23 июля 2019

Эксперты: регламенты к закону о суверенизации Рунета невыполнимы и полны нарушений

Предлагаемые властями меры защиты от фишинга предполагают создание массы VPN-соединений, операторам и абонентам предписывается пользоваться только российскими сайтами, а сами документы некорректно проходят процедуру согласования.

Российский союз промышленников и предпринимателей (РСПП) нашел в одном из приказов Минцифры к закону об изоляции Рунета невыполнимые требования. Об этом пишет РБК со ссылкой на отзыв РСПП на Федеральном портале нормативных правовых актов. Предлагаемые министерством меры защиты от фишинга предполагают, что операторы должны создавать VPN-соединения от национальной системы доменных имен к каждому ресурсу в Рунете, что, по мнению РСПП, малореально.

Эксперты РСПП отмечают, что технически передаваемая информация «может быть просмотрена на транзитном уровне, скопирована, потом распространена и пр., поскольку это позволяют существующие интернет-протоколы (DNS, DNSSEC)».

Для обеспечения защиты, на которую указывает Минцифры, необходимо, чтобы все операторы создавали VPN-соединения от национальной системы доменных имен к каждому ресурсу в Рунете, что, по мнению РСПП, налагает «существенные необоснованные обременения на всех участников рынка, не предусмотренные федеральным законом».

Однако, как следует из материалов общественного обсуждения, Минцифры не учло замечание РСПП.

«Теоретически злоумышленник может получить доступ к информации о том, какому домену соответствует какой IP-адрес и почтовый сервис, а если это промежуточный запрос, то на какой сервер запрос переходит дальше. Как правило, кража такой информации происходит редко, но злоумышленники могут «подделать» ресурс, чтобы пользователь оставил на нем, например, свои персональные данные или скачал зараженный файл — это классический фишинг», — пояснил суть угрозы член рабочей группы при РСПП и один из авторов отзыва Алексей Семеняка.

По его словам, создать VPN-соединение для всех ресурсов в Рунете практически невозможно, как и оценить необходимый для этого объем затрат. Он отметил, что протокол DNSSec может защитить от модификации информации, но им пока защищены менее 1% доменов, и он все равно не защищает от просмотра и копирования данных.

Представитель «МегаФона» допустил, что предположение РСПП о необходимости построения защищенных сетей для предотвращения несанкционированного доступа к данным может быть вызвано «нечеткостью формулировок в проекте Минкомсвязи». Само по себе строительство VPN он назвал избыточным и недостаточно технически проработанным.

Директор Координационного центра доменов .RU/.РФ Андрей Воробьев отметил, что сейчас разрабатываются и внедряются различные протоколы, которые могут защитить передаваемый DNS-трафик от прочтения или подмены, — это DNS over HTTPS и DNS over TLS (DoH и DoT).

«Если же речь идет не только о том, чтобы зашифровать трафик, но и обеспечить обработку запросов только национальной системой доменных имен, то да, в этом случае потребуется VPN», — считает Воробьев. По его мнению, в обычных условиях построить множество VPN практически невозможно. «Для того чтобы это обеспечить, потребуется установка на пользовательских устройствах особых настроек и сертификатов безопасности», — отметил эксперт.

Критике экспертов также подвергся документ Роскомнадзора, согласно которому российская национальная доменная зона будет состоять из сайтов в зонах .RU, .РФ и .SU. Домен .SU ранее был делегирован СССР и не имеет четкого юридического статуса, заявил бывший директор Координационного центра национального домена сети интернет Андрей Колесников.

Кроме того, Роскомнадзор в своих документах обязывает операторов и абонентов пользоваться сайтами, расположенными в зонах .RU, .РФ и .SU. Оператор «Вымпелком» в своем отзыве заявил , что это равносильно запрету на доступ к сайтам, расположенным за пределами РФ.

Исполнительный директор Общества защиты интернета Михаил Климарев отметил , что представленные на общественное обсуждение проекты подзаконных актов «содержат много абсурдных положений»:

«1. Закон абсурден и никто не знает, как его реально исполнять.
2. Разработчиков нормативных правовых актов в «министерстве носков» и РКН набрали по объявлениям и они некомпетентны.
3. И вот этих вот «пейсателей» ещё и начальство регулярно <подгоняет>, потому что сроки они уже <пропустили>.

Результат закономерен.

Повторюсь: от «суверенного рунета» нас спасёт бюрократия, некомпетентность и коррупция.

Два пункта уже работают. Третий начнётся, когда дело дойдёт до денег — там просто всё украдут».

.

«РБК очень мягенько описало ситуацию с нормативкой по закону «об устойчивом Рунете»», — считает владелец Telegram-канала «Эшер II» Филипп Кулин.

РосКомСвобода попросила его прокомментировать сложившуюся вокруг «суверенных нормативок» ситуацию, Филипп решил начать с аллегории:

«Представь. Байдарочный поход. Завхоз готовит раскладку «подешевше». Костровые такие: «Ай, чего там — месяц поход, обойдёмся перекусами c бутерами». Но в раскладке тушёнка, макароны, и вроде байдарочники ожидают обеды, и всё по времени расписано на перекусы, готовить никто не умеет, всё уже куплено. В итоге: в походе в сухие макароны льётся холодная тушенка, шпроты (одновременно, потому что завхоз сделал всё разнообразно с веществами и витаминами) и кетчуп — и вот так оно и подается на каждый обед-завтрак и ужин.

Я только что подробно описал экосистему закона и нормативки «об устойчивом Рунете»».

.

Кулин напомнил, что недавно Роскомнадзор доработал проект положения о национальной системе доменных имён, к которому у него в своё время возникло немало вопросов, особенно в плане некорректной оценки регулирующего воздействия (ОРВ), сопровождавшей не только этот, но и другие проекты РКН, а также Минцифры. Филипп получил официальное письмо от Минэкономразвития, которое согласилось с его замечаниями и направило разработчикам уведомления о необходимости исправить допущенные ошибки.

Однако, по словам Кулина, авторы документов не спешат делать работу над ошибками, хотя в прессе уже рапортуют об этом как о свершившемся факте. Тем не менее, изложенные в письме Минэкономики указания накладывают на авторов обязательства о внесении в документы необходимые правки.

«В обязательствах, — рассказывает Кулин, — упомянут в том числе один из актов про домены. Там высказались кроме меня и РСПП, и Вымпелком, и этот документ уже накладывает на разработчиков обязательства. Они допустили нарушение, но ещё не успели дать движение документу, и пока что выжидают».

По его словам, разработчики не стараются вникнуть в замечания, которые высказывают эксперты-отраслевики, например, относительно упомянутых там серверов — они бывают разными, и остаётся только гадать, какой из типов имеют в виду авторы. Но вместо этого либо появляется совершенно типовой ответ «нет конструктивных предложений», либо старые данные из документа заменяются на другие, но тоже некорректные. И подобных технических, а также правовых неувязок, по словам Кулина, в документах Роскомнадзора и Минцифры большое количество, поэтому и имеет смысл специалистам внимательно вчитываться в выкладываемые подзаконки, обязательно оставляя свои комментарии .

Кроме того, данными нормативками вводятся избыточные требования к операторам связи, хостерам и другим отраслевикам, и контроль за их деятельностью всегда одинаков: «»…мы требуем любые документы, а если нам не нравится, выполняем любые действия». Сказочно. Там так и написано», — удивляется он.

Особое внимание Кулин обращает на игнорирование писем Минэкономики и необходимых процедур авторами подзаконок. Это достаточно важный момент, о котором должны знать все, считает он.

Закон об «суверенизации» Рунета был подписан Владимиром Путиным в мае текущего года и вступит в силу 1 ноября 2019 года (национальная система доменных имен будет создана к 2021 году. Согласно закону, госведомства планируют централизовано управлять российским сегментом Сети, фильтруя трафик, а провайдеры должны будут устанавливать устройства «по противодействию угрозам устойчивости».

Контакты

По общим вопросам

[email protected]

По юридическим вопросам

[email protected]

Для СМИ

Телеграм: moi_fee
Signal: moi_fee.13

18+

23 декабря 2022 года Минюст включил Роскомсвободу в реестр незарегистрированных общественных объединений, выполняющих функции иностранного агента. Мы не согласны с этим решением и обжалуем его в суде.