1. Статьи
Заметки пользователей
17.12.2018 11:47
19236
33
17.12.2018 11:47
PDF
19236
33

Закон “театра безопасности”, или как создать свой национальный интернет, не потратив ни копейки из бюджета

Автор: Wanderer From

В Госдуму внесли законопроект, который предусматривает поправки в Закон "О связи" и Закон "Об информации" с целью "обеспечения долгосрочной и устойчивой работы сети Интернет в России, повышения надёжности работы российских интернет-ресурсов". Так написано в "пояснительной записке". Но попробуем прочесть, что там на самом деле.

Законопроект получился большой. Шестнадцать страниц только собственно "закона". Не считая адреса, пояснительной записки, которая получилась не в пример короче и  "финансово-экономического обоснования".

Закон “театра безопасности”, или как создать свой национальный интернет, не потратив ни копейки из бюджета

Последнее - самая короткая и понятная часть, состоящая из традиционной фразы, что "не потребует расходов из федерального бюджета". И это важно -  других законов Государственная Дума и не принимает последние годы. Денег нет. Но мы запомним этот пункт и вернемся к нему несколько позже.

Пояснительная записка к законопроекту имеет цель донести до всех субъектов законотворческого процесса цели и задачи "внесения изменений в некоторые законодательные акты РФ". Документ поместился на 1,5 страницах А4. Я несколько раз перечитал эту "записку" и… ничего не понял. Точнее, стало понятно, что проект закона -  это реакция законодателей на "принятую в сентябре 2018 года Стратегии национальной кибербезопасности США". Разумеется, это очень важно - реагировать на "национальную кибербезопасность" другого государства. Но хотелось бы получить более описательную картину, что с этой вот "национальной кибербезопаностью США" не так, что потребовалось изменять российские законы. Ну, хотя бы отметить в понятной модели "угроза -> ответ" класса "опасно переходить дорогу на красный свет -> не переходите дорогу на красный свет".

Но нет. Такого в "пояснительной записке" нет, но есть описание "субъектов регулирующего воздействия", явно не имеющего отношения к "кибербезопасности США".

Вот эти субъекты:

  1. Определяются "правила маршрутизации трафика" с одновременным контролем их соблюдения.
  2. Вводится понятие "трансграничных линий связи и точек обмена трафиком", владельцы которых обязываются (при возникновении угрозы) обеспечить возможность централизованного управления трафиком.
  3. На сетях связи предусматривается возможность (гениальная формулировка!) установки технических средств, определяющих источник передаваемого трафика. Причем, эти "технические средства" должны управляться централизованно с целью ограничения доступа к ресурсам с запрещенной информацией.
  4. Создается инфраструктура, позволяющая обеспечить работоспособность российских интернет-ресурсов в случае невозможности подключения российских операторов связи к зарубежным корневым серверам сети Интернет.
  5. Вводится необходимость проведения регулярных учений органов власти, операторов связи и владельцев технологических сетей по выявлению угроз и отработке мер по восстановлению работоспособности российского сегмента сети Интернет.
  6. Порядок централизованного реагирования на угрозы работоспособности сети Интернет и сети связи общего пользования Центром мониторинга и управления определяет Правительство Российской Федерации. Меры реагирования определяются, в том числе, в ходе мониторинга функционирования технических элементов сети связи общего пользования.

Это всё.

Поскольку содержательной информации в "записке" обнаружено не было, придется читать законопроект целиком. А это, напомню, 16 страниц весьма непростого юридического текста с отсылками на другие законы, читать которые не каждый осилит. Есть подозрение, что такой подход и обеспечит прохождение в Думе -  депутаты прочитают короткую записку и ничего толком не поймут. Но кто ж будет возражать против того, что нужно как-то реагировать на "принятую в сентябре 2018 года Стратегии национальной кибербезопасности США"? Никто не будет. Потому, вероятность принятия законопроекта весьма велика. Что приведет, в случае реализации всех перечисленных "мер", к коллапсу "российского сегмента сети интернет" и без всякого вмешательства "кибервоенных сил США".

И вот почему. Хочется все это написать как можно проще и короче, но это довольно трудно. Просто отсылка к конкретному пункту законопроекта -  уже много букв, которые осилит не каждый [депутат]. Но попробуем.

1. Централизация управления Интернетом (в России)

Про "централизацию управления " в законопроекте  упоминается трижды, но, что называется, "красной нитью". И всегда в контексте "безопасности".

Для "взятия под централизованный контроль" в законопроекте прописываются следующие обязанности для операторов связи (а также собственников или владельцев технологических сетей связи, а также иных лиц, имеющие номер автономной системы):

  1. Выполнять правила маршрутизации (определится подзаконным актом).
  2. По требованию "государственного органа" -  корректировать эти правила.
  3. Использовать разрешенную госорганом "систему разрешения доменных имен" (DNS).
  4. Выполнять другие требования, о которых будет подзаконный акт.

Все это прекрасно с точки зрения управления государством сетей связи. Можно будет рулить вообще всеми отношениями между операторами. НО.

Но, во-первых, это прямо противоречит праву юридических и физических лиц заключать хозяйственные договора между собой. Потому, что "правила маршрутизации трафика" -  это гражданско-правовые договора, которые хозяйствующие субъекты заключают между собой, основываясь на взаимной выгоде и личном усмотрении. Получается, что законопроект устанавливает право государства вмешиваться в эти отношения. Причем, чуть ли не в автоматическом режиме. Законотворцы про это право забыли. Но что не сделаешь ради "противодействия кибервойскам НАТО".

А во-вторых, централизация управления маршрутизацией трафика… снижает надежность сетей передачи данных. Сами посудите -  после введения в строй "центра мониторинга и управления сетью связи общего пользования" он станет, собственно, главной целью атак "кибервойск". А при условии, что создавать этот "центр мониторинга и управления" планируется на базе "федерального органа исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи" (так длинно называется Роскомнадзор), да еще и прямо указано, что это будет "в составе радиочастотной службы".

События последнего года (ковровые блокировки, неаккуратность ведения реестров, ошибочные записи, вплоть до появления в реестре localhost) показывают, что указанные службы не обладают соответствующими знаниями и навыками, чтобы управлять столь важным объектом.

А поскольку, напомню, средств из федерального бюджета под законопроект выделяться не будет, то очень сомнительно, что ГРЧЦ и РКН удастся создать необходимую для этого материально-техническую базу и нанять специалистов соответствующей квалификации.

2. Реестр "точек обмена трафиком" и регулирование трансграничных линий связи

Важным пунктом законопроекта является введение понятия "трансграничных линий связи". До сих пор такого субъекта в связном законодательстве не было. Но на моей памяти, это третья (или четвертая?) попытка этот субъект в закон ввести.

Проект закона предполагает введение аж целой новой главы в Закон "О связи". Что характерно, номер у главы будет 7.1. Это сразу после главы 7 - "Услуги связи". Но перед главой 8 - "Универсальные услуги связи". При этом, разумеется, "разъезжается" сквозная нумерация статей в Законе, и глава будет (по проекту) состоять из статей 56.1 и 56.2. Это само по себе уже весело, даже можно дальше не читать.

Но мы прочитаем.

Вся Глава 7.1. будет лаконично называться "ДЕЯТЕЛЬНОСТЬ, СВЯЗАННАЯ С ОБЕСПЕЧЕНИЕМ БЕЗОПАСНОГО И УСТОЙЧИВОГО ФУНКЦИОНИРОВАНИЯ ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННОЙ СЕТИ ’’ИНТЕРНЕТ" НА ТЕРРИТОРИИ РОССИЙСКОЙ ФЕДЕРАЦИИ".

Если вы ничего не поняли из названия -  не беда. То, что там написано, уверен, не понимают и сами авторы закона.

Во-первых, определения в законопроекте даны сильно устаревшие. Но трактовка определения столь широка, что под закон должны попасть не только операторы связи, но и вообще все, кто имел неосторожность зарегистрировать в RIPE собственную автономную систему. Ну, по задумке депутатов. Каким образом регулятор будет заставлять организации, эксплуатирующие технологические сети -  загадка.

Во-вторых, в проекте закона  "собственникам и владельцам линий связи (их функциональных элементов или ресурсов)" предписывается, что они обязаны сообщить об этих линиях в Роскомнадзор. С целью составления реестра "линий связи, пересекающих границу РФ". Проблема в том, что большинство "линий связи" сейчас существует в виде "политик маршрутизации", где операторы иногда и понятия не имеют, пересекают ли конкретные "линии связи" границу РФ. Ну, есть, например, договорная связность между автономными системами с "зарубежными операторами связи". Но не факт, что каналы физически пересекают эту самую границу.

И тут, в-третьих, законодатель  делает оговорку на существование "точек обмена трафиком". Причем, разрешает использование таковых, если "сведения о которых содержатся в реестре точек обмена трафиком".

Общее впечатление -  законодатель вписал в проект все, чтоб Интернет в России перестал работать.

3. Центрально управляемые "технические средства противодействия угрозам"

В телеком-сообществе давно ходят слухи, что "операторам начнут раздавать бесплатные DPI". Очевидно, это оно.

Законодательная новелла здесь в том, что оператор связи "обязан обеспечить установку в своей сети связи технических средств противодействия угрозам". Что это за "технические средства" в законе не оговаривается. Но если оператор установит означенные "технические средства", то он выходит из-под действия 139-ФЗ. То есть, не должен более ничего блокировать, ибо это будет осуществлять "оборудование противодействия угрозам".

С одной стороны - для оператора это "облегчение". Фильтрация трафика по "реестру запрещенных ресурсов" -  это серьезная обуза и расходы.

С другой стороны - судя, по очень общему и весьма лаконичному описанию этого самого "технического средства противодействия угрозам" (это, собственно, все описание), это может быть только оборудование "глубокой инспекции пакетов" -  DPI.

И это означает, что оператор перестает вообще хоть как-то управлять собственной связностью. А все планирование развития сетей будет упираться в "узкое горло" дармового "государственного DPI". Любые ошибки в настройках "черного ящика" приводит к остановке услуг. Совсем.

И поскольку мы знаем, как относится к своим обязанностям уважаемый Роскомнадзор (сайт ЭшерII, например, уже год как пишет об ошибочных адресах в выгрузках, которые РКН никак не может исправить), то можно предположить, что ситуация с полным падением систем не просто вероятна. Эта ситуация неизбежна. Ну, просто потому, что степень ответственности РКН при падении связности равна нулю. Это ж операторы связи с абонентами общаются.

И еще два момента:

  1. В случае повсеместной установки "государственного DPI" общество перестает контролировать заблокированные ресурсы совсем. Черный ящик скроет от нас вообще любую информацию о том, что сейчас блокируется, а что просто "отвалилось".
  2. Напомню, что законопроект не предполагает затрат из федерального бюджета. За чей счет будет устанавливаться и эксплуатироваться "госDPI" -  загадка.

 

4. Государственный DNS

Законопроект вносит изменения в 149-ФЗ "Об информации". А именно, появляется еще одна "подномерная статья" -  ’’Статья 14.2. Особенности обеспечения устойчивого функционирования сети ’’Интернет", в которой создается некая "национальная система получения информации о доменных именах и (или сетевых адресах)".

О том, сколько будет стоить такая "система" и на какие деньги она будет существовать и развиваться -  в законопроекте не сказано.

Как и не говорится о том, какое логическое отношение эта "национальная система доменных имен" будет иметь к общемировой системе DNS.

Вопрос, на самом деле, не столь простой, как может показаться на первый взгляд, ибо если это просто дублирование (резервная копия) существующей системы DNS, то практического смысла в ней чуть. Все операторы связи уже давно научились кэшировать и резервировать запросы к корневой системе. Это вообще одно из главных свойств существующей системы, которую строили не один десяток лет всем миром.

Но если это фактическое обособление от общемировой  распределённой системы для получения информации о доменах, то это чревато потерей связности российского сегмента с мировым Интернетом.

И второй вариант -  очень плохой.

Все это интернет уже проходил в середине девяностых годов, когда из-за конфликтов между несколькими регистраторами возникли так называемые "войны DNS". Прочитать о них можно,  например, вот здесь, но суть в том, что если будет существовать параллельно несколько систем разрешения доменов, то этим всенепременно воспользуются многочисленные мошенники и хакеры, которые, пользуясь хаосом и неразберихой, просто "зафишингуют" все популярные платежные системы. На месте сотрудников Сбербанка я б напрягся. Очень сильно напрягся...

При этом, создание этой самой "национальная система доменных имен" проблема защищенности "российского сегмента сети интернет", конечно же, решена не будет. Опять-таки, по причине того, что система, совершенно очевидно, будет централизованной. И хронически недофинансированной -  денег, напомню, федеральный бюджет на создание системы не выделяет.

А централизация -  это точка отказа. Мировая система решает эту проблему деценатрализацией и многократным резервированием корневых серверов (тринадцать на текущий момент), а также многочисленными репликами. Из которых, кстати, одиннадцать расположены на территории России.

 

5. Центр мониторинга и управления с регулярными "учениями".

По задумке законотворцев, российским интернетом, в случае принятия закона, будет управлять некий "центр мониторинга и управления сетью", который будет создан на базе "радиочастотной службы". Очевидно, имеется в виду -  ФГУП ГРЧЦ, который уже сейчас контролирует "Ревизоры" и "реестр запрещенных интернет-ресурсов".

Который, в числе прочего, сможет "проводить учения, положение о проведении которых устанавливает Правительство Российской Федерации". С "целью повышения информационной безопасности, целостности и устойчивости функционирования единой сети электросвязи Российской Федерации", конечно.

Поскольку "учения с целью безопасности" -  это однозначно военная тема, то из законопроекта становится ясным, что сотрудники операторов связи будут призваны в вооруженные силы. Ясным, но не очевидным. Потому, что законопроект, с одной стороны, делает из операторов связи (и, напомню, вообще всех, кто имеет "автономные системы") военизированные подразделения, но право на ношение оружия операторам не дает. И военных пенсий не обещает.

Описанные же меры, по факту, являются так называемым "театром безопасности". Это такое общественное явление, когда целью проводимых мероприятий заявляется повышение безопасности, но по факту не делается ничего для её достижения.

Все перечисленные меры приводят в большей мере к ухудшению устойчивости Сети к внешним воздействиям, поскольку, после реализации положений законопроекта, "кибервойскам НАТО" не нужно будет заниматься исследованием сети и выявлением действительно критических точек. Для них это все сделает "центр мониторинга и управления". Вместо планирования операции по выведению из строя множества сетей связи Российской Федерации, "потенциальному противнику" будет достаточно перехватить управление этим самым "центром".

Ну, а про "госDNS" уже было написано выше. И этой уязвимостью с вероятностью 100% воспользуются уже вовсе не "кибервойска", а мошенники и киберпреступники со всего мира.

6. Инфраструктура, не требующая средств из федерального бюджета

В данном отчете, про финансирование законопроекта я упомянул уже несколько раз. Но, как мне кажется, это очень важно. В тексте прямо сказано, что "Принятие и реализация Федерального закона "О внесении изменений в некоторые законодательные акты Российской Федерации" не потребует расходов из федерального бюджета".

Однако, реализация законопроекта, совершенно очевидно, таких денег потребует. И вот на что:

  1. Законопроект предполагает создание некоего реестра "точек обмена трафиком", "межграничных переходов" и "прочей критической инфраструктуры". Количество субъектов для учета "критической инфраструктуры" сразу будет исчисляться тысячами единиц. Только операторов связи в реестре лицензиатов - больше десяти тысяч. Добавим сюда все зарегистрированные "автономные системы", которых у каждого оператора как минимум одна (на самом деле -  больше). Добавим те АС, которые не являются операторами связи. Это приличная база данных, которую нужно постоянно поддерживать в актуальном состоянии.
  2. У Роскомнадзора нет таких ресурсов.
  3. Создание и установка  "технических средств противодействия угрозам" -  никто даже не считал, сколько таких "технических средств" нужно. Уверен, что это миллиарды и совсем не рублей.
  4. Законопроект предполагает создание "центра мониторинга". И это не только оборудование, помещения и каналы связи. Это вполне себе приличный штат достаточно квалифицированных сетевых специалистов. А поскольку Российская Федерация довольно большая федеративная страна, то таких центров нужно будет несколько. Трудно себе представить, как всеми сетями будут управлять (а закон подразумевает именно управление, напомню) из единого центра.

Федеральные операторы связи, например, такие как Ростелеком, "большая тройка" и Транстелеком так и не смогли создать "единого центра управления сетями". За все время существования. Просто потому, что это невозможно. И дорого. И не эффективно.

Это только то, что лежит на поверхности. В подводной части масштабного "отключения российского сегмента сети интернет от мирового" обязательно найдется еще миллион всяческих затрат и потерь. Или два.

Косвенные потери российской экономики от вмешательства государства в управление интернетом я оценить не берусь. Это будут масштабные сбои, потеря связности, "DNS-войны", отключения международных сервисов. Предполагаю, счет пойдет на проценты ВВП.

Общий вывод

О законопроекте Клишаса-Боковой-Лугового уже очень много всего написано и сказано в СМИ. Уверен, что будет еще больше.

Очевидно, что если читатель осилил текст до конца, то его волнует этот законопроект. Как интересует и вероятность его принятия.

Я не могу сказать точно, увы. Скорее всего, примут.

Но могу сказать, что анализ текста законопроекта показывает:

  1. Законодатель принципиально не понимает предмет регулирования и представления не имеет, как работает современный интернет.
  2. Большинство положений проекта приводят к противоположному эффекту от заявленного. Централизация управления сетей связи приводит к  большей уязвимости функционирования сетей передачи данных, чем существует на текущий момент.
  3. Заявленная в проекте цель "противодействия внешним  угрозам" почему-то выразилась в нагрузке на внутренних операторов связи.
  4. Большинство положений законопроекта - очень затратные в реализации проекты. Однако, проект не предполагает бюджетных вливаний.
  5. Собственно, законопроект противоречит федеральным законам. Например, праву юридических лиц заключать договора. Противоречит основным  принципам функционирования сети Интернет - централизация вместо равноправных участников информационного обмена. Противоречит здравому смыслу. И законам физики.

И в конечном итоге, принятие этого закона приведет к тому, что Россия станет изолированной от мирового информационного общества.

Но, кажется, все эти доводы никак не повлияют на законодателя, как это было с "пакетом яровой".

Вот такая бомба для тех, кто смог дочитать до конца:

Закон “театра безопасности”, или как создать свой национальный интернет, не потратив ни копейки из бюджета
 

33 комментариев
Оставлять комментарии могут только авторизованные пользователи
Robot_NagNews
Robot_NagNews
Материал: В Госдуму внесли законопроект, который вносит поправки в Закон “О связи” и Закон “Об информации” с целью “обеспечения долгосрочной и устойчивой работы сети Интернет в России, повышения надёжности работы российских интернет-ресурсов”. Так написано в “пояснительной записке”. Но попробуем прочесть, что там на самом деле. Полный текст
Navu
Navu
Цитата

За чей счет будет устанавливаться и эксплуатироваться "госDPI" -  загадка.

Т.е. вариант, что госDPI будет за счет самих операторов, ты не рассматриваешь? :)

ne-vlezay80
ne-vlezay80
1 минуту назад, Navu сказал:

Т.е. вариант, что госDPI будет за счет самих операторов, ты не рассматриваешь? :)

я думаю, будет так

wanderer_from
wanderer_from
6 минут назад, Navu сказал:

Т.е. вариант, что госDPI будет за счет самих операторов, ты не рассматриваешь? :)

я прочитал, что таки за счет бюджета. Хотя, там столько навречено, что можно прочитать вообще как угодно.

Но вот "центр мониторинга" и "национальный DNS" все равно придется создавать за счет бюджета. И пока я даж не знаю с какой стороны подступиться, чтоб посчитать, сколько это будет стоить

Связной (С)
Связной (С)

Возникновение угроз целостности, устойчивости и безопасности функционирования а территории Российской Федерации сети ’’Интернет” и сети связи общего пользования

 

- какие критерии? где это прописано (будет)? В законе все опирается на это некое "возникновение", а подзаконного акта разработать список угроз нет ))

Вирус на ПК - это угроза, сразу нужно жать красную кнопку?

 

 

 

1 час назад, wanderer_from сказал:

я прочитал, что таки за счет бюджета.

Разработчики закона отчитались - денег "не требуется". Еще раз - "денег не нужно".


 

Цитата

 

– Бизнес не по-стра-да-ет. Я за бизнес! И за государство. Это в первую очередь надо поставить. Прежде, чем за бизнес.

- У нас есть национальный проект «Цифровая экономика». Деньги там. В том числе. Плюс ко всему внутри исполнительной структуры. «Роскомнадзора», или, например, есть государственный радиочастотный центр, который деньги собирает с коммерческих структур для обеспечения связи. 

 

 - Я вам говорю, как я это планирую.

 

 

Taman Shud
Taman Shud
A VPN поможет супротив DPI?
fhunter
fhunter
11 минут назад, Taman Shud сказал:

A VPN поможет супротив DPI?

Смотря какой. Что-то имитирующее websocket/etc соединение до разрешённого ресурса - может и пройдёт. Что-то явно похожее на VPN, скорее всего будет зарезано.

Taman Shud
Taman Shud
53 минуты назад, fhunter сказал:

Смотря какой. Что-то имитирующее websocket/etc соединение до разрешённого ресурса - может и пройдёт. Что-то явно похожее на VPN, скорее всего будет зарезано.

Например OpenVPN или SoftEther VPN.

ne-vlezay80
ne-vlezay80
29 минут назад, Taman Shud сказал:

Например OpenVPN или SoftEther VPN.

Можно wstunnel

Taman Shud
Taman Shud

@ne-vlezay80 я так понимаю не весь VPN трафик будут резать, а только с заблокированных сайтов.