Роскомнадзор, ЦБ и МВД поддержали идею законопроекта, запрещающего использование анонимайзеров для доступа к заблокированным сайтам. По расчетам бизнеса, его реализация обойдется в «миллиарды долларов».
В понедельник, 19 июня, в Думе прошло первое обсуждение законопроекта об анонимайзерах и VPN-сервисах, который может грозить блокировкой легальным ресурсам.
Пакет поправок к закону «Об информации, информационных технологиях и защите информации» был внесен в Госдуму 8 июня, его авторы — депутат «Единой России» Максим Кудрявцев, депутат от «Справедливой России» Николай Рыжак, а также коммунист Андрей Ещенко.
Обсуждение документа представителями госорганов и бизнеса прошло в рамках заседания комитета Госдумы по информационной политике, информационным технологиям и связи. Его итогом стало решение создать рабочую группу для доработки законопроекта, сообщил глава комитета Госдумы по информполитике, информационным технологиям и связи Леонид Левин. Дата первого чтения законопроекта пока не назначена,
Какие ограничения вводит новый закон
Поправки разработаны «в целях повышения эффективности ограничения доступа к информационным ресурсам, доступ к которым в России ограничен на законном основании», говорится в пояснительной записке. Они вводят запрет для владельцев анонимайзеров и VPN-сервисов предоставлять доступ к сайтам, которые заблокированы на территории России. Кроме того, согласно поправкам Роскомнадзор получает право заблокировать любой сайт, где будет размещена информация о средствах обхода блокировок. Наконец, законопроект предписывает операторам поисковых систем прекращать на территории России выдачу ссылок на информационные ресурсы, включенные в перечень Роскомнадзора.
Неоднозначность формулировок и отсутствие четкой схемы реализации новых норм вызвали критику со стороны интернет-компаний. Уполномоченный по защите прав предпринимателей в интернете Дмитрий Мариничев назвал законопроект «безумием».
Анонимайзеры против закона
Анонимайзеры фактически «нивелируют» эффективность российских законов, отметил, открывая обсуждение, Леонид Левин. «К сожалению, практически всем известна фраза классика, которая гласит, что строгость российских законов компенсируется необязательностью их исполнения, — сказал он. — Анонимайзеры как раз являются ярким примером, фактически нивелирующим эффективность российских законов, а также деятельность исполнительной власти, которая нацелена на то, чтобы оградить наших граждан от информации, признанной не соответствующей российским законам».
Практически все присутствовавшие на заседании представители власти законопроект поддержали, хотя и с рядом оговорок. Замруководителя главного управления безопасности и защиты информации ЦБ Артем Сычев усомнился, что у Роскомнадзора «хватит текущих ресурсов, чтобы выполнить такую работу на высоком уровне».
«Очевидно, что им потребуется и расширение штата, и формирование инструментария, которые будут появляться за счет госфинансирования», — указал представитель ЦБ. «Концептуально» с идеей согласны в МВД. «Мы, несомненно, поддерживаем то, что не должно быть лазеек для распространения противоправного контента, и чем эффективнее будет работать система органов государственной власти и управления по пресечению [такого контента], тем меньший вред такой контент нанесет нам с вами и нашим детям», — отметил замначальника управления «К» МВД РФ Олег Свяцкий, оговорившись, что некоторые технические формулировки требуют доработки.
Глава Роскомнадзора Александр Жаров, в свою очередь, заверил, что у службы достаточно ресурсов и понимания выполнения закона. Однако из-за большого количества сервисов, позволяющих обходить блокировки, его реализация потребует «не один месяц и не один год», предупредил он.
Бизнес на анонимности
Операторы связи, которым придется исполнять этот закон, уже оценили потенциальные угрозы их бизнесу. Вице-президент по корпоративным и правовым вопросам сотовой компании МТС Руслан Ибрагимов напомнил, что законопроект может создать угрозы для VPN-бизнеса, который сейчас развивает оператор и потенциал которого оценивается в 50 млрд руб. в год. Он подчеркнул, что текущие формулировки законопроекта, касающиеся того, какую информацию должен давать Роскомнадзор операторам связи, предполагают новые риски и расходы — необходимость внедрять новую систему DPI (технология накопления статистических данных, проверки и фильтрации сетевых пакетов по их содержимому). «Для нас затраты на это составят миллиарды долларов», — отметил он.
Дополнительная нагрузка также ложится на оборудование. «Наше оборудование все больше начинает обслуживать фильтрационные маршруты. По нашим оценкам, в 1,5 раза больше оборудования задействовано на фильтрацию, чем на весь Рунет. Любой запретительный закон увеличивает нагрузку на наше оборудование, [увеличивает] необходимость его модернизации», — сказал представитель МТС.
С ним согласился Сергей Мальянов, директор по работе с органами госвласти другого крупнейшего сотового оператора — «ВымпелКома». «Вопрос даже не в потерях, которые понесут владельцы ресурсов, операторы связи и поисковики, которые хотят переложить ответственность на операторов. Вопрос в том, решает ли этот инструмент, который предлагается данным законопроектом, ту цель, которую перед собой ставили разработчики. На мой взгляд, не решает», — заключил он.
Директор по стратегии, исследованиям и разработкам компании «Ростелеком» Андрей Савченков также подчеркнул, что для выполнения закона придется «перестроить всю систему фильтрации как таковую от начала до конца».
Олег Евдокимов, занимающийся экспертизой по выявлению эффективности блокировок и один из разработчиков «Родительского контроля» (системы фильтрации контента для детей), напомнил, что несовершенство системы блокировок может повлиять на так называемую критическую инфраструктуру Рунета, тем более что некоторые пользователи с целью выявить уязвимости в «Ревизоре» — системе блокировок Роскомнадзора — стали вносить в черный список IP-адреса добропорядочных ресурсов, в результате чего они стали недоступны. Евдокимов также согласился с ростом нагрузки на оборудование операторов связи из-за перенаправления трафика на DPI: «Сейчас фильтруется от 0,5 до 1% всего трафика. То есть если мы перенаправляем весь трафик на DPI, это увеличивает количество вычислительных ресурсов в сотню раз».
Хактивисту удалось получить доступ к базе данных одного из поставщиков так называемых stalkerware — приложений для скрытой слежки за владельцами смартфонов. В результате в Сеть утекли более 500 тысяч платёжных записей, связанных с клиентами, которые платили за слежку за другими людьми.
Речь идёт о данных пользователей сервисов Geofinder, uMobix, Peekviewer (бывший Glassagram) и ряда других приложений для мониторинга и трекинга.
Все они предоставляются одним и тем же вендором — компанией Struktura, зарегистрированной на территории Украины. В утёкшей базе также оказались платёжные записи сервиса Xnspy, уже известного по крупным утечкам в прошлые годы.
Как выяснили в TechCrunch, в базе содержится около 536 тысяч строк с данными клиентов. Среди них — адреса электронной почты, название сервиса, за который платил пользователь, сумма платежа, тип банковской карты (Visa или Mastercard) и последние четыре цифры карты. Дат платежей в наборе данных не было.
Хотя полных платёжных реквизитов в утечке нет, даже такой объём информации может быть опасен, особенно с учётом того, чем именно занимались клиенты этих сервисов.
Журналисты TechCrunch проверили утечку несколькими способами. В частности, они использовали одноразовые почтовые ящики с публичным доступом, которые встречались в базе, и через функции восстановления пароля подтвердили, что такие аккаунты действительно существуют.
Дополнительно проверялись уникальные номера счетов, которые совпали с данными, доступными на страницах оплаты сервисов — причём без необходимости проходить аутентификацию. Это указывает на серьёзные проблемы с безопасностью у поставщика.
Хактивист под ником wikkid рассказал, что получил доступ к данным из-за «банальной ошибки» на сайте вендора. По его словам, он целенаправленно атакует приложения, которые используются для слежки за людьми, и позже опубликовал выгруженные данные на одном из хакерских форумов.
Приложения вроде uMobix и Xnspy после установки на телефон жертвы передают третьим лицам практически всё содержимое устройства: сообщения, звонки, фотографии, историю браузера и точные данные о местоположении.
При этом такие сервисы открыто рекламировались как инструменты для слежки за супругами и партнёрами, что во многих странах прямо нарушает закон.
Это далеко не первый случай, когда разработчики stalkerware теряют контроль над данными, как клиентов, так и самих жертв слежки. За последние годы десятки подобных сервисов становились жертвами взломов или утечек из-за элементарных ошибок в защите.
Ирония ситуации в том, что компании, зарабатывающие на вторжении в чужую приватность, раз за разом не способны защитить даже собственных клиентов.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
