В России могут запретить шифрование интернет-сайтов
Это поможет властям контролировать содержимое веб-ресурсов, а киберпреступникам – атаковать пользователейВозможный запрет протоколов шифрования, позволяющих скрыть имя (идентификатор) интернет-страницы или сайта, следует из разработанных Минцифры поправок к закону «Об информации, информационных технологиях и о защите информации» (опубликованы на портале правовой информации 21 сентября). Нарушение этого запрета повлечет блокировку ресурса уполномоченным ведомством в течение одного рабочего дня, говорится в них.
Речь идет о протоколах, которые используют все крупные интернет-ресурсы, для того чтобы защитить пользователей от киберпреступников: скрыть адрес сайта, на который пользователь хочет перейти, и не дать возможности мошеннику подменить его фишинговым. Цель предлагаемых Минцифры поправок – противодействие распространению в интернете противоправной информации, указывают в пояснительной заметке авторы документа, ссылаясь на решение Совета безопасности. Шифрование способно снизить эффективность использования существующих систем фильтрации, что, в свою очередь, значительно затрудняет выявление ресурсов с запрещенной информацией. Принятие законопроекта окажет положительное воздействие на выявление таких сайтов, считают разработчики законопроекта. На дополнительные вопросы «Ведомостей» представители Минцифры к моменту сдачи этой статьи не ответили.
По экспертным оценкам, в последнее время растет число случаев использования маскирующих протоколов, позволяющих скрыть фактические сетевые адреса устройств от внешних систем и протоколов шифрования, и все большее распространение получают протоколы с применением криптографических алгоритмов и методов шифрования TLS 1.3, ESNI, DoH (DNS поверх HTTPS), DoT (DNS поверх TLS), говорится в пояснительной записке к поправкам Минцифры. Поддержка ESNI в браузерах появилась недавно, TLS используется сервисом Cloudflare, который обслуживает несколько миллионов сайтов, например Uber или Avito, а вот DoH только набирает популярность (например, такой протокол используется в мессенджере Telegram), рассуждает автор проекта «Эшер II» и бывший гендиректор провайдера Diphost Филипп Кулин. Протоколы используются ресурсами не только для того, чтобы обойти закон, но и в первую очередь чтобы защитить пользователей от мошенников, продолжает он. Без протоколов шифрования можно обнаружить весь цифровой след пользователя, поясняет он.
Мониторингом цифрового следа интересуется и государство: зимой 2020 г. «Ростелеком» как раз предложил развивать под контролем государства платформу по сбору цифрового следа пользователя в интернете с целью борьбы с fake news и манипуляцией общественным мнением. Проект предусматривал госфинансирование в размере 260 млрд руб., писал «Коммерсантъ». В компании отказались комментировать актуальный статус проекта.
Законопроект является логичным продолжением закона о блокировке сайтов, принятого в 2013 г., так как с помощью протоколов шифрования заблокированные ресурсы обходят фильтры Роскомнадзора, рассуждает технический директор компании Qrator Labs Артем Гавриченков.
Это попытка заставить работать существующий закон, однако такими протоколами пользуются также практически все легальные интернет-ресурсы – например, протокол TLS 1.3 прописан в стандарте Payment Card Industry Data Security, разработанном международными платежными системами Visa, MasterCard, American Express, JCB и Discover и направленном на обеспечение безопасности данных владельцев карт, уточняет ведущий аналитик направления «Информационная безопасность» IT-компании «Крок» Анастасия Федорова. В документации отечественной платежной системы «Мир» также указывается необходимость соответствия PCI DSS. Соответственно, запрет TLS 1.3 может негативно сказаться не только на общей безопасности использования интернета, но и на безопасности платежных операций, добавляет она.
По состоянию на 2020 г. сайты, которые не поддерживают протокол шифрования адреса, во всех ключевых интернет-браузерах помечаются как ненадежные и начиная с некоторого момента сами браузеры могут закрыть доступ к таким сайтам, отмечает технический директор компании Qrator Labs Артем Гавриченков. Например, если в Google Chrome зайти на сайт kremlin.ru, он помечается как незащищенный (на это указывает восклицательный знак в треугольнике перед адресом). Поэтому не очень понятно, что авторы этого законопроекта хотят предложить взамен и как они планируют защищать российских интернет-пользователей от киберпреступников, заключает он.
Протоколы шифрования являются естественным вектором развития интернет-сегмента, повышения степени его безопасности и защищенности, а не способом скрыть какую-то информацию, говорит директор Ассоциации интернета вещей Андрей Колесников. Поэтому инициатива Минцифры в этом плане видится непонятной: нельзя запретить математику, рассуждает он.