Сбои без правил
Что означает для граждан и бизнеса ограничение использования VPN
После блокировки Telegram и других популярных иностранных сервисов власти перешли к следующему этапу — сокращению числа пользователей VPN. От операторов цифровых платформ и социальных сетей теперь под угрозой лишения льгот требуют выявлять и не допускать на площадки пользователей, которые заходят на них со включенным VPN. При этом власти признают, что выявлять VPN со стопроцентной точностью невозможно, но такие меры могут избавить граждан от запрета использования технологии в целом. “Ъ” разбирался, как новые меры по борьбе с VPN отразятся на российском IT-бизнесе и как пользователи будут к этому адаптироваться.
Фото: Олег Харсеев, Коммерсантъ
Фото: Олег Харсеев, Коммерсантъ
Отключай по-белому
Перед Минцифры поставлена задача по снижению использования россиянами VPN. Как уже сообщал «Ъ», для этого министерство разработало несколько мер, которые должны вынудить IT-компании и цифровые платформы ограничивать доступ пользователей со включенным VPN к своим сервисам.
Если компания позволяет пользователям заходить на свои ресурсы и приложения со включенным VPN, то ее предлагается исключать из «белых списков» (см. “Ъ” от 30 марта); исключать ее приложения из перечня для обязательной предустановки на устройства; лишать IT-аккредитации, которая дает льготы (налоговые преференции, IT-ипотеку, отсрочку от срочной службы в армии сотрудникам и др.) (см. “Ъ” от 31 марта). Кроме того, как сейчас обсуждается, компании должны самостоятельно выявлять VPN-подключения пользователей и передавать данные об этом в Роскомнадзор, чтобы ведомство блокировало их.
Отдельной мерой стала просьба Минцифры к операторам связи по введению платы за использование более 15 Гб международного трафика в месяц на мобильных сетях, писал Forbes. Собеседник “Ъ”, близкий к правительству, объясняет, что сокращение VPN-трафика также «позволит ограничить доступ не только к запрещенным соцсетям, но и к таким ресурсам, как программы для пиратства, сайты с нелегальным, деструктивным, экстремистским контентом».
VPN — технология, позволяющая объединять удаленные друг от друга устройства в одну частную сеть. VPN часто позиционируется для обхода блокировок. Но организации настраивают VPN в том числе для соединения компьютеров, телефонов, банкоматов и т. п., находящихся в разных местах или регионах.
Proxy — промежуточный сервер между пользователем интернета и серверами, откуда запрашивается информация. Proxy может работать для шифрования трафика, кэширования информации и как веб-фильтр.
Компании также получили «методику признаков использования средств обхода блокировок на клиентских устройствах» — документ (копия есть у “Ъ”), который предлагает унифицированный подход к выявлению VPN и Proxy, используемых для обхода заблокированных сайтов и приложений. Из документа следует, что обнаружение VPN-соединения пользователя следует производить в три этапа:
- анализировать клиентские сессии на сервере, сравнивая IP-адреса подключения со списком заблокированных IP-адресов, а также сравнивать IP адреса клиентской сессии на стороне сервера с IP адресом на пользовательском устройстве;
- проверять использование средств обхода блокировок на устройстве с помощью собственного приложения для операционных систем (ОС) Android и iOS;
- на «более поздних этапах» проверять устройства на других ОС.
При этом в документе подчеркивается, что «использование одного или нескольких методов выявления использования средств обхода блокировок не дает стопроцентной гарантии точности результата из-за возможных ложноположительных срабатываний». Ложные срабатывания могут происходить из-за использования корпоративных VPN, антивирусного ПО, средств виртуализации и контейнеризации, а также технологии NAT (позволяет преобразовывать внутренние IP-адреса локальных устройств в один или несколько внешних адресов), указано в документе.
С 2017 года VPN-сервисы в России должны ограничивать доступ к запрещенным сайтам, в противном случае блокировка накладывается на сам сервис. В марте 2024 года в силу вступил запрет на распространение информации о способах доступа к заблокированным ресурсам. А в сентябре 2025 года — закон о запрете рекламы программ для обхода блокировок. Штраф за рекламу VPN составляет до 80 тыс. руб. для граждан, до 150 тыс. руб. для должностных и до 500 тыс. руб. для юрлиц.
Сократить количество ложных срабатываний предлагается в первую очередь созданием «белых списков» корпоративных VPN и «легитимных» Proxy-серверов. Такой список уже существует, компании вносят в него свои VPN, а ведет его Роскомнадзор, говорит собеседник “Ъ”, близкий к правительству: «Сейчас в нем порядка 75 тыс. IP-адресов. Компании сами передают в ведомство данные через личный кабинет Роскомнадзора на исключение из фильтрации на ТСПУ. Также ведомство направляет владельцам корпоративных VPN уведомления о блокировке новых сервисов и протоколов. Главные требования к "белым" VPN — это ограничение доступа к запрещенным ресурсам и взаимодействие с Роскомнадзором».
Блокируй по-своему
«Главная задача, которая будет стоять перед IT-компаниями, это максимально прозрачно донести до клиента, что включенный VPN может не позволить ему пользоваться полным функционалом продукта и дать удобную навигацию»,— говорит источник “Ъ”, близкий к крупной IT-компании. При этом, по его словам, VPN влияет на работоспособность приложений, поэтому почти все крупные игроки и госорганы уже «так или иначе обрабатывают входы в приложения с включенным VPN».
«С технической точки зрения требования не являются трудновыполнимыми. Значительной перестройки технологической архитектуры платформ не потребуется»,— уверяют “Ъ” в «Почте России».
Дополнительные затраты, если и возникнут, будут связаны с совершенствованием систем безопасности и лежат в рамках текущих планов по IT-развитию, а работа корпоративных VPN не будет затронута, добавляют в компании.
В РЖД говорят, что технические ограничения на доступ к их сервисам из-за рубежа реализуются начиная с 2022 года из-за «беспрецедентных попыток компьютерных атак на инфраструктуру компании с адресов, относящихся к зарубежным интернет-провайдерам». Там добавляют, что уже направили все необходимые материалы для включения корпоративных VPN в «белые списки».
В «Росатоме» (часть сервисов компании входят в «белые списки») объясняют, что архитектура их решений «изначально спроектирована с учетом требований информационной устойчивости и не опирается на общедоступные VPN-сервисы, поэтому новые требования не окажут критического влияния на работу ресурсов». При этом часть ресурсов, от которых потребовали выявлять пользователей с VPN, уже ограничили их доступ к своим платформам — маркетплейсы Ozon и Wildberries, писали «Известия».
Источник “Ъ” в одной из госкомпаний говорит, что там не прогнозируют снижения активности пользователей в своем приложении и на сайте: «Сайт компании исторически не работает за рубежом и, соответственно, с включенным VPN». Другой собеседник “Ъ” из российской бигтех-компании соглашается с ним: «Ряд сервисов уже работает корректно только при выключенном VPN — почти все банковские приложения, "Госуслуги" и др.». «Но меры воздействуют на следствие, а не на причину роста VPN-трафика. По данным опросов, от трети до половины российских интернет-пользователей регулярно используют VPN»,— говорит партнер практики «Цифровая трансформация» компании Strategy Partners Сергей Кудряшов.
Адаптируйся по-новому
После введения новых требований «количество пользователей, естественно, упадет», уверен источник “Ъ”, близкий к крупным технологическим компаниям: «Но как показала предыдущая практика блокировок, пользователи достаточно быстро приспособятся, а сами сервисы VPN и Proxy быстро модернизируются и адаптируются». При этом юзеры продолжат пользоваться привычными сервисами, «в том числе и из-за отсутствия адекватных и полноценных альтернатив», уверен он.
Такую технологическую доработку — отслеживание пользователей с включенным VPN — для крупных IT-компаний нельзя назвать сложной или затратной, уверен источник “Ъ” в крупной IT-компании. Источник “Ъ” среди софтверных компаний объясняет, что для выявления простого VPN-трафика компаниям не потребуются большие затраты и отдельное ПО, такое как DPI (Deep Packet Inspection — технология «глубокий анализ трафика»): «На уровне пользовательских приложений разработчики видят, откуда идет трафик, и могут просто передавать данные об IP. DPI работает по сигнатуре трафика, а VPN-сервисы так тяжело описать». Определить VPN-трафик возможно с помощью DPI, хоть и не полностью, при этом «его установка стоит денег».
«Оценить совокупные затраты компаний на новые требования затруднительно, но структура расходов понятна. Это дополнительные мощности для классификации трафика, доработка существующих сервисов под новые логики блокировок и время разработчиков могут быть достаточно существенными»,— уверен Сергей Кудряшов. Источник “Ъ”, близкий к крупным технологическим компаниям, говорит, что затраты составят дополнительные 20% к текущим бюджетам на IT, «потому что придется не просто перенастроить оборудование и каналы связи, а разработать или докупить специальные продукты для реализации тех или иных требований». Но господин Кудряшов считает, что такая оценка завышена: «Задача для платформ состоит не в закупке нового оборудования, а в модификации логики работы приложений — это решается за счет перераспределения ресурсов разработки».
Однако ряд представителей отрасли настроены куда пессимистичнее. Новые условия по ограничению доступа пользователей со включенным VPN для компаний интернет-торговли означают серьезное падение трафика, уверены в Ассоциации компаний интернет-торговли (АКИТ, входят Ozon, «М.Видео», Avito и другие): «Если проводить аналогию с традиционной розницей и ее инфраструктурой, то, по сути, это запреты на вход в помещение магазина и на покупки». То есть часть сервисов до сих пор не включены в «белый список» — и они просто не работают при отключенном мобильном интернете, а те, которые смогли в него войти, теперь должны работать выборочно, объясняют в АКИТ.
«За последние годы это самый мощный вызов и одновременно барьер для цифровых пользователей и цифровых сервисов, когда работа последних строилась на удобстве приобретения покупок вне зависимости от места нахождения человека и его способах взаимодействия с интернетом. Любые изменения в этой сфере должны быть поэтапны и в диалоге с бизнесом»,— уверены в ассоциации.
Для цифровых платформ в целом это означает рост технической и организационной нагрузки, уверен зампред «Деловой России», руководитель рабочей группы агрегаторов транспортных услуг Комитета РСПП по цифровой экономике Антон Данилов-Данильян: «Потребуются дополнительные настройки инфраструктуры, инструменты выявления VPN-трафика и более сложные процедуры комплаенса. При этом есть риск, что добросовестные компании столкнутся не только с дополнительными издержками, но и с ошибками в применении таких механизмов».
Отвечай по-новому
Источник “Ъ” в крупной технологической компании также говорит, что пока им непонятно, в какой степени каким пунктам новых требований нужно следовать: «Мы готовимся применить эти требования, но их влияние на пользователей и бизнес пока неясно. Оно будет зависеть не только от того, что сделаем мы, но и что сделают остальные участники рынка». Источник “Ъ”, знакомый с планами Минцифры, рассказывает, что пока нет точного механизма передачи данных компаниями о VPN в Роскомнадзор: «Все строится на уровне требований, но бизнес не понимает, как передавать данные, учитывая, что Роскомнадзор говорил, что IP-адреса являются персональными данными, а их передача без согласия ограничена».
Другой собеседник “Ъ” добавляет, что пока вопрос об отдельной ответственности компаний за несоблюдение новых требований по отслеживанию VPN с бизнесом не обсуждался.
В открытом доступе пока нет детально описанной и прозрачной процедуры, которая бы однозначно показывала, в каком именно формате компании должны передавать данные в Роскомнадзор, добавляет Антон Данилов-Данильян: «Скорее всего, речь будет идти либо об уже существующих каналах взаимодействия с регулятором, либо о дополнительных требованиях для сервисов, работающих в особом регуляторном контуре». «Но сейчас для этого нет правовых оснований, и компании в отрасли не понимают, на основании чего они вдруг должны выявлять VPN»,— напоминает собеседник “Ъ”, близкий к крупному IT-бизнесу.
Сейчас Минцифры обсуждает ряд нюансов новых требований — доступы разработчиков и другое — с отраслью и ищет решения с учетом действующего законодательства, говорит собеседник “Ъ”, близкий к правительству. «Минцифры хочет решить задачу с минимальными последствиями и обременениями для пользователей. Существующие сейчас ограничения и обсуждаемые с операторами связи и цифровыми платформами новые меры по ограничению доступа пользователей с VPN — компромисс, позволяющий не вводить административную ответственность за это для граждан»,— уверяет он.
В «Авито», «Вымпелкоме», «МегаФоне», МТС, Т2, «Яндексе», VK, Ozon, Wildberries отказались от комментариев. В Минцифры, Роскомнадзоре, Альфа-банке, ВТБ, НСПК, ПСБ, «Сбере», «Т-Технологиях», «Газпром-Медиа Холдинге», 2ГИС, Okko не ответили “Ъ”.
Мнение эксперта
«Стало сложнее получить доступ ко всему миру»
Гендиректор точки обмена трафиком Piter-IX Николай Метлюк о сетевом бизнесе в эпоху блокировок
Интернет-трафик в России ежегодно растет примерно на 20%. При этом на его структуру сильно влияют блокировки — трафик фрагментируется из-за использования VPN. Для точек обмена трафиком, которые появились для снижения стоимости транзита трафика, такая ситуация значительно повышает издержки. О том, как растут объемы международного трафика и что компания планирует делать в новых условиях, “Ъ” рассказал гендиректор точки обмена трафиком Piter-IX Николай Метлюк.
Николай Метлюк
Фото: пресс-служба Piter-IX
Николай Метлюк
Фото: пресс-служба Piter-IX
— Как за последний год у вас изменилась структура трафика?
— Прирост всего трафика в сети Piter-IX за 2025 год составил 1,2 Тбит/с, из которых около 50% — это международный трафик. При этом именно доля зарубежного трафика в общем объеме за год сильно не поменялась. Российский трафик превалирует в соотношении 80/20, и отечественные платформы прибавляют в объемах потребления контента и активной абонентской базе.
— Как это влияет на ваш бизнес?
— Увеличение объема зарубежного трафика влияет негативно. У нас трафик не делится на российский и международный, для оператора цена единая, поэтому рост иностранного трафика увеличивает издержки. А еще к стоимости трафика добавляется обслуживание ТСПУ.
— Как изменились цены на каналы и как изменилась маршрутизация? С чем это связано?
— Цены на каналы не изменились, но объемы трафика заметно растут, и для обеспечения качества их необходимо расширять. А контракты на международные каналы все в иностранной валюте, поэтому колебания курсов валют для нас тоже болезненны. Российские операторы платят в рублях, поэтому очень хочется видеть «доллар по 30».
Маршрутизация усложнилась, трафик стал более «фрагментированным»: с одной стороны, многие зарубежные сайты и платформы в результате действия санкций запрещают доступ c российских IP-адресов, с другой стороны, российские надзорные органы блокируют иностранные платформы из-за нарушений ими нашего законодательства. В итоге стало сложнее получить «доступ ко всему миру», и за это приходится платить больше и пользователям — за VPN, и операторам, поскольку рост использования VPN приводит к увеличению объемов зарубежного трафика. Также выросли объемы трафика от операторов фиксированного ШПД — в связи с регулярными отключениями мобильного интернета по всей стране.
— Как на вас сказывается регулирование?
— Регуляторные требования увеличивают издержки, это в любой отрасли и стране так. Кроме прямых затрат есть еще и косвенные: нужно больше специалистов, чтобы выполнять требования регуляторов, нужны юристы и консалтеры. Бесспорно, регулирование отрасли необходимо, но бизнесу для развития нужно больше свободы и желательно реальных обсуждений с профильными министерствами и ведомствами их инициатив.
— Как вы планируете развивать бизнес в нынешних условиях?
— В 2025 году мы активно развивали свою сеть: обновили оборудование в ключевых узлах в Москве, Санкт-Петербурге, Нижнем Новгороде и т. д. Планируем и далее развивать экосистему и взаимодействовать с российскими CDN и облачными платформами, расширять географию прямого подключения для локализации трафика в регионах.
Наша цель — обеспечить для небольших операторов доступ к качественному контенту наряду с крупными игроками.
В планах — размещение кэширующих серверов в своих точках доступа в регионах и предоставление местным операторам комплексной услуги: доступ к кэшам российских контент-платформ, нашим точкам обмена трафиком в РФ и за рубежом и глобальный доступ к интернету в формате Full View IP-транзит. Piter-IX поставил цель в 2027 году достигнуть 1 тыс. подключенных автономных систем и пиковой нагрузки 10 Тбит/c. К апрелю 2026 года мы уже достигли 630 автономных систем и 5,5 Тбит/с пиковой нагрузки, и планируем двигаться такими же темпами.