РКН предупредил владельцев VPN в России. Мнение.

Роскомнадзор разместил новость 10 апреля 2025 года. Ключевая выдержка:

Вниманию владельцев российских частных виртуальных сетей!

Рекомендуем при передаче данных отказаться от иностранных протоколов шифрования, используемых в том числе приложениями, предоставляющими доступ к запрещенной информации.

Хочу собрать на этой странице своё мнение по ситуации и попробовать разобраться, что это значит для работников ИТ сферы и энтузиастов цифровых технологий.

Исторический контекст регулирования

Эволюция государственного контроля над цифровым пространством в России — это последовательная цепь событий, формирующая комплексную парадигму информационной безопасности.

1. 2014: Зарождение тренда. Регулирования цифрового пространства и его участников берёт начало с №97-ФЗ от 5 мая 2014 года (более известный как “Закона о Блогерах”). В этом законе сформирована правовая база, описывающая интернет-пользователей, интернет-площадки, а так же их права и обязанности. Позднее в №276-ФЗ от 29.07.2017 оригинальный закон во многом утратил силу, однако правовые механизмы и терминология для цифрового пространства сохранились и продолжили своё функционирование и развитие.
2. 2016: Мониторинг. Пакет Яровой–Озерова значительно ужесточил меры безопасности и создал предпосылки для мониторинга действий пользователей и передачи данных между ними. Документ усилил надзор за интернет-пространством путём введения новых правил обработки персональных данных и повышения роли государства в контроле коммуникационных каналов. Операторы связи стали обязаны собирать и хранить всю информацию о сообщениях, звонках и трафике абонентов на срок до шести месяцев, а само содержание переговоров – до трех лет. Усилен механизм установки Системы оперативно-розыскных мероприятий (СОРМ). Ранее существовавший инструмент спецслужб получил новые полномочия: теперь через специальные устройства можно прослушивать телефонные разговоры, просматривать электронную почту и отслеживать активность в социальных сетях практически в режиме реального времени. Таким образом, регулирование перешло от выборочного надзора к массовому мониторингу пользователя сети.
3. 2017: Первая масштабная блокировка. Борьба с Telegram стала поворотным пунктом. В первую неделю РКН заблокировал 18 млн IP-адресов, что привело к коллапсу сторонних сервисов. Низкая эффективность блокировки и последующая разблокировка показала: точечные меры неэффективны против современных протоколов шифрования.
4. 2019: Закон о «суверенном интернете». № 90-ФЗ от 1 мая 2019 года ввёл требования по установке оборудования DPI (Deep Packet Inspection) для анализа трафика на уровне провайдеров. Технически это открыло путь для фильтрации именно взаимодействий пользователей и систем, а не абстрактных доменов и IP-адресов.
5. 2021: Локализация данных. Требование хранить данные россиян на серверах внутри страны (ФЗ-152) затронуло иностранные компании. Для VPN-провайдеров это стало первым фильтром: те, кто не выполнил условие, попали в реестр запрещённых ресурсов.
6. 2022: Запрет обходных инструментов. Попали под запреты VPN и анонимайзеры для доступа к заблокированным ресурсам.
7. 2023: Технологическая изоляция. Санкции и уход Западных IT-компаний ускорили переход на отечественное ПО. ВПН-сервисы, использующие иностранные протоколы (WireGuard, IKEv2), стали рассматриваться как угроза «цифровому суверенитету».
8. 2023: Обязательная сертификация. ФСТЭК утвердил порядок сертификации криптосредств, требующий использования российских алгоритмов (например Кузнечик, Стрибог).
9. 2025: Текущий этап. Рекомендация РКН об отказе от иностранных протоколов — логичный шаг. Теперь под ударом не только публичные VPN, но и корпоративные сети, использующие «неодобренные» технологии.

Паттерны регуляторной политики:

• От реакции к превентивным мерам. Если в 2017 блокировали существующие угрозы, то к 2025 упор сместился на предотвращение через контроль инфраструктуры.
• Постепенное ужесточение. Каждый новый закон мягче, чем конечная цель, что упрощает переход к новым походам (пример: сначала «рекомендации» РКН, затем — обязательные требования).
• Технологический протекционизм. Искусственно увеличение спроса на российские криптостандарты через законодательное давление на иностранные решения. Общее повышение самодостаточности ИТ инфраструктуры внутри страны.

Последствия для экосистемы:

• Стабильный долгосрочный рост выручки российских информационных решений в пределах 10-30% год к году на протяжении 10 лет подряд. Общий тренд на снижение доли импортного ПО в экономике, а особенно в гос. секторе.
• Увеличение затрат бизнеса на ИБ, для соответствия требованиям законодательства.

Глобальный контекст:

• Российский подход — это гибрид китайской модели (полный контроль и великий файерволл) и европейской (GDPR). Уникальность Российского подхода — в развитии собственной криптографии и общем развитии рынка ИТ-решений, а не просто на блокировки.
• Развитие внутренних технологий и наложение запретов это продуманная стратегия, где каждое звено укрепляет «цифровой суверенитет». Однако успех стратегии зависит от способности отечественных технологий заместить иностранные аналоги без потери функциональности.

Юридическая составляющая

Не важно кто и как относится к деятельности Роскомнадзора (далее по тексту РКН). Особенно в вопросах ограничений доступов к ресурсам и технологиям. Закон надо исполнять. Безусловно, это один из известнейших и спорных органов исполнительной власти. Безусловно, предпринимаются непопулярные технические решения. Но и так же безусловно, что требования законодательства необходимо соблюдать.

Исходя из общей тенденции и текста новости — это продолжение борьбы с доступом к запрещенной информацией (будь то “прямой”, так и “обходной” доступ). И хоть я сам и не сторонник такого рода ограничений (подробнее об этом ниже), но закон надо исполнять и в данном случае РКН продолжает этот закон исполнять.

Технологические аспекты

В целом, под определение “иностранных протоколов шифрования” попадают все популярные и де-факто стандартные для ИТ отрасли протоколы и технологии для построения частных виртуальных сетей (далее по тексту VPN или ВПН). Из самых популярных это Wireguard и OpenVPN. На этих технологиях построено большинство корпоративных сетей, а так же персональных сетей энтузиастов. И, если в случае с крупным бизнесом более-менее понятно, что можно заранее подать данные о своих задачах и списках серверов для попадания в белый список. То не совсем понятно, что делать сегменту малого и среднего бизнеса предпринимательства (МСП)? Что делать энтузиастам, которые разворачивают данные решения для личного или семейного пользования? Какие альтернативные технологии предлагается развёртывать и использовать? Если смотреть трезво и давать короткий ответ — альтернативы нет. Вообще. Надо понимать, что не существует технологий “в вакууме”. Они всегда существуют как совокупность стоимости в деньгах, временными затратами на развёртывания, полноты и понятности документации, совместимости технологий, размеров сообщества и много другого. Да, действительно, на российском рынке есть VPN решения на базе российских алгоритмов, однако:

1. В большинстве своём это платные решения с ценником от 10 000 рублей в месяц.
2. Большинство из данных решений не обладает обширной и всеобъемлющей документацией.
3. Дистрибутивами Linux/FreeBDS/Windows/MacOS российские VPN-решения не поддержаны “из коробки”.
4. А собственно размеры сообщества, если и будут исчисляться тысячами, то это очень разрозненное сообщество без общения и поддержки.
5. Требуются практические навыки развёртыванию и обслуживанию данных решений.

Из всего вышеперечисленного ясно, что для энтузиастов и сегмента МСП полностью отечественные решения не только “не подходят”, а они для них недосягаемы. Даже откидывая вопрос денежной стоимости мы всё ещё остаёмся 1 на 1 с технологическими проблемами (пункты 2-5 из списка выше), которые нужно как-то решать.

Политический аспект

Давайте будем реалистами. Мир — это жестокое место. В нём всегда идёт борьба “за место под солнцем”. Так было, есть, и по всей видимости, будет. Если ранее эта борьба была эпизодической и явно видной, например в виде классической войны с пушками и армиями. То сейчас эта борьба постоянна и невидима. Существует множество кибер-преступников одиночек (например Кевин Митник), организованных хакерских групп (например Anonymous), а с недавнего времени и у государств появились постоянные кибер-войска, которые отвечают за оборону в цифровом пространстве. И если ранее боевые действия были чем-то конкретным. И с точки зрения истории имели конкретное время начала и конкретное время конца. То в цифровом пространстве данная борьба никогда не прекращается. Идёт постоянная борьба белых хакеров с чёрными. Борьба между этичными хакерами с неэтичными. Между корпоративными службами информационной безопасности и вирусами-червями. Между одной страной и другой. Между мошенниками и пользователями. Это всё вокруг нас ежедневно и ежесекундно.

Это постоянная борьба всех-против-всех.

В таких условиях вполне логично, что каждое крупное государство разрабатывает собственные протоколы шифрования как дополнительный слой защиты. И РКН совместно с ФСБ и ФСТЭК продолжают гнуть линию “цифрового суверенитета”. Сложно сказать, верна данная линия, или нет. Но вот что явно видно, так это то, что эпоха глобализации законичлась. И страны начали друг от друга отдалятся. В этих условиях потеницальный запрет VPN протоколов зарубежной разработки выглядит вполне логично в 2025-ом году. И нам как ИТ-специалистам надо готовиться к тому, что тренд на отдаление продолжится и будет только усиливаться.

Заключение и рекомендации

Контроль будет усиливаться, а технические ограничения расширяться. Для этого существуют факторы как внутри старны, так и за её пределами. Нет причин для паники или тотального недовольства. То что происходит – вполне логичный шаг в глобальной картине вещей.

В текущий реалиях для малого бизнеса и энтузиастов рекомендую:

1. Прямо сейчас нет необходимости переходить на полностью отечественные решения.
2. Начните присматриваться и изучать к существующие российские разработки. В первую очередь для понимания ландшафта рынка и поиска технологий на которые вы могли бы перейти в будущем.
3. Всю ИТ инфраструктуру в виде вычислительных мощностей и важное для работы ПО нужно заводить внутрь Российской ИТ инфраструктуры уже сейчас. Зависимости от сервисов и систем вне РФ, нужно сводить к нулю. Если это по какой-то причине невозможно – искать российские аналоги (а они в большинстве случае уже существуют).
4. для эксперимента попробуйте отечественные ОС (из крупных Астра Линукс, Ред ОС)