VPN под присмотром

Компании все активнее вносят данные об использовании иностранных протоколов шифрования в своих корпоративных сетях в «белый список» Роскомнадзора. Попадание в такой перечень, надеется бизнес, должно легализовать работу его IT-систем, однако, говорят эксперты, переход на «российские альтернативы» не всегда возможен.

Выйти из полноэкранного режима

Развернуть на весь экран

Созданный ЦМУ ССОП (подведомственен РКН) «белый список» IP-адресов, использующих иностранные протоколы шифрования, сегодня насчитывает 75 тыс. записей, рассказали “Ъ” в службе. Это в шесть раз больше, чем в 2023 году, когда, по заявлению главы РКН Андрея Липова, записей было только 12 тыс. Ведомство просит владельцев частных иностранных виртуальных сетей (virtual private network — VPN) предоставлять для внесения в этот список данные об IP-адресах, протоколах и их назначениях в случае, если отказаться от них по техническим причинам невозможно.

Уведомление о рекомендации отказаться от иностранных протоколов шифрования, «используемых в том числе приложениями, предоставляющими доступ к запрещенной информации», было опубликовано на сайте Роскомнадзора 10 апреля. Опрошенные “Ъ” эксперты заостряли тогда внимание на том, что преждевременно говорить о принудительных блокировках по факту использования иностранных протоколов шифрования, а сам запрос предоставить данные выглядит как мера для мониторинга, которая направлена на определение количества пользователей зарубежных протоколов.

Несмотря на то что связывать уведомление с грядущей блокировкой VPN по протоколам собеседники “Ъ” не спешат, они отмечают, что такая тактика укладывается в общий тренд развития систем блокировок со стороны Роскомнадзора. Так, по словам главы отдела исследований в области ИИ «Университета 2035» Ярослава Селиверстова, модернизация технических средств противодействия угрозам на 60 млрд руб., заложенная в федеральный проект «Инфраструктура кибербезопасности», направлена на анализ трафика по сигнатурам протоколов, включая VPN, что «повысит уровень эффективности ограничения доступа к средствам обхода блокировок VPN до 96%». Однако господин Селиверстов обращает внимание на риск ложных срабатываний блокировок для легальных бизнес-процессов и увеличение бюрократической нагрузки на компании.

Федеральная служба по техническому и экспортному контролю и Федеральная служба безопасности России ранее утвердили ряд технологических решений, которые используют российские алгоритмы шифрования. Разрабатываются они с рядом российских ИБ-компаний, в том числе ГК «Солар», «Код безопасности» и «ИнфоТеКС». Например, «ГОСТ VPN» уже используется в криптошлюзах «Континент» и ViPNet. Как считает ведущий инженер CorpSoft24 Михаил Сергеев, они конкурентоспособны в сферах, где требуется соответствие нацстандартам, например, в госсекторе и критической инфраструктуре, однако сегодня их использование ограничено в отраслях, зависящих от глобальных стандартов, таких как международная торговля и IT-разработка, из-за несовместимости с западными системами.

Cобеседники “Ъ” отмечают, что для большинства внутренних процессов российские компании используют виртуальные частные сети с иностранными протоколами, потому что они проще в использовании и представлены в открытом доступе.

Руководитель группы защиты IT-решений компании «Газинформсервис» Сергей Полунин заключает, что диапазоны IP-адресов крупных компаний и так публичны и потенциальной проблемой может стать веерная блокировка всего, что в «белый список» не входит.

«Если Роскомнадзор будет блокировать все коммуникации не по ГОСТам, то российский бизнес сдаст свои адреса регулятору, чтобы не потерять возможность вести коммуникации как со своими удаленными сотрудниками и офисами, так и с другими компаниями»,— отмечает консультант по интернет-безопасности компании Positive Technologies Алексей Лукацкий. Гендиректор хостинг-провайдера RUVDS Никита Цаплин не исключает, что в будущем доступ к VPN может носить «разрешительный характер» со стороны службы.

Филипп Крупанин