Rambler's Top100
 
Статьи
Константин АНИСИМОВ  07 декабря 2020

План Б

Раньше власти боялись, что Россию отключат от интернета, как это произошло с Сирией в 2012 году. Теперь боятся, что не отключат: хакерские атаки на ключевые интернет-сервисы в случае гипотетической кибервойны могут быть опаснее, чем тотальный блэкаут.

Поэтому государство устанавливает «рубильник» на своей стороне.

Разработчики закона о «суверенном интернете» сами проводят аналогию с атомной бомбой, утверждая, что отключение страны от остального мира так же маловероятно, как применение ядерного оружия. Тем не менее учения по изоляции Рунета проводятся уже сегодня: связисты на живых сетях отрабатывают защиту от угроз, перечисленных в законе и подзаконных актах.

«Цифровой океан» разобрался, что это за угрозы. И не опасна ли «бомба» для нас самих.

Угроза 1. Нарушение связанности сети

В чем опасность. При отсоединении от внешних сегментов сети интернет — неважно, по чьей воле, — связь между пользователями внутри страны может нарушиться. Отключить часть сетей от заграницы можно как физически, перерезав кабель, так и воспользовавшись особенностями работы протокола маршрутизации BGP.

При этом без связи останутся клиенты тех провайдеров, которые не имеют пиринговых соединений с другими российскими операторами, а полагаются на зарубежные точки обмена трафиком. Таких провайдеров в России довольно много. К ним, например, относится RETN, подключающий клиентов по всей стране от Брянска до Хабаровска.

Что предполагается сделать. В законе «о суверенном интернете» фигурируют технические средства противодействия угрозам (ТСПУ). Это черные ящики (они буквально черного цвета), которые государство за свой счет устанавливает у каждого провайдера. В законодательстве прописаны нормы установки ТСПУ: оно ставится вразрез с вышестоящим соединением или перед граничным маршрутизатором. 

Такое подключение дает возможность Минкомсвязи (ныне – Минцифры. – Прим. ред.) отключать вышестоящие соединения, чтобы проверить, сможет ли сеть работать через точки обмена трафиком (IX) и прямые соединения между провайдерами (пиринги) внутри страны. Во время учений выявляются узкие места: проверяются настройки маршрутизации у провайдеров, пропускная способность у пиринговых операторов — не каждый пиринг технически готов пропускать через себя «лишние» гигабиты трафика.

Какой ценой. Распространено мнение, что государственное вмешательство в архитектуру сетей сделает интернет медленнее и дороже. Скорее всего, будет немного не так: интернет станет быстрее и дороже, причем независимо от действий госорганов. Во всем мире, прежде всего в США и Европе, удорожание связано с массовой заменой сетевого оборудования для перехода на новое поколение: смотреть Netflix всем одновременно недешево. Расходы на «суверенизацию» архитектуры сети в этих затратах могут оказаться едва заметны. При этом хорошая связность между провайдерами внутри страны сделает качество интернета для пользователей лучше: связь через пиринг быстрее, чем через зарубежные точки обмена трафиком.

Угроза 2. Недоступность системы доменных имен

В чем опасность. Когда пользователь набирает в браузере имя сайта, его компьютер должен узнать IP-адрес сервера, на котором этот сайт находится. Теоретически часть DNS-запросов может проходить через зарубежные серверы. В этом случае даже при физически связной сети внутри страны российский пользователь не сможет найти российский же сайт. Однако на практике вероятность безответных DNS-запросов в РФ крайне низка, так как в стране уже более чем достаточно DNS-серверов.

Настоящая угроза, к борьбе с которой готовятся разработчики «национальной системы доменных имен» (так ее называют в законе), — шифрование DNS-трафика. Новейшую технологию DoH (DNS over HTTPS) продвигают Google и Mozilla Foundation, заставляя волноваться госорганы разных стран. Ведь именно на «подглядывании» за DNS-запросами пользователей основаны средства блокировки запрещенных сайтов, от детской порнографии до идеологической пропаганды. Анализ DNS позволяет отслеживать активность пользователей в Сети.

Наконец, создатели DoH не спешат разъяснять, как именно будет маршрутизироваться и обрабатываться зашифрованный DNS-трафик. Возможно, в случае изоляции Рунета DoH сделает обработку запросов невозможной.

Что предполагается сделать. Технически запретить российским провайдерам обрабатывать зашифрованный DNS-трафик как минимум сложно: пострадает значительная часть доступа к web. Поэтому, скорее всего, власти постараются поставить эту технологию вне закона для производителей ПО.

Какой ценой. Российские пользователи не смогут рассчитывать на ту анонимность, которую обещает технология DoH. Провайдеры, а вместе с ним и госорганы, по-прежнему будут видеть, какие сайты человек посещал в интернете. Роскомнадзор по-прежнему будет блокировать нежелательные сайты, скрывая от пользователей их IP-адреса.

Небольшим утешением может послужить тот факт, что россияне не одиноки: в частности, Mozilla пообещала не включать шифрование DNS-трафика на территории Великобритании по договоренности с властями страны.

Угроза 3. Нарушение информационной безопасности 

В чем опасность. Под казенной формулировкой из нормативного акта подразумевается стремление государства контролировать трафик. Чтобы блокировать неугодные сайты. Чтобы противодействовать пиратству. Чтобы следить за пользователями, которые чем-то заинтересовали спецслужбы.

Что предполагается сделать. Дополнительно оснастить сети оборудованием глубокой фильтрации трафика DPI (Deep Packet Inspection). Если простейшие технологии блокировки препятствуют прохождению пакетов по неугодным адресам, то DPI-оборудование заглядывает внутрь пакета и ищет в нем запрещенные сочетания символов. К таким сочетаниям могут относиться как фразы на русском, английском и любом другом языке, так и фрагменты вредоносных программных кодов.

Производитель устройства не раскрывается, хотя, проанализировав рынок, можно предположить, что это устройство глубокой фильтрации трафика от компании RDP.RU.

Какой ценой. На перетряхивание пакетов требуется время. Именно с DPI связаны небезосновательные опасения, что закон о «суверенизации» сделает интернет в России медленным.

В пример приводят китайский «Золотой щит», более известный как «Великий китайский файрвол». Действительно, интернет в Поднебесной, мягко говоря, небыстрый. Но есть разница: принцип китайской системы — запрещено все, что не разрешено. Принцип российской — разрешено все, что не запрещено. Нагрузки на DPI соответствующие.

Стоит иметь в виду, что операторы связи давно используют технологию DPI, чтобы определять, какими приложениями пользуются пользователи. Парадоксально, но с помощью DPI провайдеры делают свои сети быстрее, а не медленнее. К примеру, в дневное время они ограничивают скорость для скачивания торрентов, оставляя более широкий канал для сайтов, видео и телефонии.

Пожалуй, наиболее заметный для большинства пользователей недостаток DPI-фильтрации лежит в финансовой плоскости: провайдеры обязаны устанавливать DPI-оборудование за свой счет, т.е. в конечном счете на средства клиентов.

Угроза 4. Новые риски для бизнеса

В чем опасность. Закон о «суверенном интернете» не рассматривает подобные риски. Отчасти он их даже создает. С одной стороны, «суверенитет» строится преимущественно для противодействия угрозам военного характера, и отключение России от мирового интернета пока что выглядит крайне маловероятным. В то же время закон является логичным продолжением государственных инициатив, направленных на поддержку хранения и обработки данных внутри страны. Сайты и сервисы, размещенные на российских серверах, в будущем будут лучше защищены от любых угроз, внутренних и внешних.

Что делать и какой ценой. Бизнесам предстоит провести технический аудит, чтобы понять, насколько сильно они зависят от зарубежных сервисов. Маленький пример. Множество сайтов используют бесплатную функцию от Google для защиты от ботов — reCAPTCHA. Размещается она на серверах Google. И если пропадет связь с международной сетью, то даже размещенный в России сайт станет бесполезными.

Мир как «большая деревня» заканчивается. Большинство пользователей в ближайшее время вряд ли почувствуют изменения. Но бизнесу стоит проработать план Б и удостовериться в работоспособности своих онлайн-систем при любом развитии ситуации.

 Мнение автора 

Пара слов о главном. Где в истории «суверенного интернета» не только политика, но и экономика? В мире не сразу поняли, что компьютерные данные — это огромный бизнес. Раньше всем было ясно: чтобы сделать газету, нужна бумага, для которой нужен лес, и его нужно рубить и перевозить.

Потом появились компьютеры, и люди решили: будем читать новости с экрана, а на дереве и бумаге сэкономим! И как-то не заметили, как на месте одной индустрии выросла другая: кабели, серверы, центры обработки данных, которые нужно строить, питать и обслуживать. Вслед за СМИ в «ловушку» попали почти все остальные отрасли: образование, здравоохранение, транспорт, торговля.

Любой региональный руководитель, который понимает, как работает экономика, всегда будет тащить в свой регион всю производственную цепочку, потому что это деньги, рабочие места и развитие. В 1990-е годы в России сработало несколько неблагоприятных факторов: общий слом экономики страны, смена технологического уклада, да еще вера в то, что «партнеры» помогут, а мы все сможем купить. О том, что данные нужно хранить на своей территории, задумались только к концу 2000-х. Между тем индустрии ЦОДов и хостинга в развитых экономиках к этому времени уже сформировались и забрали к себе львиную долю данных из нашей страны, обеспечив свои компании работой.

Сложная работа по возвращению данных на суверенную территорию началась с закона «О персональных данных», который запретил хранить значительную часть данных за рубежом. Кстати, наш закон представляет собой довольно мягкую форму европейского GDRP (General Data Protection Regulation), который ведет свою историю от европейской директивы 1995 года. Обратите внимание, насколько раньше в Европе озаботились сохранением своего рынка. Далее, только с 2017 года, вводом в действие закона, который получил в просторечии название «налог на Google», в нашей стране уравняли условия работы локальных и глобальных провайдеров облачных услуг.

Несмотря на то что в обществе чаще говорят о политических причинах принятия закона, новый документ работает прежде всего на экономику страны: органично вписывается в стратегию возвращения данных на родину и развития собственной облачной индустрии в России.


Константин Анисимов, CEO, Rusonyx 

Источник: «Цифровой океан»

Telegram  
Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!