«Вы что, пару миллионов не найдете?»: как ФСБ подключалась к серверам BlaBlaCar

4 дня назад

Требования исключить из переговоров иностранцев, переслать всю документацию на английском и оплатить 10 км кабеля, разговоры на повышенных тонах, патриотическая лекция и встречи с оперативниками на улице,  – через все это пришлось пройти сотрудникам французского сервиса карпулинга BlaBlaCar после того, как он попал в реестр организаторов распространения информации (ОРИ). По закону, участники этого реестра должны предоставить ФСБ доступ к своим серверам. Бывший сотрудник BlaBlaCar рассказал «Агентству», как на практике происходит такое подключение.

Детали. BlaBlaCar вышел на российский рынок в 2014 году, а в январе 2018 года попал в реестр ОРИ. Первый документ от ФСБ компания получила спустя полгода, в июле 2018 года. В письме, которое пришло обычной почтой, спецслужба сообщала о необходимости разработать «план внедрения технических средств» для доступа спецслужбы к данным компании (есть в распоряжении «Агентства»). Согласование такого плана предусмотрено постановлением правительства.

  • В документе перечислялись сразу четыре сотрудника ФСБ, ответственных за подключение BlaBlaCar к системам ФСБ. Представители компании связались с указанными сотрудниками, и те назначили встречу в главном офисе ФСБ в Москве (последующие встречи будут проходить на улице, у станции метро «Кузнецкий мост».). «Предупредили нас, что никаких “иностранных элементов” не должно быть [на встрече], должны быть только граждане России», — рассказал собеседник «Агентства».
  • Встреча прошла через четыре месяца, 1 ноября 2018 года. На ней было трое сотрудников ФСБ. Один из них, Иван Антипин, прочитал представителям BlaBlaCar «патриотическую лекцию» о том, как важен закон об ОРИ и борьба с терроризмом, рассказал источник. После этого представителям компании дали предварительный план подключения к системам ФСБ и предложили внести в него необходимую правку. «Они нам дали ясно понять, что если мы этого не сделаем, не дадим им доступ, то мы как Telegram будем заблокированы», – добавил собеседник. «Агентству» подтвердило личность этого сотрудника, его номер записан в телефонных книжках как «Антипин Иван СОРМ»
  • Представителей BlaBlaCar беспокоило, будет ли как-то контролироваться доступ сотрудников спецслужбы к персональным данным пользователей, Антипин ответил так: «Вы не переживайте, у нас есть свой внутренний контроль. Ничего без разрешения никто брать не будет. Мы сами себя контролируем, никакого внешнего общественного контроля не нужно» (здесь и далее цитаты Антипина даются в пересказе источника).
  • План подключения к оборудованию ФСБ был согласован к 2019 году. Согласно нему, в течение двух месяцев компания должна была предоставить ФСБ удаленный доступ к своим серверам. Этот доступ следовало сохранять до тех пор, пока не будет установлено специальное оборудование, требования к которому установлены отдельным приказом Минцифры. Такое оборудование сокращенно называют СОРМ (система обеспечения оперативно-розыскной деятельности). На встрече в штаб-квартире ФСБ сотрудники спецслужбы описали подключение к оборудованию ФСБ так: «Протянуть кабель от серверов, где хранятся персональные данные пользователей, до точки присоединения к серверам ФСБ», — рассказал собеседник «Агентства».
  • Еще один документ, полученный BlaBlaCar от ФСБ (есть в распоряжении «Агентства»), содержал технические требования, предъявляемые службой. Согласно нему, кабель нужно было протянуть в один из дата-центров спецслужбы: на улице Бутлерова или на Сущевском валу. Расстояние от дата-центра на улице Ленинская Слобода (там были размещены серверы BlaBlaCar) до каждой из этих точек по прямой – около 10 км.
  • Антипин пояснил на встрече, что все оборудование и кабели компания должна будет купить за свой счет. «Вы что, пару миллионов на кабель не найдете?», – сказал он. При этом выбрать можно было только одобренное спецслужбой оборудование, уточнил собеседник «Агентства».
  • Объяснить требования ФСБ коллегам в головном офисе в Париже оказалось тяжело, рассказал источник: «У нас айтишники сидели в головном офисе, было тяжело перевести им, донести, чего от нас хотят. Там, мягко говоря, все были в шоке от того, что нужно сделать».
  • К тому же сотрудники ФСБ просили не только доступ к данным о клиентах. Во время одного из разговора Антипин предложил сотруднику BlaBlaCar отправлять ему англоязычные версии документов, которые делают для французского офиса. «Скидывайте мне все, что на английский переводите, я английский учу, упражняюсь», – сказал он.
  • В BlaBlaCar пытались «прощупать границы» и увеличить сроки на выполнение всех заявленных в плане действий. После нескольких звонков Антипин, по словам источника, начал злиться, и однажды накричал на сотрудника, попросив его перестать «тянуть кота» и сказав: «Что ты мне тут пургу гонишь, давайте уже свой план, подписывайте его уже. Иначе мы вас будем блокировать».
  • «Они все время пушили нас: дайте нам удаленный доступ, дайте удаленный доступ! Кабель сколько угодно можете покупать, только дайте доступ», – говорит бывший сотрудник BlaBlaCar. При этом сотрудники ФСБ, вероятно, не до конца понимали специфику компании. По словам собеседника «Агентства», они требовали предоставить им ключи шифрования сообщений, хотя BlaBlaCar не шифрует их. В компании не понимали, что именно хотят получить спецслужбы.
  • К лету 2019 года, по словам собеседника, компания и ФСБ наконец «вышли на подписание плана». Его должны были подписать гендиректор компании и начальник 12-го центра ФСБ (занимается прослушкой и перехватом информации).
  • Тогда же, летом 2019 года, собеседник «Агентства» покинул компанию и поэтому не знает, чем закончилось обсуждение требований ФСБ. Он предполагает, что сервера были все-таки подключены. «Агентство» в середине мая отправило запросы в головной офис BlaBlaCar и его российскую структуру, но не получило ответов на момент написания заметки. 

Мнение эксперта. Директор «Общества защиты интернета» Михаил Климарев подтвердил, что все оборудование компании из реестра ОРИ должны закупать сами. Затраты крупного транспортного сервиса (например, «Яндекс.Такси») составляют десятки миллионов рублей. Смысла в покупке этого оборудования, по его словам, немного: все можно сделать через интернет. Даже если кабель прокладывается, «это имитация», и в реальности данные все равно передаются через интернет, говорит Климарев. По его мнению, закупка оборудования может быть просто «узаконенным способом доить компании» — их заставляют приобретать дорогостоящее оборудование по цене выше рыночной у конкретных организаций.

  • По данным Климарева, у ФСБ есть серьезные проблемы с получением информацию напрямую с серверов компании. Поэтому в некоторых случаях компании отвечают на запросы силовиков по каждому отдельному случаю. При этом переговоры о подключении серверов к оборудованию ФСБ могут длиться годами, говорит Климарев.

Больше новостей, о которых боятся писать в России, — в наших аккаунтах в Telegram, Twitter, Facebook

Нас нельзя запугать, но нам можно помочь
Новости, о которых боятся писать в России
Читайте в нашем канале в Telegram
agentstvonews