При этом власти признают, что выявлять VPN со стопроцентной точностью невозможно, но такие меры могут избавить граждан от запрета использования технологии в целом. “Ъ” разбирался, как новые меры по борьбе с VPN отразятся на российском IT-бизнесе и как пользователи будут к этому адаптироваться.
Отключай по-белому
Перед Минцифры поставлена задача по снижению использования россиянами VPN. Как уже сообщал «Ъ», для этого министерство разработало несколько мер, которые должны вынудить IT-компании и цифровые платформы ограничивать доступ пользователей со включенным VPN к своим сервисам.
Если компания позволяет пользователям заходить на свои ресурсы и приложения со включенным VPN, то ее предлагается исключать из «белых списков» (см. “Ъ” от 30 марта); исключать ее приложения из перечня для обязательной предустановки на устройства; лишать IT-аккредитации, которая дает льготы (налоговые преференции, IT-ипотеку, отсрочку от срочной службы в армии сотрудникам и др.) (см. “Ъ” от 31 марта). Кроме того, как сейчас обсуждается, компании должны самостоятельно выявлять VPN-подключения пользователей и передавать данные об этом в Роскомнадзор, чтобы ведомство блокировало их.
Отдельной мерой стала просьба Минцифры к операторам связи по введению платы за использование более 15 Гб международного трафика в месяц на мобильных сетях, писал Forbes. Собеседник “Ъ”, близкий к правительству, объясняет, что сокращение VPN-трафика также «позволит ограничить доступ не только к запрещенным соцсетям, но и к таким ресурсам, как программы для пиратства, сайты с нелегальным, деструктивным, экстремистским контентом».
VPN — технология, позволяющая объединять удаленные друг от друга устройства в одну частную сеть. VPN часто позиционируется для обхода блокировок. Но организации настраивают VPN в том числе для соединения компьютеров, телефонов, банкоматов и т. п., находящихся в разных местах или регионах.
Proxy — промежуточный сервер между пользователем интернета и серверами, откуда запрашивается информация. Proxy может работать для шифрования трафика, кэширования информации и как веб-фильтр.
Компании также получили «методику признаков использования средств обхода блокировок на клиентских устройствах» — документ (копия есть у “Ъ”), который предлагает унифицированный подход к выявлению VPN и Proxy, используемых для обхода заблокированных сайтов и приложений. Из документа следует, что обнаружение VPN-соединения пользователя следует производить в три этапа:
анализировать клиентские сессии на сервере, сравнивая IP-адреса подключения со списком заблокированных IP-адресов, а также сравнивать IP адреса клиентской сессии на стороне сервера с IP адресом на пользовательском устройстве;
проверять использование средств обхода блокировок на устройстве с помощью собственного приложения для операционных систем (ОС) Android и iOS;
на «более поздних этапах» проверять устройства на других ОС.
При этом в документе подчеркивается, что «использование одного или нескольких методов выявления использования средств обхода блокировок не дает стопроцентной гарантии точности результата из-за возможных ложноположительных срабатываний». Ложные срабатывания могут происходить из-за использования корпоративных VPN, антивирусного ПО, средств виртуализации и контейнеризации, а также технологии NAT (позволяет преобразовывать внутренние IP-адреса локальных устройств в один или несколько внешних адресов), указано в документе.
С 2017 года VPN-сервисы в России должны ограничивать доступ к запрещенным сайтам, в противном случае блокировка накладывается на сам сервис. В марте 2024 года в силу вступил запрет на распространение информации о способах доступа к заблокированным ресурсам. А в сентябре 2025 года — закон о запрете рекламы программ для обхода блокировок. Штраф за рекламу VPN составляет до 80 тыс. руб. для граждан, до 150 тыс. руб. для должностных и до 500 тыс. руб. для юрлиц.
Сократить количество ложных срабатываний предлагается в первую очередь созданием «белых списков» корпоративных VPN и «легитимных» Proxy-серверов. Такой список уже существует, компании вносят в него свои VPN, а ведет его Роскомнадзор, говорит собеседник “Ъ”, близкий к правительству: «Сейчас в нем порядка 75 тыс. IP-адресов. Компании сами передают в ведомство данные через личный кабинет Роскомнадзора на исключение из фильтрации на ТСПУ. Также ведомство направляет владельцам корпоративных VPN уведомления о блокировке новых сервисов и протоколов. Главные требования к "белым" VPN — это ограничение доступа к запрещенным ресурсам и взаимодействие с Роскомнадзором».
Блокируй по-своему
«Главная задача, которая будет стоять перед IT-компаниями, это максимально прозрачно донести до клиента, что включенный VPN может не позволить ему пользоваться полным функционалом продукта и дать удобную навигацию», — говорит источник “Ъ”, близкий к крупной IT-компании. При этом, по его словам, VPN влияет на работоспособность приложений, поэтому почти все крупные игроки и госорганы уже «так или иначе обрабатывают входы в приложения с включенным VPN».
«С технической точки зрения требования не являются трудновыполнимыми. Значительной перестройки технологической архитектуры платформ не потребуется», — уверяют “Ъ” в «Почте России».
Дополнительные затраты, если и возникнут, будут связаны с совершенствованием систем безопасности и лежат в рамках текущих планов по IT-развитию, а работа корпоративных VPN не будет затронута, добавляют в компании.
В РЖД говорят, что технические ограничения на доступ к их сервисам из-за рубежа реализуются начиная с 2022 года из-за «беспрецедентных попыток компьютерных атак на инфраструктуру компании с адресов, относящихся к зарубежным интернет-провайдерам». Там добавляют, что уже направили все необходимые материалы для включения корпоративных VPN в «белые списки».
В «Росатоме» (часть сервисов компании входят в «белые списки») объясняют, что архитектура их решений «изначально спроектирована с учетом требований информационной устойчивости и не опирается на общедоступные VPN-сервисы, поэтому новые требования не окажут критического влияния на работу ресурсов». При этом часть ресурсов, от которых потребовали выявлять пользователей с VPN, уже ограничили их доступ к своим платформам — маркетплейсы Ozon и Wildberries, писали «Известия».
Источник “Ъ” в одной из госкомпаний говорит, что там не прогнозируют снижения активности пользователей в своем приложении и на сайте: «Сайт компании исторически не работает за рубежом и, соответственно, с включенным VPN». Другой собеседник “Ъ” из российской бигтех-компании соглашается с ним: «Ряд сервисов уже работает корректно только при выключенном VPN — почти все банковские приложения, "Госуслуги" и др.». «Но меры воздействуют на следствие, а не на причину роста VPN-трафика. По данным опросов, от трети до половины российских интернет-пользователей регулярно используют VPN», — говорит партнер практики «Цифровая трансформация» компании Strategy Partners Сергей Кудряшов.
Адаптируйся по-новому
После введения новых требований «количество пользователей, естественно, упадет», уверен источник “Ъ”, близкий к крупным технологическим компаниям: «Но как показала предыдущая практика блокировок, пользователи достаточно быстро приспособятся, а сами сервисы VPN и Proxy быстро модернизируются и адаптируются». При этом юзеры продолжат пользоваться привычными сервисами, «в том числе и из-за отсутствия адекватных и полноценных альтернатив».
Такую технологическую доработку — отслеживание пользователей с включенным VPN — для крупных IT-компаний нельзя назвать сложной или затратной, уверен источник “Ъ” в крупной IT-компании. Источник “Ъ” среди софтверных компаний объясняет, что для выявления простого VPN-трафика компаниям не потребуются большие затраты и отдельное ПО, такое как DPI (Deep Packet Inspection — технология «глубокий анализ трафика»): «На уровне пользовательских приложений разработчики видят, откуда идет трафик, и могут просто передавать данные об IP. DPI работает по сигнатуре трафика, а VPN-сервисы так тяжело описать». Определить VPN-трафик возможно с помощью DPI, хоть и не полностью, при этом «его установка стоит денег».
«Оценить совокупные затраты компаний на новые требования затруднительно, но структура расходов понятна. Это дополнительные мощности для классификации трафика, доработка существующих сервисов под новые логики блокировок и время разработчиков могут быть достаточно существенными», — уверен Сергей Кудряшов. Источник “Ъ”, близкий к крупным технологическим компаниям, говорит, что затраты составят дополнительные 20% к текущим бюджетам на IT, «потому что придется не просто перенастроить оборудование и каналы связи, а разработать или докупить специальные продукты для реализации тех или иных требований». Но господин Кудряшов считает, что такая оценка завышена: «Задача для платформ состоит не в закупке нового оборудования, а в модификации логики работы приложений — это решается за счет перераспределения ресурсов разработки».
Однако ряд представителей отрасли настроены куда пессимистичнее. Новые условия по ограничению доступа пользователей со включенным VPN для компаний интернет-торговли означают серьезное падение трафика, уверены в Ассоциации компаний интернет-торговли (АКИТ, входят Ozon, «М.Видео», Avito и другие): «Если проводить аналогию с традиционной розницей и ее инфраструктурой, то, по сути, это запреты на вход в помещение магазина и на покупки». То есть часть сервисов до сих пор не включены в «белый список» — и они просто не работают при отключенном мобильном интернете, а те, которые смогли в него войти, теперь должны работать выборочно, объясняют в АКИТ.
«За последние годы это самый мощный вызов и одновременно барьер для цифровых пользователей и цифровых сервисов, когда работа последних строилась на удобстве приобретения покупок вне зависимости от места нахождения человека и его способах взаимодействия с интернетом. Любые изменения в этой сфере должны быть поэтапны и в диалоге с бизнесом»,— уверены в ассоциации.
Для цифровых платформ в целом это означает рост технической и организационной нагрузки, уверен зампред «Деловой России», руководитель рабочей группы агрегаторов транспортных услуг Комитета РСПП по цифровой экономике Антон Данилов-Данильян: «Потребуются дополнительные настройки инфраструктуры, инструменты выявления VPN-трафика и более сложные процедуры комплаенса. При этом есть риск, что добросовестные компании столкнутся не только с дополнительными издержками, но и с ошибками в применении таких механизмов».
Отвечай по-новому
Источник “Ъ” в крупной технологической компании также говорит, что пока им непонятно, в какой степени каким пунктам новых требований нужно следовать: «Мы готовимся применить эти требования, но их влияние на пользователей и бизнес пока неясно. Оно будет зависеть не только от того, что сделаем мы, но и что сделают остальные участники рынка». Источник “Ъ”, знакомый с планами Минцифры, рассказывает, что пока нет точного механизма передачи данных компаниями о VPN в Роскомнадзор: «Все строится на уровне требований, но бизнес не понимает, как передавать данные, учитывая, что Роскомнадзор говорил, что IP-адреса являются персональными данными, а их передача без согласия ограничена».
Другой собеседник “Ъ” добавляет, что пока вопрос об отдельной ответственности компаний за несоблюдение новых требований по отслеживанию VPN с бизнесом не обсуждался.
В открытом доступе пока нет детально описанной и прозрачной процедуры, которая бы однозначно показывала, в каком именно формате компании должны передавать данные в Роскомнадзор, добавляет Антон Данилов-Данильян: «Скорее всего, речь будет идти либо об уже существующих каналах взаимодействия с регулятором, либо о дополнительных требованиях для сервисов, работающих в особом регуляторном контуре». «Но сейчас для этого нет правовых оснований, и компании в отрасли не понимают, на основании чего они вдруг должны выявлять VPN», — напоминает собеседник “Ъ”, близкий к крупному IT-бизнесу.
Сейчас Минцифры обсуждает ряд нюансов новых требований — доступы разработчиков и другое — с отраслью и ищет решения с учетом действующего законодательства, говорит собеседник “Ъ”, близкий к правительству. «Минцифры хочет решить задачу с минимальными последствиями и обременениями для пользователей. Существующие сейчас ограничения и обсуждаемые с операторами связи и цифровыми платформами новые меры по ограничению доступа пользователей с VPN — компромисс, позволяющий не вводить административную ответственность за это для граждан», — уверяет он.
Алексей Жабин, Варвара Полонская
Мнение авторов может не совпадать с мнением редакции.
Cообщество журналистов. Non profit
