Всё достаточно просто, ни ФСБ, ни МВД не мониторят весь трафик, они умерли бы его снифать весь. У нас например в виде СОРМ принесли не самой последней свежести сервера, при этом системы различаются на юр лиц и физ лиц. Когда поступает письмо о том, что надо бы помочь в ОРМ им на порт делается миррор порта клиента и они сидят его снифают. Получают они всё как вы понимаете — tcpdump рулит.
Так же сотрудники ФСБ имеют доступ к билингу и IT-системам крупных провайдеров, тут уже у них свои логины и пароли. Но доступы просто рядовых сотрудников, найти по IP логин, или наоборот, посмотреть историю заходов, с какого оборудования, паспортные данные и т.д.
Так что техническая возможность снифать трафик есть, но вы сами можете представить его объем у крупного оператора, у нас это несколько сотен гигабит на каждом магистральном узле, так что тут можете представить себе железку для снифа :))) Но никто этого не делает на практике, даже на зарубежных каналах не сидит никаких жуков, технически дорого и сложно :)