🌐 IT-компании, сервисы которых будут доступны через VPN, рискуют потерять право на предустановку своих приложений на устройства в России, следует из проекта постановления Минцифры, с которым ознакомился «Ъ».

В перечень программ, обязательных для предустановки на смартфоны и компьютеры, входят приложения VK, «Яндекс.Браузер», RuStore, «Госуслуги» и мессенджер Max.

Источники «Ъ», знакомые с ходом обсуждения, уточнили, что речь идет о лишении места в реестре Минцифры. Статус аккредитованной IT-компании дает разработчикам существенные льготы: налоговые преференции, пониженные страховые взносы, IT-ипотеку и отсрочку от службы в армии.

По словам собеседника «Ъ», выявлять нарушения и направлять запрос в Минцифры будет ФСБ. Ранее в Минцифры предупреждали, что сайты из «белого списка» будут исключены из него, если не закроют доступ к средствам обхода блокировок.

📡 Сети меняются. Мы следим. Подписывайтесь.

Ну что, продолжим фантазировать на тему ограничений Интернета в России? Раз уж я начал, а вчера вечером у нас кто-то очень рукастый опять продемонстрировал свою (не)способность управлять Рунетом, то грех не продолжить заниматься прогнозированием. Но при этом стоит разделять полный контроль как политическую цель и полный контроль как технически достижимый результат; все-таки это немного разные истории.

Даже если государство резко повысит давление, оно скорее добьется не "абсолютного" контроля, а роста стоимости обхода, снижения массовости использования VPN (хотя может в этом и состоит цель, но я не очень верю, что этим все ограничится) и перевода части пользователей в более рискованные или менее удобные способы обхода. В контексте обсуждаемой последние дни методики РКН это особенно видно: уже сейчас для полноценной проверки не хватает одного только веб-сервера, нужен доступ к устройству, приложению, ОС, магазинам приложений, каналам продаж и сетевой инфраструктуре.

Поэтому сценарии давления (часть уже на марше) могут выглядеть так:
➡️ Давление на платформы и экосистемы. Самый очевидный путь – попробовать заставить Apple и Google встроить или допустить механизмы, которые облегчают выявление средств обхода (расширенные API, ограничения на публикацию VPN-приложений, обязательство удалять приложения по требованию регулятора, ограничения на частные релеи/прокси, шифрованный DNS и похожие функции и т.п.). Но здесь есть проблема: Apple и Google не обязаны хотеть этого (они точно этого не хотят), а их глобальные архитектурные решения принимаются не под одну страну. Поэтому такой сценарий возможен только либо через большой рынок (а мы не Китай) и жесткий торг, либо через угрозу санкций, штрафов, локальных ограничений, блокировок сервисов и т.п. Но боюсь, что последнего ни Apple, ни Google не боятся – Россия занимала в доле их бизнеса от силы 1-1.5%; то, чем можно пожертвовать без особого труда (цинично, но это так – 22-й год показал это).
➡️ Контроль через магазины приложений. Даже без изменения iOS/Android можно давить на App Store и Google Play (равносильно предыдущему варианту), альтернативные магазины (на iOS маловероятно, хотя опыт ЕС как бы намекает и тут возможен торг, если Apple вообще захочет в это поиграть), разработчиков приложений банков, маркетплейсов, такси, доставки, госуслуг (этот вариант мы сейчас и наблюдаем в методике РКН). Это один из самых реалистичных сценариев, потому что он не требует переписывать всю ОС. Он требует заставить крупный бизнес встроить SDK, проверки, риск-скоринг и сценарии отказа в мобильные приложения. Все минусы описаны в методике, текст которой даже у меня в комментариях к прошлой заметке по теме уже выложили.
➡️Обязательная предустановка агента по индийскому варианту. Для корпоративных устройств этот, самый токсичный вариант, реален. Для массового B2C-рынка – возможно только при очень жестком регулировании. Но он приведет к росту серого импорта, а как бороться с ним власти уже начали думать и даже законопроект приняли в первом чтении.
➡️ Контроль на уровне импорта и продаж устройств. Знакомый сценарий - предустановка нужного ПО как условие для продажи/сертификации устройств в стране. Но никто не гарантирует, что приложения потом не снесут после покупки.
➡️ Сетевой контроль на стороне операторов связи, чтобы не трогать пользовательские устройства, не нарушая Конституцию с ее правом на приватность (хотя кого когда волновала конституционность тех или иных мер). Тут вам и DPI, и деградация трафика, и управление IP/ASN/доменами, и ряд других вещей (не буду подсказывать РКНу). Но это классическая модель "давить инфраструктуру, а не клиента", которую у нас активно и используют, но не очень успешно, судя по последним шагам регулятора.

#суверенитет

➡️ Переложить обязанности выявлять обходные сценарии бизнес с угрозой лишить "сладкого". Опять же, вне каких-либо нормативных актов, Минцифры прямо угрожает компаниям исключить их из списков, лишить аккредитаций и т.п. за отказ заниматься цензурой вместо Роскомцензора. Это самый удобный путь для государства, так как все, и затраты, и срач с гражданами, перекладывается на бизнес.
➡️ Давление на платежную и рекламную инфраструктуру, через запрет оплаты VPN, давление на банки и платежные шлюзы, запрет рекламы, блокировку доменов и зеркал, давление на хостинг, CDN, доменных регистраторов и т.п. Это не дает полного контроля, но убирает массовый доступ и повышает цену входа для пользователя.
➡️ Белые списки вместо черных. Ещё более жесткий сценарий – двигаться не от логики "ловим VPN", а к логике "разрешено только известное и доверенное". Пока это временная мера якобы для борьбы с дронами, которые продолжают падать, и только для мобильного Интернета, но думаю не за горами применение белых списков для проводного интернета, для протоколов, DNS/резолверов, приложений, устройств для определенных сервисов и т.п.
➡️ Долгий, дорогой, на стратегически верный вариант – национальная мобильная экосистема, как это сделано в Китае. Но созиздание – не наш метод; не умеют у нас играть вдолгую.
➡️ Связка с идентификацией личности, которая не столько позволяет бороться с VPN, сколько делать анонимный доступ практически бесполезным. Регистрация SIM на Госуслугах – это первый шаг. Грядущая регистрация IMEI (законопроект принят якобы для борьбы с фродом) – второй шаг. В итоге будет полная связка "гражданин - IMSI - IMEI". А там и включение ЕБС в эту схему не за горами и Интернет по паспорту.

Есть у меня еще 5+ сценариев, которые можно реализовать для "борьбы с анонимностью", но и приведенного перечня достаточно, чтобы понять, куда мы все дружными рядами идем. Сил нам и терпения!

#суверенитет