Сергей Родионов: Отключение России от Интернета – готовый сценарий

Сегодня любая блокировка, в соответствии с нормативными документами реализуется как работа с черными списками.

К первым можно отнести черные списки сайтов, которые загружаются операторами связи из Единого реестра РКН для последующей блокировки. Реализация блокировок – всегда на усмотрение оператора связи, главное, чтобы сайт (или ссылка) был недоступен – таким образом достигается исполнение требований регулятора. Такие блокировки грубо закрывают доступ к сайту целиком, даже если претензии у регулятора касались страницы сайта или какого-либо файла. Помимо «неаккуратности» подхода, обход таких блокировок не сложен, например, смена доменного имени, чем часто пользуются, онлайн-казино.

Ко вторым же – черные списки IP-сетей, которые также загружаются операторами связи. Регулятор предполагает, что на указанных сетях работает какой-либо подлежащий блокировке сервис, не привязанный к какому-либо сайту: начиная от пиратских видео-сервисов до мессенджеров. Метод еще более грубый, когда случайно под блокировку могут попадать и другие сервисы, плюс, смена IP адреса или подсетей для сервиса – куда более легкая задача, чем смена доменного имени. Результат такой ковровой блокировки всегда мало предсказуем.

Технологически, обход этих блокировок не являлся проблемой: Интернет пестрил простейшими инструкциями от настройки VPN на домашнем маршрутизаторе до установки плагинов в браузер. Тогда регулятор решил использовать более современный подход, он был основан на технологии DPI (Deep Packet Inspection).

В случае использования DPI, весь трафик абонентов оператора связи сначала проходит через кластер устройств, анализирующих потоки трафика на предмет соответствия определенным сигнатурам. Сигнатуры IP-потоков, как отпечатки пальцев – уникальны для каждого интернет-сервиса, имеют множество метрик и признаков и позволяют с вероятностью близкой к 100% установить, что именно этот IP-пакет имеет отношение к определённому публичному ресурсу или сервису. Как только выявилось совпадение – пакет можно скопировать, модифицировать, «задержать» или уничтожить. Ранее это было дорогим удовольствием и применялось в основном крупными корпорациями: например, для поиска источников утечки коммерческих тайн. Развитие технологий позволило сократить стоимость установки DPI для всего пользовательского трафика, а наличие на серверах портов, обрабатывающих трафик на скоростях до 100Гб/с, и более совершенная архитектура процессоров снизила задержки прохождения Интернет-трафика до миллисекунды. Это прозрачно и незаметно для пользователя.

На текущий момент системы DPI, установленные у крупнейших операторов, способны анализировать 100% трафика абонентов на более чем 80% операторов в целом. В соответствии с планом регулятора, отраженном в законе о «суверенном рунете», вступившем в силу 1 ноября 2019 г., за полтора года с момента первого тестирования была проделана существенная работа, особенно в части определения и формализации сигнатур. По информации от анонимного представителя одного из операторов связи, работа с сигнатурами будет закончена не позднее 1-го квартала 2022 года. Нормативная документация, по которой регулятор сможет формально блокировать трафик через устройства DPI, установленные у операторов, ожидается не ранее конца 2022, тестирование технологии блокировок будет продолжаться. Скорее всего они придутся на конец сентября и более массовые тесты – на начало 2022 года, после получения регулятором всех необходимых инструментов.

С учетом того, что блокировка средствами DPI технологически более сложная, чем «черные списки», есть ряд нюансов, из-за которых пока сложно блокировать большое количество Интернет-ресурсов или приложений:

1) Чем больше сигнатур нужно искать в каждом IP-потоке, тем медленнее идет обработка, и тем больше требуется мощностей для обработки трафика. Одновременно использовать все возможные сигнатуры на DPI не представляется возможным.

2) Ряд протоколов, которые используются для различных технических нужд, могут также использоваться для доступа к заблокированным ресурсам (протокол SSH для удаленного доступа к серверам, например).

3) Ряд сервисов получат «зеленый коридор» в качестве исключений для нужд конкретных компаний, например банков.

Регулятор может использовать DPI для следующих нужд:

1) Как инструмент давления на крупный зарубежный Интернет-бизнес в целях соблюдения Российского законодательства и судебных решений. Российский рынок остается привлекательным для Интернет-бизнеса, угроза отключения или замедления ресурса для 99% пользователей.

2) Как гарантированный способ перманентной или временной блокировки Интернет-ресурсов или приложений. DPI дает существенно большую гарантию с минимальными побочными эффектами.

Так как пока сформированы далеко не все нормативные акты, последствия для бизнеса и граждан сложно прогнозируемы. Однако, с учетом последних событий, когда, на мой взгляд, по спорным причинам были оштрафованы крупнейшие Интернет-компании – эти компании будут выдавливаться с российского рынка. Последовательность и прозрачность правил и решений позволят этого избежать. Даже при умеренной политике регулятора, контент и информация для российских пользователей будет особым образом фильтроваться, но уже силами зарубежных компаний – аналог самоцензуры.

Российские пользователи получат превентивно фильтрованный Интернет, а российские предприятия – ограниченную среду для ведения бизнеса.