СОРМ3 для корпоративных сетей?
Поскольку после прохождения первого чтения обсуждения начались с новой силой, хочу описать свое мнение о творящемся, поскольку всё это топчется прямо по моей больной мозоли. Очень болезненно наблюдать как интернет в России, к строительству которого я всё-таки был причастен последние пару десятилетий, разрывается на куски.
Безусловно, мнение субъективное и могу быть не прав. Хорошо бы…
Что произошло?
Еще в апреле 2021 года на рассмотрение Государственной думы Правительством был внесен законопроект № 1154099–7 с названием «О внесении изменений в статью 56–2 Федерального закона «О связи» (в части уточнения обязанностей операторов связи)».
При этом законопроект уже в названии, мягко говоря, лукавит, потому что уточняет он обязанности никак не операторов связи. Оператор связи, по определению ФЗ от 07.07.2003 №126-ФЗ «О связи» (ст.2 п.12) — «юридическое лицо или индивидуальный предприниматель, оказывающие услуги связи на основании соответствующей лицензии», т.е. лицензиат. Однако законопроект предлагает дополнить пункт 9 статьи 562 главы 7.1 ФЗ «О связи» следующими подпунктами:
5) хранение на территории Российской Федерации информации о фактах приема, передачи, доставки и (или) обработки голосовой информации, текстовых сообщений, изображений, звуков, видео- или иных сообщений лиц, использующих технологические сети связи, собственники или иные владельцы которых имеют номер автономной системы, для приема и передачи голосовой информации, текстовых сообщений, изображений, звуков, видео- или иных сообщений, — в течение трех лет с момента окончания осуществления таких действий;
6) предоставление уполномоченным государственным органам, осуществляющим оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации, информации, указанной в подпункте 5 настоящего пункта, информации о лицах, использующих технологические сети связи, собственники или иные владельцы которых имеют номер автономной системы, для приема и передачи голосовой информации, текстовых сообщений, изображений, звуков, видео- или иных сообщений, и об оказанных им услугах связи, иной информации, необходимой для выполнения возложенных на указанные органы задач, в случаях, установленных федеральными законами.
Т.е. как мы видим, речь идет не об операторах связи, а о собственниках/владельцах технологических сетей связи, у которых есть номер автономной системы.
Законопроект какое-то время мариновался в системе, но в ноябре 2021 года попал в первое чтение и со свистом его пролетел. Поправки после первого чтения должны были быть представлены до 07.01.2022, но сегодня девятое февраля, а они еще не опубликованы.
В кого целились?
Открытым текстом говорили на заседании (по ссылке выше на закладке «Видеозаписи») — целились в крупных ОРИ.Т. е. Яндекс и иже с ним.
В кого попали?
С такими формулировками попали в любую компанию, имеющую номер автономной системы, например, для подключения к нескольким операторам связи.
Что это означает для нас?
Вдобавок к ТСПУ, которые уже нужно было устанавливать всем «владельцам» номеров автономных систем (в кавычках потому, что владение ASN юридически не существует), новые подпункты по сути требуют установки СОРМ3, поскольку описание требования скопировано дословно из подпункта 1 пункта 1 статьи 64 того же многострадального ФЗ «О связи», который существует уже давно и вводит такую обязанность для операторов связи.
А СОРМ3 — это очень своеобразный конструкт и мало кто из людей, не работавших в операторах связи, понимает все последствия такого изменения.
Прежде всего СОРМ3 — это система, предназначенная для хранения метаинформации о трафике. В отличие от СОРМ2 и его расширения под Яровую, третий СОРМ не хранит сам трафик, а только записи о фактах передачи, субъектах взаимодействия и объеме переданной информации. Поэтому объемы хранения существенно меньше и 5 стоек 42U с жесткими дисками на каждые 10 Gbps трафика устанавливать не придется.
Но при этом СОРМ3, во-первых, наравне с другими СОРМ требует подключения к пульту управления в местном УФСБ (в случае операторов связи УФСБ обычно вообще требует прямой L2 канал или даже темное волокно, но для коммерческих компаний, предполагаю, требования упростят до какого-нибудь варианта инкапсуляции трафика). А во-вторых, и это самое важное, потребуется хранить информацию о пользователях сети, порождающих регистрируемый трафик. Вы должны иметь систему персонализированной аутентификации per person, т.е. по сути — операторский биллинг. Если у вас есть NAT (а у коммерческих компаний, чаще всего, он есть в отличие от операторов связи) — то ваш NAT должен интегрироваться в СОРМ3 и передавать туда информацию о трансляциях.
Причем, при обычном для нашей страны наихудшем варианте развития событий, ваши корпоративные прокси с аутентификацией в AD и какие-нибудь таблички в mysql никого интересовать как источник информации не будут, вам потребуется сертифицированное решение не только для самого СОРМ3, но и для NAT и биллинга.
Зачем это сделано?
Предполагаю, что тут есть переплетение трех основных интересов:
Паранойи с закручиванием гаек в Интернете везде, где можно. Оставить корпоративные сети без внимания не могли.
Тенденция к Ein Reich, Ein Führer, Ein Internetdienstanbieter. Остаться должен только один.
В связи с укрупнением операторского рынка количество инсталляций решений СОРМ уменьшается, а компании-производители СОРМ, в бенефециарах которых часто оказываются сами знаете кто, терять кэшфлоу не хотят.
А что-нибудь хорошее?
В большинстве региональных УФСБ ранее просто не хватало ресурсов для работы даже с лицензиатами. Любая установка СОРМ — это согласование плана, закупка, инсталляция, приемка в эксплуатацию. У операторов это длительный процесс, обычно растягивающийся на годы. Учитывая, что целились в Яндекс/ВК, а все остальные — это collateral damage, есть шанс, что до обычных компаний не доберутся никогда. Т.е. будут писать, требовать согласования плана, который нужно будет согласовывать, а потом пересогласовывать, а потом еще пересогласовывать… Но при этом всегда останется рычаг давления на любую такую компанию, поскольку невыполнение требования закона влечет за собой кары.
Что делать?
Как мне кажется, пока еще рано предпринимать какие-то действия, поскольку законопроект прошел еще только первое чтение. Куда он повернется к третьему, предсказать сложно. С другой стороны, законопроекты подобные этому пролетают думу насквозь (в видео обсуждения очень характерны задаваемые в обсуждении вопросы), поэтому в апреле может свалиться на нас в текущем виде и у всех будет 90 дней на внедрение.
Если ваша компания стремится быть кристально чистой перед законом и вы можете отказаться от ASN (оставить пусть отказоустойчивое, но присоединение только к одному оператору связи) — конечно, можно уже осуществить такую миграцию.
Остальным я бы посоветовал подождать и посмотреть на развитие событий. Может оказаться, что победит какая-то часть разума. Или всё станет еще хуже и отказ от ASN не поможет.
Могу только пожелать удачи.
P.S. И немного статистики
В реестре лицензий в области связи Роскомнадзора 5604 действующих лицензии на «Услуги связи по передаче данных, за исключением услуг связи по передаче данных для целей передачи голосовой информации».
В списке автономных систем RIPE 5952 автономных системы в зоне RU.
В текущем fullview IPv4 5055 автономных систем из списка выше. Из них 1463 — транзитные, 3592 — конечные.
Все данные — на утро 09.02.2022.