Закон о принуждении VPN и поисковиков фильтровать трафик и запросы вступил в силу

1 ноября 2017 года в РФ вступил в силу закон, жёстко регулирующий деятельность VPN-сервисов, анонимайзеров и поисковиков в части предоставления пользователям свободного доступа к информации.

Накануне вступления в силу нового Федерального закона 276-ФЗ, который вносит соответствующие поправки в закон «Об информации, информационных технологиях и о защите информации» по части запрета обхода блокировок, Роскомнадзор напомнил владельцам VPN, анонимайзеров и операторам поисковых систем их новые обязанности по ограничению доступа к запрещённой информации:

«Исполнение новых норм Федерального закона осуществляются на основании обращения в Роскомнадзор федерального органа исполнительной власти, осуществляющего оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации, т.е. МВД и ФСБ.

К обязанностям владельцев VPN-сервисов и «анонимайзеров» относится ограничение доступа к запрещенным в Российской Федерации интернет-ресурсам. Данная норма также распространяется на операторов поисковых систем.

Требования закона не распространяются на операторов государственных информационных систем, государственные органы и органы местного самоуправления, а также на случаи использования «анонимайзеров» и сервисов VPN при условии, что круг пользователей заранее определен их владельцами и использование таких ПО осуществляется в технологических целях обеспечения деятельности лица, осуществляющего их использование, например, в банковской деятельности».

.

Роскомнадзор осуществляет создание Реестра содержащего перечень ресурсов, доступ к которым ограничен, и его эксплуатацию анонимайзерами, сервисами VPN и операторами поисковых систем, а также утверждает порядок мероприятий по контролю за исполнением норм закона. В случае выявления факта несоблюдения обязанностей, надзорным ведомством может быть принято решение об ограничении доступа к информационному ресурсу, принадлежащему владельцу анонимайзера и (или) VPN-сервиса.

Определяются обязанности для владельцев VPN, «анонимайзеров» и операторов поисковых систем по ограничению доступа к запрещенной информации. pic.twitter.com/7UMXrIzDzQ

— Роскомнадзор (@roscomnadzor) October 31, 2017

Роскомнадзором также сообщается, что в рамках подготовки к вступлению в силу новых требований им было инициировано и проведено несколько встреч с участниками рынка, в ходе которых им были разъяснены новые нормы и требования законодательства, особенности их применения в отношении разных типов сервисов. «В настоящий момент специалисты Роскомнадзора совместно с участниками рынка завершает тестирование новой системы взаимодействия. В тестировании принимают участие АО «Лаборатория Касперского», Opera Software AS, Mail.RU и Яндекс. Свою готовность участия в тестировании подтвердили Рамблер, «Спутник» и анонимайзеры cameleo.ru, 2ip.ru, 2ip.io. Общая аудитория данных сервисов в РФ составляет около 10 млн. человек», — сообщает ведомство.

Напомним, в начале октября стало известно о создании на базе подведомственного Роскомнадзору предприятия ФГУП «Главный радиочастотный центр» (ГРЧЦ), который сейчас отвечает за функционирование системы контроля блокировок «Ревизор», изучающего возможности ограничения доступа для различных интернет-сервисов специального департамента. Новый департамент сформирован в связи с вступлением в силу новых норм о регулировании интернета, в частности — 276-ФЗ, которые обязывают анонимайзеры и VPN-сервисы фильтровать трафик и не предоставлять пользователям допуск к заблокированным сайтам. Если же эти сервисы сами не выполняют нормы закона, то доступ к ним следует ограничить, поэтому сотрудники ГРЧЦ тренируются блокировать в том числе и анонимайзеры с VPN.

Недавно Ассоциация европейского бизнеса, куда входят Air France, Citibank, Volvo Cars, выразила обеспокоенность в связи с вступлением в России в силу «закона о VPN и анонимайзерах». В письме, направленном главе Минкомсвязи Николаю Никифорову и руководителю Роскомнадзора Александру Жарову, евробизнесмены высказали опасение, что при расширенном толковании закона его нормы могут быть применены к корпоративным ИТ-системам. Затронутые в законе анонимайзеры «используют такие технологии, как частные виртуальные сети (VPN), прокси-серверы и так далее», однако данные технологии также используются подавляющим большинством международных компаний в России в качестве одной из мер информационной безопасности (для защиты каналов передачи данных) при ведении бизнеса. Как уже было сказано выше, Роскомнадзор «успокоил» представителей европейского бизнеса — их деятельности данный закон не коснётся.

По мнению замруководителя лаборатории компьютерной криминалистики из Group-IB Сергея Никитина, обход блокировок — это не основное назначение VPN, к тому же в законе не сказано непосредственно о запрете таких сервисов, и речь там идёт только о необходимости операторами VPN блокировать те сайты, внесённые Роскомнадзором в реестр запрещённых на территории РФ.

«Вряд ли бизнес использует VPN для доступа к заблокированным ресурсам, — рассуждает Никитин. — Скорее речь идет про свои бизнес процессы которые никак не подпадают под этот закон. Возможно, будет сложнее приобрести и использовать публичные VPN сервисы именно физическим лицам, но никто не помешает поднять свой сервер и организовать к нему VPN».

Но здесь возникает одна неприятная вещь — в данный момент в Госдуме рассматривается законопроект о штрафах для владельцев сервисов VPN, Proxy, анонимайзеров и поисковиков за неисполнение требований 276-ФЗ. Правда, ответственность распределена по поисковикам и анонимайзерам неравномерно. Поисковики будут караться крупными штрафами за выдачу ссылок на сервисы обхода блокировок, а владельцы VPN, анонимайзеров и средств проксирования — за непредоставление данных о себе согласно федеральному закону 97-ФЗ «об организаторах распространения информации»: от 10 до 30 тыс рублей — для граждан и от 50 до 300 тыс рублей.

То есть за само предоставление возможности обходить блокировки анонимайзерам никакой ответственности не предусмотрено, а вот за отсутствие в ФСБ и Роскомнадзоре сведений о владельце — такая ответственность может быть уже в скором времени введена. В данный момент законопроект уже прошёл в Госдуме первое чтение. Поскольку мониторингом нарушающих российское законодательство по части обхода блокировок сервисов будет заниматься ФСБ, российские «подниматели своего VPN» оказываются незащищёнными перед властями, чего не скажешь о зарубежных сервисах.

Как уже говорилось выше, некоторые компании начали сотрудничать с Роскомнадзором, и в их списке есть совершенно неожиданные сервисы — вроде Opera VPN, ранее служившей многим российским, а с недавнего времени и украинским пользователям верой и правдой в почётном деле обхода государственных интернет-блокировок. Впрочем, в каждом отдельном случае нужно будет смотреть на развитие отношений между интернет-сервисами и российскими властями, прежде чем делать какие-то выводы.

По словам Роскомнадзора, «Лаборатория Касперского» уже тестирует систему взаимодействия с ведомством по новому закону. В компании сообщили, что сервисы компании, включая её VPN-проект, «полностью соответствуют и будут соответствовать вступившим в силу законам страны».

Компания-разработчик браузера Opera тоже была в списке организаций, которые уже сотрудничают с Роскомнадзором. В самой компании не ответили, будет ли Opera VPN выполнять требования закона.

Готовность к тестированию системы для сотрудничества с Роскомнадзором также подтвердили анонимайзеры Cameleo.ru, 2ip.ru или 2ip.io.

Не определились или не ответили:

• Hidemy.name. Сайт компании (тогда он назывался hideme.ru) уже попадал под блокировку Роскомнадзора в начале 2017 года из-за наличия строки анонимайзера на главной странице (тогда блокировку удалось оспорить с помощью юристов). Представители сервиса говорили, что ведомство просило ввести в VPN-сервисе запрет на посещение заблокированных в России сайтов. Точно такое же требование содержится в новом законе. В ответ на запрос 30 октября представители компании ответили, что воздержатся от комментариев;
• Компания Cyberghost заявляла, что новые правила идут вразрез с самой идеей VPN-сервисов, но официально не объявляла, как будет действовать в этой ситуации. Ситуацию с сотрудничеством согласно 276-ФЗ Cyberghost пока не комментирует;
• Сервис Vemeo не оглашал свою позицию официально и на вопросы журналистов не ответил.

Не готовы сотрудничать с Роскомнадзором:

• Служба поддержки Tunnelbear сообщает, что сервис принадлежит канадской компании и действует по местным законам. «У нас нет серверов в России и наши правила обслуживания остаются неизменными», — сообщили они;
• VPN-сервис Zenmate объявил о том, что не собирается подчиняться требованиям российских властей. «Мы разработали элегантное решение, позволяющее обнаруживать подобные случаи и переключаться автоматически в «устойчивый режим», не причиняя серьезных неудобств пользователям. В этом режиме соединение будет перенаправлено через крупнейшие магистральные интернет-сервисы. Эти сервисы играют ключевую роль для сети, а потому их блокировка парализует интернет», — сказали в компании;
• ExpressVPN. В августе 2017 года представители сервиса сообщали, что не собираются урезать возможности сервиса. На запрос в октябре 2017 года они не ответили;
• TgVPN. Команда разработчиков под руководством сооснователя Newcaster.TV Владислава Здольникова запустила VPN-сервис TgVPN в июне 2017 года. Его можно приобрести с помощью бота внутри Telegram, а также на сайте VPNlove.me.

Недавно Здольников сообщил, что команда проекта готовит сервис, предназначенный для работы в новых правовых условиях:

«Мы хорошо понимаем, как работают механизмы блокировок ресурсов в России, какие возможности есть у Роскомнадзора в техническом плане.Сейчас мы делаем VPN-приложения под новым брендом с упором на работоспособность в России в условиях запрета VPN и будем позиционировать сервис именно так.

В этом, кстати, не особо заинтересованы бесплатные VPN-сервисы, потому что затраты на работу в таких условиях уже не окупаются в силу особенности бизнес-модели.

Также мы будем бороться за работоспособность сервиса в его нынешней концепции — VPN со взаимодействием через бота в Telegram.
Что касается юридической стороны — в случае блокировки, скорее всего, мы будем обжаловать её в суде, вплоть до ЕСПЧ».

Сеть уже отреагировала на вступление в силу 276-ФЗ, и во многих популярных телеграм-каналах, в твиттере и других социальных сетях плотным потоком идут публикации о том, как подстраховаться на случай введения «блокировок против обхода блокировок». Хотя не все верят в эффективность затеянной властями инициативы, всё-таки многие советуют уже сейчас установить себе заслуживающие доверия сервисы VPN.

В частности, популярные телеграм-каналы ещё раз запостили июльское интервью технического директора РосКомСвободы Станислава Шакирова о том, зачем нужны анонимайзеры, почему их запрещают, и каким VPN-сервисам можно доверять. Поднятые Станиславом вопросы не просто остались актуальными, но в нынешней ситуации стали ещё острее, и хотя он также не представляет себе полную блокировку сервисов VPN, — «Запретить VPN как технологию технически невозможно. Чтобы полностью ограничить его в стране, надо отрезать весь неопознанный трафик — такого не делает даже Китай», — всё же советует воспользоваться проверенными сервисами, которые предлагает проект РосКомСвободы VPNlove.me. Стоит заметить, что среди наотрез отказавшихся сотрудничать с российскими властями сервисов — один из наших партнёров, ExpressVPN. Но это не значит, что только именно этот сервис будет соблюдать конфиденциальность своих юзеров, а также гарантирует полную безопасность доступа в интернет — все наши парнтёры по проекту VPNlove.me достойны доверия и уважения.

Но многие эксперты считают затею по регулированию анонимайзеров и поисковиков «чистым безумием» не только потому, что многие пользователи успеют подготовиться к введению новых ограничений и запасутся теми или иными средствами обхода блокировок. Исполнительный директор ассоциации интернет-изданий Владимир Харитонов считает, что

«Закон работать или не будет, или будет работать, но совсем не так, как хотелось бы законодателям и заинтересованным начальникам спецслужб. …VPN-сервисов, анонимайзеров, прокси-серверов, децентрализованных сетей не просто много, а очень много. Настолько много, что спецслужбы вряд ли смогут вычислить все. Всегда найдется сервис, который еще не закрыт».

.

К тому же, сервисы, заботящиеся о выполнении обязательств перед своими клиентами (как это уже происходит в Китае — сервисы VPN уже пообещали предоставлять своим клиентам услуги во что бы то ни стало), «вряд ли будут пассивно наблюдать потуги Роскомнадзора, и помогут пользователям обойти блокировки». Так уже поступили разработчики Telegram, еще летом включившие в настройки программы меню с альтернативным доступом к своей Сети через прокси-серверы, — отмечает Харитонов.

Сеть Tor использует другие механизмы, но они будут эффективны даже в том случае, если Роскомнадзор заблокирует все нынешние серверы Tor. «Собственно, это же интернет. Он так работает, — говорит эксперт. — Но и это еще не все. Даже если сознательные и послушные пользователи будут так сильно стучать в двери Лубянки, что жизнь пользователей станет совсем невыносимой, то у них останется самый простой вариант обойти запрет VPN — завести собственный. Если сейчас это, может быть, не слишком просто без знания нужных программ, то, когда понадобится, появятся наборы для умельцев «Свой VPN! Без SMS, ФСБ и РКН», а добрые мастера на все руки настроят вам дома VPN за умеренную плату».

Причём вычислить, уверен он, такой приватный VPN будет непросто. Для этого провайдерам придётся закупить стоящее десятки миллионов долларов оборудование, причём за свой счёт, и это не считая затрат на «пакет Яровой». А в Китае, на который часто кивают власти как на успешный пример фильтрации, VPN работает, несмотря на блокировки — 31% трафика, которым КНР обменивается с остальным миром, идёт через VPN.

Слова Харитонова подтверждают и другие эксперты, считающие, что борьба с VPN — процесс ещё более сложный, чем блокировка сайтов-анонимайзеров, когда на смену одному заблокированному возникает ещё с десяток новых. Для того, чтобы его блокировать, необходимо специальное дорогостоящее оборудование для глубокого анализа пользовательского трафика.

Без подобного инструментария, DPI-оборудования (deep packet inspection), полноценно реализовать принятый закон попросту невозможно. К аналогичному выводу пришел в конце сентября сам Роскомнадзор, потребовав от провайдеров его установки.

Однако требования ведомства из-за высокой стоимости невыполнимы для многих некрупных провайдеров и приведут к их уходу с рынка, предупреждает Ассоциация электронных коммуникаций (РАЭК). Свои аргументы эксперты подробно изложили в письме к главе Роскомнадзора Александру Жарову и министру связи Николаю Никифорову.

«В условиях текущей стоимости оборудования для такого анализа следствием фактически безальтернативного подхода будет необходимость продажи малого и среднего операторского бизнеса крупным операторам связи по низкой цене», — говорится в заключении РАЭК.

По подсчетам Института исследования интернета (ИИИ), в целом на разработку и внедрение DPI потребуется около $5 млрд, а поддержка системы обойдется еще в $1 млрд в год. У небольших провайдеров попросту нет средств на закупку специальных технических средств. Таких операторов (до 3 тысяч абонентов) в России порядка 1000. По словам исполнительного директора Общества защиты интернета Михаила Климарёва, минимальная стоимость оборудования DPI — порядка 200 тысяч рублей. В случае отказа от установки провайдера ждут штрафы, отзыв лицензии и уход с рынка.

«Кажется, 200 тысяч — это немного, но если посчитать экономику, то выяснится следующее: при среднемесячном платеже за услуги в 300 рублей годовая выручка такого оператора составит приблизительно 10,8 миллиона. А доходность такого бизнеса порядка 5%, то есть прибыль в год — 500 тысяч рублей, не считая процентов по банковским кредитам и прочего. Получается, что оператор будет вынужден отдать половину годовой прибыли на бесполезное для него оборудование, которое еще и ухудшает качество услуг», — объясняет Климарёв.

Как считает директор по стратегическим проектам ИИИ Ирина Левова, «при таких расценках маленьким операторам придется покупать услугу у вышестоящих операторов». Однако и за эти услуги придется заплатить немалую сумму, зачастую сопоставимую с внедрением собственного оборудования.

Высокая стоимость — не единственная проблема DPI-оборудования: его установка также приведет к резкому ухудшению качества связи. По словам экспертов, скорость доступа может упасть чуть ли не на 20%.

«Представьте себе, что на пути следования трафика (IP-пакетов) поставили еще одно устройство, которое обрабатывает каждый пересылаемый пакет и принимает решение «пропустить/не пропустить». Для этого нужны соответствующие вычислительные мощности, а сама обработка по алгоритму снижает скорость передачи данных. Таким образом, DPI снизит такие важные показатели качества связи, как «задержки», «джиттер», а неизбежные ошибки обработки пакетов на DPI приводит к увеличению потерь пакетов. Это не голословные утверждения — это многолетние исследования на примере «большого китайского фаерволла», где все эти показатели хуже минимум в десять раз по сравнению с Гонконгом», — говорит Михаил Климарёв.

Исходя из всего обозначенного выше, страна снова столкнулась с очередной авантюрой уровня «пакета Яровой», от которого и отказаться стыдно, и внедрить невозможно (да и бесполезно). Попытка поставить всё под тотальный контроль в очередной раз оборачивается поистине космическими затратами, а также техническими проблемами, способными вернуть весь интернет в России «к модемной скорости». В сложившейся ситуации РосКомСвобода прогнозирует, что правоприменение вступившего в силу федерального закона 276-ФЗ будет как всегда будет осуществляться в «ручном режиме» — по указке сверху или в рандомном режиме на те или иные поисковики и VPN посыпятся проверки и штрафы, кто-то попадёт под блокировку сразу, как это случилось с LinkedIn и Zello, а кому-то будут перманентно вытягивать нервы, как это сейчас происходит с Telegram. В любом случае, мы советуем своим подписчикам ставить на свои электронные устройства VPN — после установки заблокировать их будет уже крайне трудно, если вовремя делать обновления, а также экспериментировать со сменой IP-адресов.

Мы будем следить за правоприменением данного закона и проводить мониторинг как тех сервисов, которые начали сотрудничать и фильтровать трафик, так и тех, кто отказался это делать и попал под блокировку в России. Ну а первые попытки ограничения доступа к VPN и анонимайзерам мы увидим не ранее середины декабря: существует относительно длительная процедура подключения сервисов к реестру Роскомнадзора — до 30 рабочих дней.