«Роскосмос», «Ростех» и банки отчитаются об использовании VPN

Минцифры потребовало от ряда госкомпаний, госкорпораций и крупных банков отчитаться об использовании VPN-сервисов. Письмо министерства в компании от 28 октября есть в распоряжении «Ведомостей», представитель Минцифры подтвердил его подлинность. Представители «Открытия» и Россельхозбанка подтвердили получение письма.

В письме, разосланном в госструктуры и банки, Минцифры попросило «в возможно короткие сроки» уточнить, какие VPN-сервисы они используют или планируют использовать, а также в каких целях они это делают и в каких локациях. В опросном листе компания должна указать название и тип VPN, систему, интернет-ресурс и т. д., для использования которых необходим VPN, в том числе в технологических целях (банки/банкоматы, платежные системы, системы хранения данных и т. п.), а также город, регион России или страну использования. В списке рассылки числятся «Роскосмос», «Ростех», «Газпром», «Ростелеком», Сбербанк, ВТБ, Промсвязьбанк, Газпромбанк, «Открытие», Альфа-банк, Россельхозбанк, Райффайзенбанк, Росбанк и Совкомбанк.

Представитель Минцифры сказал, что аналогичные исследования проводятся регулярно, цель последнего – получение актуальных данных об используемых российскими компаниями протоколах, технологиях и сервисах VPN. По его словам, своевременная оценка применения подобных сервисов в крупных российских компаниях «поможет снизить санкционные риски и иметь проработанные планы, на случай если подобные сервисы решат приостановить свою работу на территории России». Что именно имеется в виду под проработанным планом, представитель ведомства не уточнил.

Минцифры собирает информацию о том, какие массовые публичные VPN-сервисы используются банками, пояснил «Ведомостям» представитель «Открытия». Он утверждает, что в бизнес-процессах и процессах обслуживания клиентов банк такие сервисы не применяет. «Внутри кредитной организации массовые публичные VPN-сервисы не должны использоваться в том числе потому, что они обеспечивают защиту от определения географической привязки источника к его реальному местоположению, – объясняет он. – Могут быть использованы отдельные VPN-технологии и VPN-продукты для обеспечения защиты передаваемой по внешним каналам связи информации».

Представитель Россельхозбанка считает, что в первую очередь инициатива нацелена на понимание общего количества каналов связи, которые не шифруются должным образом и требуют дополнительной защиты.

Он уточнил, что внутри банка используется около 20 VPN «с обеспечением необходимых протоколов шифрования по ГОСТу и IPsec».

«Ведомости» направили запрос в другие банки, а также в «Роскосмос», «Ростех», «Газпром» и «Ростелеком».

Опрос связан с грядущей блокировкой VPN-сервисов, знают три собеседника «Ведомостей» в IТ-компаниях. И информация об используемых VPN нужна ведомству, для того чтобы не затронуть работу компаний, считают источники. В связи с тем что такие сервисы сегодня востребованы, не исключено, что Минцифры предложит свою альтернативу защищенного VPN, уточняет один из собеседников. Аналогичный опрос в 2021 г. проводил ЦБ среди банков перед началом блокировки VPN-сервисов, напоминают опрошенные «Ведомостями» эксперты.

Источник «Ведомостей» в одной из компаний, разрабатывающих инструменты кибербезопасности, утверждает, что опрос об используемых VPN-сервисах проводит и Банк России. В августе 2021 г. ЦБ рассылал в банки аналогичное письмо, сообщали «Ведомости». Тогда регулятор объяснял его попыткой предотвратить сбои в работе банков при блокировке Роскомнадзором (РКН) VPN-сервисов, которые не исполняют требования российского законодательства, в том числе Psiphon, Tunnelbear, Thunder, Red Shield.

На вопрос о том, планирует ли РКН в ближайшее время проводить новые блокировки VPN-сервисов, представитель ведомства не ответил. «РКН ведет постоянный анализ, обновляя перечень VPN, работающих в России, принимает меры по ограничению работы на территории России VPN-сервисов, нарушающих российское законодательство», – говорится в его комментарии «Ведомостям».

VPN – это базовый сервис для безопасности коммуникаций, его используют все компании для предоставления удаленного доступа к системам как работникам, так и устройствам, объясняет гендиректор Института исследований интернета Карен Казарян. VPN в банках и других госкомпаниях используется в основном для объединения филиалов и удаленной работы, подтверждает независимый IT-специалист Филипп Кулин. «Это стало особенно актуально во время [пандемии] COVID-19, но это не единственная причина. Это и отпуска ключевых сотрудников, и сотрудники в декрете, и проч.», – рассказывает он. При этом если для филиалов актуальны собственные VPN, которые настраиваются силами самого предприятия, то для остального вполне могут использоваться и коммерческие, и комбинированные решения, добавляет он.

Эксперты сходятся во мнении, что сбор информации в госкомпаниях может быть связан как с расширением списка заблокированных VPN в ближайшее время, так и с блокировкой основных VPN-протоколов в перспективе. Правительство в первую очередь опрашивает крупные коммерческие и государственные организации, потому что хочет избежать ситуации, при которой «блокировка VPN перекроет важную инфраструктуру, или госуслуги, или критически важные услуги бизнеса», предполагает директор АНО «Инфокультура» Иван Бегтин. В случае с массовой блокировкой протоколов ведомства могут настроить исключения для подсетей тех, кто сдал сведения, и заблокировать доступ всем остальным, объясняет он. Если Минцифры будет создавать собственное VPN-решение, то оно может быть осуществлено на базе «Госуслуг», считает Кулин: это позволит контролировать, кто использует эти VPN, и иметь актуальный белый список, чтобы не блокировать их.

По мнению Кулина и источника «Ведомостей» в компании из сферы кибербезопасности, РКН действительно способен заблокировать подавляющее большинство VPN-сервисов и протоколов. «Отдельный вопрос в том, что появится сотня новых протоколов и вариантов «скрытия», – говорит Кулин.