Крупнейшие российские интернет-компании, включая "Сбер", "Яндекс", VK, Wildberries и Ozon, получили от Минцифры РФ методические рекомендации по самостоятельному выявлению и блокировке VPN-трафика на своих платформах. Согласно новым требованиям, с 15 апреля этим сервисам предписано ограничивать доступ пользователям, у которых активны средства обхода блокировок, а также передавать данные о новых VPN-адресах в Роскомнадзор для их последующего включения в общий список блокировок. Однако, как следует из документа, опубликованного РБК, техническая реализация этой задачи сопряжена с серьёзными трудностями, ключевая из которых - невозможность эффективного детектирования VPN на устройствах Apple iPhone из-за архитектурных ограничений iOS.
Сама по себе инициатива является логичным развитием политики по ограничению использования VPN, о которой ранее заявлял глава Минцифры Максут Шадаев. Вместо введения прямой административной ответственности для пользователей ведомство делает ставку на давление через бизнес. Схема предполагает создание распределённой системы контроля: площадки должны стать первой линией обороны, отсекая "нелегальный" трафик у себя, и одновременно - источником разведданных для регулятора. Неисполнение грозит компаниям исключением из реестра ИТ-компаний с потерей налоговых льгот и других преференций, что превращает техническую задачу в вопрос стратегического бизнес-риска. Под ударом, таким образом, оказываются не только конечные пользователи, но и сами платформы, вынужденные нести дополнительные издержки и риски.
Предложенная министерством трёхэтапная методика выглядит на бумаге последовательной, но при детальном рассмотрении обнажает системные проблемы. Первый этап - анализ IP-адреса - является базовым, но ненадёжным, так как новые VPN-сервисы появляются быстрее, чем обновляются базы данных, а использование CDN (систем доставки контента) или реальный доступ из-за рубежа могут давать ложные срабатывания. Второй этап, предполагающий использование собственных приложений компаний как детекторов VPN, упирается в технические ограничения мобильных операционных систем. Здесь и кроется главное противоречие: на Android приложение может через системные API (интерфейсы программирования приложений) запросить информацию о сети, тогда как на iOS политика изоляции приложений ("песочницы") делает подобный сбор данных практически невозможным. Между тем, как отмечено в методичке, более половины пользовательских устройств в России - мобильные, что ставит под сомнение эффективность всей затеи для значительной доли аудитории.
Инцидент обнажает и другие фундаментальные сложности. В методичке прямо указано, что выявление VPN затруднено или невозможно в случаях, когда средство обхода настроено на маршрутизаторе, развёрнуто внутри виртуальной машины, используется в режиме split tunneling (когда через VPN идёт трафик только отдельных приложений) или представляет собой прокси с IP-адресом обычного провайдера. Более того, ведомство предостерегает от постоянного мониторинга, так как это будет быстро разряжать аккумуляторы устройств пользователей, создавая дополнительный негативный пользовательский опыт. Эти оговорки делают потенциальный механизм блокировок не только дырявым, но и чреватым массовыми ложными срабатываниями, особенно для корпоративных VPN, которые формально должны быть исключены из-под ограничений, но надёжно отличить которые на практике не представляется возможным.
"На iOS доступ к системным параметрам существенно ограничен, - цитирует РБК текст методических рекомендаций. - Причина в том, что у этой операционной системы политика конфиденциальности и безопасности предполагает, что все сторонние приложения изолированы и не могут собирать или изменять информацию, хранящуюся в других приложениях". Эта констатация фактически признаёт, что для владельцев iPhone предлагаемый механизм контроля будет работать крайне избирательно, создавая неравные условия для пользователей разных платформ и вынуждая компании искать обходные пути, которые могут быть признаны нарушением пользовательских соглашений самих Apple.
Новая инициатива Минцифры знаменует переход к тотальному вовлечению коммерческого ИТ-сектора в реализацию регуляторной политики, смещая нагрузку по контролю с государственных органов на бизнес. Однако техническая несостоятельность ключевых положений методички, особенно в отношении iOS, и признание множества непреодолимых на данном этапе ограничений, свидетельствуют о том, что декларируемая цель - повсеместное и эффективное ограничение VPN-трафика - в краткосрочной перспективе едва ли достижима. Реальным результатом, скорее всего, станет рост операционных издержек для компаний, увеличение числа ложных блокировок и дальнейшая фрагментация цифрового пространства, при этом наиболее продвинутые пользователи и сервисы сохранят возможности для обхода ограничений.
