Закон года. Почему интернет в России не станет суверенным
Пока государство пытается имплементировать ФЗ-90, хакеры совершенствуют средства кибератак
Закон о суверенном рунете вступил в силу 1 ноября. Он обязывает операторов связи установить на свои сети оборудование, которое им предоставит Роскомнадзор, чтобы централизованно управлять маршрутизацией трафика в случае угрозы рунету. Это же оборудование позволит ведомству фильтровать трафик и блокировать доступ к ресурсам из списка запрещенных в России.
В отличие от антитеррористических законов (так называемого пакета Яровой) ТСПУ (технические средства противодействия угрозам – так называется оборудование от Роскомнадзора) будут устанавливаться в сети операторов за счет государственного бюджета. Государство выделило на исполнение закона 20,8 млрд руб., говорится в документах национального проекта на сайте АНО «Цифровая экономика». Роскомнадзор выбрал DPI-систему компании «РДП.ру», за подключение которой отвечает компания «Данные – центр обработки данных».
DPI (Deep Packet Inspection) – система фильтрации трафика. Она определяет тип трафика по сигнатуре, которая различается у всех ресурсов. То есть DPI может отличить, например, сигнатуру пакета трафика мессенджера Telegram от сигнатуры YouTube. Но доступа к содержимому пакета DPI уже не получит.
Проще говоря, основная задача закона о суверенном интернете – работа системы централизованного управления национальным сегментом интернета и защита его от потенциальных внешних угроз и кибератак. Однако средства защиты – всегда ответная реакция, а не превентивная, а новые инструменты кибератак дешевы в разработке и появляются сразу, как только удается найти противоядие против предыдущего защитного инструмента. Поэтому внедрение систем DPI не решит проблемы, объясняет представитель одной из компаний, занимающихся разработкой и внедрением систем защиты от кибератак. «DPI-система несовершенна, – рассуждает он. – Она не смотрит содержимое пакетов, это слишком затратно. Это система фильтрации трафика. Она пришла на смену целевой блокировке, т. е. блокировке конкретных IP-адресов или диапазонов IP-адресов». По IP, например, Роскомнадзор пытался заблокировать Telegram, внеся его IP-адрес в реестр запрещенных ресурсов.
Пока система DPI от «РДП.ру» проходит первые тесты (состоялись на Урале в октябре 2019 г., глобальное интернет-сообщество уже начало переходить на новые уровни защиты: например, на новый метод шифрования – протокол TLS 1.3, пришедший на смену HTTP и HTTPS, и протокол DoH (DNS поверх HTTPS). DNS – система получения информации об IP-адресах. Она использовалась и раньше, но теперь стала шифроваться.
Все описанные технологии мешают DPI-системам определить тип сигнатуры трафика.
«DoH лишает систему анализа информации, – объясняет гендиректор провайдера Diphost Филипп Кулин. – По размеру и характеру трафика можно понять, что это DoH. Сам по себе протокол DoH не сделает систему DPI бесполезной. Бесполезной ее сделает шифрование и мимикрирование. Все протоколы – и HTTPS, и DoH – в комплексе будут сильно затруднять ее работу». Это означает, что уже через несколько лет DPI-система, внедряемая сейчас государством под закон о «суверенном рунете», станет неэффективной.
А пока Минкомсвязи подвело итоги первых учений. 23 декабря замминистра Алексей Соколов рассказал, что часть учений проводились 16 и 17 декабря, в них участвовали четыре федеральных оператора связи, для каждого из которых отрабатывались 18 сценариев атак. Тестировались: устойчивость связи, безопасность сотовой связи, включая защиту персональных данных и перехват трафика, безопасность интернета вещей. На отработку каждого сценария требовалось около 20 минут.
По данным с закрытого заседания Минкомсвязи и силовых ведомств, рассказали «Ведомостям» его участники, условному злоумышленнику удалось 62,5% атак через протокол SS7 и 50% – через протокол Diameter. Время обнаружения атаки составило 2–3 минуты. По словам Соколова, учения показали, что в целом органы власти и операторы готовы к угрозе.