К концу 2022 года подчинённые Роскомнадзору структуры будут полностью готовы блокировать любые сайты, мессенджеры и сервисы, включая VPN. Технически, инструмент для этого готов уже сейчас. О том, каким образом это станет возможным, как это повлияет на бизнес и граждан, как регулятор будет пользоваться этим инструментом, рассказал член Совета ТПП РФ по развитию информационных технологий и цифровой экономики Сергей Родионов.
Сегодня любая блокировка, в соответствии с нормативными документами реализуется как работа с черными списками:
К первым можно отнести черные списки сайтов, которые загружаются операторами связи из Единого реестра РКН для последующей блокировки. Реализация блокировок – всегда на усмотрение оператора связи, главное, чтобы сайт (или ссылка) был недоступен – таким образом достигается исполнение требований регулятора. Такие блокировки грубо закрывают доступ к сайту целиком, даже если претензии у регулятора касались страницы сайта или какого-либо файла. Помимо «неаккуратности» подхода, обход таких блокировок не сложен, например, смена доменного имени, чем часто пользуются, онлайн-казино.
Ко вторым же – черные списки IP-сетей, которые также загружаются операторами связи. Регулятор предполагает, что на указанных сетях работает какой-либо подлежащий блокировке сервис, не привязанный к какому-либо сайту: начиная от пиратских видео-сервисов до мессенджеров. Метод еще более грубый, когда случайно под блокировку могут попадать и другие сервисы, плюс, смена IP адреса или подсетей для сервиса – куда более легкая задача, чем смена доменного имени. Результат такой ковровой блокировки всегда мало предсказуем.
Технологически, обход этих блокировок не являлся проблемой: Интернет пестрил простейшими инструкциями от настройки VPN на домашнем маршрутизаторе до установки плагинов в браузер. Тогда регулятор решил использовать более современный подход, он был основан на технологии DPI (Deep Packet Inspection).
В случае использования DPI, весь трафик абонентов оператора связи сначала проходит через кластер устройств, анализирующих потоки трафика на предмет соответствия определенным сигнатурам. Сигнатуры IP-потоков, как отпечатки пальцев – уникальны для каждого интернет-сервиса, имеют множество метрик и признаков и позволяют с вероятностью близкой к 100% установить, что именно этот IP-пакет имеет отношение к определённому публичному ресурсу или сервису. Как только выявилось совпадение – пакет можно скопировать, модифицировать, «задержать» или уничтожить. Ранее это было дорогим удовольствием и применялось в основном крупными корпорациями: например, для поиска источников утечки коммерческих тайн. Развитие технологий позволило сократить стоимость установки DPI для всего пользовательского трафика, а наличие на серверах портов, обрабатывающих трафик на скоростях до 100Гб/с, и более совершенная архитектура процессоров снизила задержки прохождения Интернет-трафика до миллисекунды. Это прозрачно и незаметно для пользователя.
На текущий момент системы DPI, установленные у крупнейших операторов, способны анализировать 100% трафика абонентов на более чем 80% операторов в целом, в соответствии с планом регулятора, отраженном в законе о «суверенном рунете», вступившем в силу 1 ноября 2019 г. За 1.5 года с момента первого тестирования была проделана существенная работа, особенно в части определения и формализации сигнатур. По информации от анонимного представителя одного из операторов связи, работа с сигнатурами будет закончена не позднее 1-го квартала 2022 года. Нормативная документация, по которой регулятор сможет формально блокировать трафик через устройства DPI, установленные у операторов, ожидается не ранее конца 2022, тестирование технологии блокировок будет продолжаться. Скорее всего они придутся на конец сентября и более массовые тесты – на начало 2022 года, после получения регулятором всех необходимых инструментов.
С учетом того, что блокировка средствами DPI технологически более сложная, чем «черные списки», есть ряд нюансов, из-за которых пока сложно блокировать большое количество Интернет-ресурсов или приложений:
- Чем больше сигнатур нужно искать в каждом IP-потоке, тем медленнее идет обработка, и тем больше требуется мощностей для обработки трафика. Одновременно использовать все возможные сигнатуры на DPI не представляется возможным.
- Ряд протоколов, которые используются для различных технических нужд, могут также использоваться для доступа к заблокированным ресурсам (протокол SSH для удаленного доступа к серверам, например).
- Ряд сервисов получат «зеленый коридор» в качестве исключений для нужд конкретных компаний, например банков.
Регулятор может использовать DPI для следующих нужд:
- Как инструмент давления на крупный зарубежный Интернет-бизнес в целях соблюдения Российского законодательства и судебных решений. Российский рынок остается привлекательным для Интернет-бизнеса, угроза отключения или замедления ресурса для 99% пользователей.
- Как гарантированный способ перманентной или временной блокировки Интернет-ресурсов или приложений. DPI дает существенно большую гарантию с минимальными побочными эффектами.
Так как пока сформированы далеко не все нормативные акты, последствия для бизнеса и граждан сложно прогнозируемы. Однако, с учетом последних событий, когда, на мой взгляд, по спорным причинам были оштрафованы крупнейшие Интернет-компании – эти компании будут выдавливаться с российского рынка. Последовательность и прозрачность правил и решений позволят этого избежать. Даже при умеренной политике регулятора, контент и информация для российских пользователей будет особым образом фильтроваться, но уже силами зарубежных компаний – аналог самоцензуры.
Российские пользователи получат превентивно фильтрованный Интернет, а российские предприятия – ограниченную среду для ведения бизнеса.