Predtým, ako prejdeme k popisu systému, ktorý je zodpovedný za filtrovanie prístupu telekomunikačných operátorov, poznamenávame, že Roskomnadzor bude teraz kontrolovať aj fungovanie vyhľadávačov.
Začiatkom roka bol schválený kontrolný postup a zoznam opatrení, aby prevádzkovatelia vyhľadávačov dodržiavali požiadavky na zastavenie vydávania informácií o internetových zdrojoch, ku ktorým je na území Ruskej federácie obmedzený prístup.
Roskomnadzor zo 7. novembra 2017 č. 229 je zaregistrovaný na Ministerstve spravodlivosti Ruska.
Nariadenie bolo prijaté ako súčasť implementácie ustanovení článku 15.8 federálneho zákona č. 27.07.2006-FZ z 149. júla XNUMX „o informáciách, informačných technológiách a ochrane informácií“, ktorý určuje zodpovednosť vlastníkov služieb VPN, „anonymizátorov“ a prevádzkovateľov vyhľadávačov obmedziť prístup k informáciám, ktorých distribúcia je v Rusku zakázaná.
Kontrolná činnosť sa vykonáva na mieste kontrolného orgánu bez interakcie s prevádzkovateľmi vyhľadávačov.
Informačný systém je chápaný ako FSIS informačných zdrojov informačných a telekomunikačných sietí, ku ktorým je obmedzený prístup.
Na základe výsledkov udalosti sa vypracuje správa, v ktorej sú uvedené najmä informácie o softvéri použitom na zistenie týchto skutočností, ako aj informácie potvrdzujúce, že konkrétna stránka (stránky) lokality v čase kontroly bol v informačnom systéme viac ako deň.
Akt sa zasiela prevádzkovateľovi vyhľadávača prostredníctvom informačného systému. V prípade nesúhlasu so zákonom má prevádzkovateľ právo do troch pracovných dní podať svoje námietky Roskomnadzoru, ktorý námietky posúdi tiež do troch pracovných dní. Na základe výsledkov posúdenia námietok prevádzkovateľa rozhodne vedúci kontrolného orgánu alebo jeho zástupca o začatí konania vo veci správneho deliktu.
Ako je v súčasnosti štruktúrovaný systém filtrovania prístupu pre telekomunikačných operátorov
V Rusku existuje niekoľko zákonov, ktoré zaväzujú telekomunikačných operátorov filtrovať prístup na stránky distribuujúce zakázaný obsah:
- Federálny zákon 126 „o komunikáciách“, dodatok k čl. 46 - o povinnosti prevádzkovateľa obmedziť prístup k informáciám (FSEM).
- „Jednotný register“ - Nariadenie vlády Ruskej federácie z 26. októbra 2012 N 1101 „O jednotnom automatizovanom informačnom systéme „Jednotný register názvov domén, indexy stránok stránok v informačnej a telekomunikačnej sieti „Internet“ a sieťové adresy ktoré umožňujú identifikovať stránky v informačnej a telekomunikačnej sieti Internetové siete obsahujúce informácie, ktorých šírenie je v Ruskej federácii zakázané“
- Federálny zákon 436 „O ochrane detí...“, kategorizácia dostupných informácií.
- Federálny zákon č. 3 „O polícii“, článok 13 ods. 12 - o odstraňovaní príčin a podmienok, ktoré prispievajú k realizácii ohrozenia bezpečnosti občanov a verejnej bezpečnosti.
- Federálny zákon č. 187 „O zmene a doplnení niektorých právnych predpisov Ruskej federácie o ochrane práv duševného vlastníctva v informačných a telekomunikačných sieťach“ („protipirátsky zákon“).
- Dodržiavanie súdnych rozhodnutí a príkazov prokurátorov.
- Federálny zákon z 28.07.2012. júla 139 N XNUMX-FZ „O zmene a doplnení federálneho zákona „O ochrane detí pred informáciami škodlivými pre ich zdravie a vývoj“ a niektorých legislatívnych aktov Ruskej federácie.
- Federálny zákon z 27. júla 2006 č. 149-FZ „O informáciách, informačných technológiách a ochrane informácií“.
Žiadosti Roskomnadzor o zablokovanie obsahujú aktualizovaný zoznam požiadaviek na poskytovateľa, pričom každý záznam z takejto žiadosti obsahuje:
- typ registra, v súlade s ktorým sa obmedzenie vykonáva;
- časový okamih, od ktorého vzniká potreba obmedziť prístup;
- typ naliehavosti odpovede (obvyklá naliehavosť – do XNUMX hodín, vysoká naliehavosť – okamžitá reakcia);
- typ blokovania záznamov v registri (podľa URL alebo názvu domény);
- hash kód zápisu v registri (mení sa vždy, keď sa zmení obsah zápisu);
- podrobnosti o rozhodnutí o potrebe obmedzenia prístupu;
- jeden alebo viac indexov stránok lokality, ku ktorým by mal byť obmedzený prístup (voliteľné);
- jeden alebo viac názvov domén (voliteľné);
- jedna alebo viac sieťových adries (voliteľné);
- jedna alebo viac podsietí IP (voliteľné).
Na efektívne sprostredkovanie informácií operátorom bol vytvorený „Informačný systém pre interakciu medzi Roskomnadzorom a telekomunikačnými operátormi“. Nachádza sa spolu s nariadeniami, pokynmi a upozorneniami pre operátorov na špecializovanom portáli:
Roskomnadzor začal za účelom kontroly telekomunikačných operátorov prideľovať klienta AS „Revizor“. Nižšie je niečo o funkciách agenta.
Algoritmus na kontrolu dostupnosti každej adresy URL agentom. Pri kontrole musí agent:
- určiť IP adresy, na ktoré sa konvertuje sieťový názov kontrolovanej lokality (doména), alebo použiť IP adresy uvedené v nahrávaní;
- Pre každú IP adresu prijatú zo serverov DNS vytvorte požiadavku HTTP na kontrolovanú URL. Ak je z kontrolovanej stránky prijaté presmerovanie HTTP, agent musí skontrolovať adresu URL, na ktorú sa presmerovanie uskutočňuje. Je podporovaných aspoň 5 po sebe idúcich presmerovaní HTTP;
- ak nie je možné vykonať požiadavku HTTP (nedošlo k nadviazaniu TCP spojenia), Agent musí usúdiť, že je zablokovaná celá IP adresa;
- v prípade úspešnej HTTP požiadavky musí Agent skontrolovať prijatú odpoveď z kontrolovanej stránky podľa kódu odpovede HTTP, hlavičiek HTTP a obsahu HTTP (prvé prijaté dáta do veľkosti 10 kb). Ak sa prijatá odpoveď zhoduje so šablónami stup page vytvorených v riadiacom centre malo by sa usúdiť, že kontrolovaná adresa URL je zablokovaná;
- pri kontrole URL musí Agent skontrolovať inštaláciu šifrovaného spojenia a označiť zdroj;
- Ak údaje prijaté Agentom nezodpovedajú šablónam stub stránok alebo dôveryhodných presmerovacích stránok informujúcich o zablokovaní zdroja, Agent musí usúdiť, že URL nie je zablokované na SPD telekomunikačného operátora. V tomto prípade sú informácie o údajoch (odpoveď HTTP), ktoré Agent prijal, zaznamenané v správe (súbore denníka auditu). Správca systému má možnosť vytvoriť z tohto záznamu šablónu pre novú útržkovú stránku, aby sa zabránilo následným nesprávnym záverom o absencii bloku.
Zoznam toho, čo musí agent poskytnúť
- kontaktovanie riadiaceho centra za účelom získania úplného zoznamu adries URL a režimov blokovania, ktoré je potrebné otestovať;
- komunikáciu s riadiacim centrom na získanie údajov o testovacích režimoch. Podporované režimy: úplná jednorazová kontrola, plná periodická so zadaným intervalom, selektívna jednorazová s užívateľsky zadaným zoznamom URL, periodická kontrola so zadaným intervalom zoznamu URL (určitého typu EP záznamu);
- pokračovanie vo vykonávaní špecifikovaných overovacích postupov pomocou existujúceho zoznamu URL, ak nie je možné získať zoznam URL z riadiaceho centra, a uloženie získaných výsledkov testov s následným prenosom do riadiaceho centra;
- úplná implementácia špecifikovaných overovacích postupov pomocou dostupných zoznamov URL, ak nie je možné získať informácie o režimoch overovania z riadiaceho centra, a uloženie získaných výsledkov testov s následným prenosom do riadiaceho centra;
- kontrola výsledkov blokovania v súlade so zavedeným režimom;
- zaslanie správy o vykonanej kontrole do riadiaceho centra (súbor denníka kontroly);
- možnosť kontroly funkčnosti SPD telekomunikačného operátora, t.j. kontrola dostupnosti zoznamu známych prístupných stránok;
- schopnosť kontrolovať výsledky blokovania pomocou proxy servera;
- možnosť vzdialenej aktualizácie softvéru;
- schopnosť vykonávať diagnostické postupy na SPD (doba odozvy, cesta paketu, rýchlosť sťahovania súborov z externého zdroja, určenie IP adries pre názvy domén, rýchlosť prijímania informácií v reverznom komunikačnom kanáli v sieťach s pevným prístupom, paket stratovosť, priemerné časové balíčky oneskorenia prenosu);
- výkon skenovania najmenej 10 adries URL za sekundu za predpokladu, že je dostatočná šírka pásma komunikačného kanála;
- schopnosť agenta pristupovať k zdroju viackrát (až 20-krát), s premenlivou frekvenciou od 1-krát za sekundu do 1-krát za minútu;
- schopnosť vytvoriť náhodné poradie položiek zoznamu prenášaných na testovanie a nastaviť prioritu pre konkrétnu stránku lokality na internete.
Vo všeobecnosti štruktúra vyzerá takto:
Softvérové a hardvérovo-softvérové riešenia na filtrovanie internetovej prevádzky (riešenia DPI) umožňujú operátorom blokovať návštevnosť od používateľov na stránky zo zoznamu RKN. Či sú zablokované alebo nie, kontroluje klient AS Auditor. Automaticky kontroluje dostupnosť stránky pomocou zoznamu z RKN.
K dispozícii je vzorový monitorovací protokol .
Minulý rok začal Roskomnadzor testovať blokovacie riešenia, ktoré môže operátor použiť na implementáciu tejto schémy operátorom. Dovoľte mi citovať z výsledkov takéhoto testovania:
„Špecializované softvérové riešenia „UBIC“, „EcoFilter“, „SKAT DPI“, „Tixen-Blocking“, „SkyDNS Zapret ISP“ a „Carbon Reductor DPI“ dostali od Roskomnadzor pozitívne závery.
Prišiel aj záver Roskomnadzoru, ktorý potvrdil možnosť telekomunikačných operátorov používať softvér ZapretService ako prostriedok na obmedzenie prístupu k zakázaným zdrojom na internete. Výsledky testovania ukázali, že pri inštalácii podľa výrobcom odporúčanej schémy pripojenia „in gap“ a správnej konfigurácii siete telekomunikačného operátora počet zistených porušení podľa Jednotného registra zakázaných informácií nepresahuje 0,02 %.
Telekomunikační operátori tak majú možnosť vybrať si najvhodnejšie riešenie na obmedzenie prístupu k zakázaným zdrojom, a to aj zo zoznamu softvérových produktov, ktoré získali kladné stanovisko od Roskomnadzoru.
Počas testovania softvérového produktu IdecoSelecta ISP však niektorí operátori kvôli zdĺhavému procesu jeho nasadenia a konfigurácie nemohli začať testovať včas. Pre viac ako polovicu telekomunikačných operátorov zapojených do testovania nepresiahla doba testovacej prevádzky Ideco Selecta ISP týždeň. Vzhľadom na malý objem získaných štatistických údajov a malý počet účastníkov testovania Roskomnadzor vo svojom oficiálnom závere naznačil nemožnosť získať jednoznačné závery o účinnosti produktu Ideco Selecta ISP ako prostriedku na obmedzenie prístupu k zakázaným zdrojom na internete. “
Doplním, že na testovaní každého softvérového produktu sa zúčastnilo až 27 telekomunikačných operátorov s rôznym počtom účastníkov z rôznych federálnych okresov Ruskej federácie.
Oficiálne závery založené na výsledkoch testov nájdete . Tieto závery obsahujú prakticky nulové technické informácie. Môžete si prečítať o produkte „Ideco Selecta ISP“, aby ste vedeli, čo nerobiť.
Tohtoročné testovanie bude pokračovať a momentálne, súdiac podľa noviniek z Roskomnadzoru, je už jeden produkt odobratý a ďalšie 2 sú v blízkej budúcnosti.
Čo ak k zablokovaniu došlo omylom?
Na záver by som chcel pripomenúť, že Roskomnadzor „nerobí chyby“, čo potvrdzuje aj Ústavný súd.
Uznesenie, ktoré účinne zbavuje Roskomnadzor zodpovednosti za chybné blokovanie stránok, bolo prijaté v rámci posudzovania sťažnosti na Ústavný súd riaditeľa Asociácie internetových vydavateľov Vladimira Kharitonova. Uviedlo, že v decembri 2012 Roskomnadzor omylom zablokoval jeho online knižnicu digital-books.ru. Ako vysvetlil pán Kharitonov, jeho zdroj bol umiestnený na rovnakej IP adrese ako portál rastamantales(.)ru (teraz rastamantales(.)com), ktorý bol pôvodným predmetom blokovania. Vladimir Kharitonov sa pokúsil odvolať proti rozhodnutiu Roskomnadzor na súde, ale v júni 2013 okresný súd Tagansky uznal blokovanie za zákonné a v septembri 2013 toto rozhodnutie potvrdil moskovský mestský súd.
Odtiaľ:
Roskomnadzor pre Kommersant povedal, že sú s rozhodnutím Ústavného súdu spokojní. „Ústavný súd potvrdil, že Roskomnadzor vykonáva zákon. Ak operátor nemá technickú možnosť obmedziť prístup na samostatnú stránku stránky, a nie na jej sieťovú adresu, je to zodpovednosť operátora,“ povedal pre Kommersant tlačový tajomník ministerstva.
Tento problém je relevantný aj pre poskytovateľov cloudu a hostingové spoločnosti, keďže sa im stali podobné incidenty. V júni 2016 bola v Rusku zablokovaná cloudová služba Amazon S3, hoci na žiadosť Federálnej daňovej služby bola do registra zahrnutá iba stránka pokrovej herne 888poker umiestnená na jej platforme. Zablokovanie celého zdroja bolo spôsobené práve tým, že Amazon S3 používa zabezpečený protokol https, ktorý neumožňuje blokovanie jednotlivých stránok. Až potom, čo samotný Amazon vymazal stránku, na ktorú mali ruské orgány sťažnosti, bol zdroj odstránený z registra.
Zdroj: hab.com