За последние несколько лет российская телеком-отрасль и IT-сфера прошли через тектонические сдвиги. Причиной стал масштабный набор законодательных правок, который в народе закрепился под коротким названием «пакет Яровой». Этот термин давно стал своего рода абстракцией, за которой стоят колоссальные финансовые затраты, технические вызовы и полная перестройка правового поля. Важно понимать, что это не какой-то один конкретный закон, а целая пачка изменений, внесенных в два федеральных закона — № 374-ФЗ и № 375-ФЗ, которые «перепахали» Кодексы, десятки смежных законов и постановлений правительства.

Официально всё это затевалось ради усиления борьбы с терроризмом и обеспечения общественной безопасности. Однако последствия этих поправок вышли далеко за рамки работы спецслужб. Они ударили по операторам связи, интернет-площадкам и, в конечном счете, по карману каждого гражданина. Чтобы выжить в этих условиях, компаниям пришлось не просто покупать новые сервера, а полностью менять подходы к инфраструктуре. В такой ситуации грамотное проектирование и настройка сети стало не просто технической опцией, а вопросом выживания бизнеса, ведь цена любой ошибки теперь измеряется миллионными штрафами.

Кто за этим стоит и кого это касается

Вопреки расхожему мнению, над пакетом работала целая группа авторов: Яровая, Озеров, Пушков и Герасимова. Вместе они создали документ, который затронул почти все сферы цифровой жизни. Но главными «героями» новой реальности стали две категории субъектов:

1. Операторы связи. Это все те, у кого есть лицензии, кто тянет кабели, ставит вышки и дает нам доступ в сеть или телефонию.
2. Организаторы распространения информации (ОРИ). В эту группу попали практически все интерактивные ресурсы.

Понятие ОРИ оказалось невероятно широким. Если на вашем сайте есть форум, система комментариев или возможность обмениваться сообщениями между пользователями — поздравляем, вы ОРИ. Вы обязаны самостоятельно уведомить Роскомнадзор и встать в реестр. Практика показывает, что войти в этот список гораздо проще, чем выйти. Любой интернет-сайт, где есть хотя бы минимальная активность пользователей, автоматически попадает под действие закона. Это требует от владельцев бизнеса повышенного внимания к безопасности, где регулярный аудит IP-ATC и систем хранения данных становится обязательной процедурой для минимизации рисков.

Эволюция СОРМ: от прослушки к тотальному архиву

Система оперативно-розыскных мероприятий (СОРМ) существовала в России десятилетиями, но она постоянно эволюционировала вместе с технологиями.

• СОРМ-1 предназначался для обычных телефонных разговоров — можно было «слушать» голос в реальном времени.
• СОРМ-2 научился анализировать пакетный интернет-трафик.
• СОРМ-3 дал спецслужбам прямой доступ к базам данных и биллингу оператора в режиме реального времени.

До пакета Яровой правоохранительным органам часто приходилось ждать ответа на запросы по 30 дней. Пакет Яровой фактически ввел «СОРМ-4». Теперь государство не просто хочет иметь доступ к данным, оно обязало бизнес эти данные хранить за свой счет.

Вот основные параметры того, что теперь лежит в архивах:

• Метаданные (кто, кому, когда): Операторы хранят их 3 года, ОРИ — 1 год.
• Содержание сообщений и разговоров: Записи голоса и тексты писем хранятся 6 месяцев.
• Весь интернет-трафик: Полный поток данных (видео, картинки, сайты) хранится 30 дней, при этом емкость хранилищ обязана расти на 15% каждый год.

В такой реальности защита IP-ATC от любого несанкционированного доступа становится задачей номер один, ведь на серверах теперь скапливается информация, которая раньше просто пролетала мимо и исчезала.

Технический тупик и «правовой вакуум» 2018 года

Одной из самых странных страниц в истории внедрения закона стал период с 2018 по 2020 год. Закон уже вступил в силу, требования по хранению данных начали действовать, но… сертифицированного оборудования на рынке просто не существовало. Правительство затянуло с выпуском технических регламентов, а производители не могли начать выпуск систем без понимания того, что именно нужно сертифицировать.

Это создало ситуацию, в которой операторы связи оказались без вины виноватыми. Известны случаи, например, в Краснодарском крае, когда небольшие провайдеры получали предписания и штрафы за неисполнение закона. Когда директора таких компаний приходили в суд и говорили: «Мы готовы купить оборудование, но его нет в продаже!», суды отвечали лаконично: «Отсутствие сертифицированного оборудования не освобождает от обязанности исполнять федеральный закон». Компании были вынуждены ставить системы в режиме «опытной эксплуатации», по сути, работая на свой страх и риск.

Если сегодня компания планирует развитие связи и ей требуется, например, установка Asterisk, она должна учитывать этот горький опыт и заранее закладывать в проект соответствие всем актуальным требованиям регуляторов.

Финансовое бремя: триллионы из кармана абонентов

Когда закон только обсуждался, оценки затрат на его реализацию шокировали. Назывались цифры до 10 триллионов рублей для всей отрасли. Если разделить эту сумму на всё население России, то на каждого человека пришлось бы примерно 69 тысяч рублей инвестиций. Для многих региональных операторов стоимость установки систем хранения оказалась сопоставима с их годовой выручкой.

Чудес не бывает, и бизнес не может просто так «подарить» государству такие деньги. В итоге за пакет Яровой заплатили и продолжают платить абоненты:

• Стоимость мобильной связи и интернета за последние годы выросла на 25–30%.
• Операторы вернулись к практике платных инсталляций услуг.
• Многие мелкие игроки не выдержали нагрузки и закрылись или были поглощены гигантами рынка.

Даже внедрение привычных сервисов, таких как Ip-телефония для удаленных сотрудников, теперь требует от оператора учитывать дополнительные расходы на хранение трафика этих самых сотрудников.

Риски идентификации и «подставы» с номерами

Еще один серьезный пласт проблем касается идентификации пользователей. Пакет Яровой и последующие поправки сделали анонимность в сетях практически невозможной. Сейчас идет активная зачистка баз: если ваши паспортные данные не подтверждены у оператора, номер отключат без лишних разговоров.

Но есть и более коварные риски. Существует проблема Caller ID (подмена номера). Если злоумышленник подставил ваш номер телефона при совершении противоправного звонка, по закону ваш номер может быть заблокирован по предписанию правоохранительных органов. И оператор обязан это сделать мгновенно. Известны случаи, когда бизнес годами вкладывался в рекламный номер, а потом терял его в один день из-за действий хакеров, просто потому что процедура разблокировки в таких случаях прописана очень туманно.

Это лишний раз доказывает, что предпроектный аудит систем связи и внимание к информационной безопасности — это не прихоть айтишников, а насущная необходимость для защиты активов компании.

Путь к технологической изоляции

Закон четко прописал: оборудование для хранения данных должно быть отечественным. Это привело к тому, что на рынке появились крупные игроки, аффилированные с госкорпорациями, которые поставляют «софтовые» и «железные» решения. С одной стороны, это дало толчок развитию российского производства серверов. С другой — создало монополию, где оператор не может выбирать лучшее по цене или качеству, а обязан покупать то, что разрешено.

Мы видим, как Ростелеком и другие гиганты активно строят и скупают дата-центры по всей стране. Это часть глобальной стратегии по централизации всех потоков информации. Для бизнеса это означает, что правила игры будут только ужесточаться. Если вы планируете долгосрочную работу, то модернизация АТС и всей сетевой логики должна проводиться с учетом того, что завтра требования к хранению могут снова измениться.