Великий перехват: зачем Роскомнадзор призвал прекратить использовать VPN с иностранным шифрованием
В заявлении компания должна предоставить наименование организации, ИНН, используемый протокол подключения, IP-адреса, которые нужно внести в список исключений, а также цель использования соединения и контакты ответственного лица.
Зачем потребовались рекомендации
«Рекомендации использовать российские VPN связаны с усилением контроля, — пояснил в беседе с «Ямал-Медиа» директор компании «Интеллектуальный Резерв» Павел Мясоедов. — Если программы будут понятны Роскомнадзору, он сможет анализировать трафик и ограничивать доступ к нежелательным ресурсам. Но компании, использующие VPN в профессиональных целях, меньше пострадают от таких мер, поскольку они строят собственные системы шифрования».
«Одним из ключевых элементов VPN является создание промежуточного сервера. Этот сервер позволяет <...>. Однако стоит помнить, что популяризация таких сервисов запрещена, и говорить об этом открыто проблематично».
Павел Мясоедов
директор и партнер компании «Интеллектуальный Резерв» («ИТ-Резерв»)
Евгений Царев, управляющий RTM Group и эксперт в области информационной безопасности и права в IT, объяснил в интервью BFM ситуацию так: для организаций VPN — незаменимый инструмент. Если у компании есть несколько офисов, и она хочет защитить свои данные от перехвата или несанкционированного доступа, корпоративная VPN-сеть решает эту задачу. И когда Роскомнадзор блокирует целые подсети, может пострадать работа критически важных бизнес-систем.
«Если ты для работы своего основного сервиса, например корпоративной передачи данных, CRM, используешь какой-то узел, который попадает в блокировочный список, у тебя система целиком перестает работать», — рассказал эксперт.
Механизм внесения в списки исключений, по словам Евгения Царева, как раз и призван решить эту проблему — компания сообщает регулятору, какие адреса ей жизненно необходимы, и те не блокируются даже в случае масштабных ограничений. С этой точки зрения инициатива действительно может помочь бизнесу.
За кулисами рекомендаций: будут ли новые блокировки
По мнению Тимофея Воронина, заместителя директора Центра компетенций НТИ «Технологии хранения и анализа больших данных», пока речь не идет о принудительных блокировках. Скорее всего, это способ мониторинга — регулятор хочет понять, сколько компаний и пользователей применяют зарубежные протоколы, отметил он в беседе с «Коммерсантом».
Закон, обязывающий владельцев технологий обхода блокировок ограничивать доступ к запрещенным сайтам, действует еще с 2017 года. А с 1 марта 2024 года в России запрещено размещать в интернете информацию о средствах обхода блокировок.
При этом глава Минцифры Максут Шадаев в сентябре 2023 года заявлял, что в России не планируют вводить ответственность за использование заблокированных VPN-сервисов. Он напомнил, что блокировке подвергаются только те сервисы, которые не исполняют требования о фильтрации трафика от запрещенной в РФ информации.
Глава РКН Андрей Липов в октябре 2023 года отмечал, что регулятор не фиксирует массовых проблем с VPN у компаний. По его словам, если проблемы и возникают, они решаются в течение трех часов. К тому моменту в «белые списки» Роскомнадзора было внесено уже 12 тысяч IP-адресов.
РКН и VPN: здесь играем, здесь не играем
Еще в ноябре 2022 года «Ростелеком» представил сервис шифрования каналов под названием «ГОСТ VPN» для построения и эксплуатации защищенных сетей. Решение позволяет организовать защищенное взаимодействие между географически распределенными объектами в соответствии с требованиями российского законодательства по защите данных.
«В России есть одобренные виртуальные частные сети, однако большинство пользователей применяют их не по назначению. <...> То есть не факт, что все потребности обычных пользователей будут удовлетворены в новых условиях», — отметил Павел Мясоедов.
Эксперт по кибербезопасности Алексей Лукацкий указал в интервью порталу «CNews», что в России может использоваться в VPN только один «несекретный» криптографический протокол — IPLir от компании «Инфотекс». Другие российские протоколы, такие как CRISP, SESPAKE и разработки НПО «Криптонит», не подходят для этих целей. А интернет в основном использует зарубежные алгоритмы TLS/IPSes, включая как международные (AES, RSA и др.), так и российские ГОСТ.
«ФСБ и Минцифры прекрасно разрешают использовать зарубежные криптографические протоколы, просто выпуская различные стандарты и спецификации, разъясняющие принципы работы иностранных протоколов с российской криптографией», — пояснил он.
Что это значит для бизнеса и пользователей
Бизнес пострадает в меньшей степени, поскольку он используют частные сети в другой парадигме и для других целей, не полагаясь обычно на шифрование программного обеспечения, считает Павел Мясоедов. «Компании создают собственные решения для шифрования, используя различные каналы, браузеры и другие технологии», — добавил он.
Что касается рядовых пользователей, то их это коснется только опосредованно — через компании, услугами которых они пользуются. Если компания не сможет обеспечить безопасное соединение из-за ограничений на использование иностранных протоколов шифрования, пострадает качество сервиса.
Независимость или изоляция
Рекомендация Роскомнадзора — еще один шаг к созданию «суверенного интернета», способного функционировать независимо от глобальной Сети. Однако Павел Мясоедов считает, что полная изоляция от международного интернета маловероятна; цель регулятора — сократить трафик на запрещенные ресурсы и переключить внимание пользователей на другие платформы. По его мнению, государство стремится создать неудобства для массового пользователя, чтобы он предпочитал российские сервисы, а не искал доступ к запрещенным сайтам.
«Например, я присутствовал на съемке, где обсуждались ограничения на доступ к YouTube. Государство не запрещает эту платформу, но ограничивает к ней доступ. Если кому-то очень необходимо, они найдут способ зайти и посмотреть свои специализированные видео. Основная задача — создать такие неудобства, чтобы массовый пользователь, который ищет развлекательный контент, предпочитал российские стриминговые сервисы. Аналогичная ситуация здесь: мы не слышим о категоричных запретах, которые полностью изолируют нас от международного интернета. И я не думаю, что такие меры будут приняты. Цель — сократить основной трафик и уменьшить количество посещений запрещенных сайтов, отвлекая внимание пользователей в другое русло. Если кому-то действительно нужно, они найдут способ обойти ограничения. Однако основная задача — работать с большинством пользователей. Так все эти меры обычно и работают», — заключил эксперт.
Ранее в России заблокировали доступ к сайтам 12 иностранных хостинг-провайдеров. Эксперт объяснил, зачем блокируют зарубежные хостинги и что теперь делать бизнесу.
Самые важные и оперативные новости — в нашем телеграм-канале «Ямал-Медиа».