Разделы

Безопасность Госрегулирование Бизнес Законодательство Интернет Веб-сервисы ИТ в госсекторе Маркет

Роскомнадзор изменил правила блокировки сайтов

Интересные метаморфозы произошли с общественным обсуждением проекта приказа Роскомнадзора о методах блокировки провайдерами доступа к запрещенным интернет-сайтам. Минэкономразвития раскритиковало первоначальную версию данного приказа, после чего и Роскомнадзор подменил на портале regulation.gov.ru варианты обоих размещенных ими документов.

Непростое общественное обсуждение проекта приказа Роскомнадзора

На портале regulation.gov.ru завершилось общественное обсуждение проекта приказа Роскомнадзора об утверждении требований к операторам связи по блокировке доступа к запрещенным интернет-сайтам. В настоящее время документ подписан главой ведомства Александром Жаровым и направлен на регистрацию в Минюст.

Во время общественного обсуждения документа Минэкономразвития раскритиковало норму об обязанности интернет-провайдеров автоматически определять IP-адреса заблокированных сайтов. После этого Роскомнадзор изменил первоначальную версию документа, как утверждают работавшие над документом эксперты, с нарушением процедур сайта regulation.gov.ru.

Почему Роскомнадзор решил разъяснить методы блокировки интернет-сайтов

С 2012 г. все российские интернет-провайдеры обязаны блокировать доступ к ресурсам, находящимся в Реестре запрещенных сайтов. Оператором Реестра является Роскомнадзор. В Реестре относительно каждого ресурса по умолчанию указывают его домен, сетевой (IP) адрес и указатель конкретной страницы с запрещенной информацией (URL).

Провайдеры могут блокировать сайты по IP-адресам и по URL. Второй способ более предпочтительный: он позволяет избежать блокировки прочих страниц указанного сайта или других сайтов, которые не содержат запрещенной информации. Но для блокировки по URL провайдер должен установить систему DPI. Кроме того, DPI не помогает с блокировкой сайтов, использующих шифрование (SSL).

Роскомнадзор изменил требования к блокировке сайтов, заменив проект приказа на сайте regulation.gov.ru

Первоначально операторы сами выбирали способ блокировки, а Роскомнадзор давал лишь рекомендации. Но в 2017 г. в Закон «Об информации, информационных технологиях и защите информации» были внесены изменения, позволяющие Роскомнадзору определять метод блокировки. С этой целью ведомство начало подготовку соответствующего приказа.

Как Роскомнадзор хотел обязать операторов самим определять IP-адреса запрещенных сайтов

Первый вариант проекта приказа Роскомнадзора был размещен на портале regulation.gov.ru. Согласно документу, при наличии в Реестре IP-адреса, домена и URL какого-либо ресурса, оператор должен ограничить доступ только к указанной странице. При этом доступ должен ограничиваться даже в случае изменения ресурсом своего IP-адреса.

Первоначальный отрицательный отзыв на документ Роскомнадзора

С этой целью провайдер должен самостоятельно обращаться к системе DNS (хранит соответствие доменов и IP-адресов), то есть осуществлять DNS resolving. В случае использования сайтом шифрования доступ к соответствующему домену должен ограничиваться путем фильтрации запросов к DNS.

Если в Реестре указан только IP-адрес – должен быть заблокирован доступ к нему. Если же в Реестре указан только домен, доступ к данному домену должен блокироваться по всем протоколам, а не только по HTTP.

Уникальная хеш-функция от Роскомнадзора

Кроме того, в проекте документа говорилось, что операторы связи должны соблюдать определенный формат информационной страницы, которую видит пользователь при заходе на заблокированный ресурс. Такая страница не должна содержать новостей, рекламы и информации о способах обхода блокировки. При этом в HTML-коде страницы должна быть скрытая уникальная строка с хеш-функцией, устанавливаемой Роскомнадзором.

Как «троллили» Роскомнадзор

В 2017 г. DNS resolving вскрыл брешь в системе блокировок Роскомнадзора. Злоумышленники, получив контроль над внесенными в Реестр доменами, меняли в DNS соответствующие им IP-адреса на IP-адреса известных ресурсов. В результате проблемы с доступом наблюдались у популярных ресурсов, которые не имеют запрещенного контента.

Позитивный отзыв на измененный документ Роскомнадзора

Несмотря на данную ситуацию, регулирующие органы продолжали настаивать на сохранении требования о самостоятельном определении операторами связи IP-адресов заблокированных сайтов. Так, в ответе на запрос хостинг-провайдера «Дремучий лес» Минкомсвязи сообщило, что Роскомнадзор предпринял ряд действий для решения возникающих из-за этого метода проблем.

В частности, совместно с МВД была проведена работа в отношении лиц, эксплуатирующих эту уязвимость. Также был составлен «белый список» сайтов, не подлежащих блокировке.

Против чего выступало Минэкономразвития и другие субъекты

В ходе обсуждения на портале regulation.gov.ru различными заинтересованными лицами высказывались замечания в адрес предложенного Роскомнадзором проекта приказа. Так, «Вымпелком» указал, что ведомство выходит за рамки своих полномочий, требуя от операторов связи осуществлять автоматическое определение IP-адресов заблокированных сайтов и устанавливая формат страницы, сообщающей о блокировке.

«Медиа-коммуникационный союз»(МКС) посчитал неправильным введение требований к странице, информирующей абонента о блокировке запрошенного им ресурса. Так, при обращении к пиратскому сайту провайдер мог бы предложить пользователям информацию о сайтах с легальным контентом.

Кроме того, в ряде случае провайдеры получают решения суда о блокировке сайтов напрямую, еще до внесения их в Реестр. В связи с чем предложенный Роскомнадзором формат информирования будет некорректным, посчитали в МКС.

5 февраля 2018 г. на портале regulation.gov.ru появилось отрицательное заключение об оценке регулирующего воздействия (ОРВ), которое на проект приказа Роскомнадзора сделало Минэкономразвития. Ведомство выступило против возложения на операторов связи обязанности по автоматическому определению IP-адресов запрещенных сайтов, так как это является обязанностью Роскомнадзора.

Кроме того, Минэкономразвития указало на отсутствие обоснования необходимости включения операторами связи в информационные страницы, сообщающие о фактах блокировок, скрытых уникальных хеш-функций от Роскомнадзора.

Бесследно пропавшие проект приказа Роскомнадзора и отзыв Минэкономразвития

Сам отзыв был датирован ноябрем 2017 г. На прошлой неделе в пресс-службе Роскомнадзора CNews сообщили, что данный отзыв является устаревшим: после получения замечаний Роскомнадзор доработал проект приказа, он получил положительное заключение Минэкономразвития и был направлен в Минюст.

В пресс-службе Минэкономразвития подтвердили, что Роскомнадзор доработал проект приказа, и представил CNews положительный отзыв на данный документ. Затем, в конце прошлой недели, с портала regulation.gov.ru исчезли первоначальный проект приказа Роскомнадзора и отрицательный отзыв на него со стороны Минэкономразвития.

Вместо этого появился новый проект приказа Роскомнадзора, в котором отсутствует требование о необходимости автоматического определения интернет-провайдера IP-адресов заблокированных сайтов. Другая же спорная норма об уникальной скрытой строке в коде информационных страниц, сообщающих о фактах блокировок, была заменена на обязанность размещения на указанных страницах уникального идентификатора провайдера, свидетельствующего о факте блокировки им запрещенной страницы.

Кроме того, на такого рода страницах можно будет размещать рекламу. Вместе с изменением первоначального проекта приказа Роскомнадзора с портала исчез и отрицательный отзыв Минэкономразвития. Вместо него министерство разместило положительный отзыв на новый проект приказа Роскомнадзора.

Гендиректор хостинг-провайдера «Дремучий лес» Филипп Кулин, участвовавший в общественном обсуждении данного документа, считает произошедшее нарушением процедуры ОРВ. «Согласно регламенту, в случае возникновения разногласий они должны были решаться правительством, - говорит Кулин. - Мы же имеем дело с подменой и первоначального документа от Роскомнадзора, и заключения на него». Само же исключение из документа положения об автоматическом определении провайдерами IP-адресов запрещенных сайтов Кулин считает положительным, но сам документ, по его словам, оставляет много неясных моментов.

Дополнение

В понедельник вечером, 12 февраля 2018 г., пресс-служба Минэкономразвития заявила CNews, что первая версия проекта приказа Роскомнадзора, как и отрицательный отзыв министерства на него, сохранились на портале regulation.gov.ru, и их можно найти на одной из вкладок на странице соответствующего документа.

Однако, как заверили CNews два эксперта, следивших за ходом обсуждения данного документа, гендиректор Института исследования интернета Карен Казарян и автор Telegram-канала «За телеком» Михаил Климарев, в пятницу 9 февраля 2018 г., первых версий документов на данной странице не было. Именно в этот день на портале regulation.gov.ru обновился проект приказа Роскомнадзора и отзыв на него со стороны Минэкономразвития.

Переписка эксперта Михаила Климарева с техподдержкой regulation.gov.ru

В понедельник 12 февраля 2018 г. Михаил Климарев написал обращение в техподдержку портала regulation.gov.ru в связи с заменой отрицательного заключения Минэкономразвития на положительное. Ответ техподдержки состоялся в том, что Минэкомразвития в курсе данной ситуации и там могут дать разъяснения. О том, что первоначальные версии указанных документов по-прежнему находятся на ресурсе, техподдержка не сообщила.

Дополнение 2

После публикации этого материала холдинг РБК, владеющий изданием CNews, получил письмо на имя гендиректора РБК Николая Молибога за подписью главы Роскомнадзора Александра Жарова.

CNews приводит текст письма полностью.

12 февраля 2018 года на сайте сетевого издания «CNews» (СиНьюс) в сети «Интернет» по адресу //www.cnews.ru/news/top/2018-02-12_roskomnadzor_zadnim_chislo_izmenil_pravila_blokirovki была размещена статья под заголовком «Роскомнадзор задним число изменил правила блокировки сайтов».

В статье допущены не соответствующие действительности утверждения, наносящие ущерб интересам и деловой репутации Роскомнадзора.

В статье, в частности, утверждается, что Роскомнадзор «подменил» на портале regulation.gov.ru, предназначенном для общественного обсуждения проектов нормативных актов, проект приказа об утверждении требований к способам (методам) ограничения доступа к информационным ресурсам, применяемым в соответствии с Федеральным законом «Об информации, информационных технологиях и о защите информации» и размещаемой информации об ограничении доступа к информационным ресурсам».

Указываем на недопустимость распространения не соответствующей действительности информации.

Возможности MySQL и PostgreSQL: взгляд инфраструктурного провайдера
Маркет

Проект приказа Роскомнадзора «Об утверждении Требований к способам (методам) ограничения доступа к информационным ресурсам, применяемым в соответствии с Федеральным законом «Об информации, информационных технологиях и о защите информации» и размещаемой информации об ограничении доступа к информационным ресурсам» (далее – приказ), а также сводный отчёт о проведении оценки регулирующего воздействия в отношении приказа (далее – сводный отчёт) были размещены на официальном сайте regulation.gov.ru для прохождения процедуры публичного обсуждения и независимой антикоррупционной экспертизы в рамках оценки регулирующего воздействия в период с 25.09.2017 по 20.10.2017 (ID проекта 02/08/09-17/00073424).

По завершению публичного обсуждения приказ и сводный отчет были направлены в Минэкономразвития России для подготовки заключения об оценке регулирующего воздействия.

После получения отрицательного заключения об оценке регулирующего воздействия приказ был доработан Роскомнадзором и повторно направлен в Минэкономразвития России.

В результате Роскомнадзором было получено положительное заключение об оценке регулирующего воздействия, приказ был подписан руководителем Службы и направлен на государственную регистрацию в Минюст России.

Как мигрировать с SAP ERP на 1С за 9 месяцев: кейс крупного производителя табачной продукции
Бизнес

Обращаем внимание, что Роскомнадзором в полной мере соблюдена процедура разработки, проведения оценки регулирующего воздействия и опубликования проектов ведомственных актов.

Проведение данных процедур установлено Правилами проведения федеральными органами исполнительной власти оценки регулирующего воздействия проектов нормативных правовых актов и проектов решений Евразийской экономической комиссии (утверждены постановлением Правительства России от 17.12.2012 № 1318) и Правилами подготовки нормативных правовых актов федеральных органов исполнительной власти и их государственной регистрации (утверждены постановлением Правительства России от 13.08.1997 № 1009).

Доработка документа на основании замечаний и предложений – абсолютно нормальная практика подготовки и согласования нормативных актов. Соответственно, проект приказа и заключение об оценке регулирующего воздействия были не «подменены» на официальном сайте regulation.gov.ru, а заменены на актуальные варианты.

Обращаем также внимание, что необходимость участия Правительства Российской Федерации в разработке ведомственного акта федерального органа исполнительной власти возникает лишь в случае неурегулированных разногласий между государственным органом-разработчиком и согласующими государственными органами. В данном случае разногласия между Роскомнадзором и Минэкономразвития России на момент направления приказа на государственную регистрацию отсутствовали.

Действия Роскомнадзора в полной мере соответствуют действующему законодательству и совершены с целью актуализации размещенных на официальном сайте regulation.gov.ru сведений.

Просим сотрудников редакции быть более внимательными при подготовке публикаций.

В соответствии со ст. 46 Закона Российской Федерации № 2124-1 от 27.12.1991 «О средствах массовой информации» просим разместить данный текст на сайте Cnews, в том же разделе, в котором была опубликована статья «Роскомнадзор задним числом изменил правила блокировки сайтов».

Дополнительно обращаем внимание, что в случае продолжения распространения информации не соответствующей действительности и наносящей вред деловой репутации Роскомнадзора, Служба имеет право обратиться в суд в порядке статьи 152 Гражданского кодекса Российской Федерации.

Игорь Королев