).

Касается ли закон Яровой собственников заведений с Wi-Fi?

Клиенты часто задают нам вопрос: должны ли они хранить список сессий пользователей Wi-Fi (NetFlow, SFlow и другие способы сбора информации). Ведь все эти соединения будут с одного (PAT) или нескольких (NAT) IP-адресов провайдера. В случае поиска пользователя органами охраны правопорядка провайдер укажет на вас, а вы, даже если вы используете сервис идентификации по номеру телефона, не сможете указать на конкретного пользователя, а только предоставить номера телефонов всех, кто пользовался вашим Wi-Fi в нужный день. Дальше по логике исполнительные органы власти сами должны отыскать нужного пользователя из этой кучи телефонов.

Что ответил Роскомнадзор?

А если они не найдут, могут ли они наказать вас, как Организатора распространения информации в сети «Интернет»? Мы написали письмо в Роскомнадзор с просьбой разъяснить, должны ли собственники заведений с Wi-Fi хранить всю историю сессий пользователей. Ответ из Роскомнадзора:

“…третье лицо, которому оператор связи поручил заключать договора от его имени и идентифицировать пользователя, в том числе владелец помещения, в котором оператором связи организован  пункт коллективного доступа  и предоставляются  телематические услуги связи, в том числе по технологии широкополосного доступа WiFi, не является организатором распространения информации в сети «Интернет»…”

Это значит, что по закону собственники заведений, которые предоставляют Wi-Fi для гостей, не обязаны хранить данные о сессиях пользователей. Если вы сомневаетесь или вам рассказывают обратное, напишите электронное обращение на сайте Роскомнадзора. Это бесплатно и может сделать любой гражданин, при этом вам пришлют официальное письмо, которым вы потом сможете защититься.

Полная версия письма из Роскомнадзора:

Что делать при запросе от правоохранительных органов?

К сожалению в письме от Роскомнадзора много воды и обтекаемых фраз. В итоге не понятно, что делать если в заведении был злоумышленник и пользовался публичным Wi-Fi для противозаконных действий? Можно ли доказать невиновность собственника заведения, если он выполнил закон об идентификации, но не собирал данные о сессиях пользователей?

Как ответить на запрос от правоохранителей: «Кто осуществлял атаку методом подбора пароля по протоколу RDP на IP A.B.C.D 23 июля 2018 года в период 15:35-17:25 по московскому времени с вашего IP-адреса E.F.G.H»?

Чтобы ответить на такой запрос, надо хранить данные о трафике и сессиях пользователей NetFlow. Если есть архив с данными пользователей, то ответ на запрос правоохранителей будет по такому маршруту:

=>
netflow
(int-ip, int-port, ext-ip(A.B.C.D), ext-port, timestamp(15:35-17:25))
=>
radius acct
(int-ip, client-mac, timestamp)
=>
web auth
(client-mac, tel (или иной идентификатор),timestamp).

Чтобы ответить на запрос, в вашей инфраструктуре должны быть настроены 3 вещи:
– webauth;
– radius acct;
– NetFlow.

Web authentication + radius accounting настраивается на оборудовании. Со своей стороны мы бесплатно настраиваем ваше оборудование и предоставляем платный сервис хранения данных NetFlow. Это можно сделать например на Mikrotik, pfSense, Cisco и т.д. Оборудование SOHO класса, как правило, не поддерживает NetFlow или radius accounting.

NetFlow настраивается на вашем оборудовании, данные хранятся у нас. Стоимость хранения данных для 1 места (объекта) – 500 рублей в месяц.

Оборудование может быть разным, например, Cisco WLC (webauth, radius accounting) + Cisco ASA (netflow) или все сделать на Mikrotik. Все индивидуально. Схему подключения для вашей инфраструктуры уточняйте у специалистов нашей техподдержки по телефону или в чате.

Итог

  1. Собственник заведения не должен по закону хранить данные о сессиях пользователей.
  2. Неизвестно, понесет ли ответственность собственник заведения, если не сможет предоставить данные по запросу правоохраниельных органов.
  3. Для собственного успокоения и страховки перед законом можно хранить данные NetFlow. Стоимость сервиса 500 рублей в месяц за 1 заведение.