12 февраля Госдума приняла в первом чтении законопроект, в котором описывается создание системы для устойчивой работы российской части интернета в случае отключения от глобальной сети. Его авторы считают, что создание дополнительной инфраструктуры и госконтроль над точками обмена трафика с зарубежными сегментами защитят страну от возможного полного отключения интернета.
Несмотря на протесты экспертного совета при правительстве, который назвал проект непрозрачным и слишком дорогим, правительство поддержало идею, но попросило уточнить некоторые положения ко второму чтению.
Редакция vc.ru попросила создателя сайта «Эшер II» и члена рабочей группы «Связь и ИТ» экспертного совета при правительстве России Филиппа Кулина, который изучил законопроект, обозначить основные вопросы к документу с технической стороны и рассказать, есть ли в идее законодателей здравый смысл.
Вкратце о том, что предлагают законодатели:
- Учесть трансграничные каналы связи и все точки обмена трафиком.
- Учесть всех владельцев сетей: не только операторов связи, но и владельцев IP-сетей, у которых есть номер автономной системы, среди которых есть крупные ИТ-компании и хостеры.
- Создать инструмент полного централизованного управления трафиком и контроля за ним (однако пока эта система описана плохо).
- Создать собственную систему информации о доменных именах (DNS).
- Убрать из публичного поля блокировки и заменить их на единую систему контроля за трафиком (DPI) с непрозрачным управлением, обязав всех операторов установить «средства противодействия угрозам».
Вопросы к основаниям
1. Одной из своих целей законопроект ставит «противодействие угрозам сети Интернет в России». Из законопроекта непонятно, что это за угрозы.
Ни законопроект, ни пояснительная записка не описывает их. В этих документах нет перечня недостатков текущего законодательства — и не описано, как именно текущий законопроект позволяет защитить интернет в России.
2. В пояснительной записке описано, что законодатели опасаются «утечки» трафика за рубеж и готовы с этим бороться. По их мнению, документ «создаёт возможность для минимизации передачи за рубеж данных, которыми обмениваются между собой российские пользователи».
Однако сейчас данные российских пользователей через зарубежные каналы и так не очень активно передаются в силу естественных взаимоотношений сетей связи.
Отчёт Ассоциации документальной электросвязи от 30 ноября 2017 года говорит о показателе 1,61% от общего количества зарубежного трафика. Доля зарубежного трафика в общем обмене данными в России оценивается примерно в 25%. Эти данные говорят о том, что строить дорогую и организационно сложную систему управления трафиком нецелесообразно.
Про деньги
3. В финансово-экономическом обосновании к законопроекту говорится, что его принятие и реализация не потребует расходов из федерального бюджета.
Но текст законопроекта описывает установку дорогого оборудования, причём это затрагивает не только операторов связи. Также вводятся новые полномочия и обязанности для органов власти, создаётся центр мониторинга, создаются новые реестры. Это колоссальные объёмы работы и оборудования.
Возникают сомнения, что это всё может быть уложено в незаметный бюджет. Хотелось бы видеть оценку требуемых расходов и отражение этого в финансово-экономическом обосновании. Даже в том случае, если это будут средства, выделенные на определённые государственные программы и национальные проекты.
О работе «средства предотвращения угроз»
4. Законопроект снимает с операторов связи обязанность по ограничению доступа к информации, которая запрещена в России, и освобождает от ответственности. Законопроект через статью 15.1 закона «Об информации» вводит единое средство противодействия угрозам, которое в том числе может использоваться для ограничения доступа к запрещённой информации.
Отвечать за это средство должен Роскомнадзор. Однако по нынешним законам он может только устанавливать требования к способам и методам ограничения доступа — а полномочий определять процедуры блокировок у него нет. Закон «Об информации» не подразумевает других процедур, кроме как описанных в статьях 15.1-15.6 и 15.8.
Средство противодействия угрозам оказывается в правовом вакууме, потому что не существует правового регулирования его работы. Это в том числе осложняет оспаривание ограничения доступа в суде.
О власти
5. Законопроект отдаёт всю операционную деятельность по функционированию интернета в России Роскомнадзору. Законопроект не вводит никакой системы рычагов и противовесов.
Получается, что законопроект ставит функционирование сетей связи в абсолютную зависимость от одного органа исполнительной власти. Это может негативно сказаться в критические моменты.
О маршрутах трафика и бизнесе операторов
6. В законопроекте есть предложение внести изменения в федеральный закон «О связи» (статья 56.1, часть 3, подпункт 1). Оно предполагает, что операторы связи, собственники или владельцы технологических сетей, а также иные владельцы IP-сетей, имеющие номер автономной системы в России, должны будут «выполнять правила маршрутизации сообщений электросвязи, установленные федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи». Проще говоря, правила маршрутизации трафика будет определять Роскомнадзор.
Хочется отметить, что в вопросе маршрутизации у операторов есть как бизнес-составляющая, так и технические моменты.
Во-первых, разные каналы связи стоят по-разному. Оператор связи обычно распределяет маршруты между каналами, руководствуясь балансом между качеством работы того или иного канала и его стоимостью.
Принудительные правила противоречат этой парадигме. Законопроект никак не описывает и новую парадигму — правила маршрутизации никак не прописаны. Получается, что оператор связи не может просчитать заранее ни риски, ни стоимость пропускаемого трафика.
Во-вторых, маршрутизация трафика в сети строится в том числе и на основе качества каналов, их текущей загруженности и отзывчивости.
В законопроекте предусматривается контроль за соблюдением правил маршрутизации. Но не предусматривается контроль за техническим состоянием каналов и их загруженностью. Есть упоминание центра мониторинга — но единственным источником данных для него будет средство противодействия угрозам, что явно недостаточно даже для примерной оценки состояния сети.
Исходя из этого, тотальное введение правил маршрутизации в текущих формулировках выглядит сильно недоработанным.
7. Централизованное управление сетью противоречит распределённой сути сети связи. Любой разрыв или проблема на линии централизованного управления может привести к непрогнозируемому отказу в обслуживании произвольных сетей связи.
8. Авторы законопроекта говорят, что центральное управление маршрутизацией будет вводиться только в критические моменты. Но этого прямо не следует из текста.
Неясным остаются сроки действия «критических ситуаций» и ответы на большинство озвученных вопросов, которые сохранятся и в случае «критических ситуаций».
О несогласованности и нестыковках
9. Некоторые положения законопроекта ссылаются на несуществующие части других законов, причём сам документ их не вводит.
Например, в поправках для статьи 56.1, части 3, подпункта 3 закона «О связи» есть ссылка на второй абзац части 5 статьи 46 того же закона. В поправке для части 4 статьи 66.1 закона «О связи» есть ссылка на третий и шестой абзацы части 5 статьи 46 того же закона.
Однако в части 5 статьи 46 закона «О связи» есть только один абзац — законопроект ссылается на то, чего нет.
10. Законопроект предлагает ввести в закон «О связи» (в часть 5 статьи 56.1) обязательство для собственников или владельцев технологических сетей связи, а также иных лиц, имеющих номера автономных систем (владельцев групп IP-сетей), ставить на свои сети оборудование, которое будет отслеживать блокировку запрещённых в России материалов.
Однако по нынешним законам владельцы сетей не могут сами обеспечить ограничение доступа ко всей запрещённой в России информации. Пункт избыточен.
11. Статья 2, пункт 2 законопроекта описывает изменения в законе «Об информации» с помощью добавления части 7 в статьи 10.1. В ней говорится:
7. Организатор распространения информации в сети «Интернет», имеющий номер автономной системы, обязан выполнять требования, предусмотренные статьей 56.1 Федерального закона «О связи», предъявляемые лицам, имеющим номера автономных систем.
Это изменение и уточнение избыточно, поскольку все лица, имеющие номера автономных систем, и так должны выполнять нормы этого закона. И организаторы распространения информации, и все остальные без исключений.
12. Возвращаясь к требованию для операторов и владельцев сетей соблюдать правила маршрутизации от Роскомнадзора. Подпункт 2 части 3 статьи 56.1 говорит, что контролировать выполнение правил маршрутизации должны будут некие средства контроля, но это положение ссылается на несуществующее положение из второго абзаца части 5 статьи 46 закона «О связи».
Можно предположить, что здесь подразумеваются средства предотвращения угроз. Но тут же в законопроекте написано, что средства должны устанавливать только операторы связи, а иные лица не контролируются. Это обесценивает всю систему центрального управления маршрутизацией.
13. Законопроект дополняет закон «О связи» статьёй 56.1, где в части 4 запрещается собственникам или иным владельцам точек обмена трафиком подключать лиц, не выполняющих некоторые требования закона.
Законопроект не объясняет, каким образом собственники или иные владельцы точек обмена трафиком должны выяснять, выполняет ли лицо, желающее подключиться, законы. Также законопроект не вменяет в обязанность ни одному органу власти отвечать на соответствующие вопросы в адекватные сроки.
О DNS и специальных доменных зонах
14. Законопроект дополняет закон «Об информации» статьёй 14.2, где в части 1 описывается национальная система получения информации о доменных именах (DNS).
Законопроект недостаточно подробно описывает требования и условия этой системы. Вместе с тем система доменных имён является очень чувствительной системой для функционирования интернета. А проект такого масштаба строить сложно и долго.
Законопроект также не учёл всех участников отношений, зависящих от системы доменных имён и требовательных к ним. Например, не учитываются интересы сервисов, сайтов, абонентов.
15. Законопроект предлагает обязать всех операторов и владельцев IP-сетей с номерами автономной системы использовать для разрешения доменных имён только «национальную DNS» — это требование описано в предлагаемом подпункте 3 части 3 статьи 56.1 закона «О связи».
Непонятно, что имеется в виду. Например, при функционировании сетей связи для разрешения обратных записей для IP-адресов используются специальные доменные зоны in-addr.arpa и ip6.arpa. Невозможно использовать в этих целях национальную систему имён.
Остаётся неясным, ограничивает ли этот пункт указанных лиц или только рекомендует. А если ограничивает, то с какой целью и что делать со специальными доменными зонами. Требуется доработать этот пункт.
На мой взгляд, было бы уместным разработать условия для разрешения доменных имён и этим ограничиться, предоставив возможность широкого неограниченного выбора технических средств.
16. В части 2 статьи 14.2, которую предлагает добавить законопроект, описывается обязательство для организаторов распространения информацией, имеющих номер автономной системы, использовать «национальную DNS» для разрешения доменных имён.
Этот пункт является избыточным, потому что такая же обязанность устанавливается для всех лиц, имеющих номер автономной системы, без исключений.
16. Законопроект безусловно отдаёт полномочия по формированию российской национальной доменной зоны федеральному органу исполнительной власти. При этом сложившая система работы российской национальной доменной зоны не учитывается совсем.
О рациональности идеи и опасений законодателей
Сейчас любое безумие становится вероятным: страны зачастую разговаривают на повышенных тонах.
США могут отключить корневые сервера DNS, это правда. ICANN американская компания. Корневых серверов DNS много, в том числе и в нашей стране стоят — но все они управляются строго ICANN. Но надо понимать, что отключить кого-то они смогут ровно один раз. Другие страны «не поймут-с».
Также надо помнить, что дублирование корневых DNS поможет лишь частично. DNSSEC продублировать не удастся, а при его отключении отвалится достаточно многое. Вопрос технически глубокий, тут придётся поверить мне на слово. Не всё, но много.
США могут отключить себя от России. Это возможно. Но тут они и сами себя «съедят», и партнёры не поймут. С другой стороны, надо понимать, что у США власть в интернете не потому, что Трамп или Обама громко стучат кулаком, а потому что реально технологические компании из США во многом задают мировые тренды. И с этим ничего не сможет сделать ни Клишас, ни даже сам президент. Я бы на их месте попытался что-то с этим сделать, но это лежит не в плоскости киберугроз. Собственно, и всё.
Я тут ещё хочу отметить, что в случае отключений США будут поддержаны не всеми, даже если что-то такое произойдёт. Будут вопросы даже внутри США.
В Думе приводили в пример Сирию, где в 2012 году временно отключился интернет. Этот пример глупый и обсуждаемый закон от него не спасает. Тогда в Сирии «упал» монопольный провайдер, и Асад обвинил террористов. Сноуден позже заявил, что это, мол, АНБ внедряло трояна и ошиблась, оборудование упало. А российские СМИ подхватили и заявили, что АНБ отключило интернет в Сирии.
Все остальные умозрения такие же. Никто ничего не знает.
США, конечно, определяют интернет, но это не весь интернет. И все компании, которые регулируют его работу, — транснациональные. Они вообще и взбрыкнуть могут.
Плюс останется множество других стран, которые из принципа не пойдут на отключения. Например, голландский RIPE отказал Украине с предложением отнять сети у самопровозглашённых ДНР и ЛНР и решил не лезть в политику. Есть история с Ираном, где RIPE обязан был присоединиться к санкциям и отнять сети у банков. Тогда банкам позвонили и попросили переоформить сети на нейтральных провайдеров.
И кстати, я бы обратил внимание на отзыв правительства. Он подписан Константином Чуйченко, начальником аппарата правительства. И он, грубо говоря, пишет: «Непонятно, что за угрозы такие». Вот это очень хорошо говорит о законопроекте.
Добавить комментарий