В попытке усилить контроль над интернет-пространством Минцифры России разослало методички крупнейшим интернет-компаниям, предлагая проверять, есть ли у пользователей VPN, и ограничивать их доступ к сервисам. Это шаг, по сути, предлагает внедрение шпионских модулей в устройства пользователей, что вызывает серьезные опасения у экспертов и может подорвать доверие к отечественным сервисам.
Основные детали новой методички Минцифры — в материале «Новой-Европа».
Согласно информации, полученной РБК, Минцифры отправило этот документ после совещаний с более чем 20 интернет-платформами, включая «Сбер», «Яндекс», VK и другие. На совещаниях было прямо указано, что к 15 апреля компании должны будут ограничить доступ к своим сервисам для пользователей с включенным VPN, иначе их могут лишить IT-аккредитации.
Методичка выделяет три этапа проверки на наличие VPN, сосредоточившись на Android и iOS, так как эти платформы наиболее популярны:
- Сравнение IP-адреса устройства с российскими IP и списком заблокированных Роскомнадзором;
- Анализ использования обходных средств блокировок через собственные приложения;
- Проверка наличия VPN на других ОС, таких как Windows и macOS.
Однако, как отмечается в документе, выявить VPN на iOS будет сложно из-за ограниченного доступа к системным параметрам. В отличие от iOS, на Android приложения могут запрашивать сетевые параметры и следить за трафиком. При этом Минцифры рекомендует не следить за VPN постоянно, чтобы не разряжать батарею устройства и не увеличивать расход трафика.
Кроме того, документ описывает ситуации, когда компании могут столкнуться с трудностями в выявлении VPN, например, если он установлен на роутерах или используется в режиме split tunneling и через CDN. Также сложно отследить новые VPN-сервисы, которые появляются быстрее, чем обновляются базы данных IP-адресов.
Фото: Alamy / Vida Press
Киберадвокат Саркис Дарбинян комментирует, что маркетплейсы смогут внедрить контроль за VPN, как указано в методичке. Он предполагает, что компании могут быть вынуждены внедрять шпионский модуль MAX, уже известный своими функциями слежения, в код своих приложений. Этот модуль способен проверять наличие VPN-соединений и отправлять запросы к различным серверам, включая Telegram и WhatsApp.
Дарбинян отмечает, что это нововведение может сильно ударить по бизнесу, так как методичка фактически обязывает компании разрабатывать шпионские модули для своих приложений. Это беспрецедентный шаг, который может серьезно подорвать доверие пользователей к российским софтам и сервисам.
«Скрыть такое сотрудничество бизнесу вряд ли удастся, — подчеркивает Дарбинян. — Специалисты по безопасности будут изучать поведение приложений, и любые свидетельства такого сотрудничества могут стать поводом для скандала и потери пользователей».
В результате приложения, вовлеченные в эту схему, могут быть удалены из AppStore и PlayMarket за нарушение условий конфиденциальности, а разработчики могут потерять лицензии. Такие действия приведут к оттоку аудитории и снижению прибыли. По мнению Дарбиняна, многие компании постараются саботировать внедрение новшеств, чтобы избежать этих последствий.
