Аналитика Публикации

14
декабря

Анонимайзеры и VPN-сервисы под запретом. Как применять новые правила в корпоративных целях?

Источник: Деловой журнал "Банковское обозрение"


Не так много времени остается до вступления в силу нового федерального закона[1], который известен как закон о запрете анонимайзеров и VPN-сервисов (далее – "Федеральный закон", "Поправки"). Речь идет о запрете использования технологий, информационных систем и программ, позволяющих обойти блокировку и получить доступ к заблокированным информационным ресурсам с запрещенным контентом, доступ к которым в России ограничен. Мировые СМИ уже поспешили сравнить серию российских запретов с китайской программой "Золотой щит", которая предусматривает систему фильтрации интернет-контента и блокировку мобильных приложений и сервисов, предлагающих VPN и инструкции для анонимного входа в интернет.

По оценкам специалистов, усиление цензуры в Интернете с легкой руки российского законодателя приведет к тому, что Россия соорудит свой защитный экран, который будет эффективно отражать весь негативный контент, не позволяя российским пользователям получить к нему доступ. Однако возможно ли реализовать такие попытки на практике с технической точки зрения и помогут ли тут правовые механизмы, далеко не ясно.

Поправки затронут прежде всего владельцев VPN[2] и анонимайзеров[3], а также поисковые системы, которые обязаны будут блокировать любые ссылки на информационные ресурсы или информационно-телекоммуникационные сети, запрещенные Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – "Роскомнадзор"). Ответственность за нарушение новых требований будут нести непосредственно владельцы VPN технологий. Так, например, под запрет попадает такой известный анонимный браузер, как Tor, или анонимная сеть I2P, которые должны будут блокировать доступ на запрещенные веб-сайты. Под запрет попадут также прокси и умные системы доменных имен (Domain Name Systems, DNS). Однако не стоит думать, что запрет будет распространяться только на владельцев специализированных технологий VPN. Речь идет и о сайтах, на которых размещаются инструкции по обходу блокировок, а также о магазинах приложений, предусматривающих VPN-сервисы для смартфонов. Условно говоря, любой интернет-ресурс, предлагающий использование VPN для обхода заблокированных сайтов, будет в зоне риска. Что касается безопасности, например, интернет-банкинга, то на средства шифрования, применяемые банками при осуществлении платежей, Поправки распространяться не будут. При проведении платежей банки зачастую используют защищенное SSL-соединение[4], обеспечивающее конфиденциальность передаваемой информации с помощью специального канала, по которому информация передается между обозревателем и сервером в зашифрованном виде во избежание ее искажения и утери.

Пояснительная записка многое объясняет? В пояснительной записке[5] не раз указывалось на то, что опыт блокировки информационных ресурсов, размещающих запрещенный контент, оказывался не совсем удачным. К примеру, поисковые системы даже после блокировки выдавали ссылки на заблокированные ресурсы, не говоря уже об использовании анонимных прокси-серверов, VPN для получения доступа к заблокированным ресурсам. Не секрет, что VPN работает как прокси-сервер, используя который пользователь при просматривании интернет-страниц будто бы находится в другой стране. Такая технология позволяет обойти установленные правительством системы сетевой защиты и получить доступ в интернет без каких-то ограничений и без риска слежки со стороны госструктур. Любопытно, что основная масса сервисов, предоставляющих данные возможности, находится не в России, что ставит под вопрос потенциал нового Федерального закона. При этом контрольные полномочия по соблюдению новых запретов предоставлены не только Роскомнадзору, но и правоохранительным органам, с которыми Роскомнадзор планирует взаимодействовать в целях отслеживания и получения информации о появлении сервисов для обхода блокировок.

Порядок взаимодействия с Роскомнадзором. Единый реестр доменных имен, указателей страниц сайтов в сети Интернет и сетевых адресов, позволяющих идентифицировать сайты в сети Интернет, содержащие информацию, распространение которой в Российской Федерации запрещено, доступен на сайте Роскомнадзора по следующей ссылке: http://eais.rkn.gov.ru/.

Нововведения будут применяться только к тем VPN-сервисам и анонимайзерам, которые предоставляют доступ к онлайн-ресурсам и информационно-телекоммуникационным сетям, доступ к которым в России был заблокирован Роскомнадзором. Как правило, решение о блокировке информационных ресурсов принимается в отношении тех из них, которые содержат информацию, связанную с детской порнографией, наркотиками, пропагандой суицида или экстремизма. Кроме того, Роскомнадзором регулярно блокируются веб-сайты, содержащие пиратские видео, музыку или программное обеспечение. В связи с этим возникает вопрос, как следует применять новые правила в отношении VPN-сервисов, используемых для корпоративных целей, и применимы ли нововведения Федерального закона к таким ситуациям в принципе?

VPN для применения в корпоративных целях. Вопрос, связанный с применением анонимайзеров или VPN-сервисов в корпоративных целях в Поправках, напрямую не затронут. Вместе с тем крупные компании, располагающие офисами по всему миру, довольно часто обеспечивают удаленный доступ своих сотрудников к единой корпоративной платформе как раз с использованием VPN-каналов.

В Поправках, однако, есть исключение из принятых нововведений, предусмотренное статьей 17 Федерального закона. В частности, ограничения не будут применяться при соблюдении двух условий: 1) круг пользователей программно-аппаратных средств заранее определен их владельцами (т.е. владельцами VPN сервисов); 2) такие программно-аппаратные средства применяются для технологического обеспечения деятельности лица их использующего. В отсутствие официальных разъяснений со стороны Роскомнадзора и Минкомсвязи полагаем, что в последнем случае речь идет как раз о применении программно-аппаратных средств для осуществления коммерческой (хозяйственной) деятельности. Примером здесь и может служить применение VPN-соединений в корпоративных целях, среди ограниченного круга пользователей. В связи с чем напрашивается предварительный вывод о том, что VPN, равно как и другие программно-аппаратные средства и технологии, применяемые для внутрикорпоративных целей и поддержания деятельности компании, подпадают под исключения, предусмотренные Федеральным законом. Стоит отметить, что в проекте Федерального закона статья 17 выглядела несколько иначе и там непосредственно упоминалось о том, что под требования закона не будут подпадать случаи, когда владельцы информационно-телекоммуникационных сетей, информационных систем или программ для ЭВМ обеспечивают их использование исключительно лицами, которые состоят с такими владельцами в трудовых отношениях[6]. Однако редакция, изначально предложенная депутатами Госдумы, претерпела изменения в пользу более размытой и широкой формулировки исключения.

В связи с этим однозначные выводы делать пока рано. К тому же нет никаких гарантий относительно того, что один и тот же VPN-канал может использоваться как в корпоративных целях, так и в целях получения доступа к ресурсам и веб-сайтам, заблокированным в России. К примеру, такие VPN-соединения, как HideMy.name, ExpressVPN или PIA могут одновременно применяться как для обеспечения доступа сотрудников корпорации к глобальной корпоративной платформе, так и для возможности обхода заблокированного доступа к запрещенным информационным ресурсам в России. При этом из нового Федерального закона явно не следует, как будет распределяться ответственность (и будет ли) среди владельцев программно-аппаратных средств и лиц, использующих такие технологии для обеспечения своей деятельности.

По сообщениям из прессы, интернет-омбудсмен Д. Мариничев уже назвал принятый Федеральный закон "безумием" со ссылкой на то, что "невозможно отделить VPN, который используется в коммерческих целях, от VPN, который используется для обхода блокировок"[7]. Есть опасения, что практика применения нового Федерального закона пойдет по пути тотальной блокировки администраторами сервисов таких инструментов, как VPN и TOR вне зависимости от того, для каких целей они используются.

Порядок взаимодействия Роскомнадзора с провайдерами хостинга и владельцами сайтов[8]. Небезызвестно, что Роскомнадзор осуществляет ведение Единого реестра запрещенных сайтов (далее – "Реестр")[9]. Сведения об ограничении доступа к сайтам и (или) страницам сайтов в сети Интернет можно получить посредством обращения к универсальному сервису проверки ограничения доступа к сайтам и (или) страницам сайтов в сети Интернет, размещенному на официальном сайте Роскомнадзора: http://blocklist.rkn.gov.ru/. О причинах отсутствия доступа следует запрашивать провайдера хостинга либо оператора связи.

В связи с этим происходит активное взаимодействие Роскомнадзора и оператора Реестра. У провайдера хостинга[10] есть всего 24 часа на уведомление владельца сайта[11], который у него обслуживается, о необходимости незамедлительно удалить интернет-страницу, где содержится недопустимая к распространению в Российской Федерации информация. В свою очередь, в распоряжении у владельца сайта также есть 24 часа на удаление спорной интернет-страницы. В противном случае доступ к этой странице будет ограничен провайдером хостинга. Отказ или бездействие владельца сайта приведут к аналогичным последствиям. Непринятие указанных мер провайдером хостинга и/или владельцем сайта непосредственно повлечет за собой включение сетевого адреса, позволяющего идентифицировать сайт в сети Интернет, в Реестр. В силу чего провайдерам хостинга и владельцам сайтов рекомендуется своевременно выполнять требования законодательства, а уже потом пытаться оспорить решение о включении в Реестр в судебном порядке[12].

Альтернативным вариантом является обращение к оператору Реестра с просьбой об исключении сведений из Реестра после удаления запрещенной информации с заблокированного сайта. Процедура обращения к оператору Реестра предусмотрена и в случае отмены решения о включении в Реестр заблокированного сайта в судебном порядке.  

Взаимодействие Роскомнадзора с правоохранительными органами. В Федеральном законе также подробно описан порядок действий Роскомнадзора при обращении к нему правоохранительных органов, в случае если ими были выявлены сайты или программы для ЭВМ, позволяющие обходить блокировку и получать доступ к заблокированным в России ресурсам. Получив обращение от правоохранительных органов, Роскомнадзор, в свою очередь, направляет уведомление провайдеру хостинга или иному лицу, разместившему в Интернете ПО для доступа к заблокированным ресурсам. Уведомление направляется с целью идентификации владельца сайта или ПО, посредством которых предоставляется доступ к запрещенным сетям и ресурсам. Провайдер хостинга, в свою очередь, направляет владельцу сайта или ПО требование о подключении к федеральной государственной информационной системе информационных ресурсов, информационно-телекоммуникационных сетей, доступ к которым ограничен (далее – "Система"). Впрочем, Роскомнадзор может направить соответствующее требование напрямую, если нарушения были выявлены им самостоятельно. На выполнение требования Роскомнадзора дается 30 рабочих дней. Аналогичные правила распространяются и на операторов поисковых систем.

Ответственность. Ответственность за несоблюдение принятых Поправок ни для поисковых систем, ни для провайдеров хостинга или владельцев интернет-сайтов в Федеральном законе не установлена. Возможно последующие поправки будут внесены в КоАП РФ позже, после начала действия Федерального закона. Пока КоАП РФ устанавливает лишь ответственность операторов связи за неисполнение ими обязанности по ограничению/возобновлению доступа к информации, доступ к которой был ограничен/возобновлен на основании сведений, полученных от Роскомнадзора (ст. 13.34 КоАП РФ).

Вместе с тем ряд VPN-владельцев в России уже согласились с новыми поправками и используют тот же черный список адресов URL (ссылок в интернете), которые провайдеры и телекоммуникационные компании должны блокировать. Соответственно, VPN-сервисы, которые не соответствуют установленным в законодательстве требованиям, попадают в черный список. В начале этого года Роскомнадзор по инициативе прокуратуры уже заблокировал VPN-сервис Hideme.ru на основании решения суда после того, как было установлено, что VPN-канал используется для доступа к экстремистским материалам.

Иностранные провайдеры VPN-соединений уже начали уходить из России, как это сделал, например, PIA (Private Internet Access, американский VPN-провайдер), свернув всю свою деятельность в России с июля 2016 года, еще после принятия "пакета Яровой"[13]. По словам представителей сервиса, это было сделано после того, как серверы владельцев VPN в России были изъяты российскими властями без какого-либо предупреждения.

Что дальше? Поправки в законодательство об информации, скорее всего, заставят владельцев VPN и подобных сервисов более осторожно и тщательно отслеживать, в каких целях они используются. В противном случае есть риск того, что при выявлении нарушений, анонимайзеры и VPN-сервисы могут быть заблокированы. IT-специалисты уточняют, что это можно сделать несколькими методами: по типу трафика или по IP-адресам. Последний способ довольно простой, Роскомнадзору потребуется лишь внести в реестр заблокированных сайтов все IP-адреса официальных сайтов, где можно приобрести VPN, и публичные серверы Tor. Второй путь – более тернистый, так как требует установки специального и весьма дорогого DPI-оборудования, которое будет анализировать интернет-трафик. Идентифицировать VPN-трафик с помощью такого оборудования не составит труда.

Однако, если с технической точки зрения заблокировать VPN-сервис достаточно просто, еще проще провайдеру его реструктурировать и воссоздать новые IP-адреса. К тому же масштаб использования VPN-технологий и появление все новых и новых средств, обеспечивающих анонимность в сети, на сегодняшний день несоизмерим с запретами, которые вводит законодатель.

За рубежом новые поправки называют очередным сильным ударом по открытому Интернету со стороны российских властей. Многие проводят параллели с китайской интернет-реформой, так как именно китайское правительство стало первопроходцем в деле запрета VPN-каналов, установив требование о лицензировании VPN-сервисов. При этом одним из критериев получения лицензии является то, что VPN-сервисы должны блокировать доступ к сайтам и сервисам с запрещенным контентом. Поэтому, делая прогнозы относительно реализации российских Поправок на практике, небезынтересно будет упомянуть о китайском опыте, где после принятых запретов стал применяться скрытый режим для обхода системы межсетевой защиты (англ. firewall). Такой сервис уже используется обычными гражданами в Китае, ОАЭ, Иране и в других странах, где доступ к VPN заблокирован или ограничен. Скрытый режим маскирует зашифрованный VPN-трафик под обычные TLS- или SSL-соединения. Учитывая тот факт, что https-трафик регулярно использует в целях шифрования скрытый режим (например, для безопасной оплаты с кредитной карты и при введении паролей), этот метод маскировки VPN-трафика кажется довольно удобным и эффективным. Скрытый режим позволит с высокой долей вероятности скрыть тот факт, что VPN-канал был использован. В связи с этим, даже несмотря на то, что уже разработан проект приказа Роскомнадзора об утверждении Порядка контроля за исполнением владельцами анонимайзеров, сервисов VPN и операторами поисковых систем обязанностей по исполнению нововведений, вступающих в силу с 1 ноября 2017 года, представляется весьма сложным применить новые ограничения российского законодателя на практике.


[1] Федеральный закон от 29.07.2017 № 276-ФЗ "О внесении изменений в Федеральный закон об информации, информационных технологиях и о защите информации".

[2] VPN (англ. Virtual Private Network — виртуальная частная сеть) — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети.

[3] К анонимайзерам можно отнести веб-сайты и специальные вредоносные программы, позволяющие открывать ранее заблокированные интернет-ресурсы. Анонимайзеры позволяют не оставлять данные о своем реальном местоположении, IP-адресе и прочих параметрах при посещении заблокированных ресурсов в Интернете.

[4] SSL (Secure Sockets Layer) — это протокол, который защищает данные, пересылаемые между веб-обозревателями и веб-серверами. Основное назначение протокола – аутентификация сервера, гарантирующая пользователям, что они попали именно на тот веб-узел, который хотели посетить.

Любая страница, чей адрес начинается с https, передается в защищённом виде с помощью SSL.

[5] Одним из инициаторов законопроекта стал Общественный совет при ФСБ России.

[6] http://asozd2.duma.gov.ru/addwork/scans.nsf/ID/F071CE249CC1BD814325813900378252/$File/195446-7_08062....

[7] https://zona.media/news/2017/06/08/marinichev.

[8] https://eais.rkn.gov.ru/toproviders/.

[9] Полное наименование реестра – Единый реестр доменных имен, указателей страниц сайтов в сети Интернет и сетевых адресов, позволяющих идентифицировать сайты в сети Интернет, содержащие информацию, распространение которой в Российской Федерации запрещено.

[10] Провайдер хостинга – лицо, оказывающее услуги по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети "Интернет". https://eais.rkn.gov.ru/toproviders/.

[11] Владелец сайта в сети "Интернет" – лицо, самостоятельно и по своему усмотрению определяющее порядок использования сайта в сети "Интернет", в том числе порядок размещения информации на таком сайте. https://eais.rkn.gov.ru/toproviders/.

[12] Решение может быть обжаловано владельцем сайта в сети "Интернет", провайдером хостинга, оператором связи в суд в течение 3 месяцев со дня принятия такого решения. https://eais.rkn.gov.ru/toproviders/.

[13] https://xakep.ru/2016/07/13/pia-leave/.

Двенадцатова_ БанкНадзор_ Анонимайзеры и VPN-сервисы под запретом_12.2017

Скачать файл
Файл добавлен 15.12.2017
Презентация .pdf (126 Кб)
Консультация эксперта

Подать заявку на участие

Соглашение