Европейские компании предупредили о последствиях из-за ограничения VPN

Европейские компании предупредили о последствиях из-за ограничения VPN

Европейские компании предупредили о последствиях из-за ограничения VPN

Ассоциация европейского бизнеса (АЕБ), в состав которой входят Air France, Citibank, Volvo Cars и еще несколько сотен европейских компаний, «выразила обеспокоенность» в связи с принятием и вступлением в России в силу 1 ноября поправок к закону «Об информации, информационных технологиях и защите информации», ограничивающих работу анонимайзеров, например частных виртуальных сетей — VPN.

Письмо об этом генеральный директор АЕБ Франк Шауфф направил министру связи Николаю Никифорову и руководителю Роскомнадзора Александру Жарову.

«Анонимайзеры используют такие технологии, как частные виртуальные сети (VPN), прокси-серверы и др. Однако данные технологии также используются подавляющим большинством международных компаний в России в качестве одной из мер информационной безопасности (для защиты каналов передачи данных) при ведении бизнеса. Следовательно, закон в случае его расширенного толкования может быть применим к внутрикорпоративным ИТ-системам и процессам, функционирующим на основе технологий VPN и прокси-серверов и используемым исключительно во внутрипроизводственных целях, не предполагающих, в частности, получение информации, доступ к которой ограничен на территории России», — говорится в письме Шауффа.

Представители Роскомнадзора и Минкомсвязи подтвердили РБК получение данного письма, пишет rbc.ru.

«Взаимодействуем с Роскомнадзором по данной теме. Дадим ассоциации разъяснения в ближайшее время», — заявила РБК представитель Минкомсвязи Анна Ахмадиева.

Корпоративные нужды

Новая редакция закона об информации содержит оговорку, что ограничения не распространяются на анонимайзеры при условии, что «круг пользователей таких программно-аппаратных средств их владельцами заранее определен и использование таких программно-аппаратных средств осуществляется в технологических целях обеспечения деятельности лица, осуществляющего их использование». В связи с этим в своем письме АЕБ отмечает, что европейским компаниям необходимы разъяснения, могут ли они по-прежнему использовать VPN для обеспечения собственных нужд и взаимодействия с партнерами и контрагентами и должны ли они уведомлять об этом российские государственные регуляторы.

Председатель комитета АЕБ по ИТ и телекоммуникациям Эдгарс Пузо подтвердил РБК, что организация действительно попросила регулятор разъяснить позицию в отношении VPN и анонимайзеров.

«Насколько я знаю, ответа с разъяснениями от Роскомнадзора и Минкомсвязи пока не поступало. В такой ситуации мы всегда советуем европейским компаниям стараться исполнять требования местного законодательства», — сообщил он.

Личный или служебный?

Опрошенные РБК эксперты, в том числе интернет-омбудсмен Дмитрий Мариничев, считают, что содержащаяся в законе оговорка по сути выводит корпоративные VPN из-под его действия.

«Однако остается вопрос, каким образом регуляторы будут разделять VPN, который используется в корпоративных целях, и VPN, который используется для обхода блокировок», — говорит Мариничев.

С ним согласен Леонид Евдокимов, разработчик из некоммерческой организации Tor Project, создавшей анонимную сеть Tor, который говорит, что отличить корпоративный VPN для сотрудников от публичного, используемого для обхода блокировок, невозможно.

«Поэтому реестр VPN, не исполняющих данный закон, всегда будет на шаг позади существующей инфраструктуры. Возможно, конечно, и другое развитие событий: блокировка всех VPN-подобных протоколов и введение списка «хорошистов», но, кажется, такой асимметричный ответ пока не обсуждается. А черные списки практически бесполезны», — говорит Евдокимов.

Он также отмечает, что в целом обеспечить фильтрацию какими-либо VPN-провайдерами по списку запрещенных сайтов «попросту невозможно».

«Проблема не столько в том, чтоб фильтровать трафик, а в том, чтоб отличить российских пользователей от «нероссийских» — для этого попросту нет стопроцентно работающего технического решения. Если же требовать от VPN-провайдеров фильтровать трафик по спискам Роскомнадзора для всех пользователей, а не только российских, то это создаст очень опасный прецедент. Тогда любая страна в мире сможет требовать у любого бизнеса что-то где-то фильтровать», — говорит Евдокимов.

Один и тот же VPN можно использовать как для корпоративных нужд, так и для личных, поэтому сотрудники компаний, использующих VPN в своей работе, смогут с легкостью использовать его и для обхода блокировки сайтов, резюмирует юрист «Роскомсвободы» Саркис Дарбинян.

«VPN как способ защиты корпоративных ИТ-ресурсов очень популярен, и все более или менее крупные компании используют его. А значит, у большого количества людей в стране есть доступ к корпоративным VPN. Думаю, до поры до времени это не будет беспокоить органы власти. ФСБ и Роскомнадзор в первую очередь возьмутся за блокировку наиболее популярных публичных VPN для обычных пользователей. Однако есть инструменты вроде OpenVPN, которые позволяют пользователю развернуть свой VPN, и Роскомнадзор не сможет это отследить, так как у большинства операторов связи пока нет соответствующего оборудования», — заключает Дарбинян.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Solar Dozor 8.1 научилась предотвращать утечки из почты и мессенджеров

ГК «Солар» представила новую версию своей DLP-системы Solar Dozor — релиз 8.1. Основной упор в обновлении сделан на борьбу с утечками конфиденциальной информации из корпоративной почты и мессенджеров.

По данным компании, в ходе более 300 пилотных внедрений выяснилось, что сотрудники нередко сохраняют черновики с рабочими документами и пересылают их себе на личные устройства — чтобы, например, прочитать по дороге. Но именно такие действия и становятся источником утечек.

Теперь Solar Dozor может отследить попытки загрузить конфиденциальный файл из письма или черновика и заблокировать операцию. Это касается, в том числе, вложений вроде презентаций, PDF-документов или баз данных клиентов.

Если пользователь попробует переслать такие файлы или даже изображение с чувствительной информацией (например, скан договора) через web-версию мессенджера, система также среагирует. Встроенный OCR-движок умеет распознавать текст в картинках и анализировать его на наличие «секретов».

Особое внимание в этом релизе уделено мессенджерам Telegram и WhatsApp. По данным экспертов, 35% утечек связаны именно с ними. DLP-агенты теперь умеют блокировать отправку сообщений и файлов с корпоративных устройств под управлением Windows, Linux и macOS, если обнаруживают чувствительные данные.

Также в версии 8.1 появились инструменты для упрощения развёртывания и настройки системы:

  • графический инсталлятор, который позволяет запустить систему без инженеров и техподдержки;
  • конструктор для маппинга заголовков — с его помощью можно настроить интеграцию с почтовыми и другими внешними сервисами по ICAP/HTTP, а полученные «алерты» будут отображаться в понятном виде.

Новый релиз закрывает важные векторы утечек — от скачивания рабочих документов на личные устройства до пересылки через мессенджеры с корпоративных машин. В условиях растущих штрафов за инциденты и ужесточения законодательства по персональным данным это становится всё более актуальным.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru