Финансовая сфера

Банковское обозрение


  • Анонимайзеры и VPN-сервисы под запретом
08.11.2017 Best-practice

Анонимайзеры и VPN-сервисы под запретом

Как применять новые правила в корпоративных целях?


Не так много времени остается до вступления в силу нового Федерального закона1, который известен как Закон о запрете анонимайзеров и VPN-сервисов (далее — Федеральный закон, Поправки). Речь идет о запрете использования технологий, информационных систем и программ, позволяющих обойти блокировку и получить доступ к заблокированным информационным ресурсам с запрещенным контентом, доступ к которым в России ограничен. Мировые СМИ уже поспешили сравнить серию российских запретов с китайской программой «Золотой щит», которая предусматривает систему фильтрации интернет-контента и блокировку мобильных приложений и сервисов, предлагающих VPN и инструкции для анонимного входа в Интернет По оценкам специалистов, усиление цензуры в Интернете с легкой руки российского законодателя приведет к тому, что Россия соорудит свой защитный экран, который будет эффективно отражать весь негативный контент, не позволяя российским пользователям получить к нему доступ. Однако можно ли реализовать такие попытки на практике с технической точки зрения и помогут ли тут правовые механизмы, далеко не ясно. Поправки затронут прежде всего владельцев VPN2 и анонимайзеров3, а также поисковые системы, которые обязаны будут блокировать любые ссылки на информационные ресурсы или информационно-телекоммуникационные сети, запрещенные Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее — Роскомнадзор). Ответственность за нарушение новых требований будут нести непосредственно владельцы VPN-технологий. Так, под запрет попадает такой известный анонимный браузер, как Tor или анонимная сеть I2P, которые должны будут блокировать доступ на запрещенные веб-сайты. Под запрет попадут также прокси и умные системы доменных имен (Domain Name Systems, DNS). Однако не стоит думать, что запрет будет распространяться только на владельцев специализированных технологий VPN. Речь идет и о сайтах, на которых размещаются инструкции по обходу блокировок, а также о магазинах приложений, предусматривающих VPN-сервисы для смартфонов. Условно говоря, любой интернет-ресурс, предлагающий использование VPN для обхода заблокированных сайтов, будет в зоне риска. Что касается безопасности, например, интернет-банкинга, то на средства шифрования, применяемые банками при осуществлении платежей, Поправки распространяться не будут. При проведении платежей банки зачастую используют защищенное SSL-соединение4, обеспечивающее конфиденциальность передаваемой информации с помощью специального канала, по которому информация передается между обозревателем и сервером в зашифрованном виде во избежание ее искажения и утери.

Пояснительная записка многое объясняет?

В пояснительной записке5 не раз указывалось на то, что опыт блокировки информационных ресурсов, размещающих запрещенный контент, оказывался не совсем удачным. К примеру, поисковые системы даже после блокировки выдавали ссылки на заблокированные ресурсы, не говоря уже об использовании анонимных прокси-серверов, VPN для получения доступа к заблокированным ресурсам. Не секрет, что VPN работает как прокси-сервер, используя который пользователь при просматривании интернет-страниц будто бы находится в другой стране. Такая технология позволяет обойти установленные правительством системы сетевой защиты и получить доступ в Интернет без каких-то ограничений и без риска слежки со стороны госструктур. Любопытно, что основная масса сервисов, предоставляющих данные возможности, находится не в России, что ставит под вопрос потенциал нового Федерального закона. При этом контрольные полномочия по соблюдению новых запретов предоставлены не только Роскомнадзору, но и правоохранительным органам, с которыми Роскомнадзор планирует взаимодействовать в целях отслеживания и получения информации о появлении сервисов для обхода блокировок.

Порядок взаимодействия с Роскомнадзором

Единый реестр доменных имен, указателей страниц сайтов в Интернете и сетевых адресов, позволяющих идентифицировать сайты в Сети, содержащие информацию, распространение которой в Российской Федерации запрещено, доступен на сайте Роскомнадзора по ссылке http://eais.rkn.gov.ru/.

Нововведения будут применяться только к VPN-сервисам и анонимайзерам, предоставляющим доступ к онлайн-ресурсам и информационно-телекоммуникационным сетям, доступ к которым в России был заблокирован Роскомнадзором. Как правило, решение о блокировке информационных ресурсов принимается в отношении тех из них, которые содержат информацию, связанную с детской порнографией, наркотиками, пропагандой суицида или экстремизма. Кроме того, Роскомнадзором регулярно блокируются веб-сайты, содержащие пиратские видео, музыку или программное обеспечение. В связи с этим возникает вопрос: как следует применять новые правила в отношении VPN-сервисов, используемых для корпоративных целей, и применимы ли нововведения Федерального закона к таким ситуациям в принципе?

VPN для применения в корпоративных целях

Вопрос, связанный с применением анонимайзеров или VPN-сервисов в корпоративных целях, в Поправках напрямую не затронут. Вместе с тем крупные компании, располагающие офисами по всему миру, довольно часто обеспечивают удаленный доступ своих сотрудников к единой корпоративной платформе как раз с использованием VPN-каналов.

В Поправках, однако, есть исключение из принятых нововведений, предусмотренное ст. 17 Федерального закона. В частности, ограничения не будут применяться при соблюдении двух условий: 1) круг пользователей программно-аппаратных средств заранее определен их владельцами (владельцами VPN-сервисов); 2) такие программно-аппаратные средства применяются для технологического обеспечения деятельности лица, их использующего. В отсутствие официальных разъяснений со стороны Роскомнадзора и Минкомсвязи полагаем, что в последнем случае речь идет как раз о применении программно-аппаратных средств для осуществления коммерческой (хозяйственной) деятельности. Примером здесь и может служить применение VPN-соединений в корпоративных целях, среди ограниченного круга пользователей. В связи с этим напрашивается предварительный вывод о том, что VPN, равно как и другие программно-аппаратные средства и технологии, применяемые для внутрикорпоративных целей и поддержания деятельности компании, подпадают под исключения, предусмотренные Федеральным законом. Стоит отметить, что в проекте Федерального закона ст. 17 выглядела несколько иначе и там непосредственно упоминалось о том, что под требования Закона не будут подпадать случаи, когда владельцы информационно-телекоммуникационных сетей, информационных систем или программ для ЭВМ обеспечивают их использование исключительно лицами, которые состоят с такими владельцами в трудовых отношениях6. Однако редакция, изначально предложенная депутатами Госдумы, претерпела изменения в пользу более размытой и широкой формулировки исключения.

В связи с этим однозначные выводы делать пока рано. К тому же нет никаких гарантий относительно того, что один и тот же VPN-канал может использоваться как в корпоративных целях, так и в целях получения доступа к ресурсам и веб-сайтам, заблокированным в России. К примеру, такие VPN-соединения, как HideMy.name, ExpressVPN или PIA, могут одновременно применяться как для обеспечения доступа сотрудников корпорации к глобальной корпоративной платформе, так и для возможности обхода заблокированного доступа к запрещенным информационным ресурсам в России. При этом из нового Федерального закона явно не следует, как будет распределяться ответственность (и будет ли) среди владельцев программно-аппаратных средств и лиц, использующих такие технологии для обеспечения своей деятельности.

По сообщениям прессы, интернет-омбудсмен Д. Мариничев уже назвал принятый Федеральный закон безумием со ссылкой на то, что «невозможно отделить VPN, который используется в коммерческих целях, от VPN, который используется для обхода блокировок»7. Есть опасения, что практика применения нового Федерального закона пойдет по пути тотальной блокировки администраторами сервисов таких инструментов, как VPN и TOR, вне зависимости от того, для каких целей они используются.

Порядок взаимодействия Роскомнадзора с провайдерами хостинга и владельцами сайтов8

Известно, что Роскомнадзор осуществляет ведение Единого реестра запрещенных сайтов (далее — Реестр)9. Сведения об ограничении доступа к сайтам и (или) страницам сайтов в Интернете можно получить посредством обращения к универсальному сервису проверки ограничения доступа к сайтам и (или) страницам сайтов в Сети, размещенному на официальном сайте Роскомнадзора: http://blocklist.rkn.gov.ru/. О причинах отсутствия доступа следует запрашивать провайдера хостинга либо оператора связи.

В связи с этим происходит активное взаимодействие Роскомнадзора и оператора Реестра. У провайдера хостинга10 есть всего 24 часа на уведомление владельца сайта11, который у него обслуживается, о необходимости незамедлительно удалить интернет-страницу, где содержится недопустимая к распространению в Российской Федерации информация. В свою очередь, в распоряжении владельца сайта также есть 24 часа на удаление спорной интернет-страницы. В противном случае доступ к этой странице будет ограничен провайдером хостинга. Отказ или бездействие владельца сайта приведут к аналогичным последствиям. Непринятие указанных мер провайдером хостинга и/или владельцем сайта непосредственно повлечет за собой включение сетевого адреса, позволяющего идентифицировать сайт в Интернете, в Реестр, в силу чего провайдерам хостинга и владельцам сайтов рекомендуется своевременно выполнять требования законодательства, а уже потом пытаться оспорить решение о включении в Реестр в судебном порядке12.

Альтернативным вариантом является обращение к оператору Реестра с просьбой об исключении сведений из Реестра после удаления запрещенной информации с заблокированного сайта. Процедура обращения к оператору Реестра предусмотрена и в случае отмены решения о включении в Реестр заблокированного сайта в судебном порядке.

Взаимодействие Роскомнадзора с правоохранительными органами

В Федеральном законе также подробно описан порядок действий Роскомнадзора при обращении к нему правоохранительных органов, в случае если ими были выявлены сайты или программы для ЭВМ, позволяющие обходить блокировку и получать доступ к заблокированным в России ресурсам. Получив обращение от правоохранительных органов, Роскомнадзор, в свою очередь, направляет уведомление провайдеру хостинга или иному лицу, разместившему в Интернете ПО для доступа к заблокированным ресурсам. Уведомление направляется в целях идентификации владельца сайта или ПО, посредством которых предоставляется доступ к запрещенным сетям и ресурсам. Провайдер хостинга, в свою очередь, направляет владельцу сайта или ПО требование о подключении к федеральной государственной информационной системе информационных ресурсов, информационно-телекоммуникационных сетей, доступ к которым ограничен (далее — Система). Впрочем, Роскомнадзор может направить соответствующее требование напрямую, если нарушения были выявлены им самостоятельно. На выполнение требования Роскомнадзора дается 30 рабочих дней. Аналогичные правила распространяются и на операторов поисковых систем.

Ответственность

Ответственность за несоблюдение принятых Поправок ни для поисковых систем, ни для провайдеров хостинга или владельцев интернет-сайтов в Федеральном законе не установлена. Возможно, последующие поправки будут внесены в КоАП РФ позже, после начала действия Федерального закона. Пока КоАП РФ устанавливает лишь ответственность операторов связи за неисполнение ими обязанности по ограничению/возобновлению доступа к информации, доступ к которой был ограничен/возобновлен на основании сведений, полученных от Роскомнадзора (ст. 13.34 КоАП РФ).

Вместе с тем ряд VPN-владельцев в России уже согласились с новыми поправками и используют тот же черный список адресов URL (ссылок в Интернете), которые провайдеры и телекоммуникационные компании должны блокировать. Соответственно VPN-сервисы, которые не соответствуют установленным в законодательстве требованиям, попадают в черный список. В начале этого года Роскомнадзор по инициативе прокуратуры уже заблокировал VPN-сервис Hideme.ru на основании решения суда после того, как было установлено, что VPN-канал используется для доступа к экстремистским материалам.

Иностранные провайдеры VPN-соединений уже начали уходить из России, как это сделал, например, PIA (Private Internet Access, американский VPN-провайдер), свернув всю свою деятельность в РФ с июля 2016 года, после принятия «пакета Яровой»13. По словам представителей сервиса, это было сделано после того, как серверы владельцев VPN в России были изъяты российскими властями без какого-либо предупреждения.

Что дальше?

Поправки в законодательство об информации, скорее всего, заставят владельцев VPN и подобных сервисов более осторожно и тщательно отслеживать, в каких целях они используются. В противном случае есть риск того, что при выявлении нарушений, анонимайзеры и VPN-сервисы могут быть заблокированы. IT-специалисты уточняют, что это можно сделать несколькими методами: по типу трафика или по IP-адресам. Последний способ довольно прост, Роскомнадзору потребуется лишь внести в реестр заблокированных сайтов все IP-адреса официальных сайтов, где можно приобрести VPN, и публичные серверы Tor. Второй путь — более тернистый, так как требует установки специального и весьма дорогого DPI-оборудования, которое будет анализировать интернет-трафик. Идентифицировать VPN-трафик с помощью такого оборудования не составит труда.

Однако, если с технической точки зрения заблокировать VPN-сервис достаточно просто, еще проще провайдеру его реструктурировать и создать новые IP-адреса. К тому же масштаб использования VPN-технологий и появление все новых и новых средств, обеспечивающих анонимность в Сети, на сегодняшний день несоизмерим с запретами, которые вводит законодатель.

За рубежом новые поправки называют очередным сильным ударом по открытому Интернету со стороны российских властей. Многие проводят параллели с китайской интернет-реформой, так как именно китайское правительство стало первопроходцем в деле запрета VPN-каналов, установив требование о лицензировании VPN-сервисов. При этом одним из критериев получения лицензии является то, что VPN-сервисы должны блокировать доступ к сайтам и сервисам с запрещенным контентом. Поэтому, делая прогнозы относительно реализации российских Поправок на практике, стоит упомянуть о китайском опыте, где после принятых запретов стал применяться скрытый режим для обхода системы межсетевой защиты (firewall). Такой сервис уже используется обычными гражданами в Китае, ОАЭ, Иране и других странах, где доступ к VPN заблокирован или ограничен. Скрытый режим маскирует зашифрованный VPN-трафик под обычные TLS- или SSL-соединения. Поскольку https-трафик регулярно использует в целях шифрования скрытый режим (например, для безопасной оплаты с кредитной карты и при введении паролей), этот метод маскировки VPN-трафика кажется довольно удобным и эффективным. Такой режим позволит с высокой долей вероятности скрыть тот факт, что VPN-канал был использован. В связи с этим, даже несмотря на то, что уже разработан проект приказа Роскомнадзора об утверждении Порядка контроля за исполнением владельцами анонимайзеров, сервисов VPN и операторами поисковых систем обязанностей по исполнению нововведений, вступающих в силу с 1 ноября 2017 года, представляется весьма сложным применить новые ограничения российского законодателя на практике.


1. Федеральный закон от 29.07.2017 № 276-ФЗ «О внесении изменений в Федеральный закон об информации, информационных технологиях и о защите информации».
2. VPN (англ. Virtual Private Network — виртуальная частная сеть) — обобщенное название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети.
3. К анонимайзерам можно отнести веб-сайты и специальные вредоносные программы, дающие возможность открывать ранее заблокированные интернет-ресурсы. Анонимайзеры позволяют не оставлять данные о своем реальном местоположении, IP-адресе и прочих параметрах при посещении заблокированных ресурсов в Интернете.
4. SSL (Secure Sockets Layer) — это протокол, который защищает данные, пересылаемые между веб-обозревателями и веб-серверами. Основное назначение протокола — аутентификация сервера, гарантирующая пользователям, что они попали именно на тот веб-узел, который хотели посетить. Любая страница, чей адрес начинается с https, передается в защищенном виде с помощью SSL.
5. Одним из инициаторов законопроекта стал Общественный совет при ФСБ России.
6. http://asozd2.duma.gov.ru/addwork/scans.nsf/ID/F071CE249CC1BD814325813900378252/$File/195446-7_08062017_195446-7.PDF?OpenElement.
7. https://zona.media/news/2017/06/08/marinichev.
8. https://eais.rkn.gov.ru/toproviders/.
9. Полное наименование реестра — Единый реестр доменных имен, указателей страниц сайтов в сети Интернет и сетевых адресов, позволяющих идентифицировать сайты в сети Интернет, содержащие информацию, распространение которой в Российской Федерации запрещено.
10. Провайдер хостинга — лицо, оказывающее услуги по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к Интернету, https://eais.rkn.gov.ru/toproviders/.
11. Владелец сайта в Сети — лицо, самостоятельно и по своему усмотрению определяющее порядок использования сайта в Интернете, в том числе порядок размещения информации на таком сайте, https://eais.rkn.gov.ru/toproviders/.
12. Решение может быть обжаловано владельцем сайта в Интернете, провайдером хостинга, оператором связи в суде в течение трех месяцев со дня принятия такого решения, https://eais.rkn.gov.ru/toproviders/.
13. https://xakep.ru/2016/07/13/pia-leave/.






Новости Новости Релизы