радиоЭксперты описали сложности с привлечением бизнеса к блокировке VPN
Глава Zekurion Раевский: Блокировка VPN со стороны бизнеса вызовет две проблемы
Блокировка VPN на крупных интернет-площадках технически сложна и затратна, заявили эксперты в эфире Радио РБК. Риск ошибок при отсеивании «легальных» пользователей высок, при этом бизнесу потребуются дополнительные мощности
Фото: Getty Images
У компаний, владеющих крупными российскими интернет-ресурсами, могут возникнуть сложности с блокировкой VPN, поскольку это требует больших вычислительных мощностей, рассказал в эфире Радио РБК управляющий RTM Group Евгений Царёв. Кроме того, по его словам, непонятно, как они будут отличать корпоративный VPN от других.
«Первый самый простой, наверное, вариант: в принципе запрет на работу пользователей, которые заходят [на ресурс] из-за границы. Понятное дело, это очень плохой вариант. Второй вариант, но он уже технически сложнее — это введение так называемых скоринговых моделей, когда будет определяться, действительно ли человек пользуется VPN, или же он просто находится, например, в командировке в условном Казахстане», — рассказал эксперт.
2 апреля источники РБК сообщили, что Минцифры провело совещание с руководителями компаний, владеющих крупнейшими российскими ресурсами. В ходе собрания глава министерства Максут Шадаев заявил, что к 15 апреля компаниям необходимо ограничить доступ на их платформы пользователям с включенными VPN.
По словам одного из собеседников, предполагается, что компаниям — участникам совещания предоставят конкретный список IP-адресов VPN, которые ранее Роскомнадзор выявил как не соблюдающие российское законодательство и подлежащие блокировке. При этом им уже «выдали методичку», где описано, как можно самостоятельно выявлять и блокировать VPN, в том числе те, что Роскомнадзор ранее не идентифицировал и не ограничивал. По задумке властей, это позволит блокировать и будущие VPN-сервисы. Информацией о новых VPN площадки должны будут делиться со службой, чтобы та могла вносить их в список для блокировки не только у наиболее популярных ресурсов, но и у всех других.
При использовании скоринговых моделей необходимо собирать большое количество данных об устройстве, на котором установлено приложение компании, в частности, об используемом языке или локации. Это, по словам Царёва, «довольно сложно реализовать», поскольку потребует больших вычислительных мощностей и несет риск ложных срабатываний.
«В момент подключения происходит обмен пакетами, которые можно зафиксировать и понять, что пользователь включил VPN. А вот когда он уже работает, мы не знаем: здесь он пользуется им для обхода блокировок или это корпоративный VPN», — пояснил он.
Генеральный директор компании Zekurion, эксперт по кибербезопасности Алексей Раевский в эфире Радио РБК рассказал, что, когда к сервису или сайту поступает запрос, он может проанализировать «гораздо больше информации» с клиентского места: IP-адрес, версию операционной системы, версию браузера, установленные настройки региона. Кроме того, помочь выявить применение VPN могут данные о том, что пять минут назад человек «обращался к ресурсу из России, а сейчас обращается из Голландии».
«Поэтому действительно на базе вот этих сервисов, которыми в массовом режиме все россияне пользуются, можно это сделать», — сказал Раевский.
Однако он также назвал две проблемы, которые следуют из такого способа борьбы с VPN: ложное блокирование перехода на сайт «легальных» пользователей и замедление работы сервисов. Кроме того, создание системы распознавания VPN потребует ресурсов — в частности, команды, которая будет разрабатывать и поддерживать это ПО, а также дополнительных вычислительных мощностей для хранения контекстной информации в базе данных и ее анализа. По словам Раевского, компаниям это может обойтись в десятки миллионов рублей в месяц.
На вопрос о том, как Минцифры может контролировать исполнение бизнесом этих требований, эксперт ответил, что, возможно, регуляторы прибегнут к способу контрольных закупок: когда на сервисы специально будут заходить пользователи через VPN.
30 марта глава Минцифры Максут Шадаев обсуждал на совещании с представителями бизнеса пакет мер по борьбе со средствами обхода блокировок. Среди инициатив, которые обсуждались на встрече, — отключение возможности пополнения баланса Apple ID со счета мобильного телефона с 1 апреля, введение платы за потребление свыше 15 Гб международного трафика в месяц с 1 мая и ограничение доступа к своим сервисам пользователям с включенным VPN. В ночь на 1 апреля оплата Apple ID со счета мобильного телефона перестала работать.
Компании опасаются, что в случае возможного введения платы за международный интернет-трафик и ограничений работы российских сервисов за рубежом коммуникация с зарубежными партнерами ухудшится, а для экспортных операций и туристического сектора возникнут риски. Об этом ранее рассказывали в эфире Радио РБК представители бизнеса.
Пресс-секретарь президента России Дмитрий Песков заявлял, что ему ничего неизвестно о поручении Владимира Путина для Минцифры принять меры по ограничению использования VPN-сервисов.
Оставайтесь на связи с РБК в Max.
