Как изменит закон о суверенном интернете российский IT-бизнес: мнение профессионалов

Сегодня над российским интернетом нависла новая угроза: так называемый «закон о суверенном интернете» прошёл третье чтение, и теперь ни у кого не возникает сомнений, что он будет подписан и вступит в силу. Вокруг этого закона посеяно столько паники, слухов и домыслов, что кто-то спешно переносит интернет-бизнес из России за границу, а кто-то наоборот. Мы решили разобраться в вопросе, чтобы развеять страхи и опасения и выяснить, что именно грозит российскому бизнесу, активно использующему облачные сервисы после вступления в силу указанного закона, для чего прочитали-таки закон в том виде, в котором он прошёл 3 чтение, перевели его на понятный русский язык и рассказываем вам.

1. Никакого нового закона нет!

Давайте с самого начала - никакого нового закона нет. Есть существующий "закон о связи" (Федеральный закон "О связи" от 07.07.2003 N 126-ФЗ), в который вносятся изменения (глава 7, глава 10) касательно устойчивой работы российского сегмента интернета.

2. Кого коснётся этот закон?

Прежде всего, операторов связи, владельцев трансграничных каналов связи и точек обмена трафиком, а так же "владельцев автономных систем", о которых большая часть населения страны даже не слышала. О том, что такое "автономная система", лучше всего почитать в Wikipedia.

3. О чём вообще этот закон?

Основное тело изменений относится к бюрократии: операторов линий связи нужно посчитать, занести в реестр, переписать, какое у них используется оборудование, для каких целей, где стоят точки обмена трафиком. Вся информация о таких компаниях заносится в реестр, все всех обязаны уведомлять, а контроль за работоспособностью точек обмена трафиком устанавливает Роскомнадзор (он же РКН). Использовать точки обмена трафиком, не входящие в указанный реестр, теперь будет запрещено. По запросу РКН, операторы связи обязаны предоставлять информацию, кто пользуется их линиями, к каким международным каналам и где подключены сами операторы, какая у них маршрутизация, какое железо и какой софт.

На операторов линий связи, имеющих номер автономной системы, возлагается обязанность следовать букве закона, устанавливать оборудование по контролю за соблюдением закона, оказывать содействие во всяких следственных и оперативных мероприятиях и так далее. И вот здесь следует обратить внимание: это и есть то самое место, где мы завуалированно встречаем так часто обсуждающийся вопрос о DPI. Грубо говоря, если какая-то ООО "Ромашка" владеет километром оптоволокна между Москвой и Питером, и по этому участку идёт интернет-трафик, то эта ООО "Ромашка" никому ничего не должна (пункт 9 ст.56), а вот если она же имеет канал связи из России в Финляндию, по которому проходит международный трафик, и имеет регистрацию в организации IANA, то ООО "Ромашка" уже обязана содействовать в установке оборудования Роскомнадзора для проверки, не передаётся ли из-за границы в Россию что-то запрещённое. Оборудование покупается за счёт государства, и должно быть российского производства.

Причём, в законе нет слов о том, что будет осуществляться именно фильтрация типа DPI. Просто согласно букве закона, РКН укажет где и что установить, а оператор только обеспечивает работу оборудования и направление через него трафика.

Помимо этого, в законе много сказано о том, что все вместе (операторы и Роскомнадзор) должны проходить учения по реагированию на угрозы суверенности российского интернета, подчиняться требованиям закона (как будто раньше не подчинялись), а в случае возникновения угрозы, наше ведомство берёт на себя управление всей маршрутизацией трансграничного трафика, но сейчас не об этом. Пожалуй, впервые открыто стали говорить о пронюхивании зарубежного интернет-трафика, и это в мире, где любой сайт, любой мессенджер и любое электронное письмо передаются в зашифрованном виде.

DPI : устоит ли шифрование?

Сама технология DPI стара как мир, я уверен, что все наши читатели знают, как она работает, но для совсем далёких от темы, приведу пример: каждый байт из интернета упаковывается в цифровой пакет и отправляется пользователю сети на любое устройство, будь то компьютер или смартфон. У провайдера установлена система, которая вскрывает каждый пакет и пронюхивает на наличие запрещёнки: всё в порядке – проходи, если что не так – пакет уничтожается. И так миллиард раз в секунду, круглые сутки, год за годом.

Deep Packet Inspection (сокр. DPI, также complete packet inspection и Information eXtraction или IX) — технология накопления статистических данных, проверки и фильтрации сетевых пакетов по их содержимому. В отличие от брандмауэров, Deep Packet Inspection анализирует не только заголовки пакетов, но и полное содержимое трафика на уровнях модели OSI со второго и выше. Deep Packet Inspection способно обнаруживать и блокировать вирусы, фильтровать информацию, не удовлетворяющую заданным критериям.

Deep Packet Inspection может принимать решение не только по содержимому пакетов, но и по косвенным признакам, присущим каким-то определённым сетевым программам и протоколам. Для этого может использоваться статистический анализ (например статистический анализ частоты встречи определённых символов, длины пакета и т. д.).

Если у вас роутер хотя бы уровня Mikrotik, или программный шлюз безопасности, вы можете поиграть в Роскомнадзор и сами включить DPI для вашей домашней или офисной сети - ничего сложного в этом нет. По иронии судьбы, технология DPI использовалась как альтернатива Proxy для доступа к заблокированным сайтам, то есть то что эффективно применялось против РКН, теперь будет обращено против граждан. Конечно, есть мнение, что сегодня, когда практически весь трафик в интернете зашифрован, DPI - не более чем "страшилка от телеграмма", однако это не так. Мы обратились за помощью к системным администраторам:

HWP: Каково ваше мнение о законопроекте "о суверенном интернете"?

Максим: Вся эта проблема надумана - ничего не перестанет работать. Во-первых, они(США) не нас отключат, а себя отключат от нас. А так и до самоизоляции недалеко. Во-вторых все железо, которое на нашей территории под нашей юрисдикцией и административным контролем будет продолжать работать.

Владимир Колесников: Вообще если целью стоит изолировать рунет, то имеет смыл смотреть не на опыт Китая, а на опыт Северной Кореи, где для рядовых граждан - Чебурнет-Кванмён, а для доверенных лиц в доверенных местах - контролируемый выход в Интернет.

HWP: Давайте прямо: DPI может пронюхать содержимое HTTPs и VPN с подменой сертификатов или без неё, но незаметно для сторон?

Максим: Никакой DPI не сможет пронюхать реального содержимого трафика, поскольку есть оконечное асимметричное шифрование. Можно также и комбинацию шифрования применять - одно поверх другого и файлы разделять на абсолютно незначащие части, перемешивать их и шифровать. И чтобы расшифровать, нужно знать еще и в каком порядке из дешифрованных пазлов составлять целую картинку.

Александр Косивченко: может, при условии установки на клиентском компьютере нужного корневого сертификата.

Владимир Колесников: С VPN - теоретически да, для сервисов, которые используют один закрытый ключ на всех клиентов (vpnbook, frootvpn,...): во время TLS handshake можно подменить список наборов шифров, поддерживаемых клиентов, убрав из него те, которые поддерживают эфемерные ключи. Во всяких Китаях их Great China Firewall пронюхивает сам факт использования VPN (по крайней мере OpenVPN / PPTP / L2TP) и режет соединение. Лечилось использованием stunnel.

HWP: может ли Windows при обновлении сама установить корневой сертификат, чтобы в дальнейшем DPI система Роскомнадзора нюхала HTTPs соединение, да так, чтобы клиент ни о чём не догадывался?

Владимир Колесников: может. В корневом хранилище Винды был сертификат, предположительно используемый властями Тайланда для слежки за гражданами :) Собственно, не только винда. Всякие антивирусы типа Касперского устанавливают свои сертификаты, чтобы иметь возможность, хм, защищать пользователя.

HWP: Правильно ли я понимаю, что установив такой сертификат на компьютер гражданина, Роскомнадзор сможет через DPI системы получать пароли к интернет-банкам?

Владимир Колесников: Да. Собственно, DLP работает по тому же принципу, и безопасники компаний, использующих DLP, имеют полный доступ ко всему трафику.

HWP: От этого есть защита?

Владимир Колесников: Честно - не знаю. Если на своем компьютере есть права администратора, то "левые" корневые сертификаты можно убрать. Я не знаю, реалистичен ли сценарий, который предполагали осуществить в Казахстане: если трафик зашифрован при помощи правительственного сертификата, мы его пропускаем, иначе режем.

Пожалуй, мало кто станет сомневаться, что нужный корневой сертификат на компьютерах с русскоязычной Windows 10 появится, поскольку имя этой операционки на сегодня уже являтся синонимом слова "слежка". В то же время, технологии для защиты онлайн-платежей существуют ещё со времён, когда банки использовали HTTP протокол: это различные токены, устройства, которые при каждом обращении к банку генерируют уникальный код, который бесполезно перехватывать и прослуживать. Сегодня для генерации паролей могут использоваться смартфоны с биометрическими датчиками (сканер отпечатка пальца или фото лица пользователя), а можно вспомнить прошлые технологии, такие как "карточка с кодами доступа", которую банк выдавал клиенту для совершения онлайн-операций. То есть, возможности обезопасить банковские операции даже в условиях полной прозрачности трафика, имеются и хорошо известны.

Влияние на бизнес облачных провайдеров:

Сегодня любой бизнес, использующий облачную инфраструктуру, считает, что в той или иной мере защищён от хакеров, злоумышленников, но никто не готов к тому, что между узлами приложения находится фильтр трафика, который что-то пропускает, что-то нет, но при этом полностью закрыт для пользователя? Например, у вас подтягиваются данные из какой-либо базы в США, но все сетевые пакеты, содержащие слово "Telegram", не приходят на ваш сервер, так как дропаются системой фильтрации Роскомнадзора. И поскольку вы не знаете, какой именно фильтр стоит у РКН, вы скорее всего захотите, чтобы ваш облачный трафик не ходил через DPI-системы государства. Какой из этого выход? Правильно, консолидировать все свои облачные структуры в одной юрисдикции: либо внутри России, либо снаружи, но если два приложения используют общие данные, то оба они должны находиться по одну сторону границы.

Сергей Белкин, компания "1Cloud.ru":

В краткосрочной перспективе российские облачные провайдеры могут получить дополнительные выгоды, связанные с переходом компаний, которые используют зарубежные сервисы, на отечественные аналоги. Немного иначе я оцениваю долгосрочную перспективу, в которой могут быть реальные угрозы для развития отечественного бизнеса. Если описанные в законе процедуры начнут применяться на практике, то это может привести к тому, что очень многие бизнесы не смогут гарантировать своим потребителям привычное качество услуг или просто перестанут существовать.

Как показывает практика, изоляция еще никогда не способствовала развитию. По моему мнению, стагнация – это верный спутник любой изоляции на протяжении всей нашей истории. Немаловажный вопрос, как закон будет реализовываться на практике. Даже если технически изоляция не будет осуществлена в полном объеме, то, вероятно, сами попытки реализации могут привести к негативным последствиям как для бизнеса, так и для рядовых пользователей интернета. Мы все помним “ковровые блокировки” миллионов ip-адресов. Изоляция рунета – это достаточно амбициозная задача с точки зрения технической реализации.

Вообще, крупные облачные провайдеры, такие как Google, Amazon или Microsoft, из-за нового закона могут сделать ещё один шаг в сторону России, и если вы сознательно выбираете эти сервисы для хранения данных в другой стране, проверяйте, что сервер, с которым вы работаете, находится именно за границей, а не где-нибудь в ЦОДе на Каширском шоссе.

Максим Захаренко, генеральный директор компании "Облакотека":

Закон по-прежнему не говорит точно, что же будет реализовано на самом деле. Сейчас все сходятся на мысли, что у каждого провайдера будет установлено некое DPI-устройство, через которое вообще весь трафик будет анализироваться и чиститься. От этого закона ощущение двоякое.

С одной стороны, он существенно снизит миграцию российских ресурсов за рубеж, который может теперь быть просто отключен в любой момент. А, следовательно, повысит конкурентоспособность российских облачных платформ для российских клиентов.

Но, с другой стороны, такое искусственное вмешательство в сеть не может не привести к деградации качества связи. Что-то будет пропадать, что-то почему-то станет недоступно, что-то от чего-то где-то очистится, но даже разобраться в причинах отсутствия связи, неработоспособности каких-то протоколов и пропаже пакетов будет невозможно, потому что оборудование, на котором это всё происходит, для провайдеров будет черным ящиком, стоящим в разрыве канала. И даже не так важно, что провайдеров освободят от ответственности за качество связи. Важно, что деградация качества связи снизит привлекательность публичного облака и затормозит развитие ИТ-рынка.

HWP: Нужно ли готовиться к повышению цен на услуги облачных провайдеров?

Максим Захаренко (Облакотека): Потребуется ли модернизация инфраструктуры, грядёт ли удорожание услуг? Не буду гадать. Технические решения не определены. Уверен, что сейчас вообще никто не знает, что будет установлено, как будет управляться, сколько будет стоить (даже примерно) и кто за это будет платить.

HWP: Облачные провайдеры обычно имеют "номер автономной системы"?
Максим Захаренко (Облакотека): Те, кто, покрупнее, особенно IaaS провайдеры – да. Это в том числе нужно для организации отказоустойчивого сетевого доступа.
HWP: Российские облачные провайдеры размещают оборудование только в России, или есть и те, кто использует площадки в РФ и за границей?
Максим Захаренко (Облакотека):Есть те, кто использует площадки за границей. Но всегда стоит вопрос о том, насколько они интегрированы с площадками в РФ. Очень часто технически площадки бывают совершенно независимыми.

Среди Российских компаний, размещающих свои сервисы на зарубежных площадках, можно выделить такие как Яндекс и Битрикс24, причём последний ещё и умудрился пострадать от блокировки Telegram. Почему размещаются там? Ответ очевиден: дёшево, в том числе в вопросах обслуживания и закупки оборудования. Даже самый современный DPI-шлюз на границе способен прекратить эту практику, потому что ни один провайдер связи в данном случае не сможет гарантировать надёжность передачи данных между Россией и другой страной, ведь в разрезе его канала связи стоит оборудование совершенно другой компании, эдакий "чёрный ящик", которым он управлять не может. Более того, законодательно с такого оператора снимается ответственность за любые сбои на стороне РКН.

Национальная система доменных имён

Судя по тексту, наши законотворцы более были обеспокоены вопросами блокировки неугодных сайтов, чем по-настоящему устойчивостью доменных имён. О чём тут вообще идёт речь? Расшифровывая текст законопроекта, становится понятно, что в законе говорится о собственной сети корневых DNS-серверов, которые направляют запросы в доменных зонах типа .ru, .com. и так далее. Всего в мире насчитывается 13 корневых DNS-серверов, и почти все они подконтрольны американским или международным компаниям. По поверхности Земли разбросаны сотни копий этих серверов, называющимися "репликами", и если в отсталой Европе таких реплик несколько сотен, то на просторах необъятной сверхдержавы их всего 11: в Москве, Санкт-Петербурге, Екатеринбурге и Новосибирске. Ниже приведена карта размещения корневых DNS-серверов с сайта https://root-servers.org/.

Технологически, нельзя просто взять и создать 14-й DNS-сервер, так как для подключения к нему и ко всем остальным придётся использовать TCP соединение вместо UDP, а значит вырастут задержки при обмене трафиком между узлами с доменными именами. Сегодня, когда провайдеры бьются буквально за каждую наносекунду, переход с UDP на TCP - непозволительная роскошь. Но, опять же в законе сказано, что Роскомнадзор возьмёт, да придумает, как нам сделать свою сеть доменных имён, а как он этого добьётся - его проблемы.

Если вы используете облачную инфраструктуру, то мы рекомендуем вам российские ресурсы по возможности опрашивать через IP-адреса, потому что если кто-то решил залезть в систему корневых DNS-серверов и как следует там всё модернизировать, то лучше домены не использовать. И да, вы ведь соблюдаете нашу рекомендацию от 2010 года не брать пример с HWP.ru и регистрировать домены только в зонах .com, .net, .org и только у европейских регистраторов?

Пресловутый "Рубильник"

В случае возникновения чрезвычайных ситуаций, Роскомнадзор рассылает указания операторам связи, что им делать, какой трафик не пускать и как организовывать маршрутизацию трафика, если его приёмник или источник находятся в России. Говоря простым языком: если по широкому каналу идёт DDoS атака на сайт Kremlin.ru или портал Госуслуги (который, кстати, прекрасно ложится и без DDoS-атак), этот канал можно закрыть и пустить трафик по узкому - пусть атака захлебнётся. Нигде не указаны ни признаки этих угроз, ни время, на которое меняется маршрутизация. В принципе, закон позволяет в любой день заявить: "интернет - опасен, кругом враги!" и закрыть международный траффик, создав полную изоляцию российского сегмента интернета, и удерживать эту изоляцию до исчезновения угроз, то есть вечно.

Но есть и хорошая сторона: некоторый трафик можно пускать в обход пресловутых фильтров, и ведомство само решит, в каких случаях (пункт 5 ст. 65) и кого можно не фильтровать. Чисто логически, из-под фильтра стоило бы вывести следующий трафик:

  • Youtube (его много)
  • Игровой (чувствительный к задержкам)
  • Всё что связано с платежами (по соображениям безопасности)
  • Служебный (DNS-запросы и т.д.)

Но помимо этого, возникает условие, при котором, например, тот же Яндекс сможет получать свой трафик по широченному каналу без фильтрации, а Google - через все фильтры, которые только можно придумать. Учитывая, что недавно Яндекс начал продвигать собственные облачные услуги, а конкуренция на этом рынке жесточайшая, я нисколько не сомневаюсь, что этот манёвр, заложенный в закон, станет ещё одной причиной удорожания облачных услуг и выдавливания с рынка неугодных игроков, прежде всего иностранных. Но формулировка закона такая, что решение о передаче трафика в обход фильтров будет принимать оператор связи, а значит облачным провайдерам и даже простым хостинг-операторам договариваться придётся ещё и с ними.

Для рядового же обывателя "рубильник" можно описать двумя словами: в случае, если Роскомнадзору покажется, что нашей сети что-то угрожает, он может полностью перекроить маршрутизацию МЕЖДУНАРОДНОГО трафика через границы России вплоть до полного отключения. Внутренний трафик законодательно не ограничивается, как и неограничивается время, в течении которого ведомство может управлять ситуацией.

Как в этом случае будут работать SSL-сертификаты? Смогут ли они обновляться и верифицироваться? Как будет происходить синхронизация с серверами точного времени? Всё это - вопросы, ответов на которые нет даже у профессионалов.

Заключение

Из всех законов, которые я читал, текущий - самый расплывчатый и невнятный. Фактически, в нём идеально описано лишь кто кому докладывает и кто кого контролирует, а всё остальное можно было бы описать одной фразой: "как решит Роскомнадзор или Правительство РФ, так и будет". Однако, как показывает практика, такие формулировки наиболее губительны для области, в которой они проявляются, и хотя в законе сказано, что "рубильник" пустят в ход только в случае угрозы российскому сегменту сети Интернет, лучше этот тезис не проверять.

Поэтому, если ваш бизнес использует SaaS или другие облачные услуги, виртуальные АТС, документы и календари Google или Microsoft, мы рекомендуем вам:

Что надо сделать:

  • Перенести ваши приложения в Россию, на площадку одного из крупных облачных провайдеров.
  • В случае сервисов Google / Microsoft убедиться, что ваше облачко находится на территории России
  • При синхронизации ваших приложений с ресурсами в других странах, старайтесь настроить сеть таким образом, чтобы из России шло соединение с иностранной площадкой, а не наоборот, или используйте IP-адреса вместо доменов.
  • Выбить скидку из провайдера при оплате на 1-2 года вперёд, т.к. наверняка услуги SaaS-компаний подорожают
  • Перейти с WhatsApp / Telegram / Skype на локальный мессенджер, лучше всего через Web-интерфейс вашей CRM
  • Отказаться от почты Gmail
  • Купить SSL-сертификат у российского регистратора.

Что делать бесполезно:

  • Рассчитывать на иностранные VPN шлюзы - наверняка их будут резать
  • Рассчитывать на использование Proxy - по той же причине
  • Рассчитывать на асиметричный спутниковый интернет

Что делать крайне не рекомендуем:

  • Отказываться от мессенджеров в пользу ICQ
  • Менять Gmail на Mail.ru
  • Использовать Битрикс24

А вообще, не стоит забывать, что любые изменения - это ещё и большие возможности! Подумайте, возможно именно вам сейчас выпадает новый шанс заработать на изоляции российского интернета.

Михаил Дегтярёв (aka LIKE OFF)
22/04.2019


Похожие статьи:

Будет ли работать сеть на Zyxel Nebula, если опустят железный занавес?

Что станет с вашей сетью, если вдруг опустится железный занавес, и российский интернет превратится в нечто суверенное и перекроют все трансграничные каналы? Смоделируем эту ситуацию и расскажем, как "отвязать" устройства от Nebu...

Как нефтегазовая отрасль использует IoT

Как и многие традиционные отрасли промышленности, которые используют давние методы работы, нефтегазовый сектор долго раскачивался, прежде чем начать использовать технологию IoT, несмотря на наличие приборов на буровых установ...

К вопросу о подлинности интернета: сколько в сети фейков и роботов

Сегодняшний интернет - это больше не источник знаний, это планета, населённая роботами, дешёвым поддельным контентом, который закупается на биржах фрилансеров тоннами, прокручивается с помощью бирж накруток и выдаётся вам лишь с...

Включаем бесшовный Wi-Fi роуминг и блокируем интернет-рекламу на роутерах Keenetic

Чтобы включить бесшовный роуминг и объединить 5-гигагерцовые и 2-гигагерцовые беспроводные сети в одну с единым SSID-ом, на роутерах семейства Keenetic вам потребуется всего 1 минута и 11 секунд. Чтобы заблокировать рекламу цент...