Перш ніж перейти до опису системи, яка відповідає за фільтрацію доступу операторами зв'язку, відзначимо, що тепер Роскомнагляд займеться і контролю над роботою пошукових систем.
На початку року затверджено порядок контролю та перелік заходів щодо дотримання операторами пошукових систем вимог припинити видачу відомостей про інтернет-ресурси, доступ до яких обмежений на території Російської Федерації.
Роскомнагляду від 7 листопада 2017 року № 229 зареєстровано у Міністерстві юстиції Росії.
Наказ прийнятий у рамках реалізації положень статті 15.8 Федерального закону від 27.07.2006 № 149-ФЗ «Про інформацію, інформаційні технології та захист інформації», яка визначає обов'язки для власників VPN-сервісів, «анонімайзерів» та операторів пошукових систем з обмеження доступу до інформації, поширення якої у Росії заборонено.
Заходи контролю проводяться за місцем знаходження органу контролю без взаємодії з операторами пошукових систем.
Під інформаційною системою розуміється ФДМУ інформаційних ресурсів інформаційно-телекомунікаційних мереж, доступ до яких обмежений.
За підсумками заходу складається акт, у якому зазначається, зокрема, інформація про ПЗ, що використовується для встановлення цих фактів, а також відомості, що підтверджують, що конкретна сторінка (сторінки) сайту на момент контролю перебувала в інформаційній системі більше доби.
Акт надсилається оператору пошукових систем за допомогою інформаційної системи. У разі незгоди з актом оператор протягом трьох робочих днів має право подати свої заперечення до Роскомнагляду, який розглядає заперечення також протягом трьох робочих днів. За результатами розгляду заперечень оператора керівник органу контролю або його заступник приймає рішення про порушення справи про адміністративне правопорушення.
Як зараз влаштовано систему фільтрації доступу для операторів зв'язку
У Росії діє низка законів, які зобов'язують операторів зв'язку фільтрувати доступ до сторінок, що розповсюджують заборонений контент:
- ФЗ 126 "Про зв'язок", поправка до ст. 46 - про обов'язок оператора обмежувати доступ до інформації (ФСЕМ).
- «Єдиний реєстр» — постанова Уряду РФ від 26 жовтня 2012 р. N 1101 «Про єдину автоматизовану інформаційну систему «Єдиний реєстр доменних імен, покажчиків сторінок сайтів в інформаційно-телекомунікаційній мережі «Інтернет» та мережевих адрес, що дозволяють ідентифікувати сайт мережі «Інтернет», що містять інформацію, поширення якої в Російській Федерації заборонено»
- ФЗ 436 "Про захист дітей ...", категоризація доступної інформації.
- ФЗ №3 «Про поліцію», стаття 13, п. 12 — про усунення причин та умов, що сприяють реалізації загроз безпеці громадян та громадської безпеки.
- ФЗ №187 "Про внесення змін до окремих законодавчих актів РФ з питань захисту інтелектуальних прав в інформаційно-телекомунікаційних мережах" ("антипіратський закон").
- Виконання рішень судових інстанцій та приписів органів прокуратури.
- Федеральний закон від 28.07.2012 N 139-ФЗ «Про внесення змін до Федерального закону «Про захист дітей від інформації, що завдає шкоди їх здоров'ю та розвитку» та окремі законодавчі акти Російської Федерації».
- Федеральний закон від 27 липня 2006 року № 149-ФЗ «Про інформацію, інформаційні технології та про захист інформації».
Запити від Роскомнагляду на блокування несуть у собі перелік вимог, що оновлюється, до провайдера, кожен запис з такого запиту містить:
- тип реєстру, відповідно до якого здійснюється обмеження;
- час, з якого виникає необхідність обмеження доступу;
- тип терміновості реагування (звичайна терміновість – протягом доби, висока терміновість – негайне реагування);
- тип блокування реєстрового запису (по URL або домену);
- хеш-код реєстрового запису (змінюється за будь-якої зміни вмісту запису);
- реквізити рішення щодо необхідності обмеження доступу;
- один або кілька покажчиків сторінок сайтів, доступ до яких має бути обмежений (не обов'язково);
- одне чи кілька доменних імен (необов'язково);
- одна або кілька мережевих адрес (не обов'язково);
- одна або кілька ip-підмереж (не обов'язково).
Для ефективного доведення відомостей до операторів було створено «Інформаційну систему взаємодії Роскомнагляду з операторами зв'язку». Розташована вона разом із нормативними актами, інструкціями та пам'ятками для операторів на спеціалізованому порталі:
Зі свого боку, для перевірки операторів зв'язку Роскомнагляд став видавати клієнта АС «Ревізор». Нижче трохи про функціонал агента.
Алгоритм здійснення перевірки доступності кожного URL-адреса Агентом. Під час перевірки Агент повинен:
- визначити IP-адреси, в які перетворюється мережеве ім'я сайту (домен), що перевіряється, або використовувати IP адреси, надані у розвантаженні;
- для кожної IP-адреси, отриманої від DNS-серверів, зробити HTTP-запит URL, що перевіряється. У разі отримання від HTTP перенаправлення, що перевіряється, Агент повинен перевірити URL, на який здійснюється перенаправлення. Підтримується щонайменше 5 послідовних HTTP перенаправлень;
- у разі неможливості здійснити HTTP-запит (не відбувається встановлення TCP-з'єднання) Агент повинен робити висновок про наявність блокування IP-адреси повністю;
- у разі успішного HTTP-запиту Агент повинен перевірити отриману відповідь сайту, що перевіряється, за кодом HTTP-відповіді, за HTTP-заголовками, за HTTP-змістом (перші отримані дані розміром до 10 кб). У разі збігу отриманої відповіді із створеними в ЦУ шаблонами сторінок-заглушок має бути зроблений висновок про наявність блокування URL, що перевіряється;
- при проведенні перевірки URL, Агент повинен здійснити перевірку встановлення шифрованого з'єднання та промаркувати ресурс;
- у разі відсутності збігу отриманих Агентом даних із шаблонами сторінок-заглушок або довірених сторінок переадресації, що інформують про блокування ресурсу, Агент повинен робити висновок про відсутність блокування URL-адреси на СПД оператора зв'язку. У цьому випадку інформація про дані (HTTP-відповіді), отримана Агентом, записується у звіт (файл журналу перевірки). Адміністратор системи має можливість сформувати з даного запису шаблон нової сторінки-заглушки, щоб запобігти подальшим помилковим висновкам про відсутність блокування.
Список того, що має забезпечувати Агент
- зв'язок із ЦУ для отримання повного списку URL та режимів блокування, які необхідно протестувати;
- зв'язок із ЦУ для отримання даних про режими перевірки. Підтримувані режими: повна одноразова перевірка, повна періодична із заданим інтервалом, вибіркова одноразова із заданим користувачем списком URL, періодична із заданим інтервалом перевірка списку URL (певного типу записів ЕР);
- продовження виконання заданих процедур перевірки за наявним URL списком, у разі неможливості отримання списку URL із ЦП, та зберігання отриманих результатів перевірок з подальшою передачею на ЦП;
- повне виконання заданих процедур перевірки за наявними URL списками, у разі неможливості отримання інформації про режими перевірки з ЦП та зберігання отриманих результатів перевірки з подальшою передачею на ЦП;
- здійснення перевірки результатів блокування відповідно до встановленого режиму;
- відправку на ЦУ звіту про проведену перевірку (файл журналу перевірки);
- можливість перевірки працездатності СПД оператора зв'язку, тобто. перевірку доступності списку наперед доступних сайтів;
- можливість здійснювати перевірку результатів блокування з використанням проксі-сервера;
- можливість віддаленого оновлення ПЗ;
- можливість проведення діагностичних процедур на СПД (час відгуку, шлях проходження пакетів, швидкість завантаження файлів із зовнішнього ресурсу, визначення IP-адрес для доменних імен, значення швидкості отримання інформації у зворотному каналі зв'язку в провідних мережах доступу, коефіцієнт втрат пакетів, середній час затримки передачі пакетів);
- продуктивність перевірки не менше 10 URL за секунду за умови достатності смуги каналу зв'язку;
- можливість багаторазового звернення агента до ресурсу (до 20 разів), із змінюваною періодичністю від 1 разу на секунду, до 1 разу на хвилину;
- можливість створення випадкового порядку записів списку, що передається для тестування та завдання пріоритету на конкретній сторінці сайту в мережі «Інтернет».
Загалом структура виглядає так:
Програмні та програмно-апаратні рішення для фільтрації інтернет-трафіку (DPI-рішення) дозволяють операторам блокувати трафік від користувачів до сайтів зі списку РКН. Блокують їх чи ні, це перевіряє клієнт АС Ревізор. Він за списком РКН в автоматичному режимі перевіряє доступність сайту.
Приклад протоколу моніторингу доступний .
Минулого року Роскомнагляд почав тестувати рішення для блокування, яке може застосовувати оператор для реалізації цієї схеми оператором. Наведу цитату за результатами такого тестування:
"Позитивні висновки Роскомнагляду отримали спеціалізовані програмні рішення "UBIC", "EcoFilter", "СКАТ DPI", "Тіксен-Блокування", "SkyDNS Zapret ISP" і "Carbon Reductor DPI".
Також отримано висновок Роскомнагляду, що підтверджує можливість використання операторами зв'язку програмного забезпечення ZapretService як засіб обмеження доступу до заборонених ресурсів в інтернеті. Результати тестування показали, що при установці за рекомендованою виробником схемою підключення «в розрив» та правильним налаштуванням мережі оператора зв'язку, кількість виявлених порушень за Єдиним реєстром забороненої інформації не перевищує 0,02%.
Таким чином, операторам зв'язку надано можливість вибору найбільш відповідного для них рішення щодо обмеження доступу до заборонених ресурсів, у тому числі з переліку програмних продуктів, що отримали позитивний висновок Роскомнагляду.
Разом з тим, під час тестування програмного продукту IdecoSelecta ISP через тривалу процедуру його розгортання та налаштування деякі оператори не змогли приступити до тестів у встановлені терміни. Більш ніж половина операторів зв'язку, що беруть участь у тестуванні, термін тестової експлуатації Ideco Selecta ISP не перевищував тижня. Враховуючи малий обсяг отриманих статистичних даних та невелику кількість учасників тестування, Роскомнагляд в офіційному висновку вказав на неможливість отримання однозначних висновків щодо ефективності продукту Ideco Selecta ISP як засобу обмеження доступу до заборонених ресурсів в інтернеті.
Доповню, що у тестуванні кожного програмного продукту брали участь до 27 операторів зв'язку з різною чисельністю абонентів із різних федеральних округів Російської Федерації.
З офіційними висновками за результатами тестування можна ознайомитись . У цих висновках практично нуль технічної інформації. Про продукт Ideco Selecta ISP можна почитати, щоб знати, як не потрібно робити.
Цього року тестування продовжиться і на даний момент, судячи з новин Роскомнагляду, взято вже один продукт і ще 2 у найближчих планах.
Що, якщо блокування відбулося помилково?
На завершення хотілося б нагадати, що Роскомнагляд «не помиляється», що підтверджує Конституційний суд.
Постанова, яка фактично знімає відповідальність з Роскомнагляду за помилкове блокування сайтів, була прийнята в рамках розгляду скарги до КС директора асоціації інтернет-видавців Володимира Харитонова. У ній йшлося, що в грудні 2012 року Роскомнагляд помилково заблокував його інтернет-бібліотеку digital-books.ru. Як пояснював пан Харитонов, його ресурс розташовувався на тій же IP-адресі, що і портал rastamantales (.) ru (зараз rastamantales (.) com), який і був початковим об'єктом блокування. Володимир Харитонов спробував у судовому порядку опротестувати рішення Роскомнагляду, однак у червні 2013 року Таганський райсуд визнав блокування законним, а у вересні 2013-го це рішення залишив у силі Мосміськсуд.
Звідти ж:
У Роскомнагляді "Ъ" заявили, що рішенням КС задоволені. «Конституційний суд підтвердив, що Роскомнагляд виконує закон. Якщо оператор не має технічної можливості для обмеження доступу до окремої сторінки сайту, а не до його мережевої адреси, то це відповідальність оператора», — сказав прес-секретар відомства.
Це питання актуальне також для хмарних провайдерів та хостинг-компаній, оскільки подібні інциденти траплялися і з ними. У червні 2016 року в Росії був заблокований хмарний сервіс Amazon S3, хоча до реєстру на вимогу Федеральної податкової служби було внесено лише сторінку покер-руму 888poker, розташовану на його платформі. Блокування всього ресурсу було пов'язане саме з тим, що Amazon S3 використовує захищений протокол https, який не дозволяє заблокувати окремі сторінки. Тільки після того, як сам Amazon видалив сторінку, до якої виникли претензії у російської влади, ресурс було виключено з реєстру.
Джерело: habr.com