Если что-то могло пойти не так, но не пошло, то было бы лучше, если бы оно все-таки пошло не так.
Последний закон
Система информационной безопасности никогда не строится в срок и в пределах сметы.
Следствие из закона Хеопса
Итак, закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (прямо скажем, один из наиболее проработанных законов в сфере защиты информации, о чем я подробно говорил в прошлый раз) заработал. Усилиями Роскомнадзора был создан и начал наполняться сайт со списком запрещенных ресурсов. Как водится, в первые дни наслучалось все, что может случиться в процессе освоения новой процедуры, — запрещались сайты, прекращался доступ к различным сервисам сети (наиболее известен стал случай с сервисами Google), нарушалась процедура занесения в список запрещенных ресурсов. Что было, то было. Надо отдать должное Роскомнадзору — практически мгновенно (в течение нескольких дней, что совсем немного в наших условиях) были сделаны выводы из сделанных ошибок, и процедура вошла в нормальную колею. Закон (и закон неплохой, повторимся) работает, ошибки учтены — самая пора сделать выводы.
По сведениям Роскомнадзора за первые три недели работы «Единого реестра информации, запрещенной к распространению на территории РФ» на сайт поступило 17840 обращений. Уполномоченные органы оформили решения по 1224 обращениям, из которых 416 — отказы в признании информации запрещенной. В реестр было внесено 595 записей. Также за три недели работы ресурса было исключено 118 ранее внесенных записей. Итог впечатляющий и положительный.
С учетом критики в адрес процедуры обработки заявок было открыто обсуждение нового проекта Временного регламента ведения реестра запрещенной информации (напомним кстати, что по закону порядок ведения регламента должно определить правительство — и оно это сделало, выпустив Постановление Правительства Российской Федерации от 26 октября 2012 г. № 1101). Срок обсуждения был определен вполне достаточный — две недели, начиная с 27 ноября. Замечания принимались от провайдеров хостинга, операторов связи и общественных организаций. И опять же к регламенту претензий нет — все расписано достаточно четко, определена процедура обратной связи.
Несмотря на ошибки первых дней, большинство россиян (87% - по данным Фонда общественного мнения) все также поддерживает идею необходимости запрета доступа к материалам, содержащим детскую порнографию, либо пропагандирующим употребление наркотиков.
«Все хорошо, прекрасная маркиза». Есть непротиворечивый и выполнимый закон, есть подзаконные акты, отработана процедура запрета нелегитимных ресурсов — все хорошо, как никогда. Вот только итог борьбы крайне сомнителен и напоминает нападения Дон Кихота на ветряные мельницы, когда мельницы просто не замечают усилий по борьбе с ними.
Как уже упоминалось, одним из первых под удар попали сервисы Google (блокировка по IP-адресу привела к недоступности некоторых функций почтового сервиса Gmail, облачного хранилища данных Google Drive, интернет-магазина приложений Google Play и т.д.). Кроме того, еще и до вступления закона о черных списках в силу в Google неоднократно направлялись запросы на удаление данных. Учтя этот печальный опыт, Роскомнадзор решил не включать поисковые системы в единый реестр сайтов, содержащих запрещенную информацию. Как отметили в Роскомнадзоре, закон не может быть применим к поисковым сервисам, включая услуги поиска по запросам, в частности, Google, «Яндекс», Bing и другие, а также по изображениям («Яндекс.Картинки», «Google Картинки» и аналогичные), по новостям («Яндекс.Новости», «Google Новости» и аналогичные) и видео («Яндекс.Видео»), а также по кэшированному контенту в поисковом индексе. Обоснование достаточно просто — поисковые сервисы не являются владельцами сайтов в Интернете, содержащих запрещенную информацию и проиндексированных поисковыми роботами, и не могут определять, размещать ту или иную информацию на некоем сайте или нет. В принципе, согласно этому подходу газеты могут размещать информацию о том, где и почем можно купить наркотики. Они же не определяют места продаж и цены, они только публикуют информацию.
Теперь обращения в Роскомнадзор со ссылками на результаты поиска в поисковых сервисах не принимаются. Правильно ли это? С точки зрения буквы закона — все верно. Но нужно не слепо поддерживать букву закона — нужно бороться с детской порнографией и наркоманией. И поисковые системы служат источником знаний о местах, где можно найти и то, и другое. Вполне допускаю, что любители клубнички и запретных удовольствий обмениваются адресами сайтов, передавая бумажки с URL друг другу. Но куда более вероятно, что сайты ищут через Google и «Яндекс». Можно ли технически препятствовать распространению запросов через поисковики? Вполне. Существует достаточно большое количество плагинов к браузерам, фильтрующих вывод запрошенной информации или размечающих ее в зависимости от степени запретности. А уж реализовать это на уровне самого поисковика... Но зачем бороться за безопасность детей, если достаточно соблюсти закон?
Аналогично отреагировали и многие ресурсы, ставшие запретными. Часть запретила доступ к информации только при заходах из России – при загрузке страниц через зарубежный прокси-сервер материалы вполне доступны. Заблокированные материалы «Википедии» видны в истории изменений. Заблокированные IP-адреса были мгновенно сменены на новые. Буква закона выполнена — доступ по адресам, указанным в черном списке, заблокирован. А то, что материалы остались доступны, — так это их владельцев, видимо, не волнует. Не волнует это и общественность, громко возмущавшуюся тиранией Роскомнадзора.
Согласно закону можно блокировать доступ к информации по имени ресурса или IP-адресу. И за три недели в реестр было занесено 77 IP-адресов. Насколько это эффективно? Те, кому нужно — сменили адреса: сама-то информация запрету не подлежит, запрещена по списку только страница Интернета, ее содержащая.
Для других запрет по IP-адресу вообще оказался не страшен. Те же сервисы Google не живут на одном адресе. Сервис YouTube использует их несколько десятков, и при этом адреса периодически меняются. Блокировать такие системы по одному IP-адресу как минимум странно. Нужно блокировать либо сетями, либо префиксами определенных систем. Но и это не спасёт, так как есть сервисы подобные CDN. В каждом городе и даже у разных операторов набор IP-адресов, который отдают DNS-серверы, могут различаться.
Не спасает ситуацию и блокировка по адресу страницы. Во–первых, страница может быть отдана из кеша поисковиков. Есть сервис «Алеха». Страница может легко сменить свой адрес — и мгновенно будет найдена тем же поисковиком: кто не искал информацию, место размещения которой забыто?
Еще больше усложняет ситуацию возможность показа адреса по-разному (кто не сталкивался с тем, что русские буквы из адреса могут вводиться кодами символов, а в поисковом запросе можно поменять порядок частей запроса — и результат от этого не изменится?).
Интернет — слишком подвижная и анонимная среда, чтобы ее можно было так просто ограничить, запрещая адреса, но не запрещая саму информацию. Но правительство видимо считает иначе: «В случае если страница в сети "Интернет" является частью 2 или более сайтов в сети "Интернет", уполномоченные органы принимают отдельные решения в отношении каждого из таких сайтов в сети "Интернет"».
Можно ли что-то поправить? Вполне. Как минимум ввести в закон возможность блокировки по группам адресов или группам сетей, добавить возможность блокировки поисковых запросов с учетом регулярных выражений. Но это все паллиатив, полумеры — нужно предотвращать возможность появления в Интернете самой нежелательной информации. И шаг к этому уже сделан — Международный союз электросвязи утвердил рекомендации на стандарт Deep Packet Inspection — технологию проверки и фильтрации сетевых пакетов по их содержимому с возможностью изменения пакетов.
Системы на основе Deep Packet Inspection (DPI) способны обнаруживать и блокировать вирусы, фильтровать информацию, не удовлетворяющую заданным критериям. DPI часто используются провайдерами для контроля трафика, а также для блокировки некоторых приложений, таких как BitTorrent.
Как всегда, общественность протестует, анонимусы взламывают сайты. А детям в итоге предлагается сами бороться за свою безопасность, мужественно не заходя на привлекательные ресурсы.
