РСПП обнаружил в актах для "сувернета" требование сплошного перехода на VPN

23.07.2019 12:28

Эксперты Российского союза промышленников и предпринимателей (РСПП) подготовил отзыв на проект приказа Минкомсвязи, связанного с реализацией закона о "суверенном Рунете" и регламентирующего меры защиты от фишинга (подмены сайтов), сообщает РБК. По указанию экспертов РСПП, предлагаемые меры потребуют строительства множества виртуальных частных сетей - VPN. По оценке РСПП это малореально.

Уточняется, что согласно проекту Минкомсвязи, участники рынка должны обеспечить защиту от несанционированного доступа к оборудованию и программному обеспечению, которые используются для определения сетевого адреса сайта в случае введения названия домена в адресную строку браузера. Эксперты РСПП отмечают, что технически передаваемая информация "может быть просмотрена на транзитном уровне, скопирована, потом распространена и пр., поскольку это позволяют существующие интернет-протоколы (DNS, DNSSEC)", вследствие этого для обеспечения защиты, предложенной Минкомсвязи необходимо, чтобы все операторы создавали VPN соединения от национальной системы доменных имен к каждому ресурсу в Рунете. Аналитики РСПП выразили мнение, что это налагает "существенные необоснованные обременения на всех участников рынка, не предусмотренные федеральным законом".

Член рабочей группы при РСПП и один из авторов отзыва Алексей Семеняка пояснил суть фишинговой угрозы следующим образом: "Теоретически злоумышленник может получить доступ к информации о том, какому домену соответствует какой IP-адрес и почтовый сервис, а если это промежуточный запрос, то на какой сервер запрос переходит дальше. Как правило, кража такой информации происходит редко, но злоумышленники могут "подделать" ресурс, чтобы пользователь оставил на нем, например, свои персональные данные или скачал зараженный файл - это классический фишинг".

При этом эксперт отметил, что создать VPN-соединение для всех ресурсов в Рунете практически невозможно так же, как и оценить необходимый для этого объем затрат. Алексей Семеняка отметил, что протокол DNSSec может защитить от модификации информации, но им в настоящее время защищены менее 1% доменов, и он все равно не защищает от просмотра и копирования данных.

Представитель компании "МегаФон" высказал мнение, что предположение РСПП о необходимости построения защитных сетей может быть вызвано нечеткими формулировками в проекте приказа. При этом само строительство VPN в "МегаФоне" оценили как избыточное и недостаточно технически проработанное.

Андрей Воробьев, директор Координационного центра доменов .RU/.РФ, отметил, что в настоящее время идут разработка и внедрение различных протоколов для защиты передаваемого DNS-трафика от прочтения или подмены. Речь о таких протоколах как DNS over HTTPS и DNS over TLS (DoH и DoT).

"Если же речь идет не только о том, чтобы зашифровать трафик, но и обеспечить обработку запросов только национальной системой доменных имен, то да, в этом случае потребуется VPN", - заметил Воробьев и также добавил, что выстраивание такого количества сетей VPN практически невозможно: "Для того чтобы это обеспечить, потребуется установка на пользовательских устройствах особых настроек и сертификатов безопасности".

Критике экспертов, по данным РБК, подвергся и ряд проектов подзаконных актов, связанных с функционированием национальной системы доменных имен. Уточняется, что согласно документу, представленному Роскомнадзором, Российская национальная доменная зона будет состоять из сайтов, находящихся в зонах .RU, .РФ и .SU.

Бывший директор Координационного центра национального домена сети интернет Андрей Колесников пояснил, что домен .SU не имеет четкого юридического статуса и в свое время был делегирован СССР, который уже не существует, и отметил, что направил в Роскомнадзор обращение с критикой проекта.

"Домен .SU не содержится в списке зарегистрированных кодов для стран Международной организации по стандартизации (ISO) и в списке доменов верхнего уровня корпорации ICANN. В связи с этим, если ICANN сочтет необходимым прекратить делегирование указанного домена, как в свое время поступили с доменом Югославии .YU, может возникнуть существенный юридически-правовой казус", - рассказал Колесников.

Кроме того, эксперты раскритиковали проект положения о национальной системе доменных имен. Документ предусматривает, в частности, обязательное использование национальной системы доменных имен абонентами и пользователями услуг связи. Профильная комиссия РСПП в своем отзыве отметила, что законами не предусмотрена обязанность абонентов пользоваться сайтами, расположенными в зонах .RU, .РФ и .SU. "Реализация принудительной обязанности использовать исключительно национальную систему доменных имен технологически невозможна", - сказано в отзыве.

В компании "ВымпелКом" (бренд "Билайн") согласны с этим возражением. В отзыве "ВымпелКома" сказано, что "формулировка данного пункта равносильна запрету на доступ к сайтам сети интернет, расположенным за пределами России". Подчеркивается, что данное требование представляет собой "коррупциогенный фактор".

Напомним, что ранее РСПП уже оценил негативно ряд проектов подзаконных актов для "суверенного Рунета". Тогда сообщалось, что рабочая группа комиссии РСПП выявила ряд недостатков, которые могут привести к снижению скорости доступа и крупным финансовым затратам, письмо об этом было направлено главе Минкомсвязи.

После чего глава Роскомнадзора Александр Жаров заявил в интервью, что использование оборудования в рамках закона о "суверенном Рунете" не повлечет за собой снижения скорости интернета, а также никак не скажется на принципе сетевой нейтральности. При этом операторы связи не понесут затрат в связи с установкой этого оборудования.

Всего для закона о "суверенном Рунете" потребуется 41 подзаконный акт.

Пакет поправок к законам "О связи" и "Об информации", условно известный как законопроект о "суверенном интернете", сенаторы Андрей Клишас и Людмила Бокова, а также депутат Андрей Луговой внесли в Госдуму 14 декабря 2018 года. Он предусматривает создание инфраструктуры, способной обеспечить работу российских интернет-ресурсов в случае отключения отечественного сегмента интернета от зарубежных серверов. В нем определяются трансграничные линии связи и точки обмена трафиком, а их владельцы, операторы связи, обязываются при возникновении угрозы обеспечить возможность централизованного управления трафиком. Кроме того, предлагается установить на сетях связи "технические средства, определяющие источник передаваемого трафика". 12 февраля 2019 года Госдума приняла законопроект в первом чтении.

11 апреля законопроект прошел второе чтение. К этому моменту в текст было внесено 27 поправок, большая часть из которых уточняет полномочия государственных органов.

Президент России Владимир Путин подписал документ 1 мая. Закон вступит в силу в ноябре 2019 года. Нормы о криптографической защите информации и об обязанности операторов связи использовать национальную систему адресации доменных имен начнут действовать с 1 января 2021 года.