Обсуждаемый запрет анонимайзеров: очередной формальный подход?
Как ранее писал ГАРАНТ.РУ, группа депутатов Госдумы выступила с инициативой1 запретить деятельность ресурсов, позволяющих обходить блокировку сайтов в Интернете, ограниченных к доступу на территории России. Мы опросили экспертов, будет ли эта инициатива иметь успех в предложенном виде, и что можно сделать, чтобы добиться заявленной цели – повысить эффективность ограничения доступа к информационным ресурсам, доступ к которым в России ограничен на законном основании.
МНЕНИЕ
Михаил Лисневский, руководитель регионального развития кибербезопасности компании Softline:
"В нынешней редакции законопроектов явно прописан запрет поисковикам выдавать пользователям данные о технологиях, которые позволяют просматривать заблокированные сайты – про запрет для пользователей информации нет. Если вы пользуетесь VPN или Proxy-серверами (анонимайзерами), закон вы никак не нарушаете. Технологически запрет обхода всех блокировок реализуем, но это заведомо невозможно в современных реалиях… Почему невозможно?
Необходимо понимать механизм блокировки сайтов. Регулятор блокирует конкретный сайт, сообщая всем российским провайдерам, что доступ на этот сайт закрыт. Но если мы пользуемся услугами зарубежных провайдеров доступа в Интернет, все блокировки теряют смысл. Находясь, например, в другой стране, мы без проблем зайдем на сайт LinkedIn, который заблокирован в России за нарушение Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных" с 17 ноября 2016 года. Примерно то же самое можно делать, находясь в России и применяя анонимайзеры, туннели VPN и другие инструменты. Бессмысленно запрещать доступ к заблокированным сайтам с помощью конкретного инструмента, потому что такому инструменту всегда найдется альтернатива.
Например, если применять VPN-туннели, ни один российский провайдер не увидит данные, которые вы в этом туннеле передаете. Следовательно, существующий механизм блокировки не будет работать с VPN. Единственное, что с этим можно сделать — запретить VPN и анонимайзеры на уровне провайдеров. Но такой запрет шифрованного трафика сделает и пользователей, и корпорации беззащитными, поскольку и физические лица, и компании, и даже государственные структуры всегда и везде применяют решения, использующие зашифрованный трафик. Это будет похоже на выстрел в ногу.
Эффективно анонимайзеры и VPN блокируются на уровне корпоративной сети, чтобы ограничить сотрудников от использования соцсетей, или, например, обезопасить себя от утечки данных. Подобная функциональность встроена во все современные межсетевые экраны, использует репутационную базу и успешно ограничивает доступ. Технологически это можно реализовать и на уровне всей страны, но идея со всех сторон кажется утопичной, да и польза от запрета пока явно уступает объему ресурсов, которые требуются для выполнения этой задачи ".
МНЕНИЕ
Вячеслав Медведев, ведущий аналитик отдела развития компании "Доктор Веб":
"Один из обсуждаемых законопроектов содержит уже ставшей типовой фразу "сетевые адреса, и(или) доменные имена, и(или) указатели страниц сайтов... , а также иную информацию, позволяющую идентифицировать информационный ресурс". То есть блокировки опять чисто формальные по адресам и именам ресурсов. Недостатки этого способа широко известны – формальность фильтрации, когда смена имени и адреса позволяет обойти ограничения, и "стрельба из пушек", когда вместе с воробьями под блокировку попадают совершенно невинные ресурсы, никак с ними не связанные, но делящие с ними одинаковые IP-адреса.
Еще одна проблема чисто технического характера – требование блокировки на территории Российской Федерации. Каждый, кто на поезде проезжал мимо границы, сталкивался с тем, что "на территории Российской Федерации" по Wi-Fi становились доступны ресурсы, отфильтрованные по правилам соседнего государства. Это неустранимая проблема, но, тем не менее, формально она есть. Как международной поисковой системе блокировать доступ ровно по границам? Вычислять геопозиционирование в каждый текущий момент? Это дорого и далеко не всегда возможно. Ориентироваться на выбранный язык и провайдеров доступа? Не обеспечивает нужную точность измерений.
Можно ли решить проблему блокировки доступа так, чтобы не задевать непричастные ресурсы с одной стороны, а с другой – надежно блокировать запрещенную информацию? Можно. Использование технологии DPI (англ. Deep Packet Inspection) это позволяет. Но это дорого, требует модернизации (и усложнения) систем провайдеров доступа и владельцев ресурсов, через которые идут запросы к заблокированным ресурсам.
Но вспомним, кто в первую очередь заинтересован в блокировках? Государство. И здесь мы вспоминаем про еще одну программу – систему защиты критически важных систем. В рамках ее предполагается модернизировать часть (не весь (!), о чем забывают практически все критики) российского сегмента сети так, чтобы критически важные системы не могли быть затронуты какими-либо международными атаками. К примеру, широко известной атакой на систему DNS-серверов. В рамках данной задачи предполагается реализовать много проектов. И в любом случае сопряжение сетей критически важных систем с общей сетью Интернет потребует создания шлюзов фильтрации. И, по-хорошему, включающих фильтрацию по DPI.
Если государство действительно хочет обеспечить качественную фильтрацию, то нужно отказываться от формального подхода, вызывающего только критику и совершенно неэффективного, и вкладывать деньги в удобные для пользователей системы фильтрации".