Минкомсвязи поймали на навязывании VPN
РСПП раскритиковал нормативную базу закона о «суверенном Рунете»
Сплошной переход на VPN, де-факто предполагаемый одним из проектов нормативных актов к закону о «суверенном Рунете», нереален, считают эксперты РСПП. Другой подзаконный акт фактически запрещает посещение зарубежных сайтов.
Предлагаемые Минкомсвязью в рамках реализации закона о «суверенном Рунете» меры защиты от фишинга, или подмены сайтов, потребуют строительства множества виртуальных частных сетей — VPN, что малореально, указали эксперты Российского союза промышленников и предпринимателей (РСПП) в отзыве на проект приказа ведомства.
Согласно проекту Минкомсвязи, участники рынка должны обеспечить защиту от несанкционированного доступа к оборудованию и программному обеспечению, используемым для определения сетевого адреса сайта в случае введения названия домена в адресной строке браузера. Однако, отмечают эксперты РСПП, технически передаваемая информация «может быть просмотрена на транзитном уровне, скопирована, потом распространена и пр., поскольку это позволяют существующие интернет-протоколы (DNS, DNSSEC)». Для обеспечения защиты, на которую указывает Минкомвязь, необходимо, чтобы все операторы создавали VPN-соединения от национальной системы доменных имен к каждому ресурсу в Рунете, что, по мнению РСПП, налагает «существенные необоснованные обременения на всех участников рынка, не предусмотренные федеральным законом».
Представитель Минкомсвязи не ответил на запрос РБК на момент публикации материала, однако из данных на портале Regulation.gov.ru следует, что министерство не учло замечания РСПП.
Меры против фишинга
«Теоретически злоумышленник может получить доступ к информации о том, какому домену соответствует какой IP-адрес и почтовый сервис, а если это промежуточный запрос, то на какой сервер запрос переходит дальше. Как правило, кража такой информации происходит редко, но злоумышленники могут «подделать» ресурс, чтобы пользователь оставил на нем, например, свои персональные данные или скачал зараженный файл — это классический фишинг», — пояснил суть угрозы член рабочей группы при РСПП и один из авторов отзыва Алексей Семеняка. По его словам, создать VPN-соединение для всех ресурсов в Рунете практически невозможно, как и оценить необходимый для этого объем затрат. Он отметил, что протокол DNSSec может защитить от модификации информации, но им пока защищены менее 1% доменов, и он все равно не защищает от просмотра и копирования данных.