Теле2

Банковское обозрение. Как работают VPN-сервисы в разных странах и почему анонимайзеры сложно запретить

C 1 ноября на территории Российской Федерации вводится регулирование работы VPN-сервисов и анонимайзеров, которым отныне запрещено предоставлять доступ к сайтам, находящимся в списке запрещённых ресурсов по версии Роскомнадзора. Согласно вступившим в силу поправкам к Федеральному закону № 149-ФЗ «Об информации, информационных технологиях и о защите информации», владельцы таких сервисов, в том числе операторы поисковых систем, использующие специальные браузерные программы-анонимайзеры, обязаны в течение трёх дней ограничить доступ к запрещённой информации, а также прекратить выдачу на них ссылок.

Нормативный акт (), который внёс поправки в действующий закон, датирован 29 июля, и за три месяца до вступления изменений в силу многие эксперты успели высказать свои предположения относительно целей, задач и возможных итогов введения очередного запрета. Так, по словам исполнительного директора ассоциации интернет-изданий Владимира Харитонова, нововведение обречено на провал, поскольку сегодня функционирует огромное множество анонимайзеров, а значит, пользователь всегда найдёт сервис, который ещё не закрыт. При этом Харитонов призывает обратить внимание на имевшие место случаи, когда владельцы VPN-сервисов попросту отказывались подчиняться подобным требованиям, объясняя это «заботой о выполнении обязательств перед своими клиентами». Показательный пример – Telegram, который ещё летом предоставил своим клиентам альтернативный доступ к сети через прокси-серверы. Ещё более яркая демонстрация противодействия государственной цензуре прямо сейчас наблюдается в Китае, где со стороны сервисов VPN идёт не только «решительное осуждение мер, угрожающих свободе слова и гражданским свободам», но и выдаются заверения китайским пользователям в том, что они несмотря ни на что будут иметь доступ к открытому интернету.

Опасения относительно нововведений и в Ассоциации европейского бизнеса, где предполагают возможность серьёзного удара по корпоративным ИТ-системам, работающим на VPN. Как регулятор будет идентифицировать те VNP, которые используются для обхода блокировок, а не для, например, корпоративных целей? По словам Леонида Евдокимова, разработчика Tor Project, обеспечение какой-либо фильтрации просто невозможно, к тому же серьёзный вопрос вызывает проблема того, как отличить российских пользователей от «нероссийских». Единственный выход – заставить VPN-провайдеров фильтровать трафик согласно требованиям Роскомнадзора для всех пользователей, но это гарантированно создаст крайне опасный прецедент в масштабах мировой сети.

Эксперты говорят и о возможном ухудшении качества провайдерских услуг в связи с введением новых требований. Исполнительный директор Общества защиты интернета Михаил Климарёв утверждает , что на борьбу с VPN провайдёрам придётся закупать дорогостоящее оборудование, способное глубокого анализировать пользовательский трафик. Отсюда же и серьёзная угроза закрытия и ухода с рынка огромно числа небольших провайдерских компаний.

Для справки: VPN-сервис – это услуги виртуальной частной сети, в которой функционируют собственные сервера, позволяющие получать доступ к любым ресурсам мировой паутины, в том числе заблокированным в том или ином её территориальном сегменте. Кроме того, пользователь такой сети наделяется статусом анонима, т. е. получает возможность просматривать веб-страницы от имени IP-адреса веб-прокси. Такую же услугу предоставляют программы-анонимайзеры. Фактически поправки в Федеральный закон № 149-ФЗ не лишают пользователей права пользоваться VPN-сервисами и анонимайзерами. Они лишь обязывают владельцев последних ограничивать доступ к сайтам, запрещённым Роскомнадзором. При выявленных нарушениях сервисы будут попросту блокироваться на территории страны.

Как действие обновлённого закона скажется на рядовых гражданах или компаниях, использующих услуги виртуальных частных сетей? Согласно вышесказанному, рядовой пользователь анонимайзера или сети VPN однажды рискует столкнуться с ситуацией, когда его любимый сервис будет заблокирован по причине неисполнения требований Роскомнадзора, а вместе с ним пропадёт возможность пользоваться его неограниченными возможностями серфинга в сети. Выходом из такого положения, который напрашивается первым, станет покупка приватного VPN или перенастройка существующего. Для вычисления такого анонимайзера интернет-провайдеру понадобится подключать дополнительные и очень дорогие мощности. Кроме того, опыт того же Китая, где несмотря на все потуги властей, 31% трафика, который используется китайцами для обмена информацией с внешним миром, проходит через VPN, показывает, что компьютерная грамотность сторонников открытого интернета всегда идёт на несколько шагов впереди авторов всевозможных блокировок и «пакетов Яровой».

Дмитрий Холод

Политически запрет означает очередную безнадежную попытку блокировать возможность доступа к "запрещенным" сайтам. Технически - дополнительные, но вполне преодолимые трудности. Юридически никакого тотального запрета нет, как нет и запрета рядовым пользователям продолжать использовать VPN, анонимайзеры или Тор.

По информации в СМИ новый "запрет" напрямую касается только самих интернет-услуг . Запрещено обеспечивать доступ российских пользователей к "блокированным" в РФ сайтам. Выявленных "нарушителей" (какую-нибудь фирму в США, Европе или скажем, Корее) предупредят и потребуют устранить "нарушения". А если не устранит, то ее саму по мере сил "заблокирует" Роскомнадзор. То есть, законодатель пытается переложить обязанность блокировки на сами VPN или анонимайзеры. Российским фирмам придется запрет исполнять и о них лучше забыть (кроме корпоративного VPN).

"Рядовой пользователь" может преодолеть трудность сразу несколькими способами .

Если он работает в компании, где есть корпоративный VPN , не предоставляющий услуг посторонним частным лицам, то на такой VPN действие новых ограничений не распространяется. Если при этом сам работодатель не запрещает выход сотрудников в интернет, то с рабочего места можно будет посетить все что угодно.

Анонимайзеров и служб VPN так много, что большинство не заблокируют - даже не попытаются. Сами они, как правило, о законах РФ ничего не знают и знать не хотят. Хотя бы, чтобы не тратиться на их исполнение. Т. о., всегда можно найти незаблокированный вариант.

Тор заблокировать не смогут , хотя и попытаются, вероятно. Но Китай его уже давным-давно блокирует-блокирует, а китайцы пользуются и пользуются. Кроме "публичных" точек выхода у сети есть и непубличные - и пойди их всех найди и заблокируй. Но может дополнительно понизиться скорость, а Тор и так небыстрый.

Технически Роскомнадзор не сможет заблокировать ни одну крупную зарубежную службу VPN . У нее есть множество IP-адресов, о чьей принадлежности именно к этой службе посторонние просто не знают. Заблокируют сайт "нарушителя" и часть его IP. Зарегистрированные пользователи будут пользоваться VPN по-прежнему и, во многих случаях, с прежней скоростью. Новым пользователям придется как-то иначе обойти блокировку официального сайта, чтобы зарегистрироваться на нем.

Можно создать свой собственный VPN на арендованном зарубежном сайте. Это, конечно, уже для программистов и пр. "не-чайников".

Ну а самый забавный вариант - это использование двух "законопослушных" VPN /анонимайзеров. Если они не российские, то блокировать "запретку" будут только для своих российских клиентов. Через одну службу заходим на другую (она же не "заблокирована" Роскомнадзором!). Для другой вы уже не из РФ, а из Голландии, например. Поэтому через нее невозбранно посещаете все, куда вас не хочет пускать Роскомнадзор.

Еще надо иметь в виду, что поисковикам предписано не выдавать "запретку" . О Яндексе с этого момента можно просто забыть. В Google, вероятно, лучше будет заходить через VPN/анонимайзер/Тор (и хорошо бы - не на "русский" google.ru, а на "международный" / "немецкий" / "украинский" ; искать они умеют все - в том числе на кириллице, но результаты выдачи могут отличаться: , например, при прочих равных поставит выше сайты на немецком или из немецкоязычных стран, а у "украинского" могут в будущем появиться ограничения в части выдачи "антиукраинских" ссылок). Ну и, вообще, в мире масса альтернативных поисковых машин (например, принципиально не следящая за пользователями и не искажающая выдачу в зависимости от их местонахождения или личности) и мета-машин (например, международная , немецкие , принципиально не регистрирующая данные пользователей, с возможностью выбора между "немецким" и "международным" поиском, швейцарская ). У метамашин в выдаче будут, вероятно, и результаты от Google, но без искажений в угоду Роскомнадзору.

UPD . "Медуза" в начале июня о возможностях обойти нынешнюю новую блокировку:

Там, в частности, упоминается возможность удаления приложений под Андроид из гугл-маркета (по кр. мере, для российских пользователей). На этот счет тоже есть "лекарство": качать apk из альтернативных источников (без регистрации). Я сам это делаю, хоть и по другим причинам (не желаю информировать Гугль или иной маркет о том, чем пользуюсь, и не желаю позволить ограничить ассортимент по прихоти Гугля или иного маркета).

Вот три надежных источника apk (есть, конечно, и другие):

Здесь есть почти всё и во всех версиях

Здесь удобнее и есть многое, но не всё

Здесь только бесплатные приложения с открытым кодом и не требующие лишних полномочий; если важны анонимность и безопасность, лучше попробовать сначала найти что-то подходящее здесь (иногда и размер приложения весьма мал, при нормальной функциональности)

VPN и анонимайзеры, как и все остальное, бывают бесплатные и платные. Скажем, веб-анонимайзер бесплатно и без регистрации позволяет посещать http, зато https - только зарегистрированным платным пользователям. А некоторые другие (сейчас сходу не вспомню, какие именно) - всем желающим и на https. В VPN бесплатность обычно ограничена временем и/или количеством мегабайт, скоростью. Платные сервисы стоят, вроде, не дороже 10 $ в месяц (сам не пользовался и ресь об обычных скоростяз и обхемаз траффика) - тогда быстрее и без ограничений (или с меньшими). Есть VPN без регистрации в некоторых браузерах (турбопрежим в Opera, например) и бог весть, прогнутся ли они под РФ. Опера представляет возможность VPN без регистрации и оплаты для всех программ на компьютере, но надо скачать и установить Opera VPN (вроде так программа называется; есть она и как приложение под Андроид). В конце-концов, любой зарубежный анонимный прокси из регулярно обновляемых списков в интернете позволяет бесплатно и без регистрации обойти все "блокировки" Роскомнадзора. А если прокси на https, то вот вам и бесплатный VPN без регистрации. Просто через час или день придется, как правило, перенастроиться на другой прокси.

Провели опрос специалистов с целью выяснить, насколько это реализуемо.

В документе говорится об «информационно-телекоммуникационных сетях, информационных системах или программах для электронных вычислительных машин, которые могут использоваться на территории Российской Федерации для обхода ограничения доступа». То есть ограничения касаются и VPN, и браузера Tor.

Кроме того, документ обязывает поисковики не показывать ссылки на заблокированные в России сайты. Поисковым системам откроют доступ к реестру запрещенных сайтов, и если они откажутся убрать их из выдачи, то компанию оштрафуют на 500–700 тысяч рублей. Возможно, это делается для того, чтобы через Google нельзя было найти запрещенный сайт, скопировать ссылку, а потом зайти на него через VPN.

Зачем нужен VPN

С помощью VPN-сервисов можно обходить блокировки сайтов, которые не работают в России (например, Spotify). Но это не единственное, зачем они нужны. Удаленные работники и сотрудники филиалов подключаются по VPN к корпоративным сервисам, тем самым они не ставят данные компании под угрозу. Люди, которые выходят в интернет через общественный Wi-Fi и боятся, что их данные перехватят, тоже используют VPN, чтобы защититься от злоумышленников.

Если обычно компьютер подключается к интернету через сервер провайдера, то VPN-сервис настраивает туннель между вашим компьютером и удаленным сервером. Таким образом вы выходите в интернет обходным путем. Все данные внутри туннеля шифруются, поэтому провайдер и хакеры не знают, куда вы заходите под VPN-соединением и что делаете в интернете. При этом сайты не видят истинный IP-адрес вашего компьютера, поскольку вы работаете под чужим адресом. VPN (Virtual Private Network) создает безопасную частную сеть внутри незащищенного интернета.

Как его будут блокировать?

Согласно проекту, Роскомнадзор собирается находить VPN-сервисы, такие как TunnelBear, к примеру. После этого будет просить хостинговую компанию дать контакты владельцев TunnelBear. Если хостинг пришлет контакты (он должен сделать это за три дня), то Роскомнадзор пишет владельцам TunnelBear письмо, в котором требует закрыть для россиян доступ к заблокированным в России сайтам. На эту процедуру дается месяц. Если сервис соглашается, ему открывают доступ к реестру запрещенных сайтов, если он отказывается, то его сайт (и, возможно, инфраструктуру) блокируют в течение двух суток.

Когда начнутся блокировки?

В проекте сказано, что закон вступит в силу через 90 дней после официальной публикации. Если законопроект рассмотрят и примут до конца весенней сессии Государственной думы, то закон вступит в силу до ноября. Первые блокировки могут произойти до конца года.

Артем Козлюк, руководитель общественной организации «Роскомсвобода»:

«Все идет к тому, что закон примут в экстренном порядке. Скорее всего, до конца весенней сессии. Сейчас он проходит согласование по думским комитетам: был одобрен в правовом управлении, был предварительно одобрен в комитете по инфополитике, 19 июня пройдет заседание, на котором, не сомневаюсь, он будет окончательно согласован. Безусловно, заседание пройдет с бенефициарами законопроекта, в первую очередь с Медиакоммуникационным союзом, в недрах которого родился первоначальный проект документа.

Это тренд последних пяти лет. Практически все эти законы принимались в сверхкороткие сроки - от двух недель до месяца, - без учета мнения отрасли, не говоря уже о том, чтобы принять к сведению общественный резонанс. В расчет даже не принимается мнение правительства. В тексте есть приписка о том, что внедрение не потребует затрат из федерального бюджета. Поэтому отзыв правительства России на законопроект не требуется. Правительство иногда поступает разумно, делает критические замечания по тексту. Но их никто не принимает в расчет, потому что этого не хотят депутаты и бенефициары.

Будет удивительно, если первое чтение не пройдет до конца июня. Но если не в весеннюю сессию, то в начале осенней сессии его примут. Когда он вступит в силу? Если примут в этом году, то, скорее всего, в начале следующего года мы будем жить по новым правилам».

Саркис Дарбинян, сопредседатель Ассоциации пользователей интернета:

«Опыт последних лет показал, что даже самые дикие инициативы по регулированию интернета могут быть приняты в Государственной думе. Ведь за законодательной инициативой стоят известные медиалоббисты доинтернетовской эпохи, Роскомнадзор и некоторые частные лица, которые не прочь на этом заработать. Поэтому они обладают весьма большим ресурсом, который может быть использован для принятия закона».

Возможно ли вообще заблокировать VPN?

Саркис Дарбинян : «Самое простое, что сделает Роскомнадзор, - внесет в реестр все доменные имена и IP-адреса официальных сайтов популярных VPN-сервисов, на которых можно приобрести продукт. Однако это не значит, что пользователи не смогут получать установочные файлы VPN-приложений на форумах, зеркалах, по почте или в мессенджерах или настраивать туннели самостоятельно. Если будет подлинное желание объявить масштабный рейд против VPN и принципиальной возможности соединяться с удаленными машинами за пределами России, придется понести колоссальные расходы. Все операторы связи будут вынуждены приобрести за свой счет сертифицированное DPI-оборудование, которое производят в Китае. Лишь оно умеет определять VPN-трафик и отличать его от иного зашифрованного HTTPS-трафика».

Артем Козлюк : «Будут вставлять палки в колеса тем, кто почему-то не хочет подключаться к реестру запрещенных сайтов и ограничивать доступ для клиентов. Будут блокировать IP-адреса, технические домены, а не только сайты. Это сейчас происходит с блокировкой мессенджеров: блокируется не только веб-ресурс, но и технические мощности приложения. Иногда это удается, но потом мессенджер снова оживает. Это зависит от владельца ресурса, который попал под блокировку: готов ли он предоставить клиентам обновления для того, чтобы сервис снова заработал. Я предполагаю, что 80–90% сервисов останутся доступными для пользователей из России. Какие-то совсем мелкие, возможно, отомрут, но большинство, конечно, останется».

Карен Казарян, генеральный директор Института интернет-исследований:

«Технически это игра в кошки-мышки. Как мы знаем, в Китае есть сложная интеллектуальная система для блокировки подобных приложений, которая анализирует трафик. Система очень и очень дорогая и работать будет только при централизации доступа в интернет. Но, как мы опять-таки знаем, с доступом к западным сервисам в Китае особой проблемы нет - не все ловит система. В России же речь будет идти о том, чтобы банально внести в черные списки ссылки на скачивание приложений. Что будут делать с магазинами приложений или встроенными в операционные системы инструментами - отдельный вопрос».

Маркус Саар, глава VPN-сервиса HideMy.name:

«Если происходит блокировка сайта, это никак не влияет на работу самого VPN, а значит, те, кто уже является клиентами сервиса, не заметят никаких изменений для себя. Сам VPN, в отличие от сайта, заблокировать крайне сложно, и потребуется глубоко вникнуть в принципы работы каждого отдельного сервиса, структуру сети и т. д., а сервисов таких во всем мире не одна сотня, и постоянно появляются новые. При этом VPN-сервис может оперативно реструктурировать сеть, и все потребуется делать заново (причем процедура может быть автоматизирована). Никто подобными вещами на практике не занимается, даже в Китае».

Может ли Роскомнадзор помешать работе Tor?

Карен Казарян : «Теоретически можно внести адреса узлов в черные списки, но обходится это очень быстро. Хотя с учетом продолжающегося цирка с работой системы «Ревизор» и рассылкой «белых» списков по провайдерам - непонятно, как они вообще что-то собрались блокировать».

Артем Козлюк : «Осложнить работу возможно, но для этого нужны огромные мощности и большие деньги из бюджета».

Саркис Дарбинян : «С Tor еще сложнее. Можно блокировать выходные узлы и даже вычислять промежуточные реле. Но после того как в том же Китае начали бороться с Tor, разработчики приложения научили систему прокладывать мосты с помощью скрытых ретрансляторов. Функция моста была создана специально для того, чтобы помочь людям использовать Tor там, где доступ к сети Tor заблокирован».

Есть ли у пользователей VPN альтернативы?

Карен Казарян : «VPN-сервисов существует масса. Я сомневаюсь, что в Роскомнадзоре действительно повлияют на их работоспособность. Не говоря уже о том, что поднять собственный VPN на арендованном иностранном хостинге - вопрос десяти минут и пяти долларов.

Саркис Дарбинян : «Есть множество способов, которыми может воспользоваться человек: изучить вопрос и с легкостью настроить собственный VPN, использовать иные решения, такие как Psiphon, Tor, турборежимы браузеров, плагины, приобрести иной VPN-сервис, который заботится о пользователях и предпринимает оперативные меры».

К чему приведет блокировка?

Артем Козлюк : «Практически весь бизнес завязан на VPN. Под угрозу встают виртуальные частные сети любых предприятий, от мелких до крупных. Сбои в работе VPN могут произойти в любой момент из-за некорректной работы по правоприменению нового закона. Мы бесконечное число раз видим, как Роскомнадзор исполняет эти законы. Во-первых, они неграмотно написаны с технической стороны, во-вторых, в процессе правоприменения Роскомнадзор наращивает эту техническую безграмотность до новых масштабов».

Маркус Саар : «До сих пор не ясно, как будет происходить проверка и контроль. VPN, в отличие от формы анонимайзера, - это закрытая сеть, и для доступа к ней необходимо приобрести платную подписку и установить ПО. Причем у некоторых сервисов нет своего ПО, и необходимо настраивать подключение вручную, используя конфигурационные файлы, ключи и сертификаты. Второй вопрос - насколько рационально «бить» по технически подкованным пользователям, которые дошли до использования VPN, Tor и других инструментов. Ведь если они один раз нашли в себе силы и желание обойти цензуру, то сделают это снова и снова».

Саркис Дарбинян : «Блокировка операторами связи VPN-трафика однозначно означает колоссальный ущерб всему корпоративному сектору, цифровой экономике страны и понижение защищенности российских граждан в глобальной цифровой среде перед лицом иностранных спецслужб, корпораций и злоумышленников, использующих уязвимости для слежки и похищения данных. Закрыть на 100% возможность передавать и получать информацию по VPN не удавалось еще никому, даже в азиатских и мусульманских странах с репрессивными режимами. У провайдеров есть списки IP-адресов самых популярных VPN, которые они с какой-то периодичностью обновляют и блокируют. Но VPN-трафик тоже научился маскироваться. Провайдер VPN может создавать новые IP-адреса хоть каждую минуту (плюс бесконечный IPv6), поэтому делать это будет все сложнее и дороже».

Не так много времени остается до вступления в силу нового Федерального закона 1 , который известен как Закон о запрете анонимайзеров и VPN-сервисов (далее - Федеральный закон, Поправки). Речь идет о запрете использования технологий, информационных систем и программ, позволяющих обойти блокировку и получить доступ к заблокированным информационным ресурсам с запрещенным контентом, доступ к которым в России ограничен. Мировые СМИ уже поспешили сравнить серию российских запретов с китайской программой «Золотой щит», которая предусматривает систему фильтрации интернет-контента и блокировку мобильных приложений и сервисов, предлагающих VPN и инструкции для анонимного входа в Интернет По оценкам специалистов, усиление цензуры в Интернете с легкой руки российского законодателя приведет к тому, что Россия соорудит свой защитный экран, который будет эффективно отражать весь негативный контент, не позволяя российским пользователям получить к нему доступ. Однако можно ли реализовать такие попытки на практике с технической точки зрения и помогут ли тут правовые механизмы, далеко не ясно. Поправки затронут прежде всего владельцев VPN 2 и анонимайзеров 3 , а также поисковые системы, которые обязаны будут блокировать любые ссылки на информационные ресурсы или информационно-телекоммуникационные сети, запрещенные Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - Роскомнадзор). Ответственность за нарушение новых требований будут нести непосредственно владельцы VPN-технологий. Так, под запрет попадает такой известный анонимный браузер, как Tor или анонимная сеть I2P, которые должны будут блокировать доступ на запрещенные веб-сайты. Под запрет попадут также прокси и умные системы доменных имен (Domain Name Systems, DNS). Однако не стоит думать, что запрет будет распространяться только на владельцев специализированных технологий VPN. Речь идет и о сайтах, на которых размещаются инструкции по обходу блокировок, а также о магазинах приложений, предусматривающих VPN-сервисы для смартфонов. Условно говоря, любой интернет-ресурс, предлагающий использование VPN для обхода заблокированных сайтов, будет в зоне риска. Что касается безопасности, например, интернет-банкинга, то на средства шифрования, применяемые банками при осуществлении платежей, Поправки распространяться не будут. При проведении платежей банки зачастую используют защищенное SSL-соединение 4 , обеспечивающее конфиденциальность передаваемой информации с помощью специального канала, по которому информация передается между обозревателем и сервером в зашифрованном виде во избежание ее искажения и утери.

Пояснительная записка многое объясняет?

В пояснительной записке5 не раз указывалось на то, что опыт блокировки информационных ресурсов, размещающих запрещенный контент, оказывался не совсем удачным. К примеру, поисковые системы даже после блокировки выдавали ссылки на заблокированные ресурсы, не говоря уже об использовании анонимных прокси-серверов, VPN для получения доступа к заблокированным ресурсам. Не секрет, что VPN работает как прокси-сервер, используя который пользователь при просматривании интернет-страниц будто бы находится в другой стране. Такая технология позволяет обойти установленные правительством системы сетевой защиты и получить доступ в Интернет без каких-то ограничений и без риска слежки со стороны госструктур. Любопытно, что основная масса сервисов, предоставляющих данные возможности, находится не в России, что ставит под вопрос потенциал нового Федерального закона. При этом контрольные полномочия по соблюдению новых запретов предоставлены не только Роскомнадзору, но и правоохранительным органам, с которыми Роскомнадзор планирует взаимодействовать в целях отслеживания и получения информации о появлении сервисов для обхода блокировок.

Порядок взаимодействия с Роскомнадзором

Единый реестр доменных имен, указателей страниц сайтов в Интернете и сетевых адресов, позволяющих идентифицировать сайты в Сети, содержащие информацию, распространение которой в Российской Федерации запрещено, доступен на сайте Роскомнадзора по ссылке http://eais.rkn.gov.ru/ .

Нововведения будут применяться только к VPN-сервисам и анонимайзерам, предоставляющим доступ к онлайн-ресурсам и информационно-телекоммуникационным сетям, доступ к которым в России был заблокирован Роскомнадзором. Как правило, решение о блокировке информационных ресурсов принимается в отношении тех из них, которые содержат информацию, связанную с детской порнографией, наркотиками, пропагандой суицида или экстремизма. Кроме того, Роскомнадзором регулярно блокируются веб-сайты, содержащие пиратские видео, музыку или программное обеспечение. В связи с этим возникает вопрос: как следует применять новые правила в отношении VPN-сервисов, используемых для корпоративных целей, и применимы ли нововведения Федерального закона к таким ситуациям в принципе?

VPN для применения в корпоративных целях

Вопрос, связанный с применением анонимайзеров или VPN-сервисов в корпоративных целях, в Поправках напрямую не затронут. Вместе с тем крупные компании, располагающие офисами по всему миру, довольно часто обеспечивают удаленный доступ своих сотрудников к единой корпоративной платформе как раз с использованием VPN-каналов.

В Поправках, однако, есть исключение из принятых нововведений, предусмотренное ст. 17 Федерального закона. В частности, ограничения не будут применяться при соблюдении двух условий: 1) круг пользователей программно-аппаратных средств заранее определен их владельцами (владельцами VPN-сервисов); 2) такие программно-аппаратные средства применяются для технологического обеспечения деятельности лица, их использующего. В отсутствие официальных разъяснений со стороны Роскомнадзора и Минкомсвязи полагаем, что в последнем случае речь идет как раз о применении программно-аппаратных средств для осуществления коммерческой (хозяйственной) деятельности. Примером здесь и может служить применение VPN-соединений в корпоративных целях, среди ограниченного круга пользователей. В связи с этим напрашивается предварительный вывод о том, что VPN, равно как и другие программно-аппаратные средства и технологии, применяемые для внутрикорпоративных целей и поддержания деятельности компании, подпадают под исключения, предусмотренные Федеральным законом. Стоит отметить, что в проекте Федерального закона ст. 17 выглядела несколько иначе и там непосредственно упоминалось о том, что под требования Закона не будут подпадать случаи, когда владельцы информационно-телекоммуникационных сетей, информационных систем или программ для ЭВМ обеспечивают их использование исключительно лицами, которые состоят с такими владельцами в трудовых отношениях 6 . Однако редакция, изначально предложенная депутатами Госдумы, претерпела изменения в пользу более размытой и широкой формулировки исключения.

В связи с этим однозначные выводы делать пока рано. К тому же нет никаких гарантий относительно того, что один и тот же VPN-канал может использоваться как в корпоративных целях, так и в целях получения доступа к ресурсам и веб-сайтам, заблокированным в России. К примеру, такие VPN-соединения, как HideMy.name, ExpressVPN или PIA, могут одновременно применяться как для обеспечения доступа сотрудников корпорации к глобальной корпоративной платформе, так и для возможности обхода заблокированного доступа к запрещенным информационным ресурсам в России. При этом из нового Федерального закона явно не следует, как будет распределяться ответственность (и будет ли) среди владельцев программно-аппаратных средств и лиц, использующих такие технологии для обеспечения своей деятельности.

По сообщениям прессы, интернет-омбудсмен Д. Мариничев уже назвал принятый Федеральный закон безумием со ссылкой на то, что «невозможно отделить VPN, который используется в коммерческих целях, от VPN, который используется для обхода блокировок» 7 . Есть опасения, что практика применения нового Федерального закона пойдет по пути тотальной блокировки администраторами сервисов таких инструментов, как VPN и TOR, вне зависимости от того, для каких целей они используются.

Порядок взаимодействия Роскомнадзора с провайдерами хостинга и владельцами сайтов 8

Известно, что Роскомнадзор осуществляет ведение Единого реестра запрещенных сайтов (далее - Реестр) 9 . Сведения об ограничении доступа к сайтам и (или) страницам сайтов в Интернете можно получить посредством обращения к универсальному сервису проверки ограничения доступа к сайтам и (или) страницам сайтов в Сети, размещенному на официальном сайте Роскомнадзора: http://blocklist.rkn.gov.ru/ . О причинах отсутствия доступа следует запрашивать провайдера хостинга либо оператора связи.

В связи с этим происходит активное взаимодействие Роскомнадзора и оператора Реестра. У провайдера хостинга 10 есть всего 24 часа на уведомление владельца сайта 11 , который у него обслуживается, о необходимости незамедлительно удалить интернет-страницу, где содержится недопустимая к распространению в Российской Федерации информация. В свою очередь, в распоряжении владельца сайта также есть 24 часа на удаление спорной интернет-страницы. В противном случае доступ к этой странице будет ограничен провайдером хостинга. Отказ или бездействие владельца сайта приведут к аналогичным последствиям. Непринятие указанных мер провайдером хостинга и/или владельцем сайта непосредственно повлечет за собой включение сетевого адреса, позволяющего идентифицировать сайт в Интернете, в Реестр, в силу чего провайдерам хостинга и владельцам сайтов рекомендуется своевременно выполнять требования законодательства, а уже потом пытаться оспорить решение о включении в Реестр в судебном порядке 12 .

Альтернативным вариантом является обращение к оператору Реестра с просьбой об исключении сведений из Реестра после удаления запрещенной информации с заблокированного сайта. Процедура обращения к оператору Реестра предусмотрена и в случае отмены решения о включении в Реестр заблокированного сайта в судебном порядке.

Взаимодействие Роскомнадзора с правоохранительными органами

В Федеральном законе также подробно описан порядок действий Роскомнадзора при обращении к нему правоохранительных органов, в случае если ими были выявлены сайты или программы для ЭВМ, позволяющие обходить блокировку и получать доступ к заблокированным в России ресурсам. Получив обращение от правоохранительных органов, Роскомнадзор, в свою очередь, направляет уведомление провайдеру хостинга или иному лицу, разместившему в Интернете ПО для доступа к заблокированным ресурсам. Уведомление направляется в целях идентификации владельца сайта или ПО, посредством которых предоставляется доступ к запрещенным сетям и ресурсам. Провайдер хостинга, в свою очередь, направляет владельцу сайта или ПО требование о подключении к федеральной государственной информационной системе информационных ресурсов, информационно-телекоммуникационных сетей, доступ к которым ограничен (далее - Система). Впрочем, Роскомнадзор может направить соответствующее требование напрямую, если нарушения были выявлены им самостоятельно. На выполнение требования Роскомнадзора дается 30 рабочих дней. Аналогичные правила распространяются и на операторов поисковых систем.

Ответственность

Ответственность за несоблюдение принятых Поправок ни для поисковых систем, ни для провайдеров хостинга или владельцев интернет-сайтов в Федеральном законе не установлена. Возможно, последующие поправки будут внесены в КоАП РФ позже, после начала действия Федерального закона. Пока КоАП РФ устанавливает лишь ответственность операторов связи за неисполнение ими обязанности по ограничению/возобновлению доступа к информации, доступ к которой был ограничен/возобновлен на основании сведений, полученных от Роскомнадзора (ст. 13.34 КоАП РФ).

Вместе с тем ряд VPN-владельцев в России уже согласились с новыми поправками и используют тот же черный список адресов URL (ссылок в Интернете), которые провайдеры и телекоммуникационные компании должны блокировать. Соответственно VPN-сервисы, которые не соответствуют установленным в законодательстве требованиям, попадают в черный список. В начале этого года Роскомнадзор по инициативе прокуратуры уже заблокировал VPN-сервис Hideme.ru на основании решения суда после того, как было установлено, что VPN-канал используется для доступа к экстремистским материалам.

Иностранные провайдеры VPN-соединений уже начали уходить из России, как это сделал, например, PIA (Private Internet Access, американский VPN-провайдер), свернув всю свою деятельность в РФ с июля 2016 года, после принятия «пакета Яровой» 13 . По словам представителей сервиса, это было сделано после того, как серверы владельцев VPN в России были изъяты российскими властями без какого-либо предупреждения.

Что дальше?

Поправки в законодательство об информации, скорее всего, заставят владельцев VPN и подобных сервисов более осторожно и тщательно отслеживать, в каких целях они используются. В противном случае есть риск того, что при выявлении нарушений, анонимайзеры и VPN-сервисы могут быть заблокированы. IT-специалисты уточняют, что это можно сделать несколькими методами: по типу трафика или по IP-адресам. Последний способ довольно прост, Роскомнадзору потребуется лишь внести в реестр заблокированных сайтов все IP-адреса официальных сайтов, где можно приобрести VPN, и публичные серверы Tor. Второй путь - более тернистый, так как требует установки специального и весьма дорогого DPI-оборудования, которое будет анализировать интернет-трафик. Идентифицировать VPN-трафик с помощью такого оборудования не составит труда.

Однако, если с технической точки зрения заблокировать VPN-сервис достаточно просто, еще проще провайдеру его реструктурировать и создать новые IP-адреса. К тому же масштаб использования VPN-технологий и появление все новых и новых средств, обеспечивающих анонимность в Сети, на сегодняшний день несоизмерим с запретами, которые вводит законодатель.

За рубежом новые поправки называют очередным сильным ударом по открытому Интернету со стороны российских властей. Многие проводят параллели с китайской интернет-реформой, так как именно китайское правительство стало первопроходцем в деле запрета VPN-каналов, установив требование о лицензировании VPN-сервисов. При этом одним из критериев получения лицензии является то, что VPN-сервисы должны блокировать доступ к сайтам и сервисам с запрещенным контентом. Поэтому, делая прогнозы относительно реализации российских Поправок на практике, стоит упомянуть о китайском опыте, где после принятых запретов стал применяться скрытый режим для обхода системы межсетевой защиты (firewall). Такой сервис уже используется обычными гражданами в Китае, ОАЭ, Иране и других странах, где доступ к VPN заблокирован или ограничен. Скрытый режим маскирует зашифрованный VPN-трафик под обычные TLS- или SSL-соединения. Поскольку https-трафик регулярно использует в целях шифрования скрытый режим (например, для безопасной оплаты с кредитной карты и при введении паролей), этот метод маскировки VPN-трафика кажется довольно удобным и эффективным. Такой режим позволит с высокой долей вероятности скрыть тот факт, что VPN-канал был использован. В связи с этим, даже несмотря на то, что уже разработан проект приказа Роскомнадзора об утверждении Порядка контроля за исполнением владельцами анонимайзеров, сервисов VPN и операторами поисковых систем обязанностей по исполнению нововведений, вступающих в силу с 1 ноября 2017 года, представляется весьма сложным применить новые ограничения российского законодателя на практике.

1. Федеральный закон от 29.07.2017 № 276-ФЗ «О внесении изменений в Федеральный закон об информации, информационных технологиях и о защите информации».
2. VPN (англ. Virtual Private Network - виртуальная частная сеть) - обобщенное название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети.
3. К анонимайзерам можно отнести веб-сайты и специальные вредоносные программы, дающие возможность открывать ранее заблокированные интернет-ресурсы. Анонимайзеры позволяют не оставлять данные о своем реальном местоположении, IP-адресе и прочих параметрах при посещении заблокированных ресурсов в Интернете.
4. SSL (Secure Sockets Layer) - это протокол, который защищает данные, пересылаемые между веб-обозревателями и веб-серверами. Основное назначение протокола - аутентификация сервера, гарантирующая пользователям, что они попали именно на тот веб-узел, который хотели посетить. Любая страница, чей адрес начинается с https, передается в защищенном виде с помощью SSL.
5. Одним из инициаторов законопроекта стал Общественный совет при ФСБ России.
6. http://asozd2.duma.gov.ru/addwork/scans.nsf/ID/F071CE249CC1BD814325813900378252/$File/195446-7_08062017_195446-7.PDF?OpenElement .
7. https://zona.media/news/2017/06/08/marinichev .
8. https://eais.rkn.gov.ru/toproviders/ .
9. Полное наименование реестра - Единый реестр доменных имен, указателей страниц сайтов в сети Интернет и сетевых адресов, позволяющих идентифицировать сайты в сети Интернет, содержащие информацию, распространение которой в Российской Федерации запрещено.
10. Провайдер хостинга - лицо, оказывающее услуги по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к Интернету, https://eais.rkn.gov.ru/toproviders/ .
11. Владелец сайта в Сети - лицо, самостоятельно и по своему усмотрению определяющее порядок использования сайта в Интернете, в том числе порядок размещения информации на таком сайте, https://eais.rkn.gov.ru/toproviders/ .
12. Решение может быть обжаловано владельцем сайта в Интернете, провайдером хостинга, оператором связи в суде в течение трех месяцев со дня принятия такого решения,

Что такое анонимайзер (он же Proxy)?

Если не вдаваться в технические детали, анонимайзер или прокси-сервер - это посредник между вами и интересующим вас Интернет-ресурсом. С его помощью вы можете с легкостью получить доступ к сайтам, которые заблокированы в вашей стране, на работе или вашим провайдером. Анонимайзер так же поможет скрыть ваш реальный IP-адрес и к тому же он бесплатен. Но так ли он безопасен и приятен в использовании?

Вас наверняка удручала скорость работы подобных сервисов? И уж точно вы замечали, что через анонимайзеры многие сайты работают и выглядят совсем не так, как должны? К сожалению, безопасными их тоже не назовешь. Весь ваш трафик передается в открытом виде и может с легкостью быть перехвачен администратором вашей сети, Интернет-провайдером и, что самое неприятное – злоумышленником. А сколько вредоносных программ можно подхватить на подобных бесплатных прокси-сайтах?

Так зачем вам с этим мириться, когда есть альтернатива, не имеющая всех этих недостатков? Попробуйте VPN.

Что же такое VPN?

Если вас интересует техническая сторона вопроса, то почитать об этом вы можете . На деле же это небольшое приложение, которое надежно шифрует весь ваш Интернет-трафик, как входящий, так и исходящий. Оно даст вам доступ ко всем заблокированным сайтам, а скорость уж точно вас впечатлит. С этим приложением у администратора вашей сети, вашего провайдера, а так же злоумышленников не будет никаких шансов узнать какие сайты вы посещаете или прочесть вашу переписку. С VPN - вы под надежной защитой.