Почему мы снова говорим о SORM?
В конце мая газета “Коммерсант” опубликовала статью о “расширении списка данных, которые операторы телекоммуникаций обязаны собирать и передавать правоохранительным органам” через SORM.
Система оперативно-разыскных мероприятий (Система оперативно-разыскных мероприятий). Это комплекс аппаратных и программных средств, который дает Федеральной службе безопасности (ФСБ) доступ к телефонным звонкам, СМС-сообщениям, интернет-трафику и другим данным. Физически это представляет собой сервер с выделенной линией связи, которая подключается непосредственно к оборудованию ФСБ. Чтобы предотвратить возможность “подсоединения” к этой линии и перехвата передаваемых данных, соединение может быть защищено специальным VPN.

Журналисты и консультировавшиеся эксперты пришли к этому выводу после анализа недавно опубликованного приказа Министерства цифрового развития.
История разошлась через новостные СМИ (включая “Медузу”). Однако оказалось, что это “расширение” не добавит ФСБ ничего нового о российских абонентах телекоммуникации.
Расширение, которое добавляет ничего? Как это возможно?
За последние несколько дней мы внимательнее изучили документы Министерства цифрового развития и выяснили, что операторы связи уже передают все данные, на которые обратили внимание журналисты, в ФСБ:
паспортные данные и адресатыиндивидуальные номера налогоплательщиков (ИНН)банковские реквизитыIP-адресаимена доменовлогин-именагеолокацииорганизационные данные
Все это можно найти в другом действующем приказе министерства, от 29 октября 2018 года, № 573.

Почему теперь нужен новый правительственный приказ?
Новое правило идет дальше обычных телекоммуникационных перевозчиков. Оно касается любого оператора собственной коммуникационной сети, удерживающего свой собственный блок IP-адресов, известный в сетевой среде как автономный номер системы.
Автономный номер системы (ASN) описывается в приказе как “уникальный идентификатор набора коммуникативных средств и других технических устройств” в интернете. Региональный интернет-реестр назначает ASN конкретной сети организации, что означает, что одна организация может иметь несколько автономных номеров системы. ASN используются для маршрутизации интернет-трафика между различными сетями: с использованием своего ASN, организация объявляет свои диапазоны IP-адресов другим участникам и указывает, через какую сеть эти адреса могут быть доступны.

Кроме телекоммуникационных операторов, в эту категорию могут входить:
крупные ИТ-компании (включая социальные сети, мессенджеры и стриминговые сервисы)поставщики хостинга и центры обработки данныхкрупные корпорации (как Газпром)банкиисследовательские институты и университеты

Закон о “суверенном интернете” России 2019 года первоначально подчинил этих операторов ФСБ. Поправки, принятые в 2023 году, повысили планку, требуя от компаний хранить записи о взаимодействиях пользователей с их системами в течение трех лет.

Значит ли это, что каждая отрасль теперь должна будет реализовать свою собственную версию SORM?
Пока нет. Однако кроме телекоммуникационных операторов, следующие организации теперь должны – или в ближайшем будущем будут обязаны – устанавливать собственные технические системы для доступа ФСБ:
организаторы распространения информации (социальные сети, мессенджеры и т. д.)поставщики хостингавладельцы технологических коммуникационных сетей с собственными автономными номерами системгрузоперевозочные компании

Та же компания может одновременно попадать под несколько из этих категорий. Крупная социальная сеть, например, одновременно рассматривается как организатор распространения информации и владелец автономного номера системы. У многих поставщиков хостинга и телекоммуникационных операторов также есть свои диапазоны IP-адресов.

Неясно, потребуется ли таким организациям устанавливать несколько различных систем SORM. Согласно ответу Министерства цифрового развития в ходе обсуждений проектного приказа, окончательное решение будет зависеть от регионального офиса ФСБ, с которым организация должна согласовать свой план реализации SORM.

Антон Нестеров, исследователь цензуры интернета и массового надзора, предположил в комментариях для “Медузы”, что дублирование систем, скорее всего, не произойдет, несмотря на некоторые различия в требованиях к телекоммуникационным операторам, поставщикам хостинга и организаторам распространения информации:
Это можно осуществить с помощью программного модуля, так что они не будут устанавливать отдельный бокс. По соглашению со своим [ФСБ] руководителем, все требования должны просто быть выполнены.

Останется ли всем в конечном итоге требоваться мониторить своих клиентов?
Это остается неясным. Власти могут не довести ситуацию до этого экстремума – особенно учитывая, что поправки к закону о ФСБ прошлого года уже предоставляют агентству право с 1 апреля 2026 года требовать и получать, безвозмездно, копии любых баз данных, принадлежащих организациям. Единственное исключение из этого правила касается баз данных, которые ФСБ уже получает через SORM.

Офисы Федеральной службы безопасности будут иметь право получать безвозмездно копии баз данных (или их частей), принадлежащих организациям и содержащих информацию, необходимую для выполнения возложенных на эти офисы обязанностей. […] Положения данной части не применяются к базам данных, доступ к которым производится с использованием оборудования и программно-технических средств, применяемых для осуществления проводимыми уполномоченными государственными органами — осуществляющими оперативно-розыскную деятельность или обеспечивающими безопасность Российской Федерации, в случаях, предусмотренных федеральными законами — мер, направленных на выполнение возложенных на них задач.