Halo, Habr! Anda meminta saya untuk memberi tahu Anda seperti apa pertunjukan topeng asli di pusat data Rusia tempat Anda menyewa VDS. Saya harus segera mengatakan: jangan mengharapkan keajaiban, menurut permintaan yang diformat dengan benar, data akan segera ditransfer dan tanpa pembesaran payudara yang tidak perlu untuk perlindungan. Karena praktiknya begini: Anda menjalankan bisnis legal, atau Anda keluar dari pasar. Tapi ada nuansa. Pengacara kami dan saya sekarang akan mencoba menyelesaikan masalah utama.
Seperti apa biasanya meminta data pelanggan dari otoritas?
Misalnya, Anda memfilmkan pornografi anak untuk mendukung Navalny - dan penyelidikan dimulai atas banding dari pesaing Anda yang baik dan taat hukum. Kami akan mencari tahu tentang ini dengan permintaan tertulis resmi. Kurir yang lelah tiba di kantor, atau kami menerima surat tercatat melalui pos biasa atau tiba dengan cara khusus, misalnya, melalui kurir. Jika permintaan tidak berisi data rahasia, biasanya permintaan tersebut digandakan oleh email biasa ke alamat seperti info @. Pada tahap ini, sekitar sepertiga dari permintaan yang masuk dihilangkan, karena harus disusun dengan benar.
Secara alami, kami tidak tahu (dan terlebih lagi, kami tidak ingin tahu, ini tidak menguntungkan bagi kami) apa yang terjadi dengan klien di VPS-nya. Selain itu, dalam beberapa kasus dan tidak pada dasarnya - jika klien telah mengaktifkan enkripsi, dan kunci tidak disimpan dalam cleartext di server.
Tetapi permintaan itu sendiri biasanya ditujukan untuk mendapatkan data tentang orang tertentu (kontak pelanggan, riwayat transaksi, dan sebagainya), aktivitas kriminal yang coba ditekan oleh badan tersebut.
Mengapa permintaan dibatalkan?
Banyak permintaan yang dihapuskan karena kompilasi yang salah: misalnya, Kementerian Dalam Negeri tidak selalu mengetahui pusat data mana dari lusinan pusat data kami yang akan diterapkan dan di yurisdiksi mana. Artinya, sejumlah kecil permintaan gagal begitu saja, karena salah alamat atau disusun secara tidak tepat. Seringkali mereka menulis ke RUVDS (ini adalah nama dagang, bukan badan hukum "MT FINANCE"), seringkali mereka tidak menghubungi CEO, dan sebagainya. Dalam kasus ini, pengacara kami memberikan penolakan dalam formulir, tetapi segera dokumen yang benar datang lagi - kali ini dengan header yang diperlukan.
Situasi seperti itu sekitar 30% dari total massa, tetapi banyak yang kembali dengan benar hanya dalam beberapa hari. Jadi, ketika Anda membaca transparansi seseorang, jangan terlalu memperhatikan rasio pentalan: ini hanya masalah pengisian formulir dengan benar oleh seorang karyawan di departemen tersebut. Dan dia dapat mengirim permintaan kedua dengan segera.
Kemudian diverifikasi bahwa permintaan seperti itu benar-benar ada dan ini bukan intelijen kompetitif. Artinya, Anda perlu menghubungi departemen ini dan menanyakan apakah memang ada permintaan seperti itu. Dan itu bukan dengan nomor telepon dari surat itu, tapi kami pergi ke Google, mencari kontak dan menelepon. Sejauh ini statistiknya 100%, tapi kami terus asuransikan. Beberapa terkejut ketika seorang pengacara bertanya kepada karyawan tertentu yang mengirim permintaan tersebut ke telepon. Namun setelah dijelaskan bahwa jika tidak demikian maka kami akan menghubungi polisi untuk mencegah penipuan, biasanya mereka sambung. Kami memiliki prosedur terpisah untuk FSB, tetapi saya tidak dapat memberi tahu Anda tentang hal itu.
Permintaan tersebut datang dari FSB (layanan perbatasan), Layanan Pajak Federal, polisi, dan departemen lain. Hampir semua permintaan FSB benar sekaligus, tetapi polisi tidak selalu tahu bagaimana pembuatannya atau badan hukum mana yang harus menulis surat - dan mereka menerima penolakan lebih sering daripada yang lain. Di saat yang sama, sekitar 90% permintaan datang dari Kementerian Dalam Negeri.
Punya contoh permintaan yang ditolak?
Sama sama:
,
_______. ( β β_____β), ________, __________, _______, _________, ______. _____ ( β Β«_____Β»), , , , _____, β______β, β________β . _____ - ______.__. , _____ , , . , .
______ - __________ ( β Β«-Β») :
β ______ ;
β ____;
β - ( β «»),
( «»).
_______, - ______. ______ , - .
-. , -. , :
(1) ______,
(2) _____ ,
(3) .
, . , ( ), .
, _____, . , . ______ , .
- , , .
:
,
_______. ( β β_____β), ________, __________, _______, _________, ______. _____ ( β Β«_____Β»), , , , _____, β______β, β________β . _____ - ______.__. , _____ , , . , .
______ - __________ ( β Β«-Β») :
β ______ ;
β ____;
β - ( β «»),
( «»).
_______, - ______. ______ , - .
-. , -. , :
(1) ______,
(2) _____ ,
(3) .
, . , ( ), .
, _____, . , . ______ , .
- , , .
:
,
Di bawah hukum apa permintaan diproses secara umum?
Dasar dari permintaan tersebut adalah undang-undang βTentang kegiatan pencarian operasionalβ. Ini mencantumkan organisasi yang diberdayakan untuk melakukan aktivitas pencarian operasional. Ini adalah undang-undang federal yang berlaku di seluruh negara kita. Ini mencantumkan Kementerian Dalam Negeri, FSB, FSO, otoritas bea cukai, SVR, FSIN, GRU (hanya dalam kerangka memastikan keamanan mereka sendiri). Layanan pajak tidak termasuk dalam daftar ini, namun, ada perintah bersama No. 317 / -7-2 / 481 @, yang memungkinkan layanan pajak menerima hasil penyelidikan langsung dari Kementerian Dalam Negeri, dan jika, misalnya, otoritas pajak tidak menjawab, maka permintaan dari Kementerian Dalam Negeri akan datang dengan cukup cepat. Nah, kantor pajak tidak meminta data pemasangan apa pun pada klien, ia tertarik pada sifat hubungan antara badan hukum, dokumen yang mengkonfirmasikan hubungan, untuk memahami bahwa, misalnya, pembayaran untuk layanan dapat diterima sebagai biaya.
Kami diwajibkan oleh hukum untuk menanggapi layanan ini dengan cara yang ditentukan (kecuali jika menyangkut kami - dalam hal ini kami dapat menolak komentar dan jawaban apa pun atas pertanyaan berdasarkan Pasal 51 Konstitusi). Untungnya, kami juga tidak memiliki ini.
Apa alasan paling sering dari permintaan seperti itu?
Alasan utama permintaan tersebut adalah keluhan tentang aktivitas penipuan seseorang. Oleh karena itu, Kementerian Dalam Negeri sedang melakukan investigasi atas penipuan kartu bank. Ada banyak kasus seperti itu dari Moskow (sekitar sepertiga), banyak dari Krasnodar dan bagian Eropa Rusia pada umumnya, apalagi karena Ural. Ini adalah departemen "K", yaitu polisi dunia maya. Inti dari menggunakan server paling sering adalah mini-PBX yang ditempatkan di sana untuk panggilan penipu ke individu. Lebih jarang, halaman arahan untuk penjualan obat-obatan.
9% lainnya adalah FSB dan pencarian individu tertentu.
Permintaan yang tersisa dari jenis ini adalah layanan perbatasan, yang meminta sehubungan dengan ekspor-impor, mereka mencoba menemukan bukti pasokan di server mereka.
Apakah klien tahu bahwa dia sedang "ditinju" oleh lembaga pemerintah?
Tidak, dia tidak tahu, dan kami tidak berhak melaporkan hal semacam itu - ini adalah rahasia penyelidikan. Kami pernah memiliki kasus ketika, secara tidak sengaja, jawaban atas permintaan jatuh ke tangan klien, bukan ke polisi. Ini adalah tiang penyangga yang sangat serius dan kami dapat dituntut karena telah membantu. Dalam situasi itu, kami mengungkapkan kepada calon penjahat, ya, dia adalah calon, tidak ada yang menghukumnya, tidak ada yang menyebut dia penjahat, tetapi dia adalah tersangka suatu pelanggaran. Kami mengungkapkan kepadanya fakta bahwa sedang berlangsung penyelidikan dalam sikapnya. Anda tidak akan pernah tahu bahwa operator telekomunikasi telah menyampaikan sesuatu tentang Anda kepada petugas penegak hukum sampai Anda diperlihatkan pada penyelidikan.
Tetapi, untungnya, kemudian klien sudah lama mengetahui bahwa sebuah kasus administratif diajukan terhadap perusahaannya, dan secara umum hal-hal seperti itu biasanya diketahui jauh sebelum permintaan datang.
Kapan permintaan dipantulkan kembali bukan karena desain yang salah?
Ketika ada persyaratan pemblokiran di dalamnya. Kami tidak memblokir atas permintaan, terutama atas permintaan Kementerian Dalam Negeri secara gratis. Kami harus memberikan data, tetapi tidak memblokir. Tetapi pada saat yang sama, kami tidak menunda jawabannya, tetapi menjelaskan apa yang salah. Akibatnya, paling sering, permintaan datang dari polisi keesokan harinya tanpa memerlukan pemblokiran dalam bentuk yang tepat.
Mengapa klien yang terlibat dalam aktivitas ilegal tidak diblokir?
Kami memblokir klien tersebut atas perintah pengadilan, tetapi tidak atas permintaan Kementerian Dalam Negeri, misalnya. Karena tanpa putusan pengadilan, tidak mungkin bisa dipastikan seseorang melakukan sesuatu yang ilegal. Keputusan untuk memblokir dibuat oleh pengadilan atau oleh Roskomnadzor (dalam bentuk memasukkan alamat IP ke dalam daftar hitam alamat terlarang) pada perangkatnya, setelah itu semua operator telekomunikasi yang menyediakan akses Internet di yurisdiksi Rusia memblokir akses ke secara otomatis dalam mode 24 jam. Kita mungkin tidak tahu tentang ini. Ini terjadi pada kami ketika alamat IP klien kami masuk daftar hitam oleh Roskomnadzor. Kami sudah mengetahui hal ini dari klien, karena dia bertemu dengan kami - dari tiket dukungan. Kami memeriksa database Roskomnadzor, dan ternyata di sana klien terlibat dalam penipuan terbuka.
Tapi kami tidak memblokir sampai penghakiman. Bukan tanggung jawab kita untuk memutuskan siapa yang benar dan siapa yang salah. Kami adalah infrastruktur. Kami tidak dapat melanggar EULA. Artinya, sebagai pribadi, saya akan sangat senang untuk memblokir penipu, yang sudah jelas bahwa mereka menipu orang tua demi uang, tetapi sebagai spesialis saya mematuhi hukum.
Pada saat yang sama, kami secara manusiawi memahami ketika seorang petugas polisi meminta untuk memblokir jika terdapat fakta yang jelas dari aktivitas kriminal klien. Tapi kami bukan pengadilan, kami tidak bisa memeriksa posisi polisi dan oleh karena itu kami selalu berpedoman pada hukum.
Bagaimana dengan hosting di yurisdiksi lain?
Hampir setiap yurisdiksi memiliki analog dari paket Yarovaya, dan data pelanggan biasanya diminta secara otomatis. Ya, di berbagai negara berbeda, karena sekarang di Eropa diatur di tingkat nasional, dan bukan oleh UE, tetapi dengan satu atau lain cara, layanan memiliki akses ke plus atau minus data yang sama seperti di Rusia. Kami tidak mempertimbangkan komunikasi suara - kami tidak mengatasinya, dan karena kami bukan operator telekomunikasi, kami juga tidak boleh menyimpan lalu lintas. Di sini Anda menyediakan layanan di Uni Eropa. Peralatan Anda dipasang di server, yang sesuai dengan jalur operator telekomunikasi lokal. Operator telekomunikasi memberikan informasi yang diperlukan tentang aktivitas di server ini untuk layanan intelijen. Artinya, mereka secara otomatis memahami bahwa aktivitas ini dan itu terjadi dari IP ini dan itu.Alamat IP ini milik perusahaan ini dan itu dan terletak di tempat ini dan itu. Semua data tentang perusahaan ini segera dikumpulkan. Permintaan otomatis dibuat untuk operator untuk informasi tentang apa yang dia ketahui tentang dia ke database operator. Jika ada cukup data, maka kita bahkan tidak akan mengetahuinya. Di Eropa, pengumpulan data sedikit lebih sedikit, di AS dan Cina - paling banyak.
Jika dinas intelijen tidak memiliki cukup data, maka operator telekomunikasi langsung menghubungi kami. Kami memiliki kasus seperti itu musim panas lalu dengan klien dari Rusia, yang kami tahu pasti bahwa dia orang Rusia. Dia menunjukkan data paspornya di akun pribadinya. Dia menyewa server di Frankfurt, Jerman. Dia menerima permintaan dari polisi setempat di Frankfurt. Pada dasarnya, kami menjawab bahwa, ya, alamat IP tersebut disewa oleh organisasi kami. Ini disewakan kepada klien ini dan itu, warga negara Federasi Rusia. Tanpa nama, tanpa apapun. Dalam hal ini, kami tidak memberi mereka data penyiapan apa pun. Dan kami katakan bahwa harap hubungi Interpol kepada rekan-rekan kami di Rusia. Ketika permintaan datang dari Rusia, dari Kementerian Dalam Negeri Rusia, dari Komite Investigasi, kami akan memberi mereka informasi tentang klien ini, karena permintaan tersebut harus berada di yurisdiksi Rusia kami.Kami tidak akan memberikan apapun.
Dan Kementerian Dalam Negeri kita, misalnya, tidak tertarik pada VDS dari Frankfurt, karena alamat mereka di luar negeri. Mereka tertarik dengan apa yang terjadi di Rusia, karena mereka paham betul bahwa sangat sulit mendapatkan informasi dari polisi asing di sana. Terutama dalam situasi hubungan saat ini yang, yah, kita sekarang miliki. Oleh karena itu, dalam enam tahun kami tidak memiliki satu kasus pun permintaan alamat IP di luar negeri.
Secara harfiah beberapa kali setahun, permintaan datang melalui Interpol. Di sana Anda tidak bisa menjawab secara tertulis, Anda harus pergi secara fisik dan memberikan bukti (penjelasan). Dalam proses komunikasi, kami memiliki kesempatan untuk membiasakan diri dengan komposisi kasus pidana potensial terhadap klien. Apa yang saya lihat adalah tersangka penipuan skala besar.
Mengapa Belanda dianggap sebagai zona bebas?
Karena mereka memiliki warez, dewasa dan banyak hal lainnya tidak ilegal.
Hukum kedaulatan data lokal terlalu bagus untuk menjadi kenyataan bagi orang Rusia. Namun, terima kasih kepada mereka, tidak ada yang dapat merebut server dari Anda tanpa keputusan pengadilan - termasuk untuk mencari bukti selama penyelidikan.
Hukum Belanda juga mengizinkan apa yang dilarang di negara lain di dunia: konten dewasa. Akibatnya, layanan pusat data Belanda digunakan tidak hanya oleh webmaster, tetapi juga oleh penyedia hosting yang memperoleh penghasilan dari penjualan hosting antipeluru - layanan di mana Anda memiliki kesempatan untuk memposting informasi dalam bentuk apa pun dan tenang tentang fakta bahwa perusahaan hosting akan dapat tanpa peringatan menghapusnya pada keluhan pertama. Karena "informasi dalam bentuk apa pun" tidak hanya dewasa, tetapi juga warez, farmasi, halaman doorway, spam. Ada studio porno online di Belanda. Kasino online ada di sana. Nah, secara umum, semua yang dilarang di semua negara Eropa lainnya, semuanya diselenggarakan di Belanda.
Apakah ada kasus penyitaan fisik server?
Kami tidak memilikinya secara khusus di RUVDS, itu terjadi di pasar Rusia. Artinya, bukan gambar virtual yang diminta, tapi orang datang langsung untuk mengambil peralatannya. Mereka mengambil hard drive atau server dan bahkan printer. Tetapi di Swiss, saya belum pernah mendengar ini, dan oleh karena itu klien kami sering memilih pusat data untuk VDS mereka di sana.
Namun secara umum, semua cerita dengan pertunjukan topeng fisik sudah cukup tua. Adapun yang terakhir besar, saya ingat perselisihan antara entitas bisnis (di St. Petersburg, hosting dibagi karena perselisihan antara para pendiri). Kemudian banyak peralatan dimatikan secara fisik, dan mereka yang tidak mencadangkan ke situs lain dalam hal geografi, tentu saja, sangat menderita.
Pusat data yang baik melindungi dari kesewenang-wenangan. Ini untuk tidak membiarkan siapa pun masuk tanpa perintah pengadilan dan tanpa alasan yang serius. Semua pusat data kami, termasuk yang Rusia, memiliki setidaknya tiga perimeter perlindungan fisik. Semua dengan kamera. Artinya, hanya perlawanan aktif terhadap tindakan polisi yang dapat menyebabkan kedatangan OMON yang sebenarnya. Misalnya, jika Anda mengirimkan tiga surat kepada petugas FSB yang mengirimkan permintaan resmi, namun pada intinya tetap tidak menjawab dalam batas waktu yang ditentukan. Nah, atau jika Anda mengirimi mereka hal yang salah beberapa kali, misalnya, beberapa gambar, bukan gambar virtual. Secara umum, Anda harus benar-benar idiot untuk melakukan ini.
Bagaimana dengan torrent?
Ini bukan permintaan dari otoritas, ini adalah permintaan dari pemegang hak cipta. Misalnya, ada Sony Pictures, yang tidak diwakili di Rusia, tetapi memiliki partner hukum di sini yang memastikan bahwa film-film Sony tidak didistribusikan oleh para pembajak. Selama tahun ini, beberapa ratus permintaan datang bahwa bajak laut dihosting di server Anda, ambil tindakan. Kami meneruskan permintaan ini langsung ke klien hosting.
Biasanya, dalam satu hari, klien menghapus semua ini, meminta maaf, dan kami meneruskannya ke pemegang hak cipta. Ini biasanya cocok untuk semua orang.
Bagaimana dengan pertanyaan tentang pajak?
Permintaan ini menonjol karena tidak terkait langsung dengan hosting. Artinya, FTS melihat transaksi untuk pembayaran VDS dan tidak dapat menilai apa itu. Kemudian, melalui sistem manajemen dokumen, mereka mulai menanyakan apa itu dan seperti apa layanan itu. Biasanya, permintaan terkait dengan kewajaran penerimaan biaya. Artinya, beberapa perusahaan membayar kami, secara bersyarat, 100 ribu rubel sebulan. Perusahaan, tentu saja, mengharapkan untuk mengambil 1,2 juta untuk pengeluaran pada akhir tahun dan mengurangi basis kena pajak. Mengirimkan deklarasi. Membayar pajak. Pajak, misalnya, percaya bahwa layanan kami tidak boleh dimasukkan ke dalam biaya mereka. Mereka berpaling kepada kami dengan permintaan untuk menunjukkan kontrak dengan organisasi ini, faktur yang dikeluarkan, tindakan rekonsiliasi, bahwa kami benar-benar memiliki aktivitas ekonomi di antara organisasi kami.Selain itu, permintaan semacam itu terkait dengan audit kantor, dengan audit lapangan untuk mengumpulkan bukti bahwa perusahaan menghindari pajak. Permintaan mereka dikompilasi secara otomatis, dan tidak ada penolakan karena bentuknya tidak beraturan.
Dan bagaimana dengan permintaan pengacara?
Ada hal seperti itu dalam hukum kita, permintaan pengacara: ini adalah saat pengacara dapat meminta data apa pun untuk melindungi kliennya. Biasanya kami menolaknya, karena kami tidak wajib memberikan data. Dalam praktik saya, beberapa kali ada upaya untuk mendapatkan data tentang pesaing secara gratis bersama dengan gambar disk mereka. Satu-satunya jawaban yang benar untuk permintaan semacam itu adalah "hubungi polisi dengan pertanyaan Anda, lalu kami akan menjawabnya."
Artinya, bagaimana mereka dapat meminta data, tetapi kami tidak diwajibkan untuk memberikannya oleh hukum, karena pengacara bukan milik mereka yang wajib kami berikan datanya. Biasanya, pertanyaan pengacara ini menyangkut beberapa badan hukum dengan siapa pemohon memiliki perselisihan bisnis atau litigasi lainnya.
