Интервью Вячеслав ПоловинкоАрнольд Хачатуров novayagazeta.ru

«Блокируют тех, кто не сопротивляется»

Директор Общества защиты интернета Михаил Климарев — о том, почему попытки власти ввести цензуру в Сети не преуспеют.

Одним из ключевых сюжетов следующего года станет попытка продвинуть идею «суверенного Рунета», предложенную парламентариями Клишасом и Луговым. За словами о необходимости обезопасить страну от западных кибератак стоит попытка обосновать будущие траты на технологию блокировки неугодного контента, известную как DPI (см. объяснение ниже). Но даже в первом приближении новые законопроекты о регулировании интернета выглядят настолько непродуманными, что в искренность любого мотива, кроме освоения бюджетных денег, верится с трудом, считает исполнительный директор Общества защиты интернета Михаил Климарев. В интервью «Новой» он объяснил, что может стать с интернетом, если новая технология блокировки окажется в неумелых руках.

«Связь станет хуже, а злодеев не поймают»

— Некоторое время назад в Минкомсвязи заявили, что по «китайскому пути» мы не пойдем, потому что это дорого и вообще — в России своя развития концепция интернета. В новом законопроекте Клишаса и Лугового говорится о том, что есть американские кибероперации наступательного характера, поэтому мы должны взять трафик в стране под централизованный контроль. Чем это отличается от Китая?

— Ситуация в корне отличная. Китай строил свой «Великий Фаерволл» около семи лет, начиная с 2000 года: тогда и интернет, откровенно говоря, был другой. Китайская модель интернета работает вообще не так, как ее себе представляют. Там нет тотальной блокировки, в стране просто создана своя собственная экосистема интернета: все, что нужно людям, там собственного производства. И это больше связано с языковыми особенностями и огромным количеством населения. В Поднебесной работают все способы обхода блокировок: я сам, будучи в Китае, смог это сделать — значит, это могут сделать и миллионы китайских граждан, просто им это не нужно.

Так что сравнивать Россию и Китай я бы не стал. Законопроект, о котором вы говорите, декларирует, что это реакция на некий документ под названием «Стратегия кибербезопасности США», но

в тексте инициативы Клишаса не сказано ни полслова ни о модели угроз, ни о том, почему выбрано такое решение борьбы с ними. Это просто лоббистский закон:
насколько мне известно, помимо депутатов к нему причастен замминистра цифрового развития Алексей Соколов, кто-то из его сотрудников мог создавать этот документ.

— За документом просматриваются коммерческие интересы?

— Когда вышел «закон Яровой», тоже трудно было понять, какие коммерческие интересы могут быть за ним. Здесь ровно такая же ситуация, а к тому же формулировки законопроекта размыты настолько, что абсолютно непонятно, кто и что должен делать. Общими словами говорится, что это будет некое «оборудование» для предотвращения «угроз».

О том, что в виду имеется DPI, сообщество просто догадалось. Еще с лета ходил слух, что Минцифра и конкретно Соколов занимаются этой идеей — вплоть до запросов разработчикам DPI: а давайте мы тоже будем делать такие штуки и ставить их на сети бесплатно. Плюс тестирование технологии проводилось на сетях Ростелекома в Ростове и, кажется, в Реутове. И тут выходит закон: в нем не говорится о DPI ничего, но все понимают, что, видимо, о нем и речь.

— Ключевой бенефициар этого законопроекта — силовики?

— Я бы так не сказал.

По тому же «закону Яровой» все более-менее стало понятно, когда партнеры Алишера Усманова начали активно скупать производителей систем СОРМ (средств оперативно-разыскных мероприятий. Речь об Антоне Черепенникове, который, по данным «Ведомостей», владеет 75,85% в компании «Цитадель», контролирующей крупнейших производителей СОРМ. — Ред.).
— По этой логике в России должны открыть некий завод по производству «дипиаев». В Реутове.

— Давайте я коротко расскажу, как это вообще все выглядит.

DPI — это, по сути дела, обычный сетевой компьютер, сервер. У сервера есть два порта: в один трафик входит, из другого — выходит. Этот компьютер принимает поток IP-трафика и каждый пакет проверяет по каким-то определенным правилам, принимая решение: пропускать его к пользователям или дропнуть — то есть удалить. Но этих условий может быть очень много: цель такой технологии — блокировать пакеты не массово (исключительно по IP-адресу, например), а только за конкретное соответствие тому или иному шаблону. Поскольку нужно принимать решение по каждому пакету, требуется большая вычислительная мощность. И даже если ее хватает, чтобы проверять трафик в режиме реального времени, на поиск соответствий уходит очень много ресурсов.

Иными словами, установка DPI — это увеличение задержек и уменьшение скорости передачи данных интернета в России при любых условиях.
Качество связи ухудшится, а злодеев вы так и не поймаете.

«Отключение от мирового интернета — глупость»

— Тот объем финансирования, который мелькает в СМИ — 20 миллиардов рублей, — насколько он реалистичен?

— Еще раз: в законе ничего не говорится о DPI, это уже додумались эксперты. Цифра, вероятнее всего, из бюджета программы «Цифровая экономика». Бюджет программы до сих пор официально не принят, но 20 миллиардов — сумма, которая проходит где-то в графе «безопасность» на 2019 год. Сколько может стоить оборудование для DPI на самом деле — мы не знаем, поскольку неизвестны параметры этого оборудования. Минимальная цифра, за которую можно поручиться:

чтобы проверить 1 Гбит трафика, нужно потратить около 1000 долларов — столько стоит софт для DPI в самой простой комплектации.
— А какой объем в России проверяется, допустим, в сутки?

— Это невозможно посчитать, хоть мы и пытались. Очень условно можно сказать следующее: через точку обмена трафиком MSK-IX (устанавливает коммуникации между интернет-компаниями, предоставляя нейтральную платформу для обмена IP-трафиком между сетями. — Ред.) около 3 Тбит в секунду, а всего по стране — около 20 Тбит (то есть 20 000 Гбит в секунду: по этим расчетам минимальная комплектация оборудования DPI будет стоить больше 20 миллионов долларов. — Ред.).

В законопроекте есть ведь еще упоминание о центре управления сетями, и вот сколько будет стоить это, вам никто не скажет. Оборудование DPI должно стоять на каждом стыке портов, но каждому DPI надо ведь посылать сигнатуры — что блокировать, а что нет, — а это должен делать как раз такой центр (ЦУС). ЦУСы есть у каждого оператора связи, и тому же «Мегафону» его строительство — только оборудование, без людей, — обошлось в 2015 году в миллиард рублей. Но есть еще операционные издержки: те же инженеры связи, которые должны за всем следить, а там у начальника смены только с порога зарплата должна быть в районе 200–250 тысяч рублей. А этих людей должно быть несколько в смене. Вот и считайте.

— То есть цифра в 20 миллиардов рублей — она, по большому счету, с потолка?

— Да. Самое смешное, что при этом

в документе прямо написано, что затрат из федерального бюджета не потребуется, хотя тут же уточняется, что именно государство будет строить ЦУС и раздавать всем оборудование.
— В документе еще есть указание на то, что Россия будет создавать национальную систему дублирующих корневых DNS-серверов. Якобы каждый российский сайт сильно зависит от них — надо защищаться. Что скажете?

— Это даже не блеф, это просто непонимание того, как все устроено. Система корневых DNS-серверов появилась из 1990-х, когда интернет был маленький, IP-адресов было меньше миллиона, и было непонятно, как этим всем управлять. Сам по себе DNS придумали ради удобства пользователей, чтобы не нужно было запоминать IP-адреса, а просто вводить в строку браузера адрес сайта, например, yandex.ru. Однако на определенном этапе возникла конкуренция между разными DNS-системами: базы данных по доменам com, net, org лежали в США, а европейские страновые домены — в других местах. Это состояние называлось DNS-войной. Получилось так, что есть две эталонных базы данных, которые между собой никак не пересекаются. В результате вы не знали, к какому серверу должен обращаться ваш компьютер: вдруг один из них окажется мошенническим и выдаст вам фишинговый сайт? В такой ситуации интернетом было просто опасно пользоваться.

В результате в конце 1990-х интернет-сообщество село и договорилось о создании общественной организации ICANN, чтобы она обслуживала единую эталонную базу данных. В организацию вошли региональные интернет-регистраторы из разных частей света (в совете ICANN есть и представитель России). По всему миру существует 13 корневых DNS-серверов, каждым из которых управляет отдельный крупный оператор. Поэтому говорить об отключении России от мирового интернета глупо и бессмысленно. Чтобы это произошло, все интернет-операторы на планете должны договориться между собой, в том числе и российские. Попытка отключения страны от интернета была лишь однажды: Северную Корею хотели лишить доменного имени второго уровня. Но ICANN выступал против отключения и в итоге выиграл в суде.

 

Комментарии

{{ comment.username }}

Добавить комментарий

{{ e }}
{{ e }}
{{ e }}