22 мая 2026 года Минцифры опубликовало приказ №1174. Он расширяет список данных, которые операторы связи и владельцы сетей обязаны собирать для силовых структур: паспортные данные, ИНН, банковские реквизиты, домены, логины, геокоординаты. И заодно жестко закрепляет технологию обмена этими данными: GraphQL, WebSocket, HTTP. Это не абстрактная новость про очередную бюрократию. Это значит, что СОРМ перестал быть системой прослушки одного разговора и стал системой поиска связей между людьми, устройствами и деньгами.
Отдельный сюрприз в том, что круг обязанных расширяется не только на классических операторов. Под требования теперь подпадают владельцы автономных систем, то есть компании с собственным номером AS в интернете. Формально это может касаться банков, маркетплейсов, IT-холдингов, у которых есть своя сетевая инфраструктура, а не только выданный оператором доступ в интернет.
Материал носит информационный характер. Соблюдайте законодательство своей страны, особенно России.
Кого приказ №1174 обязал подключаться к СОРМ
До этого момента граница была понятнее. Есть оператор связи, у него лицензия, он ставит ПТС ОРМ (программно-технические средства для оперативно-разыскных мероприятий) за свой счет и подключает силовиков к каналу. Есть организатор распространения информации, он же ОРИ, это мессенджеры, соцсети, почтовые сервисы, которые тоже обязаны хранить и передавать данные.
Приказ 2026 года размывает эту границу дальше. Теперь в контур попадают владельцы технологических сетей и автономных систем, у которых нет лицензии оператора связи, но есть собственная сетевая инфраструктура. Обязанность зависит от конкретного статуса компании, а не только от факта наличия сайта или приложения, поэтому не стоит утверждать, что теперь СОРМ обязателен буквально для любого владельца сервера. Но диапазон компаний, которые обязаны разбираться в этом вопросе, вырос заметно.
Из чего состоит система: съемник, пульт и СХД рядом с ним
СОРМ и хранилище данных по закону Яровой часто путают, хотя это разные задачи. СОРМ отвечает за доступ и отбор: съемник копирует трафик, DPI распознает протоколы, а пульт управления, установленный у оператора за счет ФСБ, забирает то, что нужно. СХД решает другую задачу, она просто накапливает содержимое и факты связи, чтобы их можно было поднять позже.
| Компонент | Что делает | Кто ставит и оплачивает |
|---|---|---|
| СОРМ-1 | Телефонная связь, звонки, номера, служебные события сети | Оператор связи |
| СОРМ-2 | Интернет-трафик, IP-сессии, часть незашифрованного содержимого | Оператор связи |
| СОРМ-3 | Связывает биллинг, RADIUS, NAT, DPI, абонентские базы в единую систему поиска | Оператор связи, ОРИ, владелец AS |
| СХД рядом с СОРМ | Хранит содержимое сообщений до 6 месяцев, метаданные о фактах связи до 3 лет | Оператор связи, ОРИ |
Правовая основа сидит в статье 64 закона «О связи». Она обязывает операторов хранить сведения о фактах приема, передачи и обработки сообщений три года, а содержимое, то есть тексты, голос, видео, до шести месяцев. Формулировка именно «до шести месяцев», а не «ровно шесть месяцев» имеет значение, конкретные порядок и объем задает правительство отдельным постановлением.
Кто разрешает слежку: суд, 48 часов и слепая зона оператора
СОРМ существует не в юридическом вакууме, хотя из технических статей это часто выпадает. Закон об оперативно-розыскной деятельности требует судебного решения для прослушивания переговоров и доступа к тайне переписки. Есть исключение для срочных случаев: если промедление грозит тяжким преступлением или угрозой безопасности, силовики могут начать мероприятие по решению своего руководителя, уведомив суд в течение 24 часов, а судебное решение обязаны получить в течение 48 часов, иначе прекратить мероприятие.
При этом сама российская модель устроена так, что оператор физически не видит, кого именно поставили на контроль. Он оплачивает оборудование, интеграцию, канал связи, но доступ к пульту управления и списку целей находится у силового ведомства. Именно поэтому расхожая фраза «провайдер передал ваши данные» технически неточна чаще, чем кажется: обычно провайдер просто держит инфраструктуру, а не принимает решение, кого слушать.
Что скрывает шифрование, а что все равно остается видимым
Вот здесь чаще всего происходит путаница. HTTPS не отменяет СОРМ, но и не делает его всесильным, он просто смещает то, что видно, с содержимого на метаданные.
| Ситуация | Что видно на уровне сети | Что скрыто |
|---|---|---|
| HTTPS без ECH | IP сервера, время, объем трафика, домен через SNI | Путь URL, тело запроса, содержимое страницы |
| HTTPS с поддержкой ECH | IP сервера, время, объем трафика | Домен в SNI, если ECH поддерживают клиент, сервер и DNS одновременно |
| Мессенджер со сквозным шифрованием | Факт соединения, IP, устройство, push-события | Текст переписки, если ключи не скомпрометированы |
| VPN | Факт туннеля, IP VPN-сервера, объем и время трафика | Конечный сайт от локального провайдера |
ECH, кстати, уже не экспериментальная штука. IETF окончательно закрепил ее в RFC 9849 в марте 2026 года, документ описывает, как клиент шифрует все содержимое ClientHello, включая имя сервера. Но работает это только там, где ECH поддерживают одновременно браузер, сервер и DNS. IP-адрес сервера при этом все равно виден, поведенческие сигнатуры вроде JA4-фингерпринтинга ECH тоже не убирает.
Три расхожих заблуждения про СОРМ
Первое заблуждение звучит так: «СОРМ читает вообще все». Массово читать содержимое корректно зашифрованного HTTPS или мессенджера на уровне провайдера нельзя без доступа к ключам, устройству или серверной стороне. Но из этого не следует, что СОРМ бесполезен, метаданные, геопривязка к базовым станциям и связки идентификаторов дают много информации без единого прочитанного сообщения.
Второе заблуждение: «VPN решает вопрос приватности». VPN не стирает метаданные, он их меняет местами. Локальный провайдер вместо конечного сайта видит устойчивое соединение с VPN-сервером в конкретные часы. Дальше все зависит от юрисдикции сервиса, логов, утечек DNS и того, синхронизирует ли телефон данные в облако параллельно с работой VPN, а сам VPN не защищает ни от доступа к аккаунту, ни от зараженного устройства.
Третье заблуждение: «раз есть база данных, значит, атрибуция точна». NAT-логи содержат ошибки, часы на узлах расходятся, один Wi-Fi используют несколько человек, SIM-карту можно переставить в другой телефон. Геопривязка через базовую станцию — это не GPS, а грубая зона обслуживания, которая в городе с плотной сетью вышек может давать приличную точность, а в сельской местности почти бесполезна.
GraphQL, WebSocket и паспортные данные: что меняет приказ 1174
Технический слой приказа интереснее, чем кажется на первый взгляд. Ведомства переходят от разовых бумажных запросов к архитектуре, которая ближе к обычному REST/GraphQL-сервису, чем к прослушке провода. Судя по описанию в приказе, о котором писал SecurityLab, обмен идет через HTTP для типовых запросов, WebSocket для потока событий в реальном времени и GraphQL как язык запроса к размеченной модели данных, где можно выбрать нужные поля вместо выгрузки всей таблицы целиком.
Ниже не фрагмент реального интерфейса, а условный псевдокод, который просто иллюстрирует логику, поля вымышлены и не отражают конкретную реализацию:
query {
target(filter: { phone: "+7XXXXXXXXXX" }) {
linkedDevices { imei lastSeen }
linkedAccounts { service login }
sessions(limit: 10) { ip startedAt }
}
}
Смысл этого сдвига простой. Пульту больше не нужно поднимать отдельный запрос на каждое совпадение, система может держать постоянную подписку на объект и получать новые события автоматически, как только они появляются в сети.
СОРМ и ТСПУ — это не одно и то же
Читатели часто путают эти две системы, а разница принципиальная. СОРМ занимается доступом к данным и перехватом в интересах оперативно-разыскной деятельности. ТСПУ, технические средства противодействия угрозам, занимаются фильтрацией трафика и блокировками, это отдельная инфраструктура Роскомнадзора, и штрафуют операторов за нарушения по ТСПУ отдельно от требований СОРМ. Знать один термин не значит знать другой.
Банки, маркетплейсы и новая граница ОРИ
Лучший пример того, куда движется система, — это банки. Ещё в октябре 2025 года ФСБ разослала крупным российским банкам письмо с требованием до 2027 года установить у себя системы оперативно-разыскных мероприятий, обосновав это тем, что банковское приложение с функцией переписки делает банк организатором распространения информации. Как писал Forbes со ссылкой на РБК, банки должны не только хранить переписку, но и передавать ключи шифрования по запросу. С февраля 2026 года ФСБ пошла дальше и начала запрещать вносить в «белый список» интернета приложения банков, которые не начали внедрение.
Это меняет всю рамку разговора о СОРМ. Систему больше нельзя описывать как что-то, что касается только телекома и мобильных операторов. Она встраивается туда, где у пользователей вообще есть возможность обмениваться сообщениями, включая чат поддержки в банковском приложении.
Во что это обходится бизнесу и почему это риск само по себе
Минимальный программно-аппаратный комплекс для СОРМ стоит от 5 миллионов рублей, такую оценку давал глава RUVDS в комментарии для профильных изданий. Для небольшого оператора или хостера это ощутимая сумма, поэтому на рынке растет спрос на аутсорсинг СОРМ, когда чужой комплекс обслуживает сразу несколько клиентов через один канал.
Президент «Ростелекома» Михаил Осеевский публично признавал, что тысячи мелких операторов фактически не выполняют требования СОРМ, а регулятору физически сложно проконтролировать всех сразу. Роскомнадзор в ответ начал штрафовать компании за непередачу данных массово, а не точечно.
Есть и обратная сторона у самой идеи централизованного сбора. База с паспортными данными, геособытиями, NAT-логами и банковскими реквизитами миллионов людей становится крайне ценной целью сама по себе. Утечка подрядчика, ошибка в разграничении доступа или скомпрометированный администратор превращают систему наблюдения в источник совершенно нового по масштабу ущерба, и чем богаче база, тем дороже обходится любая брешь в ней.
Что меняется дальше
Помимо майского приказа Минцифры, 26 июня 2026 года подписан федеральный закон №210-ФЗ, который дополняет пункт 2 статьи 64 закона «О связи» требованием защищать саму передаваемую информацию, а не только обеспечивать техническую возможность доступа к ней. Часть норм этого пакета законов вступает в силу поэтапно, отдельные положения смежных статей закона «О связи» начнут действовать с 1 марта 2027 года, так что тема точно не закрыта одним приказом.
Содержимое защищает шифрование, поведение выдают метаданные, а устройство в кармане остается самым слабым местом всей этой конструкции.
Частые вопросы про СОРМ
СОРМ читает переписку в WhatsApp или Telegram?
Нет, если шифрование реализовано корректно и ключи не скомпрометированы. Сетевой уровень видит факт соединения с сервером мессенджера, время и объем трафика, но не содержимое сообщений.
Провайдер знает, что именно ищут в моем трафике?
Обычно нет. Оператор оплачивает и обслуживает оборудование, но доступ к пульту управления и списку целей находится у уполномоченного органа, а закон прямо запрещает раскрывать организационные и тактические приемы таких мероприятий.
VPN полностью защищает от СОРМ?
VPN скрывает конечный сайт от локального провайдера, но не убирает сам факт использования VPN, не защищает от утечек DNS, доступа к аккаунту или заражённого устройства.
Банки правда подключают СОРМ?
Да, ФСБ потребовала от крупных банков внедрить системы оперативно-разыскных мероприятий до 2027 года, так как банковские приложения с функцией переписки подпадают под статус организатора распространения информации.
Чем СОРМ отличается от ТСПУ?
СОРМ занимается перехватом и доступом к данным для оперативно-разыскной деятельности. ТСПУ отвечают за фильтрацию и блокировку трафика и находятся в ведении Роскомнадзора, это разные системы с разными задачами.
