Фото: Melanie Stetson Freeman / The Christian Science Monitor / AP
На прошлой неделе депутаты Бундестага одобрили поправки в закон об охране конституционного строя, разрешившие спецслужбам Германии взламывать телефоны и компьютеры граждан. Под предлогом борьбы с терроризмом силовики теперь могут рассылать трояны для перехвата переписок в мессенджерах, а интернет-провайдеры обязаны им в этом помогать. Правозащитники и оппозиция сомневаются в конституционности нового закона.
«Вызовы, с которыми мы сейчас сталкиваемся, в особенности в области международного терроризма и праворадикального терроризма, требуют корректировки полномочий, чтобы обеспечить устранение серьезных угроз нашему демократическому правовому государству и свободному демократическому общественному порядку», — так в тексте законопроекта обозначена проблема, стоящая перед немецкими властями.
Решение? Quellen-TKÜ. Этот немецкий термин можно расшифровать как «средство надзора за телекоммуникациями в источнике»; впрочем, в германской прессе для простоты используется более понятный синоним — «государственный троян». В эпоху сплошного шифрования сообщений в мессенджерах типа WhatsApp или Signal классическая перлюстрация стала технически невозможной: если раньше спецслужбы могли просто обратиться к провайдеру и прослушать телефонный разговор или перехватить SMS-сообщение, то теперь единственная доступная точка съема информации — окно мессенджера на экране «источника» (компьютера или мобильного телефона) непосредственно в момент передачи сообщения.
Чтобы считать информацию до того, как она будет зашифрована у отправителя или после расшифровки у получателя, на «источник» можно установить троянскую программу, которая будет считывать — в интересах безопасности — текущий поток текстовых или голосовых сообщений в реальном времени, но — в интересах приватности — не будет иметь доступа к общей памяти устройства. Интернет-провайдеров обязали помогать государству в установке таких троянов.
Заниматься съемом данных будут 19 служб — помимо федеральной полиции это ведомства по защите Конституции разных уровней, разведывательная служба BND и военная контрразведка. Надзором за соблюдением закона займутся так называемая комиссия G10 — специализированный орган, контролирующий процесс сбора развединформации.
Альтернативы? Никаких, согласно тому же документу с поправками. Как пишет Netzpolitik, принятая версия законопроекта стала компромиссом: исходно министерство внутренних дел предлагало разрешить спецслужбам «онлайн-поиск» по всей истории чатов до момента установки трояна. В ходе партийных переговоров возможности «онлайн-поиска» пришлось урезать, ограничив периодом с момента подписания распоряжения об установке трояна и до его установки на телефон или компьютер.
Согласно немецкому Уголовно-процессуальному кодексу, «передача данных может отслеживаться и записываться без ведома [гражданина], если существует подозрение, основанное на конкретных фактах, в том, что он совершил тяжкое преступление, покушение на такое преступление или подготовил такое преступление», при этом «содержание и обстоятельства переписки могут быть отслежены и записаны, если они также могли быть отслежены и записаны в зашифрованном виде во время длящегося процесса передачи в сети общего пользования».
Компьютерное издание Heise отмечает, что необходимость поправок в Бундестаге объясняют угрозой терроризма. «Наблюдение за экстремистски настроенными лицами соответствует цели раннего предупреждения угроз конституционному порядку», — подчеркивают авторы законопроекта, добавляя, что в первую очередь имеют в виду «праворадикальный терроризм» и «праворадикальный экстремизм». Таким образом, германские силовики получают возможность превентивно отслеживать телекоммуникации граждан «в целях предотвращения насущной угрозы» даже без каких-либо конкретных подозрений.
«Черно-красная коалиция в очередной раз проигнорировала предостережения экспертов по поводу этой чрезмерной, а следовательно, потенциально неконституционной инициативе и протолкнула через Бундестаг поправки в закон об охране конституционного строя», — не стесняясь в выражениях, пишет журналист Heise Штефан Кремпль.
Исход голосования в Бундестаге был предопределен договоренностью между ХДС/ХСС Ангелы Меркель и социал-демократами, которые входят в состав «большой коалиции». Но если партия Меркель поправки единодушно поддержала, то среди социал-демократов все же нашлись пятеро диссидентов, которые, впрочем, публичных заявлений по этому поводу не делали. «Альтернатива для Германии», «Свободная демократическая партия», «Левые» и «Зеленые» практически полными составами фракций голосовали против, но этого не хватило: поправки приняли при 355 голосах «за», 280 «против» и семи воздержавшихся.
«Все — от [влиятельного немецкого хакерского сообщества] Chaos Computer Club до технологических гигантов из Кремниевой долины — говорят вам: "Пожалуйста, не делайте этого!". Но коалиция все равно [принимает эти поправки], — говорил с трибуны Бундестага депутат от "Зеленых" Константин фон Нотц. — В такой заботе о безопасности самой по себе заключаются риски для безопасности, потому что "государственный троян" использует уязвимости в безопасности ноутбуков и мобильных устройств. Именно эти уязвимости преступники используют для шантажа наших компаний, для кражи личных данных, а иностранные спецслужбы — для шпионажа за нашими властями и компаниями. Такие бреши в системе безопасности нужно закрывать, а не использовать для распространения "государственного трояна"».
Решение СДПГ поддержать поправки было неожиданным: в 2019 году, когда дискуссия о государственных троянах только начиналась, председательница партии Саския Эскен называла законопроект «влажными мечтами [спецслужб]», потакать которым СДПГ «не будет». С тех пор формулировки документа несколько изменились, но сама она в голосовании не участвовала — решение поддержать поправки было принято партийным большинством, с которым Эскен спорить не стала, оставшись при своем мнении: «Я по-прежнему считаю, что решение об использовании государственных троянов — в особенности, спецслужбами — ошибочно. Такая форма слежки представляет собой фундаментальное посягательство на наши свободы и, более того, угрозу безопасности нашей экономики».
Лидер баварского Христианско-социального союза Хорст Зеехофер обычно занимает несколько более консервативные позиции, чем партия Меркель, и временами открыто спорит с канцлером — чаще всего по вопросам миграционной политики. В нынешнем правительстве 71-летний Зеехофер возглавляет МВД и на этом посту то пытается продвигать запуск системы автоматического распознавания лиц на транспорте (от этой идеи придется отказаться под давлением критики), то предлагает расширить полицейские полномочия по перехвату переписки.
«Преступники больше не созваниваются по телефону, а общаются в мессенджерах, — объяснял необходимость поправок коллега Зеехофера из ХДС Торстен Фрай. — Эти технологические разработки не позволяют полиции преследовать преступников, а ведь ей нужно защищать нашу безопасность».
«Законодательному органу стоило бы дать юридически безупречный ответ на многие открытые правовые, организационные и технические вопросы, прежде чем реализовывать давно вынашиваемый план по расширению права на использование Quellen-TKÜ для спецслужб, — предупреждали в своем подробном разборе для блога Netzpolitik Марио Мартини и его коллега Сара Фрелингсдорф из университета Шпайера, которые изучают цифровизацию госуправления. — До сих пор перехват в "источнике" не пользовался большой популярностью в правоприменительной практике — не в последнюю очередь из-за значительных технических препятствий к реализации, а именно больших усилий, требуемых для обнаружения слабых мест в защите устройства и тайного проникновения. Впрочем, этот факт не превращает Quellen-TKÜ в плацебо для следствия — но подтверждает старую мысль Леонардо да Винчи: "Большинство проблем проистекает из их решения"».
Отношение немецкого государства к IT-проблемам не всегда последовательно.
С одной стороны, берлинский Chaos Computer Club — крупнейшая хакерская ассоциация в Европе, эксперты которой свидетельствуют в суде и публикуют исследования государственных троянов. В то же время в 2007 году Германия фактически «запретила» хакеров — тогда в Уголовный кодекс ввели суровые наказания за создание или распространение «хакерских программ», позволяющих получать незаконный доступ к данным; закон резко критиковали за веерный запрет как «добросовестных», так и вредоносных программ, что привело к миграции части IT-разработчиков.
С одной стороны, на протяжении последних десятилетий Берлин заявлял о поддержке разработки технологий шифрования без государственного вмешательства, с другой — в 2019 году на фоне популярности мессенджеров с end-to-end-шифрованием МВД предложило обязать разработчиков передавать следствию чаты в расшифрованном виде. Это произошло на фоне попыток российских властей заставить Telegram предоставить «ключи шифрования» ФСБ: мессенджер в итоге заблокировали, но реализовать блокировку не сумели.
Наконец, Конституционный суд — крайне влиятельный институт, постоянно вмешивающийся в работу германской политической системы — еще в 2008 году прописал строгие условия для слежки за электронными коммуникациями: «тайный доступ» к устройствам при помощи «брешей в системе безопасности» допустим только по решению суда и «только если существуют фактические свидетельства конкретной угрозы» жизни, здоровью или свободе человека.
Но при этом сообщения об использовании государственных троянов в Германии появляются регулярно как минимум с 2007 года, и тяжбы в судах так и не привели к формированию какой-либо однозначной практики. Судьбу нынешних поправок о «гостроянах» также будет решать КС — там уже есть на рассмотрении соответствующая жалоба, и правозащитники собираются подать новые.
Аналогичные германской попытки легализации троянов в интересах силовиков предпринимали и другие западные государства.
Так, глава британского МВД Тереза Мэй в 2016 году добилась принятия «Закона о полномочиях следствия», который допускает использование инструментов взлома (для предотвращения угрозы жизни или здоровью) и проверку истории посещений сайтов (если это «необходимо и пропорционально» в рамках расследования).
Во французском «Законе о разведке» 2015 года прописан съем данных с интернет-соединений, доступ к идентифицирующим пользователя метаданным, а также «доступ, сбор, хранение и передача компьютерных данных, отображаемых на экране пользователя, вводимых пользователем путем набора символов или получаемых и передаваемых периферийными устройствами».
Итальянские силовики активно используют трояны, но если раньше для запуска операции было достаточно разрешения прокурора, то в 2015 году Высший кассационный суд Италии признал такую практику «электронной слежкой» и обязал получать ордер в суде. Двумя годами позже Комитет ООН по правам человека выразил обеспокоенность распространенностью взломов телефонов для перехвата переписок в Италии.
Наконец, в США в 2016 году приняли поправки в законодательство для борьбы с ботнетами и детской порнографией, которые позволили агентам ФБР получать разрешения на взлом компьютеров для удаления вредоносных программ. В 2017 году американские силовики отчитались о победе над знаменитым ботнетом Kelihos, которая стала возможной именно благодаря новым полномочиям.
Самым курьезным случаем легального государственного «хакерства» за последние годы стал казахстанский «национальный сертификат безопасности», который власти требовали установить на все устройства в стране — якобы в рамках учений по борьбе с массовыми кибератаками. Если бы пользователи установили этот сертификат, он позволил бы силовикам перлюстрировать весь шифрованный трафик. Впрочем, казахстанские чиновники остались ни с чем, натолкнувшись на противодействие крупнейших браузеров, которые отказались поддерживать «национальный сертификат».
Редактор Дмитрий Ткачев