Сплошной переход на VPN, де-факто предполагаемый одним из проектов нормативных актов к закону о «суверенном Рунете», нереален, считают эксперты РСПП. Другой подзаконный акт фактически запрещает посещение зарубежных сайтов
Предлагаемые Минкомсвязью в рамках реализации закона о «суверенном Рунете» меры защиты от фишинга, или подмены сайтов, потребуют строительства множества виртуальных частных сетей — VPN, что малореально, указали эксперты Российского союза промышленников и предпринимателей (РСПП) в отзыве на проект приказа ведомства.
Согласно проекту Минкомсвязи, участники рынка должны обеспечить защиту от несанкционированного доступа к оборудованию и программному обеспечению, используемым для определения сетевого адреса сайта в случае введения названия домена в адресной строке браузера. Однако, отмечают эксперты РСПП, технически передаваемая информация «может быть просмотрена на транзитном уровне, скопирована, потом распространена и пр., поскольку это позволяют существующие интернет-протоколы (DNS, DNSSEC)». Для обеспечения защиты, на которую указывает Минкомвязь, необходимо, чтобы все операторы создавали VPN-соединения от национальной системы доменных имен к каждому ресурсу в Рунете, что, по мнению РСПП, налагает «существенные необоснованные обременения на всех участников рынка, не предусмотренные федеральным законом».
Представитель Минкомсвязи не ответил на запрос РБК на момент публикации материала, однако из данных на портале Regulation.gov.ru следует, что министерство не учло замечания РСПП.
Что предусматривает закон о «суверенном Рунете»
Закон о «суверенном Рунете» обязывает операторов связи обеспечить установку на сетях специального оборудования, которое им предоставит Роскомнадзор. В случае возникновения угроз ведомство сможет управлять через него маршрутами интернет-трафика, пропуская его только по внутрироссийским сетям, а также фильтровать трафик, блокируя доступ к запрещенным в России сайтам (сейчас это делают сами провайдеры).
К 1 января 2021 года должна быть создана национальная система доменных имен, которая будет дублировать список доменных имен и номеров автономных систем, делегированных российским пользователям. Эти меры должны защитить российский сегмент интернета от внешних угроз. Расходы на реализацию законопроекта могут составить более 30 млрд руб. Закон о «суверенном Рунете» начнет действовать с 1 ноября 2019 года.
Ряд требований закона уточняется в подзаконных актах. В конце мая — начале июня Минкомсвязь и Роскомнадзор разместили их проекты на портале Regulation.gov.ru. Ранее РСПП уже критиковал некоторые, указывая, что описанные в них требования могут привести к снижению скорости доступа к сайтам и потребовать от операторов миллиардных затрат на модернизацию оборудования.
Меры против фишинга
«Теоретически злоумышленник может получить доступ к информации о том, какому домену соответствует какой IP-адрес и почтовый сервис, а если это промежуточный запрос, то на какой сервер запрос переходит дальше. Как правило, кража такой информации происходит редко, но злоумышленники могут «подделать» ресурс, чтобы пользователь оставил на нем, например, свои персональные данные или скачал зараженный файл — это классический фишинг», — пояснил суть угрозы член рабочей группы при РСПП и один из авторов отзыва Алексей Семеняка. По его словам, создать VPN-соединение для всех ресурсов в Рунете практически невозможно, как и оценить необходимый для этого объем затрат. Он отметил, что протокол DNSSec может защитить от модификации информации, но им пока защищены менее 1% доменов, и он все равно не защищает от просмотра и копирования данных.
Представитель «МегаФона» допустил, что предположение РСПП о необходимости построения защищенных сетей для предотвращения несанкционированного доступа к данным может быть вызвано «нечеткостью формулировок в проекте Минкомсвязи». Само по себе строительство VPN он назвал избыточным и недостаточно технически проработанным.
Директор Координационного центра доменов .RU/.РФ Андрей Воробьев отметил, что сейчас разрабатываются и внедряются различные протоколы, которые могут защитить передаваемый DNS-трафик от прочтения или подмены, — это DNS over HTTPS и DNS over TLS (DoH и DoT). «Если же речь идет не только о том, чтобы зашифровать трафик, но и обеспечить обработку запросов только национальной системой доменных имен, то да, в этом случае потребуется VPN», — считает Воробьев. По его мнению, в обычных условиях построить множество VPN практически невозможно. «Для того чтобы это обеспечить, потребуется установка на пользовательских устройствах особых настроек и сертификатов безопасности», — отметил эксперт.
Проблемы защиты зон .RU, .РФ и .SU
Критике экспертов также подвергся ряд проектов подзаконных актов, связанных с функционированием национальной системы доменных имен. Согласно документу, представленному на общественное обсуждение Роскомнадзором, Российская национальная доменная зона будет состоять из сайтов, которые находятся в зонах .RU, .РФ и .SU.
Экс-директор Координационного центра национального домена сети интернет Андрей Колесников рассказал РБК, что направил в Роскомнадзор обращение с критикой проекта — домен.SU не имеет четкого юридического статуса и в свое время был делегирован СССР — ныне несуществующей стране.
«Домен .SU не содержится в списке зарегистрированных кодов для стран Международной организации по стандартизации (ISO) и в списке доменов верхнего уровня корпорации ICANN. В связи с этим, если ICANN сочтет необходимым прекратить делегирование указанного домена, как в свое время поступили с доменом Югославии .YU, может возникнуть существенный юридически-правовой казус», — говорит Колесников.
Также эксперты раскритиковали проект положения о национальной системе доменных имен, в котором среди прочего предусмотрено обязательное использование национальной системы доменных имен абонентами и пользователями услуг связи. В своем отзыве профильная комиссия РСПП отмечает, что законами не предусмотрена обязанность абонентов пользоваться сайтами, расположенными в зонах .RU, .РФ и .SU, которые хотят сделать «национальными». «Реализация принудительной обязанности использовать исключительно национальную систему доменных имен технологически невозможна», — говорится в отзыве РСПП.
Аналогичного мнения придерживаются в компании «ВымпелКом» (бренд «Билайн»). В отзыве оператора говорится, что «формулировка данного пункта равносильна запрету на доступ к сайтам сети интернет, расположенным за пределами России», и «данное требование является коррупциогенным фактором».
Исполнительный директор Общества защиты интернета Михаил Климарев отметил, что представленные на общественное обсуждение проекты подзаконных актов «содержат много абсурдных положений». «Закон настолько абсурдный, и это не раз подчеркивалось экспертами еще во время его рассмотрения Госдумой, что написать к нему достойную подзаконную базу — сложная задача», — считает он.
Представитель Роскомнадзора не ответил на запрос РБК.
Александра Посыпкина, Мария Коломыченко, Анна Балашова
По материалам: “РБК”