Olá, Habr! Você me pediu para lhe dizer como serão os shows de máscara reais em um data center russo onde você aluga VDS. Devo dizer desde já: não espere milagres, de acordo com um pedido devidamente formatado, os dados serão transferidos de imediato e sem mamas desnecessárias para proteção. Porque a prática é esta: ou você administra um negócio jurídico ou sai do mercado. Mas existem nuances. Nosso advogado e eu tentaremos resolver as questões principais.
Como costuma ser a solicitação de dados de clientes às autoridades?
Por exemplo, você filmou pornografia infantil em apoio a Navalny - e uma investigação começou sobre a apelação de seus concorrentes respeitadores da lei. Saberemos sobre isso por meio de um pedido oficial por escrito. Um mensageiro cansado chega ao escritório, ou recebemos uma carta registrada pelo correio normal ou chegamos de alguma forma especial, por exemplo, por um mensageiro. Se a solicitação não contiver dados secretos, geralmente será duplicada por um e-mail comum para um endereço como info @. Já nesta fase, cerca de um terço das solicitações recebidas são eliminadas, pois devem ser compostas corretamente.
Naturalmente, não sabemos (e além do mais, não queremos saber, não é lucrativo para nós) o que se passa com o cliente no seu VPS. Além disso, em alguns casos e não fundamentalmente - se o cliente tiver habilitado a criptografia e as chaves não forem armazenadas em texto não criptografado no servidor.
Mas a própria solicitação geralmente visa obter dados sobre uma pessoa específica (contatos do cliente, histórico de transações e assim por diante), cuja atividade criminosa o corpo está tentando suprimir.
Por que as solicitações estão sendo descartadas?
Muitos pedidos são eliminados devido à compilação incorreta: por exemplo, o Ministério da Administração Interna nem sempre sabe a qual das dezenas de centros de dados se deve candidatar e em que jurisdição se encontra. Ou seja, um pequeno número de solicitações simplesmente cai, porque são endereçadas ou compostas incorretamente. Freqüentemente, eles escrevem para RUVDS (este é um nome comercial, não uma entidade legal "MT FINANCE"), muitas vezes eles não entram em contato com o CEO e assim por diante. Nesse caso, nosso advogado dá uma recusa no formulário, mas quase imediatamente o documento correto chega novamente - desta vez com o cabeçalho exigido.
Tais situações representam cerca de 30% da massa total, mas muitas voltam corretas em poucos dias. Por isso, ao ler as transparências de alguém, não preste muita atenção na taxa de rejeição: basta preencher o formulário corretamente por um funcionário do departamento. E ele pode enviar uma segunda solicitação quase imediatamente.
Em seguida, verifica-se que tal solicitação realmente foi e esta não é inteligência competitiva. Ou seja, você precisa entrar em contato com este departamento e perguntar se realmente houve tal solicitação. E não é pelos números de telefone da carta, mas vamos ao Google, procuramos os contatos e ligamos. Até agora, as estatísticas são de 100%, mas continuamos a segurar. Alguns ficam surpresos quando um advogado pergunta ao funcionário específico quem enviou a solicitação ao telefone. Mas depois de explicar que se não for esse o caso, entraremos em contato com a polícia a fim de evitar fraudes, geralmente eles conectam. Temos um procedimento separado para o FSB, mas não posso falar sobre isso.
Essas solicitações vêm do FSB (serviço de fronteira), da Receita Federal, da polícia e de outros departamentos. Quase todos os pedidos do FSB estão corretos ao mesmo tempo, mas a polícia nem sempre sabe como são elaborados ou para qual pessoa jurídica deve escrever - e recebe recusas com mais frequência do que outras. Ao mesmo tempo, cerca de 90% dos pedidos vêm do Ministério da Administração Interna.
Tem um exemplo de pedido rejeitado?
Você é bem vindo:
,
_______. ( – “_____”), ________, __________, _______, _________, ______. _____ ( – «_____»), , , , _____, “______”, “________” . _____ - ______.__. , _____ , , . , .
______ - __________ ( – «-») :
– ______ ;
– ____;
– - ( – «»),
( «»).
_______, - ______. ______ , - .
-. , -. , :
(1) ______,
(2) _____ ,
(3) .
, . , ( ), .
, _____, . , . ______ , .
- , , .
:
,
_______. ( – “_____”), ________, __________, _______, _________, ______. _____ ( – «_____»), , , , _____, “______”, “________” . _____ - ______.__. , _____ , , . , .
______ - __________ ( – «-») :
– ______ ;
– ____;
– - ( – «»),
( «»).
_______, - ______. ______ , - .
-. , -. , :
(1) ______,
(2) _____ ,
(3) .
, . , ( ), .
, _____, . , . ______ , .
- , , .
:
,
Em que lei o pedido é geralmente processado?
A base para tal pedido é a lei “Sobre atividades de busca operacional”. Ele lista as organizações com poderes para conduzir atividades de pesquisa operacional. Esta é uma lei federal que opera em todo o nosso país. Ele lista o Ministério de Assuntos Internos, FSB, FSO, autoridades alfandegárias, SVR, FSIN, GRU (apenas no âmbito de garantir sua própria segurança). O serviço fiscal não está incluído nesta lista, no entanto, existe um despacho conjunto nº 317 / -7-2 / 481 @, que permite ao serviço fiscal receber os resultados da investigação diretamente do Ministério da Administração Interna, e se, por exemplo, as autoridades fiscais não responderem, então virá rapidamente o pedido do Ministério da Administração Interna. Pois bem, a repartição de finanças não pede quaisquer dados de instalação de clientes, interessa-se pela natureza da relação entre as pessoas colectivas, documentos que comprovem a relação, para perceber que, por exemplo, os pagamentos pelo serviço podem ser aceites como despesas.
Somos obrigados por lei a responder a esses serviços da maneira prescrita (exceto quando se trata de nós - neste, podemos recusar quaisquer comentários e respostas a perguntas nos termos do artigo 51 da Constituição). Felizmente, também não tínhamos isso.
Qual é o motivo desse pedido na maioria das vezes?
O principal motivo da solicitação é uma reclamação sobre a atividade fraudulenta de alguém. Consequentemente, o Ministério de Assuntos Internos está iniciando uma investigação sobre fraude em cartão de banco. Há muitos desses casos em Moscou (cerca de um terço), muitos em Krasnodar e na parte europeia da Rússia em geral, muito menos por causa dos Urais. Este é o departamento "K", ou seja, a polícia cibernética. A essência de usar o servidor na maioria das vezes é um mini-PBX implantado lá para ligações de fraudadores para indivíduos. Menos comumente, uma página de destino para a venda de drogas.
Outros 9% a olho nu são o FSB e a busca por indivíduos específicos.
Os restantes pedidos deste tipo são o serviço de fronteira, que está a solicitar no âmbito da importação-exportação, a tentar obter nos seus servidores o comprovativo de abastecimento.
O cliente sabe que está sendo “agredido” por agências governamentais?
Não, ele não sabe, e não temos o direito de relatar tal coisa - este é o segredo da investigação. Certa vez, tivemos um caso em que, por engano, a resposta a um pedido foi para o cliente e não para a polícia. Era uma ombreira muito séria e poderíamos ter sido acusados de ajudar. Nessa situação, revelamos a um criminoso em potencial, sim, ele é um criminoso em potencial, ninguém o condenou, ninguém o chama de criminoso, mas ele é suspeito de um delito. Nós revelamos a ele o próprio fato de que uma investigação está ocorrendo em sua atitude. Você nunca saberá que uma operadora de telecomunicações passou algo sobre você para os policiais até que seja apresentado a você na investigação.
Mas, felizmente, o cliente já sabia há muito tempo que um processo administrativo foi iniciado contra sua empresa e, em geral, essas coisas geralmente se tornam conhecidas muito antes do recebimento dos pedidos.
Quando uma solicitação é devolvida não devido a um design incorreto?
Quando há um requisito de bloqueio nele. Não bloqueamos a pedido, especialmente a pedido do Ministério da Administração Interna de forma gratuita. Temos que dar dados, mas não bloquear. Mas, ao mesmo tempo, não atrasamos a resposta, mas explicamos o que está errado. Como resultado, na maioria das vezes, chega um pedido da polícia no dia seguinte sem exigir um bloqueio no formulário adequado.
Por que os clientes que se envolvem em atividades ilegais não são bloqueados?
Bloqueamos esses clientes por ordem judicial, mas não a pedido do Ministério da Administração Interna, por exemplo. Porque sem uma decisão judicial, é impossível determinar se alguém está fazendo algo ilegal. A decisão de bloquear é tomada pelo tribunal ou pela Roskomnadzor (na forma de inserir o endereço IP em sua lista negra de endereços proibidos) em seu equipamento, após o que todas as operadoras de telecomunicações que fornecem acesso à Internet na jurisdição russa bloqueiam o acesso a automaticamente dentro de 24 horas. Podemos nem saber disso. Isso aconteceu conosco quando o endereço IP de nosso cliente foi colocado na lista negra de Roskomnadzor. Já soubemos disso com o cliente, porque ele esbarrou em nós - do ticket de suporte. Verificamos os bancos de dados do Roskomnadzor e descobrimos que o cliente estava envolvido em uma fraude aberta.
Mas não bloqueamos até o julgamento. Não é nossa responsabilidade decidir quem está certo e quem está errado. Somos infraestrutura. Não podemos violar o EULA. Ou seja, como pessoa, ficaria muito feliz em bloquear os fraudadores, sobre os quais já está claro que enganam os idosos por dinheiro, mas como especialista eu cumpro a lei.
Ao mesmo tempo, entendemos de forma humana quando um policial pede para bloquear em caso de um fato óbvio da atividade criminosa do cliente. Mas não somos um tribunal, não podemos verificar a posição da polícia e por isso somos sempre guiados pela lei.
Que tal hospedar em outras jurisdições?
Quase todas as jurisdições têm um análogo do pacote Yarovaya, e os dados do cliente geralmente são solicitados automaticamente. Sim, em diferentes países é diferente, porque agora na Europa é regulamentado a nível nacional, e não pela UE, mas de uma forma ou de outra, os serviços têm acesso a mais ou a menos os mesmos dados que na Rússia. Não consideramos comunicação de voz - não tratamos disso e, como não somos uma operadora de telecomunicações, também não devemos armazenar tráfego. Aqui você presta um serviço na União Europeia. Seu equipamento é instalado em um servidor, ao qual se encaixa a linha de uma operadora de telecomunicações local. A operadora de telecomunicações fornece as informações necessárias sobre as atividades neste servidor para os serviços de inteligência. Bem, isto é, eles automaticamente entendem que tal e tal atividade está ocorrendo a partir de tal e tal IP.Este endereço IP pertence a tal e tal empresa e está localizado em tal e tal lugar. Todos os dados sobre esta empresa são coletados imediatamente. Uma solicitação automática é feita à operadora para informações sobre o que ela sabe sobre ele para o banco de dados da operadora. Se houver dados suficientes, nem mesmo saberemos sobre eles. Na Europa, os dados são coletados um pouco menos, nos EUA e na China - a maioria.
Se os serviços de inteligência não tiverem dados suficientes, a operadora de telecomunicações nos contata diretamente. Tivemos um caso assim no verão passado com um cliente da Rússia, de quem sabíamos com certeza que ele era russo. Ele indicou os dados do passaporte em sua conta pessoal. Ele alugou um servidor em Frankfurt, Alemanha. Ele recebeu um pedido da polícia local em Frankfurt. Basicamente, respondemos que, sim, o endereço IP é alugado por nossa organização. É alugado para tal e tal cliente, um cidadão da Federação Russa. Sem nome, sem nada. Nesse caso, não fornecemos nenhum dado de configuração. E dizemos que, por favor, contate a Interpol com nossos colegas na Rússia. Quando vier um pedido da Rússia, do Ministério de Assuntos Internos Russo, do Comitê de Investigação, forneceremos informações sobre este cliente, uma vez que o pedido deve estar em nossa jurisdição russa.Não vamos te dar nada.
E o nosso Ministério da Administração Interna, por sua vez, por exemplo, não se interessa pela VDS de Frankfurt, pois seus endereços são estrangeiros. Eles estão interessados no que está acontecendo na Rússia, porque entendem claramente que é muito difícil obter informações da polícia estrangeira de lá. Especialmente na situação atual do relacionamento que, bem, temos agora. Portanto, em seis anos não tivemos um único caso de solicitação de endereço IP no exterior.
Literalmente algumas vezes por ano, os pedidos chegam pela Interpol. Lá você não pode responder por escrito, você tem que ir fisicamente e dar provas (explicações). No processo de comunicação, temos a oportunidade de nos familiarizar com a composição de um potencial processo criminal contra um cliente. O que vi são suspeitos de fraude em grande escala.
Por que a Holanda é considerada uma zona franca?
Porque eles têm warez, adult e muitas outras coisas não são ilegais.
Leis locais de soberania de dados são boas demais para um russo ser verdade. No entanto, graças a eles, ninguém poderá apreender o servidor de você sem uma decisão do tribunal - inclusive para buscar evidências durante a investigação.
A lei holandesa também permite o que é proibido em outros países do mundo: conteúdo adulto. Como resultado, os serviços dos centros de dados holandeses são usados não apenas por webmasters, mas também por aqueles provedores de hospedagem que ganham com a venda de hospedagem à prova de balas - serviços onde você tem a oportunidade de postar informações de qualquer natureza e ficar tranquilo sobre o fato de a empresa de hospedagem poderá removê-lo sem aviso na primeira reclamação. Como "informações de qualquer natureza" podem ser não apenas adultas, mas também warez, pharma, páginas de entrada, spam. Existem estúdios de pornografia online na Holanda. Os cassinos online estão localizados lá. Bem, em geral, tudo que é proibido em todos os outros países europeus, tudo está hospedado na Holanda.
Já houve algum caso de apreensão física de servidores?
Não temos especificamente em RUVDS, acontece no mercado russo. Ou seja, não é uma imagem virtual que é solicitada, mas as pessoas vêm diretamente para o equipamento. Eles aceitam discos rígidos ou servidores e até impressoras. Mas na Suíça, nunca ouvi falar disso e, portanto, nossos clientes costumam escolher lá um data center para seus VDS.
Mas, em geral, todas as histórias com shows de máscara física são bastante antigas. Quanto ao último grande, lembro-me das disputas entre entidades empresariais (em São Petersburgo, a hospedagem foi dividida em decorrência de uma disputa entre os fundadores). Em seguida, muitos equipamentos foram desligados fisicamente, e aqueles que não fizeram backup em outros sites em termos de geografia, é claro, sofreram muito.
Um bom data center protege contra arbitrariedade. Isso simplesmente não permite a entrada de ninguém sem uma ordem judicial e sem motivo sério. Todos os nossos data centers, incluindo os russos, têm pelo menos três perímetros de proteção física. Tudo com câmeras. Ou seja, somente a resistência ativa às ações da polícia pode levar à chegada real do OMON. Por exemplo, se você enviar três cartas ao funcionário do FSB que enviou uma solicitação formal e, ainda assim, não responder essencialmente dentro do prazo prescrito. Bem, ou se você enviar várias vezes a coisa errada, por exemplo, algumas fotos em vez de uma imagem virtual. Em geral, você tem que ser um completo idiota para fazer isso.
E quanto a torrents?
Estas não são solicitações de autoridades, são solicitações do detentor dos direitos autorais. Por exemplo, há a Sony Pictures, que não é representada na Rússia, mas tem um parceiro legal aqui que garante que os filmes da Sony não sejam distribuídos por piratas. Durante o ano, chegam várias centenas de solicitações de um pirata hospedado em seus servidores. Aja. Encaminhamos essas solicitações diretamente para o cliente de hospedagem.
Normalmente, em um dia, o cliente apaga tudo isso, pede desculpas e encaminhamos para o detentor dos direitos autorais. Isso geralmente é adequado para todos.
E quanto a inquéritos fiscais?
Essas solicitações se destacam por não estarem diretamente relacionadas à hospedagem. Ou seja, o FTS vê uma transação para pagamento de VDS e não pode avaliar qual foi. Então, por meio do sistema de gerenciamento de documentos, eles começam a perguntar o que era e como é o serviço. Normalmente, as solicitações estão relacionadas à razoabilidade da aceitação do custo. Ou seja, alguma empresa nos paga, condicionalmente, 100 mil rublos por mês. A empresa, é claro, espera tirar 1,2 milhão de despesas no final do ano e reduzir a base tributável. Envia uma declaração. Paga impostos. Fiscais, por exemplo, acredita que nossos serviços não devem cair em suas despesas. Eles nos dirigem com um pedido de comprovação do contrato com esta organização, das faturas emitidas, dos atos de conciliação, que realmente temos atividade econômica entre nossas organizações.Além disso, essas solicitações estão relacionadas com auditorias de escritório, com auditorias de campo para coletar evidências de que as empresas estão sonegando impostos. Seus pedidos são compilados automaticamente, não havendo rejeições por formatos irregulares.
E os pedidos do advogado?
Na nossa lei existe tal coisa, o pedido de um advogado: isto é, quando um advogado pode pedir quaisquer dados para proteger o seu cliente. Costumamos recusá-los, porque não somos obrigados a fornecer dados. Na minha prática, algumas vezes houve uma tentativa de obter dados sobre os concorrentes gratuitamente junto com as imagens de seus discos. A única resposta correta para tal pedido é "contate a polícia com suas perguntas, então nós as responderemos."
Ou seja, como podem solicitar dados, mas não somos obrigados a fornecê-los por lei, uma vez que os advogados não pertencem àqueles a quem somos obrigados a fornecer os dados. Regra geral, estes inquéritos de advogados dizem respeito a alguma entidade jurídica com a qual o requerente tem um litígio comercial ou outro litígio.
