В Минцифры планируют в течение полугода определиться с контурами политики в отношении VPN — об этом заявил глава ведомства Максут Шадаев.
По словам Шадаева, сегодня доля идущего через VPN трафика в стране увеличивается, а с «недружественными сервисами», которые не соблюдают требования законодательства, борется Роскомнадзор. При этом порой страдают и легальные корпоративные VPN, что и намерены исправить в Минцифры.
Сегодня доля VPN-трафика в стране увеличивается, а с «недружественными сервисами», которые не соблюдают требования законодательства, борется Роскомнадзор. При этом иногда страдают и легальные корпоративные VPN, необходимые для работы организаций.
По мнению экспертов по кибербезопасности, единая политика могла бы учитывать как вопросы кибербезопасности, так и потребности пользователей и бизнеса. Пользователям она позволяла бы сохранить доступ к необходимым ресурсам, обеспечить прозрачные правила использования VPN и повысить уровень безопасности. Бизнесу — защитить каналы, используемые для удаленной работы и международной деятельности и сохранить стабильность рабочих процессов.
При этом государство получило бы эффективный инструмент контроля над нелегальными VPN-сервисами, ограничило распространение противоправного контента и повысило управляемость интернет-пространства.
Контроль за трафиком и использованием VPN позволяет государственным органам оперативно выявлять и предотвращать схемы, связанные с обходом блокировок или анонимизацией, что важно для борьбы преступлениями, в том числе терроризмом и экстремизмом.
— Вместо формальных процедур Россия пошла по пути технического ограничения доступа к конкретным VPN-сервисам, которые не соблюдают требования законодательства. Такие меры включали блокировку приложений в App Store и Google Play, ограничения на уровне провайдеров, а также использование технологий глубокой фильтрации трафика. При этом в стране до сих пор отсутствует единый нормативный документ, регламентирующий правовой статус VPN-сервисов, допустимые способы их использования, а также принципы различения корпоративных и частных целей.
В результате, отмечает он, сложилась противоречивая ситуация. С одной стороны, государство стремится обеспечить цифровой суверенитет и защиту национальных интересов. С другой — отсутствует правовая определенность как для пользователей, так и для компаний, особенно в условиях санкционного давления.
— Вторая проблема — трудности, возникающие у бизнеса. Многие компании, особенно международные, используют VPN для безопасного подключения сотрудников к корпоративным сетям. Однако в рамках технических ограничений корпоративные сети часто блокируются наравне с публичными сервисами. Это приводит к сбоям в работе, рискам утечки данных, необходимости срочного поиска альтернатив, которые могут оказаться менее надежными.
— С ними связаны две крупные проблемы: кража данных и распространение вредоносных программ. Например, в Китае вредоносную кампанию, которая была нацелена на пользователей VPN. Компьютеры, зараженные подобным образом, могут в будущем использоваться в DDoS-атаках и, по сути, становятся марионетками в руках злоумышленников.
К примеру, человек может просто посмотреть видео с компьютера, где был активирован VPN, а на следующий день зараженное устройство будет «участвовать в атаках на банки».
Вторая проблема — сбор данных. По сути, VPN-провайдер — посредник для ваших данных между вами и сайтом, на который вы заходите. Вы, как пользователь, никак не можете проверить, что VPN-провайдер не собирает или не продает ваши данные другим компаниям или странам. Все бесплатные альтернативы с большой вероятностью существуют только на основе продажи данных клиентов.
— Для государства основным элементом такой политики станет обеспечение контроля над безопасностью и защитой суверенитета Интернета. Это предполагает разработку мер по противодействию обходу блокировок запрещенных ресурсов, борьбу с киберпреступностью и предотвращение распространения экстремистского контента через анонимные каналы.
В то же время, для бизнеса важно предусмотреть сохранение легального доступа к VPN-сервисам, необходимым для эффективной и безопасной работы сотрудников и защиты коммерческой тайны.
Сейчас компаниям сложно использовать VPN официально, так как они могут быть признаны «инструментом обхода блокировок» и повлечь проблемы. Потому нужно создать перечень «белых» VPN-провайдеров, разрешенных для бизнеса, и ввести для них политику по хранению логов, прохождению сертификации/аудита. И выделить специальные каналы для критически важных отраслей.
Для граждан политика может устанавливать возможность использования средств защиты приватности и анонимности в Интернете, однако с определенными ограничениями, например с запретом на доступ к запрещенным законом ресурсам. В целом, единая стратегия может включать:
• юридическое определение допустимого и недопустимого использования VPN;
• перечень разрешенных и запрещенных VPN-сервисов;
• требования к операторам VPN по локализации данных и сотрудничеству с госорганами;
• правила использования VPN для бизнеса и госструктур;
• меры ответственности за нарушение установленных правил;
• механизмы технического контроля и мониторинга VPN-трафика;
• процедуры сертификации или регистрации VPN-сервисов, работающих в стране.
Так или иначе, эксперты сходятся во мнении, что решение проблем с VPN требует создания четкой и сбалансированной политики, которая позволит легальным провайдерам продолжать работу, защищая права граждан и интересы бизнеса. Такая стратегия повысит безопасность, снизит риски злоупотреблений и обеспечит стабильность цифровой среды.
По словам Шадаева, сегодня доля идущего через VPN трафика в стране увеличивается, а с «недружественными сервисами», которые не соблюдают требования законодательства, борется Роскомнадзор. При этом порой страдают и легальные корпоративные VPN, что и намерены исправить в Минцифры.
Государственная политика
В Минцифры планируют до конца года определиться с контурами политики в отношении VPN в России. Об этом глава министерства Максут Шадаев.Сегодня доля VPN-трафика в стране увеличивается, а с «недружественными сервисами», которые не соблюдают требования законодательства, борется Роскомнадзор. При этом иногда страдают и легальные корпоративные VPN, необходимые для работы организаций.
По мнению экспертов по кибербезопасности, единая политика могла бы учитывать как вопросы кибербезопасности, так и потребности пользователей и бизнеса. Пользователям она позволяла бы сохранить доступ к необходимым ресурсам, обеспечить прозрачные правила использования VPN и повысить уровень безопасности. Бизнесу — защитить каналы, используемые для удаленной работы и международной деятельности и сохранить стабильность рабочих процессов.
При этом государство получило бы эффективный инструмент контроля над нелегальными VPN-сервисами, ограничило распространение противоправного контента и повысило управляемость интернет-пространства.
Контроль за трафиком и использованием VPN позволяет государственным органам оперативно выявлять и предотвращать схемы, связанные с обходом блокировок или анонимизацией, что важно для борьбы преступлениями, в том числе терроризмом и экстремизмом.
Ситуация с VPN
Сегодня в России наблюдается устойчивый рост интереса к VPN-сервисам. По данным аналитического агентства Vox Populi за 2024 год, ими около 60% взрослого населения, чаще всего — молодежь от 18 до 24 лет. При этом в 2023 году АНО «Диалог» и АНО «Диалог регионы» приводили статистику, согласно которой VPN почти 30% россиян — для доступа к заблокированным социальным сетям, а также для повышения анонимности в интернете и в рабочих целях. С 2022 года спрос на анонимизирующие технологии сохранялся на высоком уровне, однако государственная политика в отношении VPN не была системной.— Вместо формальных процедур Россия пошла по пути технического ограничения доступа к конкретным VPN-сервисам, которые не соблюдают требования законодательства. Такие меры включали блокировку приложений в App Store и Google Play, ограничения на уровне провайдеров, а также использование технологий глубокой фильтрации трафика. При этом в стране до сих пор отсутствует единый нормативный документ, регламентирующий правовой статус VPN-сервисов, допустимые способы их использования, а также принципы различения корпоративных и частных целей.
В результате, отмечает он, сложилась противоречивая ситуация. С одной стороны, государство стремится обеспечить цифровой суверенитет и защиту национальных интересов. С другой — отсутствует правовая определенность как для пользователей, так и для компаний, особенно в условиях санкционного давления.
Проблемы и риски
Правовая неопределенность в отношении VPN-сервисов приводит к тому, что граждане не знают, какие из них могут использоваться законно, а какие подпадают под потенциальную блокировку. У них нет возможности заранее спрогнозировать, будет ли конкретный сервис работать в долгосрочной перспективе. Более того, в случае использования VPN человек может подвергнуться проверке со стороны правоохранительных органов, не имея возможности обосновать свою позицию.— Вторая проблема — трудности, возникающие у бизнеса. Многие компании, особенно международные, используют VPN для безопасного подключения сотрудников к корпоративным сетям. Однако в рамках технических ограничений корпоративные сети часто блокируются наравне с публичными сервисами. Это приводит к сбоям в работе, рискам утечки данных, необходимости срочного поиска альтернатив, которые могут оказаться менее надежными.
— С ними связаны две крупные проблемы: кража данных и распространение вредоносных программ. Например, в Китае вредоносную кампанию, которая была нацелена на пользователей VPN. Компьютеры, зараженные подобным образом, могут в будущем использоваться в DDoS-атаках и, по сути, становятся марионетками в руках злоумышленников.
К примеру, человек может просто посмотреть видео с компьютера, где был активирован VPN, а на следующий день зараженное устройство будет «участвовать в атаках на банки».
Вторая проблема — сбор данных. По сути, VPN-провайдер — посредник для ваших данных между вами и сайтом, на который вы заходите. Вы, как пользователь, никак не можете проверить, что VPN-провайдер не собирает или не продает ваши данные другим компаниям или странам. Все бесплатные альтернативы с большой вероятностью существуют только на основе продажи данных клиентов.
Аспекты стратегии
Чёткая политика в отношении VPN может включать несколько важных аспектов, учитывающих интересы государства, бизнеса и граждан.— Для государства основным элементом такой политики станет обеспечение контроля над безопасностью и защитой суверенитета Интернета. Это предполагает разработку мер по противодействию обходу блокировок запрещенных ресурсов, борьбу с киберпреступностью и предотвращение распространения экстремистского контента через анонимные каналы.
В то же время, для бизнеса важно предусмотреть сохранение легального доступа к VPN-сервисам, необходимым для эффективной и безопасной работы сотрудников и защиты коммерческой тайны.
Сейчас компаниям сложно использовать VPN официально, так как они могут быть признаны «инструментом обхода блокировок» и повлечь проблемы. Потому нужно создать перечень «белых» VPN-провайдеров, разрешенных для бизнеса, и ввести для них политику по хранению логов, прохождению сертификации/аудита. И выделить специальные каналы для критически важных отраслей.
Для граждан политика может устанавливать возможность использования средств защиты приватности и анонимности в Интернете, однако с определенными ограничениями, например с запретом на доступ к запрещенным законом ресурсам. В целом, единая стратегия может включать:
• юридическое определение допустимого и недопустимого использования VPN;
• перечень разрешенных и запрещенных VPN-сервисов;
• требования к операторам VPN по локализации данных и сотрудничеству с госорганами;
• правила использования VPN для бизнеса и госструктур;
• меры ответственности за нарушение установленных правил;
• механизмы технического контроля и мониторинга VPN-трафика;
• процедуры сертификации или регистрации VPN-сервисов, работающих в стране.
Так или иначе, эксперты сходятся во мнении, что решение проблем с VPN требует создания четкой и сбалансированной политики, которая позволит легальным провайдерам продолжать работу, защищая права граждан и интересы бизнеса. Такая стратегия повысит безопасность, снизит риски злоупотреблений и обеспечит стабильность цифровой среды.
