Минцифры поручило компаниям искать VPN на устройствах пользователей

Минцифры разослало крупнейшим интернет-компаниям рекомендации по выявлению VPN на устройствах пользователь:ниц — и одновременно признало: на iPhone такие проверки «существенно ограничены». Об этом сообщил РБК со ссылкой на документ.

Методичка стала продолжением серии совещаний с участием более 20 крупнейших платформ — среди них «Сбер», «Яндекс», VK, Wildberries, Ozon, Avito, X5. На этих встречах глава Минцифры Максут Шадаев поручил компаниям к 15 апреля ограничить доступ к своим сервисам для пользователь:ниц с включенным VPN.

В случае невыполнения требований компаниям могут приостановить IT-аккредитацию и лишить связанных с ней льгот, а также исключить из списков обязательных к предустановке и «белых списков» доступных ресурсов. Одновременно от платформ требуют не только блокировать доступ, но и самостоятельно выявлять новые VPN-сервисы — с последующей передачей данных о них в Роскомнадзор.

Как Минцифры будут обнаруживать VPN

В методичке предлагается начать с мобильных устройств: именно на Android и iOS приходится более половины пользовательских девайсов и до 80% приложений, через которые потенциально можно выявлять средства обхода блокировок. Проверки на других операционных системах, Windows, macOS и др., планируют внедрять на более поздних этапах.

Схема предполагает три шага. Сначала компании должны определить IP-адрес устройства и сопоставить его с российскими и уже заблокированными диапазонами. Затем — попытаться выявить использование VPN через собственное приложение, установленное на устройстве. Третий этап — анализ устройств с другими операционными системами.

Несоответствие IP-адреса российскому региону, совпадение с заблокированными адресами или частая смена геолокации могут рассматриваться как признак использования VPN — однако только как повод для дополнительной проверки, а не автоматической блокировки.

При этом ключевой этап — проверка через приложение, фактически не работает на устройствах Apple. В iOS сторонние приложения изолированы друг от друга и не имеют доступа к системным данным, включая информацию о сетевых подключениях. В Android таких ограничений меньше: через инструменты ConnectivityManager и NetworkCapabilities приложения могут определить, проходит ли трафик через VPN.

С какими проблемами власти сталкиваются

Помимо ограничений iOS, в методичке перечислен целый ряд ситуаций, в которых выявить VPN затруднительно или невозможно.

Так, если VPN настроен на уровне роутера, на самом устройстве не остается никаких следов его использования. Похожая проблема возникает, когда сервис работает внутри виртуальных машин или контейнеров. Не поддаются идентификации и прокси-серверы с IP-адресами обычных провайдеров.

Дополнительные сложности создает режим split tunneling — когда через VPN проходит только часть трафика. В таких случаях анализ одной сети не дает полной картины. Искажения геолокации возможны и без VPN — например, из-за CDN или глобальных сервисов доставки контента.

Отдельно в Минцифры указывают на скорость появления новых VPN-сервисов: она опережает обновление баз IP-адресов, на которые опираются системы проверки.

Собеседни:цы РБК отмечают, что при таких ограничениях методика неизбежно будет давать сбои: под блокировки могут попадать пользователь:ницы за рубежом или те, кто использует корпоративные VPN. Для последних планируют создать «белый список» легитимных сервисов.

Компании также должны учитывать поведенческие сценарии: например, если VPN включается только в рабочее время, это может указывать на корпоративное использование. В спорных случаях рекомендуется проводить повторные проверки и сопоставлять разные источники данных — включая GPS, информацию о сотовых вышках и историю авторизаций.

При этом Минцифры отдельно подчеркивает: постоянный мониторинг VPN нежелателен, поскольку увеличивает расход трафика и ускоряет разряд устройств.

Что говорят эксперт:ки?

В разговоре с DOXA эксперт по кибербезопасности Тимофей Дубровских отмечает, что возможности выявления VPN во многом зависят не столько от самих интернет-компаний, сколько от инфраструктуры и источников данных, которыми располагают власти:

«Мессенджер MAX уже отслеживает VPN, и я склоняюсь к тому, что именно из-за него в последние дни “легло” некоторое количество сервисов. На iOS действительно сложнее получить доступ к информации о подключении VPN, а вот на Android это довольно просто — этим и пользуется MAX.

Роутеры с VPN есть далеко не у всех, и это, скорее, один из немногих способов защититься. В целом получается, что выявлением занимаются не столько платформы, сколько Роскомнадзор — на основе данных, которые он получает, в том числе, от таких сервисов, как MAX».

По словам эксперта, сама логика выявления VPN тесно связана с вопросами приватности — и потенциально расширяет объем собираемых данных:

«Лучше исходить из того, что всё, что пользователь:ница передает в сервисы, связанные с РФ — MAX, VK и другие — может быть доступно силовым структурам. Это касается не только переписки, но и технических данных: IP-адресов, информации об устройстве и так далее.

Риски здесь вполне конкретные — вплоть до преследования за комментарии или личные сообщения. Дальше каждый оценивает их для себя самостоятельно».

Дубровских также подчеркивает, что попытки ограничить использование VPN неизбежно запускают гонку между блокировками и способами их обхода:

«Это классическая ситуация “кошки-мышки”. По мере ужесточения ограничений будут появляться всё более сложные способы обхода — и сама система будет становиться только более запутанной и технически сложной».

Контекст

Ужесточение контроля за VPN разворачивается на фоне более широкой кампании по ограничению интернета в России. В конце марта глава Минцифры Максут Шадаев попросил операторов связи ограничить пополнение Apple ID — эту меру объясняли борьбой с VPN. С 1 апреля «МТС», «ВымпелКом» («Билайн»), «МегаФон» и «Т2 Мобайл» отключили соответствующие способы оплаты.

Среди других обсуждаемых шагов — введение платы за использование более 15 ГБ международного трафика в месяц, однако это предложение пока не реализовано.

Параллельно Минцифры требует от платформ ограничивать доступ для пользователь:ниц с включенным VPN и передавать данные о новых сервисах Роскомнадзору. По информации РБК, в случае отказа компании могут лишиться льгот и исключиться из IT-реестра.

3 апреля пользователь:ницы сообщали о проблемах в «Сбере», ВТБ, «Альфа-Банке», Ozon Банке и «Т-Банке: не проходили платежи, не открывались личные кабинеты, не работали Система быстрых платежей и оплата по QR-кодам. Компании признавали «сложности», но не объясняли их причины.

Одновременно усиливаются блокировки мессенджеров. По данным на начало апреля, уровень ограничения Telegram достиг около 80%, WhatsApp — 98%, Signal — более 90%. Аналитики фиксируют падение трафика Telegram на 17–18% в марте, а совокупное число просмотров в российских телеграм-каналах, по данным Telemetr, снизилось примерно на 17%.