В течение почти полутора лет с начала военных действий на Украине резко активизировалось отделение российского сегмента интернета от международного. И это происходит не только по воле регуляторов, у которых появляется все больше оснований для блокировок, но и во многом по собственному решению компаний и организаций с обеих сторон. Эксперты отмечают растущий спрос на ограничения доступа по географическому признаку. Однако и они, и сами участники рынка сомневаются в эффективности подобных мер, подчеркивая репутационные и финансовые потери.
Фото: Эмин Джафаров, Коммерсантъ
Фото: Эмин Джафаров, Коммерсантъ
В научных публикациях изоляция интернета применительно к России впервые начала обсуждаться еще в 2011 году. Поводом стал подписанный РФ и Китаем проект резолюции Генассамблеи ООН о кибербезопасности, в которой предлагалось закрепить регулирование интернета как «суверенное право государств». Дальше дискуссия шла вокруг принятия новых законов об интернете в РФ: о черном списке сайтов в 2012 году, «пакета Яровой» в 2016 году, закона о «суверенном рунете» в 2019 году.
Военные действия на Украине открыли новое, гораздо более широкое поле возможностей и предпосылок для изоляции рунета. У Роскомнадзора за последний год появилась масса новых оснований в том числе для ограничения доступа к зарубежным сайтам, включая, например, распространение недостоверной или порочащей информации о российской армии.
По данным ведомства, по одному этому основанию во втором квартале 2023 года было удалено или заблокировано 26,2 тыс. материалов (сколько из них было опубликовано за рубежом, а сколько в РФ, впрочем, не уточняется).
Однако, вопреки ожиданиям, ключевой вклад в изоляцию российского сегмента интернета (этот процесс также называют «сплинтернетом», от англ. splinter — «щепка», или «балканизацией интернета») внесли вполне добровольные действия игроков с обеих сторон.
Сам себе надзор
Так, остановка деятельности многих иностранных компаний в России способствовала ухудшению доступности их сайтов в стране в 2022 году. Зачастую это касалось лишь локальных версий: так, Nintendo и Netgear закрыли их, а Apple и HP перестали обновлять. Некоторые из технологических компаний, однако, заморозили доступ к любым своим интернет-ресурсам из России, в том числе к справочным материалам и обновлениям безопасности, например Intel, Dell и Qualcomm.
Полностью для пользователей из России недоступны сайт The Weather Channel, поставляющий данные о погоде на штатные виджеты телефонов Samsung, и архив печатных изданий Newspapers.com. Подобные ограничения по географическому признаку могут быть реализованы и в приложениях: так, утилиты обновления драйверов и прошивок от HP, Lenovo и Crucial не работают в России без VPN.
Наибольшая доля геоблокировок в отношении России, однако, приходится на сайты зарубежных государственных и образовательных учреждений, следует из исследования ученых Мичиганского университета и Брауншвейгского технического университета, подготовленного к грядущему августовскому симпозиуму USENIX Security. Вывод сделан по итогам проверки 8,7 тыс. наиболее популярных доменов из рейтинга Tranco. По данным исследования, трафик из РФ блокируют 444 сайта из выборки, включая Texas A&M University и University of Tennessee, издателя учебной литературы Cengage, телеканала PBS и ряда региональных изданий США.
Авторы документа отмечают, что число закрывшихся от России сайтов росло на протяжении мониторинга в 2022 году, но не приводят уровень геоблокировок до начала российской военной операции. Последний раз в научных публикациях этот вопрос поднимался в 2018 году учеными Мичиганского университета. По данным сети доставки контента (CDN) Cloudflare на тот момент, приведенным в исследовании, в наибольшей степени клиенты компании настраивали геоблокировку именно в отношении РФ и КНР — по 0,22% от общего числа подключенных к системе сайтов.
Авторы работы также проанализировали 1 млн наиболее популярных сайтов из рейтинга Alexa, включая те, что подключены к другим CDN, и выяснили, что чаще всего крупные сайты применяют геоблокировку против стран, в отношении которых США объявили санкции или эмбарго. Так, больше всего сайтов из выборки были недоступны пользователям из Ирана (178), Судана (169) и Сирии (168). Россия и Украина занимали шестое и седьмое места в списке: четыре года назад пользователей из этих стран блокировали 28 и 22 крупных сайта соответственно.
Особенности национальной киберзащиты
С российской стороны доступ из-за границы в первую очередь блокируют сайты, связанные с государственными и муниципальными органами. К июлю 2023 года из-за рубежа недоступны «Госуслуги Москвы», сайты ФССП, Минстроя, «Почты России» и ОАО РЖД, картотеки судов, личные кабинеты «Мосэнергосбыта» и других энергетических компаний.
Ограничения доступа привели к тому, что россияне за рубежом могут воспользоваться госуслугами только через VPN с серверами в РФ. Доступ к сайтам ограничивается в основном со ссылкой на информбезопасность. Одной из основных целей волны кибератак после начала военных действий на Украине действительно стали сайты госорганов и госкомпаний. Но пример ОАО РЖД показывает, что изоляция сайта от зарубежных пользователей отнюдь не гарантирует бесперебойную работу.
Сейчас 25,09% сайтов российских государственных органов и энергетических компаний доступны только с территории России, следует из последнего из упомянутых исследований. Еще 20,66% доступны только из РФ и Казахстана. Казахстан включают в блокировки и ряд сайтов с другой стороны границы.
Возможность настройки фильтрации по регионам в 2023 году стала «ощутимо более востребованной», чем годом ранее, рассказал “Ъ” руководитель направления защиты от DDoS-уровня L7 в российском сервисе DDoS-Guard Дмитрий Никонов: «Почти все клиенты, которые к нам приходят, так или иначе настраивают геоблокировку». Он добавил, что компания формирует собственную геобазу (базу данных IP-адресов, идентифицирующих устройства в интернете, с сопоставлением по регионам).
В то же время геоблокировку, по словам господина Никонова, подключают не только из соображений безопасности или прямых ограничений, но и как инструмент управления трафиком: «Она позволяет направлять пользователей на различные серверы или версии сайта в зависимости от их местоположения». Среди стран, посетителям из которых в июне 2023 года чаще всего блокировался доступ по географическому признаку, господин Никонов назвал в порядке убывания Финляндию, Мексику, Германию, Китай и Индию.
DDoS-атаки становятся дольше и слаженнее
Контекст
В Cloudflare отмечают, что для последних месяцев характерна «тревожная эскалация изощренности DDoS-атак». Во всем мире во втором квартале количество DDoS-атак продолжительностью более трех часов выросло более чем вдвое (на 103%) год к году, следует из представленного 18 июля отчета Cloudflare. Специалисты компании отметили общий рост продолжительности атак, но уточнили, что пока большинство из них остаются краткосрочными.
Основным трендом в Cloudflare назвали проведение «продуманных, направленных, устойчиво повторяющихся волн DDoS-кампаний». В качестве примера аналитики привели пророссийские группировки REvil, Killnet и Anonymous Sudan, включая атаку на систему SWIFT, объявленную 14 июня.
Cloudflare также отметила семикратный рост DDoS-атак в отношении сайтов из криптовалютного сектора по сравнению с первым кварталом. HTTP-запросы, связанные с такими атаками, составили 0,06% от общего числа запросов — как вредоносных, так и легитимных. Однако финансовый рынок в целом оказался лишь девятым в перечне наиболее атакуемых. Наиболее популярны у хакеров сегменты разработки программного обеспечения, азартные игры и казино.
С DDoS-атаками в целом связаны 5,42% запросов к российским сайтам, это 0,02% от всех HTTP-запросов в мире, указано в отчете. Больше всего вредоносных запросов во втором квартале сделано в адрес американских сайтов (0,11% от мирового трафика). Страной, находящейся под максимальным давлением хакеров, считается Палестина — трафик атак составил 11,9% от общего к местным сайтам.
Имитация озабоченности
Администраторы российских ресурсов усилили ограничения не только на веб-доступ, но и на обмен электронной почтой. В 2022 году ряд органов власти (ФНС), госучреждения (Главэкспертцентр, подведомственный Рособрнадзору) и энергетические компании («Мосэнергосбыт», МособлЕИРЦ) объявили, что не принимают почту, отправленную через зарубежные сервисы или с зарубежных доменов. Под ограничения попали в том числе сервисы, дающие адреса электронной почты в доменных зонах общего уровня, не закрепленных за какой-либо страной: .com, .net и т. п.
Зимой 2023 года ФСТЭК для обеспечения безопасности предложил системно значимым компаниям отключить взаимодействие через электронную почту с иностранными IP-адресами (см. “Ъ” от 21 марта).
До 2022 года подобные ограничения существовали в отдельных компаниях, «но это точно была не массовая и не целевая история», говорит директор департамента проектирования «Информзащиты» Анатолий Ромашов. В России, например, блокировались сервисы электронной почты, которые, по сообщениям ФСБ, допускали рассылку ложных сообщений о минировании. Под этими предлогами, в частности, ограничены ProtonMail и Tutanota; «Почта Mail.ru» не принимает входящие письма от этих сервисов.
Адрес электронной почты иногда может «намекать на недобросовестность отправителя» — например, в случае отправки письма с сервисов для временного пользования типа Temp-Mail, говорит руководитель информационно-аналитической службы ОД «Информация для всех» Евгений Альтовский: «Очевидно, что гражданин, намеревающийся вступить в переписку с госорганом, не использует "одноразовую" почту, на которую невозможно ответить».
В то же время он считает, что в большинстве случаев отказ принимать почту иностранных почтовых серверов — это «имитация озабоченности кибербезопасностью», а федеральный закон «Об обращениях граждан» не предусматривает возможность устанавливать подобные ограничения.
Некоторые эксперты, однако, видят логику в ограничениях на домены, с которых приходят письма. По мнению господина Ромашова, такая фильтрация в качестве одного из эшелонов защиты выглядит адекватной: «Если зайти в папку нежелательной почты, можно обнаружить, что все домены, с которых был отправлен спам, не "отечественные"». При этом органам власти и объектам критической инфраструктуры нужно учитывать, чтобы такие ограничения не повлияли на их работу — например, на международную корреспонденцию, подчеркнул он.
Независимый IT-эксперт Филипп Кулин добавляет, что госорганы таким образом защищают себя и от проблем на стороне отправителя: «Если из-за санкций какой-либо почтовый сервер перестанет принимать российскую почту, то госуслуги вряд ли захотят с этим разбираться».
Странно и неразумно
Блокировка операций с пользователями, подключающимися с территории «запрещенных» или «токсичных» юрисдикций,— прижившаяся практика в части соблюдения санкций, говорит адвокат, партнер BGP Litigation Сергей Гландин: «Сейчас она применяется практически во всех финтехах, банках и технологических компаниях».
По словам господина Гландина, Управление по контролю за зарубежными активами США (OFAC), оценивая нарушения санкций, принимает в расчет и связку IP-адресов с географической локацией. Действия компаний, блокирующих весь трафик на свои ресурсы из России, можно объяснить «оверкомплаенсом» (избыточным следованием санкционным ограничениям) или желанием избежать репутационных рисков, добавил он.
«Эта история с нами надолго, причем по обе стороны границ. Причины могут быть разные: кто-то может исходить из собственных убеждений, а для кого-то ограничения по географическому признаку — это демонстративный жест, после которого можно продолжать деятельность в стране»,— полагает господин Альтовский.
Господин Голованов, впрочем, считает, что взаимные блокировки закончатся вместе с основной их причиной, то есть с конфликтом России и Украины: «Как только оснований для блокировки не будет, они начнут мешать нормальной работе».
Но уже сейчас эксперты отмечают, что бизнес несет значительные потери из-за изоляции сегментов интернета. Практика «отсеивания» почты по доменным зонам нецелесообразна и лишь заставит злоумышленников перенести операции в российские зоны (.ru, .рф, .su), уверен руководитель группы по защите от фишинга F.A.C.C.T. Иван Лебедев: «В то же время для добропорядочных адресатов необходимость сменить адрес почты может стать большей проблемой, чем для злоумышленников». Он подчеркивает, что каждой из зон может пользоваться организация из любой страны мира, в том числе России: «Такое отсечение приведет к огромным потерям с точки зрения коммуникаций».
Геоблокировка как мера защиты не оправдана для организаций, которым нужен постоянный доступ к своим сервисам из любой точки мира — например, для финансовых организаций, поясняет главный эксперт «Лаборатории Касперского» Сергей Голованов. В качестве примера сегментов, где блокировки допустимы, он назвал транспортные компании, которые могут ограничивать доступ из стран, с которыми нет прямого транспортного сообщения: «Это позволит защититься от угроз, не влияя на качество сервиса и бизнес-процессы».
Метод «ковровых блокировок» эффективен лишь в редких случаях, соглашается бизнес-консультант по кибербезопасности Positive Technologies Алексей Лукацкий: «Злоумышленники могут арендовать виртуальные серверы в РФ или использовать в качестве плацдарма уже взломанные российские предприятия».
«И если ограничения со стороны сайтов госорганов можно понять, то блокировка доступа к сайтам СМИ, интернет-магазинов или компаний, занимающихся кибербезопасностью, выглядит странно и неразумно,— считает господин Лукацкий.— Компании теряют аудиторию и деньги, которые могли бы быть потрачены на заказы, подписки и иные предлагаемые продукты и услуги. В конце концов это негативно сказывается на репутации, что в долгосрочной перспективе грозит и финансовыми потерями».