Bonjour, Habr! Vous m'avez demandé de vous dire à quoi ressembleront de vrais spectacles de masques dans un centre de données russe où vous louez des VDS. Je dois dire tout de suite: ne vous attendez pas à des miracles, selon une demande correctement formatée, les données seront transférées immédiatement et sans augmentation des seins inutile pour la protection. Parce que la pratique est la suivante: soit vous dirigez une entreprise légale, soit vous vous envolez du marché. Mais il y a des nuances. Notre avocat et moi allons maintenant essayer de régler les principaux problèmes.
À quoi ressemble généralement la demande de données client auprès des autorités?
Par exemple, vous avez filmé de la pornographie juvénile à l'appui de Navalny - et une enquête a commencé sur l'appel de vos concurrents respectueux des lois. Nous le saurons par une demande écrite officielle. Un courrier fatigué arrive au bureau, ou nous recevons une lettre recommandée par courrier ordinaire ou arrivons d'une manière spéciale, par exemple par un courrier. Si la demande ne contient aucune donnée secrète, elle est généralement dupliquée par un e-mail ordinaire à une adresse comme info @. Déjà à ce stade, environ un tiers des demandes entrantes sont éliminées, car elles doivent être rédigées correctement.
Naturellement, nous ne savons pas (et de plus, nous ne voulons pas savoir, ce n'est pas rentable pour nous) ce qui se passe avec le client sur son VPS. De plus, dans certains cas et pas fondamentalement - si le client a activé le cryptage et que les clés ne sont pas stockées en texte clair sur le serveur.
Mais la demande elle-même vise généralement à obtenir des données sur une personne spécifique (contacts clients, historique des transactions, etc.), l'activité criminelle dont l'organisme tente de supprimer.
Pourquoi les demandes sont-elles abandonnées?
Un grand nombre de demandes sont éliminées en raison d'une compilation incorrecte: par exemple, le ministère de l'Intérieur ne sait pas toujours lequel de nos dizaines de centres de données s'adresser et dans quelle juridiction il se trouve. Autrement dit, un petit nombre de demandes tombent simplement, car elles sont mal adressées ou mal rédigées. Souvent, ils écrivent à RUVDS (il s'agit d'un nom commercial et non d'une personne morale "MT FINANCE"), souvent ils ne contactent pas le PDG, etc. Dans ce cas, notre avocat donne un refus dans le formulaire, mais presque immédiatement le document correct arrive à nouveau - cette fois avec l'en-tête requis.
De telles situations représentent environ 30% de la masse totale, mais beaucoup reviennent correctes en quelques jours seulement. Alors quand vous lisez les transparents de quelqu'un, ne faites pas trop attention au taux de rebond: il s'agit simplement de remplir correctement le formulaire par un employé du service. Et il est capable d'envoyer une deuxième demande presque immédiatement.
Ensuite, on vérifie qu'une telle demande l'était vraiment et qu'il ne s'agit pas de veille concurrentielle. Autrement dit, vous devez contacter ce département et lui demander s'il y a vraiment eu une telle demande. Et ce n'est pas par les numéros de téléphone de la lettre, mais nous allons sur Google, recherchons des contacts et appelons. Jusqu'à présent, les statistiques sont à 100%, mais nous continuons à assurer. Certains sont surpris lorsqu'un avocat demande à l'employé spécifique qui a envoyé la demande au téléphone. Mais après avoir expliqué que si ce n'est pas le cas, nous contacterons la police afin d'éviter la fraude, généralement ils se connectent. Nous avons une procédure distincte pour le FSB, mais je ne peux pas vous en parler.
Ces demandes proviennent du FSB (service des frontières), du Service fédéral des impôts, de la police et d'autres services. Presque toutes les demandes du FSB sont correctes à la fois, mais la police ne sait pas toujours comment elles sont rédigées ni à quelle personne morale écrire - et elles reçoivent des refus plus souvent que les autres. Dans le même temps, environ 90% des demandes proviennent du ministère de l'Intérieur.
Vous avez un exemple de demande rejetée?
Je vous en prie:
,
_______. ( – “_____”), ________, __________, _______, _________, ______. _____ ( – «_____»), , , , _____, “______”, “________” . _____ - ______.__. , _____ , , . , .
______ - __________ ( – «-») :
– ______ ;
– ____;
– - ( – «»),
( «»).
_______, - ______. ______ , - .
-. , -. , :
(1) ______,
(2) _____ ,
(3) .
, . , ( ), .
, _____, . , . ______ , .
- , , .
:
,
_______. ( – “_____”), ________, __________, _______, _________, ______. _____ ( – «_____»), , , , _____, “______”, “________” . _____ - ______.__. , _____ , , . , .
______ - __________ ( – «-») :
– ______ ;
– ____;
– - ( – «»),
( «»).
_______, - ______. ______ , - .
-. , -. , :
(1) ______,
(2) _____ ,
(3) .
, . , ( ), .
, _____, . , . ______ , .
- , , .
:
,
En vertu de quelle loi la demande est-elle généralement traitée?
La base d'une telle demande est la loi «sur les activités de recherche opérationnelle». Il répertorie les organisations habilitées à mener des activités de recherche opérationnelle. Il s'agit d'une loi fédérale qui s'applique dans tout notre pays. Il répertorie le ministère de l'Intérieur, le FSB, le FSO, les autorités douanières, le SVR, le FSIN, le GRU (uniquement dans le cadre de la garantie de leur propre sécurité). Le service fiscal n'est pas inclus dans cette liste, cependant, il existe une ordonnance conjointe n ° 317 / -7-2 / 481 @, qui permet au service fiscal de recevoir les résultats de l'enquête directement du ministère de l'Intérieur, et si, par exemple, les autorités fiscales ne répondent pas, alors cela viendra assez rapidement à la demande du ministère de l'Intérieur. Eh bien, le bureau des impôts ne demande aucune donnée d'installation sur les clients, il s'intéresse à la nature de la relation entre les personnes morales, aux documents confirmant la relation, afin de comprendre que, par exemple, les paiements pour le service peuvent être acceptés comme les dépenses.
Nous sommes tenus par la loi de répondre à ces services de la manière prescrite (sauf lorsqu'il s'agit de nous - en cela, nous pouvons refuser tous commentaires et réponses aux questions en vertu de l'article 51 de la Constitution). Heureusement, nous n'avions pas cela non plus.
Quelle est la raison d'une telle demande le plus souvent?
La principale raison de la demande est une plainte concernant l'activité frauduleuse d'une personne. En conséquence, le ministère de l'Intérieur ouvre une enquête sur la fraude à la carte bancaire. Il y a beaucoup de cas de ce type en provenance de Moscou (environ un tiers), beaucoup de Krasnodar et de la partie européenne de la Russie en général, beaucoup moins à cause de l'Oural. C'est le département «K», c'est-à-dire la cyber police. L'essence de l'utilisation du serveur le plus souvent est un mini-PBX qui y est déployé pour les appels des fraudeurs aux particuliers. Moins fréquemment, une page de destination pour la vente de médicaments.
Un autre 9% à l'oeil est le FSB et la recherche d'individus spécifiques.
Les demandes restantes de ce type sont le service des frontières, qui demande dans le cadre de l'import-export, ils essaient de trouver des preuves de fourniture sur leurs serveurs.
Le client sait-il qu'il est «frappé» par des agences gouvernementales?
Non, il ne le sait pas, et nous n'avons pas le droit de signaler une telle chose - c'est un secret de l'enquête. Une fois, nous avons eu un cas où, par erreur, la réponse à une demande allait au client plutôt qu'à la police. C'était un montant très sérieux et nous aurions pu être facturés pour aide. Dans cette situation, nous avons révélé à un criminel potentiel, oui, il est potentiel, personne ne l'a condamné, personne ne l'appelle un criminel, mais il est suspecté d'une infraction. Nous lui avons révélé le fait même qu'une enquête est en cours sur son attitude. Vous ne saurez jamais qu'un opérateur de télécommunications a transmis quelque chose à votre sujet aux agents des forces de l'ordre tant que vous ne l'avez pas présenté lors de l'enquête.
Mais, heureusement, le client savait depuis longtemps qu’une action administrative était engagée contre son entreprise et, en général, de telles choses sont généralement connues beaucoup plus tôt que les demandes ne viennent.
Lorsqu'une demande est renvoyée non pas en raison d'une conception incorrecte?
Lorsqu'il y a une exigence de blocage dedans. Nous ne bloquons pas sur demande, notamment à la demande du ministère de l'Intérieur sous une forme libre. Nous devons donner des données, mais pas bloquer. Mais en même temps, nous ne retardons pas la réponse, mais expliquons ce qui ne va pas. De ce fait, le plus souvent, une demande arrive de la police dès le lendemain sans nécessiter un blocage sous la forme appropriée.
Pourquoi les clients qui se livrent à des activités illégales ne sont-ils pas bloqués?
Nous bloquons ces clients par décision de justice, mais pas à la demande du ministère de l'Intérieur, par exemple. Parce que sans décision de justice, il est impossible de déterminer que quelqu'un fait quelque chose d'illégal. La décision de blocage est prise soit par le tribunal, soit par Roskomnadzor (sous la forme de la saisie de l'adresse IP dans sa liste noire d'adresses interdites) sur son équipement, après quoi tous les opérateurs de télécommunications qui fournissent un accès Internet dans la juridiction russe bloquent l'accès à il automatiquement dans les 24 heures. Nous ne savons peut-être même pas à ce sujet. Cela nous est arrivé lorsque l'adresse IP de notre client a été mise sur liste noire par Roskomnadzor. Nous avons déjà appris cela du client, car il est tombé sur nous - à partir du ticket de support. Nous avons vérifié les bases de données Roskomnadzor, et il s'est avéré que le client était impliqué dans une fraude ouverte.
Mais on ne bloque pas jusqu'au jugement. Il n'est pas de notre responsabilité de décider qui a raison et qui a tort. Nous sommes une infrastructure. Nous ne pouvons pas violer le CLUF. Autrement dit, en tant que personne, je serais très heureux de bloquer les fraudeurs, dont il est déjà clair qu'ils trompent les personnes âgées pour de l'argent, mais en tant que spécialiste, je respecte la loi.
En même temps, nous comprenons humainement lorsqu'un policier demande à bloquer en cas de fait évident de l'activité criminelle du client. Mais nous ne sommes pas un tribunal, nous ne pouvons pas vérifier la position de la police et nous sommes donc toujours guidés par la loi.
Qu'en est-il de l'hébergement dans d'autres juridictions?
Presque toutes les juridictions ont un analogue du package Yarovaya, et les données client sont généralement demandées automatiquement. Oui, dans différents pays, c'est différent, car maintenant en Europe, il est réglementé au niveau national, et non par l'UE, mais d'une manière ou d'une autre, les services ont accès à plus ou moins les mêmes données qu'en Russie. Nous ne considérons pas la communication vocale - nous ne nous en occupons pas, et comme nous ne sommes pas un opérateur de télécommunications, nous ne devons pas non plus stocker de trafic. Ici, vous fournissez un service dans l'Union européenne. Votre équipement est installé sur un serveur auquel s'inscrit la ligne d'un opérateur télécom local. L'opérateur télécom fournit les informations nécessaires sur les activités sur ce serveur pour les services de renseignement. Eh bien, c'est-à-dire qu'ils comprennent automatiquement que telle ou telle activité se déroule à partir de telle ou telle propriété intellectuelle.Cette adresse IP appartient à telle ou telle entreprise et se trouve dans tel ou tel endroit. Toutes les données concernant cette société sont immédiatement collectées. Une demande automatique est faite à l'opérateur pour obtenir des informations sur ce qu'elle sait de lui à la base de données de l'opérateur. S'il y a suffisamment de données, nous ne le saurons même pas. En Europe, les données sont un peu moins collectées, aux États-Unis et en Chine - le plus.
Si les services de renseignement ne disposent pas de suffisamment de données, l'opérateur télécom nous contacte directement. Nous avons eu un tel cas l'été dernier avec un client de Russie, dont nous savions avec certitude qu'il était russe. Il a indiqué ses données de passeport dans son compte personnel. Il a loué un serveur à Francfort, en Allemagne. Il a reçu une demande de la police locale de Francfort. Fondamentalement, nous avons répondu que, oui, l'adresse IP est louée par notre organisation. Il est loué à tel ou tel client, un citoyen de la Fédération de Russie. Sans nom, sans rien. Dans ce cas, nous ne leur communiquons aucune donnée de configuration. Et nous disons que s'il vous plaît contactez Interpol à nos collègues en Russie. Lorsqu'une demande provient de Russie, du ministère russe des Affaires intérieures, de la commission d'enquête, nous leur donnerons des informations sur ce client, car la demande doit être dans notre juridiction russe.Nous ne vous donnerons rien.
Et notre ministère de l'Intérieur, à son tour, par exemple, ne s'intéresse pas aux VDS de Francfort, car leurs adresses sont étrangères. Ils s'intéressent à ce qui se passe en Russie, car ils comprennent clairement qu'il est très difficile d'obtenir des informations de la police étrangère là-bas. Surtout dans la situation actuelle de la relation que, eh bien, nous avons maintenant. Par conséquent, en six ans, nous n'avons pas eu un seul cas de demande d'adresse IP à l'étranger.
Littéralement deux fois par an, les demandes passent par Interpol. Là, vous ne pouvez pas répondre par écrit, vous devez vous rendre physiquement et donner des preuves (explications). Dans le processus de communication, nous avons la possibilité de nous familiariser avec la composition d'une éventuelle affaire pénale contre un client. Ce que j'ai vu, ce sont des suspects de fraude à grande échelle.
Pourquoi les Pays-Bas sont-ils considérés comme une zone franche?
Parce qu'ils ont des warez, des adultes et bien d'autres choses ne sont pas illégales.
Les lois locales sur la souveraineté des données sont trop bonnes pour qu'un Russe soit vrai. Néanmoins, grâce à eux, personne ne pourra vous saisir le serveur sans décision de justice - y compris pour rechercher des preuves lors de l'enquête.
La loi néerlandaise autorise également ce qui est interdit dans d'autres pays du monde: le contenu pour adultes. En conséquence, les services des centres de données néerlandais sont utilisés non seulement par les webmasters, mais également par les fournisseurs d'hébergement qui gagnent en vendant un hébergement à l'épreuve des balles - des services où vous avez la possibilité de publier des informations de toute nature et d'être calme sur le fait que le la société d'hébergement pourra le supprimer sans avertissement dès la première réclamation. Comme "l'information de toute nature" peut être non seulement adulte, mais aussi warez, pharma, pages de porte, spam. Il existe des studios porno en ligne aux Pays-Bas. Les casinos en ligne s'y trouvent. Eh bien, en général, tout ce qui est interdit dans tous les autres pays européens, tout est hébergé en Hollande.
Y a-t-il eu des cas de saisie physique de serveurs?
Nous ne l'avons pas spécifiquement dans RUVDS, cela se produit sur le marché russe. Autrement dit, ce n'est pas une image virtuelle qui est demandée, mais les gens viennent directement pour l'équipement. Ils prennent soit des disques durs, soit des serveurs et même des imprimantes. Mais en Suisse, je n'en ai jamais entendu parler, c'est pourquoi nos clients y choisissent souvent un data center pour leur VDS.
Mais en général, toutes les histoires avec des spectacles de masques physiques sont assez anciennes. Quant à la dernière grande, je me souviens des différends entre entités commerciales (à Saint-Pétersbourg, l'hébergement était divisé à la suite d'un différend entre les fondateurs). Ensuite, de nombreux équipements ont été arrêtés physiquement, et ceux qui n'ont pas effectué de sauvegarde sur d'autres sites en termes de géographie, bien sûr, ont beaucoup souffert.
Un bon centre de données protège contre l'arbitraire. Il s'agit simplement de ne laisser personne entrer sans ordonnance du tribunal et sans raison sérieuse. Tous nos centres de données, y compris russes, disposent d'au moins trois périmètres de protection physique. Le tout avec des caméras. Autrement dit, seule une résistance active aux actions de la police peut conduire à l'arrivée réelle de l'OMON. Par exemple, si vous envoyez trois lettres à l'agent du FSB qui a envoyé une demande formelle et que vous ne répondez toujours pas en substance dans le délai prescrit. Eh bien, ou si vous leur envoyez plusieurs fois la mauvaise chose, par exemple, des images au lieu d'une image virtuelle. En général, vous devez être un idiot complet pour faire cela.
Et les torrents?
Ce ne sont pas des demandes des autorités, ce sont des demandes du titulaire du droit d'auteur. Par exemple, il y a Sony Pictures, qui n'est pas représentée en Russie, mais qui a ici un partenaire légal qui s'assure que les films de Sony ne sont pas distribués par des pirates. Au cours de l'année, plusieurs centaines de requêtes arrivent qu'un pirate soit hébergé sur vos serveurs, agissez. Nous transmettons ces demandes directement au client d'hébergement.
Habituellement, dans un délai d'un jour, le client supprime tout cela, s'excuse et nous le transmettons au détenteur des droits d'auteur. Cela convient généralement à tout le monde.
Qu'en est-il des demandes de renseignements fiscaux?
Ces demandes se démarquent car elles ne sont pas directement liées à l'hébergement. Autrement dit, le FTS voit une transaction pour le paiement VDS et ne peut pas évaluer ce que c'était. Ensuite, à travers le système de gestion de documents, ils commencent à se demander ce que c'était et à quoi ressemble le service. En règle générale, les demandes sont liées au caractère raisonnable de l'acceptation des coûts. Autrement dit, une entreprise nous paie, conditionnellement, 100 000 roubles par mois. La société, bien sûr, prévoit de prendre 1,2 million de dépenses à la fin de l'année et de réduire la base imposable. Soumet une déclaration. Paye les impôts. Tax, par exemple, estime que nos services ne devraient pas faire partie de leurs dépenses. Ils se tournent vers nous pour nous demander de démontrer le contrat avec cette organisation, les factures émises, les actes de réconciliation, que nous avons vraiment une activité économique entre nos organisations.En outre, ces demandes sont liées à des audits de bureaux, avec des audits sur le terrain afin de recueillir des preuves que les entreprises éludent les impôts. Leurs demandes sont compilées automatiquement et il n'y a pas de rejet en raison de formes irrégulières.
Et qu'en est-il des demandes de l'avocat?
Il y a une telle chose dans notre droit, la demande d'un avocat: c'est à ce moment-là qu'un avocat peut demander des données pour protéger son client. Nous les refusons généralement, car nous ne sommes pas obligés de fournir des données. Dans ma pratique, à plusieurs reprises, il y a eu une tentative d'obtenir des données sur les concurrents gratuitement avec les images de leurs disques. La seule réponse correcte à une telle demande est "contactez la police avec vos questions, nous y répondrons".
Autrement dit, comment ils peuvent demander des données, mais nous ne sommes pas obligés de les fournir par la loi, car les avocats n'appartiennent pas à ceux à qui nous sommes obligés de fournir des données. En règle générale, ces enquêtes d'avocat concernent une personne morale avec laquelle le demandeur a un différend commercial ou un autre litige.
