В России вступил в силу закон о суверенном Рунете. Что с ним не так?

1 ноября в России вступил в силу закон о суверенном Рунете. Рассказываем, к чему нам готовиться и почему он сейчас не будет работать.

Вступивший в силу закон о суверенном Рунете предполагает наделение Роскомнадзора полномочиями управлением российским сегментом Интернета — ведомство должно получить полную карту точек обмена трафиком, что впоследствии позволит через провайдеров блокировать каналы к любому интернет-ресурсу в рамках закона. Если появится «угроза извне», Роскомнадзор получит в свои руки всё централизованное управление Рунетом и сможет блокировать доступ к тому или иному ресурсу без предупреждения.  

Как это должно работать

Речь совсем не идёт о каких-то ограничениях в Интернете. Мы должны обеспечить надёжное функционирование Рунета — российского сегмента Интернета. Вот на что направлен этот закон, только на это, — заявлял президент России Владимир Путин.

Закон обязывает операторов связи устанавливать на своих сетях технические средства противодействия угрозам, которые позволят фильтровать трафик и ограничивать доступ к запрещённым сайтам. К такому оборудованию относится система глубокой фильтрации трафика (Deep Packet Inspection — DPI, «глубокий анализ пакетов»). Оборудование провайдерам должен предоставить Роскомнадзор, а его установка и обслуживание должно осуществляться за счёт бюджетных средств.

Технология DPI работает следующим образом: у провайдера устанавливается соответствующий программно-аппаратный комплекс, который анализирует весь проходящий трафик, выделяя специфические пакеты, свойственные конкретным интернет-сервисам. Далее комплекс отсекает нежелательный трафик. Предполагается, что блокировки станут более качественными, ибо Роскомнадзору не придётся думать, как используется тот или иной диапазон адресов.

В теории с началом работы закона о суверенном Рунете интернет-ресурсам станет немного сложнее бороться с блокировкой, ибо, например, переход любого заблокированного сайта на другое доменное имя может не повлиять на ситуацию. В первую очередь, по словам главы Роскомнадзора, закон поможет в борьбе с запрещёнными на территории России ресурсами, в том числе и с мессенджером Telegram. Однако для этого российским властям необходимо решить одну сложную проблему.

Закон вступил в силу, но начать действовать он не может

Закон не об ограничениях, а о защите Рунета. Велика ли угроза начала ядерной войны в мире? Различные могут быть оценки, однако если такая угроза есть, то Российская Федерация, как суверенное государство, должна противопоставить этому определённые военные возможности. Точно так же и с Интернетом. Это огромная отрасль российской экономики, — заявлял один из авторов закона Андрей Клишас.

Всё дело в том, что на полную установку необходимого оборудования для суверенизации Рунета по всей стране понадобится как минимум год. Об этом журналистам «Ъ» анонимно рассказал один из участников тестирования технических средств противодействия угрозам. Неназванный источник, близкий к администрации президента России, заявил о том, что закон будет действовать «по факту не на всей территории».

Более того, создатель мониторинга реестра запрещённых сайтов Роскомнадзора Usher2.club Филипп Кулин подчёркивает, что для установки необходимого оборудования, позволяющего реализовать закон, пока не приняты все необходимые подзаконные акты. Из 26 необходимых документов пока что опубликованы всего 7, из которых 5 вступили в силу с 1 ноября, а 2 подпункта — о шифровании трафика российской криптографией и об использовании национальной системы доменных имён — заработают лишь 1 января 2021 года.

Тем не менее, тестирование систем глубокой фильтрации трафика проходило в России последние несколько месяцев. Но не без косяков. Например, из-за недостатков данной технологии в марте произошли сбои в работе сервисов Яндекса, о чём рассказывал директор по развитию сетевой инфраструктуры компании Алексей Соколов. По его утверждениям, в ходе «неких учений» Роскомнадзор прогонял трафик через актуальные на тот момент системы DPI.

От слов про возможную победу над Telegram, который российские власти не могут заблокировать уже больше полутора лет, в Роскомнадзоре перешли к делу. В конце сентября ведомство приступило к внедрению систем глубокой фильтрации трафика DPI на территории Урала — оснастить весь Уральский федеральный округ соответствующим оборудованием власти намерены к концу 2019 года.

Оборудование для реализации закона на Урале предоставляет компания «Данные — центр обработки и автоматизации», которую возглавляет бывший глава Nokia в России и экс-заместитель министра связи Рашид Исмаилов. На тот момент системы уже были в распоряжении операторов связи, предоставляющих услуги домашнего Интернета в Екатеринбурге. Опасаются в Роскомнадзоре единственного — некорректной работы оборудования. На этот случай специалисты подготовили механизм, отключающий фильтрацию трафика.

Деньги (оказывается!) есть, но результата нет

Оно должно воздействовать на субъекты информационного пространства таким образом, чтобы они начинали выполнять российское законодательство. Задача сложная, многогранная, эксперименты продолжаются. Речь идет не только о DPI. Безусловно, технология глубокого анализа пакетов необходима, но это только часть того оборудования, которое требуется для решения задач, — заявлял глава Роскомнадзора Александр Жаров.

В середине октября пользователь заблокированного в России торрент-трекера «Рутрекер» столкнулся с некорректной работой программы для обхода DPI-блокировок GoodbyeDPI. Вероятно, приложение перестало выполнять свою функцию из-за внедрения на сетях «Ростелекома» Мурманской области EcoDPI от rdp.ru. В логах GoodbyeDPI было указано, что провайдер использует полноценный DPI.

Действительно ли это говорит нам о том, что результаты работы над исполнением закона о суверенном Рунете являются сугубо положительными? Тот самый «полноценный DPI», с которым столкнулся пользователь из Мурманской области, отслеживает ссылки даже внутри прокси-серверов, поэтому для обхода такой блокировки необходимо использовать любое шифрованное соединение с маскировкой трафика и инкапсуляцией протоколов.

В качестве примера удачного обхода блокировки в случае старта работы систем, запущенных в рамках реализации закона о суверенном Рунете, можно привести метод маскировки трафика под обычный TLS (transport layer security) — это протокол, обеспечивающий защищённую передачу данных между узлами в Интернете. Если кратко: переход с прокси-серверов на «фейковый» TLS делает домен невидимым для провайдера, а если сервер стоит в облаке от, например, Google и при согласовании используется домен этой же компании (Google.com, — прим. КД), то по факту провайдер будет получать информацию про условный сервис Google, работающий по HTTPS/TLS-протоколу. Блокировать Google и половину Интернета Роскомнадзор же просто так не будет? ?

Экс-директор особых направлений Telegram Антон Розенберг рассказывал «Коду Дурова» о том, что использование систем глубокой фильтрации трафика вряд ли поможет российским властям полностью изолироваться от мирового Интернета и в том числе заблокировать Telegram. Единственное, с чем может столкнуться мессенджер братьев Дуровых — усложнение борьбы с блокировкой прокси-серверов:

DPI не поможет заблокировать Telegram, так как последний может маскировать свой трафик под HTTPS, инкапсулировать в VPN и другие протоколы. Причём менять схему может более оперативно, чем производители оборудования. Но если это оборудование сможет блокировать отдельные адреса в режиме реального времени, это может немного усложнить задачу Telegram, так как адреса прокси-серверов можно будет блокировать более оперативно. Однако производительность и цена подобных решений тоже вызывает большие вопросы.

Большим вопросом лишь остаётся стоимость реализации закона о суверенном Рунете. С одной стороны, отечественные компании поддерживают данную инициативу, ведь закон «позволит индустрии чувствовать себя более спокойно», с другой — а целесообразно ли тратить огромнейшие средства на то, что, не факт, что будет работать так, как было задумано господами сенаторами Андреем Клишасом, Людмилой Боковой, а также депутатом Госдумы Андреем Луговым?

На создание Центра управления сетью связи общего пользования в рамках закона правительство выделило 1,8 млрд рублей. Официально в 2019 году на реализацию суверенного Рунета планируется потратить 597 млн рублей, в 2020-м — 699 млн, а в 2021-м — 546 млн рублей. Распределять средства будут поэтапно: на разработку соответствующих программных и аппаратных продуктов будет выделяться 95% субсидий, а с 2022 года — не более 50%, при этом на оплату труда сотрудникам Центра будет уходить средств больше — с 3% в 2019 году до 30% с 2022 года.