Маршруты российские: какие риски несет проект о суверенном Рунете
В Госдуму внесен законопроект, направленный на укрепление суверенитета Рунета. Почему документ может снизить качество доступа в интернет в России и привести к ограничению свобод пользователей, разбирался РБК
В пятницу, 14 декабря, сенаторы Андрей Клишас и Людмила Бокова, а также депутат Андрей Луговой внесли в Госдуму законопроект, который направлен на создание защитных мер для обеспечения долгосрочной и устойчивой работы интернета в России, а также повышения надежности работы интернет-ресурсов.
Авторы проекта делают отсылку к принятой в сентябре 2018 года стратегии национальной кибербезопасности США, в которой декларируется принцип «сохранения мира силой». Россия, наряду с Ираном и Северной Кореей, в документе «бездоказательно обвиняется в совершении хакерских атак», которые нанесли ущерб американским и международным компаниям, и не понесли соответствующего наказания, отмечается в пояснительной записке к проекту.
РБК разбирался, чем предложенные меры по защите Рунета обернутся для пользователей и участников рынка.
Основные положения законопроекта
Интернет-провайдеры должны будут «обеспечить установку» в своих сетях технических средств противодействия угрозам. Эти средства (какие именно — в документе не объясняется) им должен будет предоставить Роскомнадзор на безвозмездной основе. В случаях возникновения угроз целостности, устойчивости и безопасности функционирования интернета общего пользования служба может осуществлять централизованное управление сетью в порядке, который определит правительство. Как уточнил РБК Клишас, порядок, сроки и технические условия установки технических средств, а также требования к сетям связи при использовании таких технических средств будут установлены в подзаконном акте Роскомнадзора
Даже если угрозы для Рунета нет, через установленное оборудование Роскомандзор будет блокировать запрещенные в России ресурсы. Сейчас этим занимаются сами провайдеры
Полностью меняется система организации обмена трафиком на территории страны — он должен проходить только через точки обмена, внесенные в специальный реестр (принцип его формирования не указан) и по определенным правилам Роскомнадзора (каким — не указано).
Вводится возможность отказывать операторам связи и организаторам распространения информации в интернете (ОРИ, к ним относятся мессенджеры, соцсети, сервисы электронной почты и др.) в подключении к точкам обмена трафиком. Отказ последует, если операторы не выполняют требований Роскомнадзора или правоохранителей (каких именно — не уточняется)
Владельцы линий связи, которые соединяют Россию с другими странами; операторы связи; лица, имеющие номер автономной системы (объединяет группы IP-адресов, чтобы оператор связи мог построить маршрут для трафика); владельцы точек обмена трафиком будут должны принимать участие в учениях. Положение о проведении учений будет устанавливать правительство России.
Предлагается создать национальную систему получения информации о доменных именах и сетевых адресах, некий реестр, который будет дублировать список доменных имен и номеров автономных систем, делегированных российским пользователям.
Существуют ли на самом деле угрозы для Рунета извне
Американскую стратегию в области кибербезопасности, на которую ссылаются авторы законопроекта, утвердил президент Дональд Трамп. В этом документе уделяется внимание ответной реакции на якобы имевшие место действия в данной сфере России, Китая, Ирана и КНДР: в частности, санкционируются американские кибероперации наступательного характера. Один из элементов стратегии — стремиться к миру посредством использования силы. «Мы не будем задействовать только оборонные меры, мы намерены участвовать в наступательных операциях, и наши соперники должны иметь это в виду», — цитировала CNN помощника президента США по национальной безопасности Джона Болтона. Незасекреченная 40-страничная версия стратегии опубликована на сайте Белого дома.
Активность США в рамках стратегии в России считают реальной угрозой. «Неправильно, когда система, которая имеет критическое влияние не только на граждан, но и на экономику в целом, «рубильник» для интернета, находится в чужих руках. Раньше, когда инфокоммуникационные технологии занимали меньшую долю в ВВП и не влияли на критические процессы в экономике, на это смотрели сквозь пальцы», — пояснил РБК замминистра цифровых технологий, связи и массовых коммуникаций Олег Иванов. Под «рубильником» для интернета имеется в виду система корневых серверов доменных имен (DNS), а также центр формирования доменных имен (Корпорация по управлению доменными именами и IP-адресами, ICANN). Иванов также напомнил, что Россия неоднократно выступала за интернационализацию системы управления интернетом. Система DNS является иерархической и распределенной по всему миру. В ее основе лежат 13 корневых серверов DNS, большинство из которых расположены в США, несколько — в Европе и Японии. ICANN находится под управлением некоммерческой корпорации по обеспечению общественных интересов, зарегистрированной в штате Калифорния.
По словам Лугового, планируется «создать устойчивый интернет внутри страны и свою систему доменных имен», благодаря чему «граждане смогут спокойно пользоваться интернетом». Законопроект позволит создать условия, при которых «вся страна будет как на ладони, мы будем понимать, откуда к нам втекает интернет и где выходит», сказал депутат.
Впрочем, изучившие стратегию США эксперты явных угрозы по отключению России от интернета не увидели. По словам консультанта ПИР-Центра Олега Демидова, принятые США меры — это обмен информацией о государственных киберугрозах со своими союзниками, содействие в расследовании и атрибуции кибератак (определения принадлежности хакеров к той или иной стране), координация и поддержание ответных мер, включая санкции. «США обосновывают необходимость сдерживания России в киберпространстве, но не очень понятно, какая связь между этим и предложением устанавливать в сетях операторов специальное оборудование Роскомнадзора, которое обеспечит ведомству более совершенный механизм интернет-блокировок за счет вмешательства в маршрутизацию трафика», — отметил Демидов.
Какие положения законопроекта вызывают опасения
Директор по стратегическим проектам Института исследований интернета Ирина Левова отметила, что пока не понятно, какое дополнительное оборудование нужно будет устанавливать операторам в своих сетях, но она допустила, что это может привести «к существенному увеличению рисков прекращения функционирования интернета на территории России и полной потери связности с зарубежным сегментом».
Раскритиковала она и положение о необходимости при маршрутизации трафика следовать правилам Роскомнадзора, поскольку это технически не состоятельно — протокол IP разработан таким образом, что передача данных осуществляется по оптимальному маршруту, а не так, как пожелает определенное ведомство. Кроме того, Левова опасается, что централизация управления трафиком в руках Роскомнадзора в случае его взлома может полностью парализовать работу интернета в России.
По словам еще одного участника рынка, внесенный в Госдуму законопроект предлагает «перестроить топологию всего российского интернета» и наделит Роскомнадзор чрезмерными полномочиями. «Допускаю, что может возникнуть перлюстрация сообщений пользователей, что нарушает конституционные свободы граждан. Чтобы иметь возможность блокировать запрещенные ресурсы на своем уровне, Роскомнадзор должен будет просматривать передаваемый операторами трафик, то есть получит полномочия, которые сейчас есть только у спецслужб», — сказал собеседник РБК. Он также обратил внимание на то, что для реализации инициативы могут потребоваться миллиарды рублей и, с учетом того, что для операторов оборудование должно быть бесплатным, скорее всего, это будут бюджетные средства. Как уточнила Людмила Бокова, реализация законопроекта будет профинансирована за счет средств национальной программы «Цифровая экономика» и Роскомнадзора.
Крупнейшие операторы связи и интернет холдинги в России — «Ростелеком», «ВымплеКом», «МегаФон», МТС, «Яндекс» и Mail.Ru Group — инициативу пока не комментируют.
Пытались ли раньше защищать Рунет
В июле 2014 года Совет безопасности России провел «цифровые учения» с целью выяснить, может ли российский интернет продолжать работу в случае отключения извне. По их итогам Минкомсвязь разработала поправки в закон «О связи», которые получили неофициальное название «Об автономном Рунете». Документ предписывал создать специальную Государственную информационную систему, в которую юрлица и индивидуальные предприниматели, использующие IP-адреса и автономные системы, а также владельцы точек обмена трафиком должны предоставлять информацию о своей критической инфраструктуре. Кроме того, проект предписывал всем операторам связи подключаться к точкам обмена трафиком из реестра государственных информационных систем.
В середине 2017 года появилась обновленная версия проекта, в которой предлагалось ограничить 20% участие иностранцев в капитале компаний-владельцев точек обмена трафиком в России. Эксперты и участники рынка критиковали эти предложения. В начале этого года министерство смягчило формулировки, оставив ограничение иностранного участия долей в 20% лишь в «значимых пунктах обмена трафиком». От требования об обязательном пропуске всего сетевого трафика через точки обмена, стоящие на учете у государства, Минкомсвязь в итоге отказалась. Однако этот законопроект до сих пор не внесен в Госдуму. По словам Олега Иванова, Минкомсвязи поддерживает концепцию внесенного в Госдуму законопроекта, поскольку во многом она согласуется с тем, что предлагало министерство. «Направление считаем правильным, но у законопроекта длинный путь, еще предстоит отточить формулировки, написать финансово-экономическое обоснование», — отметил заместитель министра. Связаться с представителем Роскомнадзора не удалось.
Еще одна инициатива по контролю за Рунетом также исходила от Совбеза России, который осенью прошлого года поручил Минкомсвязи и МИДу инициировать в рамках БРИКС (Бразилия, Россия, Индия, Китай и Южная Африка) обсуждение вопроса о создании для государств — участников объединения собственной «системы дублирующих корневых серверов доменных имен, независимой от контроля [международных организаций] ICANN, IANA и VeriSign и способной обслуживать запросы пользователей перечисленных стран на случай сбоев или целевых воздействий». О результатах исполнения этого поручения не сообщалось.
Авторы: Анна Балашова, Евгения Кузнецова, Александра Посыпкина.
Подробнее на РБК:
https://www.rbc.ru/technology_and_media/15/12/2018/5c13ccfc9a7947693d157b5e?from=center_1