Официальная позиция ЭКС РАЭК по вопросу нового порядка блокировок

Дата публикации: 26 октября 2017

Официальная позиция ЭКС РАЭК по вопросу нового порядка блокировок

Официальная позиция ЭКС РАЭК по проекту приказа Роскомнадзора «Об утверждении Требований к способам (методам) ограничения доступа к информационным ресурсам, применяемым в соответствии с Федеральным законом «Об информации, информационных технологиях и о защите информации» и размещаемой информации об ограничении доступа к информационным ресурсам»

Суть вопроса:

Проектом Приказа устанавливаются требования к способам (методам) ограничения доступа к информационным ресурсам операторами связи, применяемым в соответствии с Федеральным законом «Об информации, информационных технологиях и о защите информации» и размещаемой информации об ограничении доступа к информационным ресурсам, вводится возможность использования фильтрованного трафика от вышестоящего оператора связи (при отсутствии необходимого оборудования оператора связи), классифицируются и интерпретируются данные реестра для операторов связи, устанавливаются условия ограничения доступа к информации по этим данным, а также ограничивает операторов связи по содержанию "заглушек" на заблокированных ресурсах.

Суть позиции ЭКС РАЭК по проекту

Несоответствие действующему законодательству

Нормы проекта приказа не в полной степени соответствуют положениям Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – Закон об информации).

Согласно части 2.1 статьи 9 Закона об информации Роскомнадзор наделен полномочием по определению требований к способам (методам) ограничения доступа к информационным ресурсам. При этом проект приказа (пункт 1.2) фактически устанавливает сами эти способы (методы), но не требования к ним. Кроме того, в соответствии с пунктом 1.8 проекта приказа иные способы (методы) ограничения доступа к информационным ресурсам не допускаются. Установление такого ограничения не предусмотрено Законом об информации, а Роскомнадзор не уполномочен устанавливать такие нормы в своем ведомственном акте. Кроме этого, введение такого ограничения выглядит нелогично и с точки зрения постоянно развивающихся технологий.

Согласно пункту 1.3 проекта приказа оператор связи, получивший в записи выгрузки информацию об указателе страницы сайта в сети Интернет, доменном имени и сетевом адресе, обязан ограничить доступ к соответствующему указателю страницы сайта в информационно-телекоммуникационной сети Интернет. Не ясны основания установления обязанности ограничивать доступ к информационному ресурсу только путем ограничения доступа к указателю страницы сайта, - Закон об информации не предусматривает такого механизма.

Так, например, согласно части 10 статьи 15.1 в течение суток с момента включения в реестр сетевого адреса, позволяющего идентифицировать сайт в сети Интернет, содержащий информацию, распространение которой в Российской Федерации запрещено, оператор связи, оказывающий услуги по предоставлению доступа к сети Интернет, обязан ограничить доступ к такому сайту в сети Интернет. Далее, например, в статьях 15.2 и 15.3, указано об ограничении доступа к информационному ресурсу или сайту в сети Интернет. Только в одной статье 15.5, касающейся ограничения доступа к информации, обрабатываемой с нарушением законодательства в области персональных данных, прямо поименован указатель страницы.

Возможность ограничить доступ к ресурсу путем ограничения доступа к доменному имени допускается только если запись выгрузки содержит сведения об указателе страницы сайта в сети Интернет, использующего сетевой протокол, поддерживающий шифрование.

Однако, это не единственная причина технической невозможности ограничить доступ к указателю страницы. Не понятно, почему в проекте приказа делается исключение только для одного этого случая.

Введение обязанности мониторинга операторами связи изменяющихся сетевых адресов

В соответствии с пунктом 1.3 проекта приказа оператор связи обязан ограничить доступ к соответствующему указателю страницы сайта в сети Интернет, в том числе в случае изменения его сетевого адреса. Законом об информации не предусмотрена обязанность операторов связи по мониторингу сети Интернет и отслеживанию меняющихся сетевых адресов. Полагаем недопустимым возложение такой обязанности подзаконным актом.

Запрет рекламы на «заглушках»

Согласно п. 2.9 проекта приказа при обращении пользователя к информационным ресурсам, доступ к которым ограничен на основании Федерального закона «Об информации, информационных технологиях и о защите информации» оператором связи должно размещаться информационное сообщение «Доступ к информационному ресурсу ограничен на основании Федерального закона «Об информации, информационных технологиях и о защите информации».

Несмотря на наличие в пункте 2.13 разрешения на размещение на такой странице рекламы и иных сведений, фактически же пунктом 2.10 проекта приказа устанавливаются требования к странице, исключающие размещение на ней каких-либо рекламных модулей или динамически отображаемой информации. Более того, этот пункт содержит внутреннее противоречие, так как предписывает динамически размещать на странице некий уникальный код.

Между тем операторы связи, как правило, размещают в информационных сообщениях о блокировке Интернет-ресурса информацию о возможности получения легального контента на легальных (как правило, собственных брендированных) Интернет-ресурсах. Это позволяет переадресовывать пользователей с заблокированных ресурсов с «пиратским» контентом на сайты, не нарушающие авторские и смежные права, что увеличивает долю потребления легального контента в информационно-коммуникационной сети «Интернет».

Однако подобная информация подпадает под признаки рекламы, которая определяется законодательством как информация, распространенная любым способом, в любой форме и с использованием любых средств, адресованная неопределенному кругу лиц и направленная на привлечение внимания к объекту рекламирования, формирование или поддержание интереса к нему и его продвижение на рынке.

Следовательно, принятие проекта приказа в предложенной Роскомнадзором редакции сделает для операторов связи невозможным проведение кампании по продвижению легальных Интернет-ресурсов и извлечение соответствующего дохода.

Кроме этого, указанные положения проекта приказа также выходят за рамки полномочий Роскомнадзора, установленных частью 2.1 статьи 9 Закона об информации. Роскомнадзор уполномочен определить требования к размещаемой информации, т.е. к ее содержанию, формату, размеру, но не к месту ее размещения. В связи с этим пункт 2.4 проекта приказа, определяющая страницы, на которых не может размещаться указанная информация, не соответствует положениям Закона об информации.

Отсутствие оценки издержек и переходного периода

Несмотря на то, что в разделе 2 сводного отчета указано на то, что степень воздействия высокая и операторы связи ограничиваются в выборе способов ограничения доступа к информации, оценка издержек в этой связи произведена не была, необходимый переходный период не учтен.

Фактическая безальтернативность по фильтрационному решению для средних и малых операторов

Документ не предлагает альтернатив по способам ограничения информации, выдавая введенную возможность переложить ответственность по реализации ограничения доступа на вышестоящего оператора связи за альтернативный метод. Однако, проект приказа через последовательность косвенных указаний подразумевает только один максимально дорогостоящий, ухудшающий качество связи способ — глубокий анализ всего проходящего трафика. В условиях текущей стоимости оборудования для такого анализа следствием фактически безальтернативного подхода будет необходимость продажи малого и среднего операторского бизнеса крупным операторам связи по низкой цене. Так как сети операторов имеют различия в архитектурном построении считаем необходимым дать возможность операторам самостоятельно принимать решение о методах блокировок.

Документ не учитывает влияние на других участников рынка

Проект приказа имеет высокую степень регулирующего воздействия и потенциально затрагивает интересы не только операторов связи (особенно малого и среднего бизнеса), но и хостинг-провайдеров, потребителей услуг связи и услуг хостинг-провайдеров. Полагаем целесообразным проведение детального технического и финансового анализа влияния предлагаемого регулирования на операторов связи, а также на указанные группы лиц в рамках процедур оценки регулирующего воздействия.  Необходимо отметить, что о необходимости учитывать влияние регулирования на хостинг-провайдеров и облачные платформы неоднократно заявляли как профессиональные ассоциации, так и Минкомсвязи РФ.

Риски реализации Проекта Приказа для пользователей

В пункте 1.4 Проекта Приказа указывается:

"Оператор связи обязан обеспечить ограничение доступа только ко включенному в выгрузку указателю страницы сайта в сети «Интернет». Если запись выгрузки содержит сведения об указателе страницы сайта в информационно-телекоммуникационной сети «Интернет», использующего сетевой протокол, поддерживающий шифрование, допускается ограничение доступа ко всему доменному имени, в том числе путем ограничения запросов пользователей к DNS-серверам или выполнения соответствующих настроек DNS-серверов оператора связи."

Основания, по которым при использовании сетевых протоколов, использующих шифрование, допускается ограничение доступа ко всему доменному имени отсутствуют. Зато присутствуют высокие риски блокировки добросовестных информационных ресурсов, использующих протоколы шифрования с целью повышения защиты конфиденциальной информации пользователей.

Также, реализация требований п. 1.4 приведёт к тому, что оператор связи путем обработки DNS запроса за своём резолвере по сути будет подменять адрес заблокированного ресурса на свой. Что приведет к срабатыванию уведомления о недостоверном TLS сертификате. Данный статус приводит к необходимости принять недостоверный сертификат пользователем чтобы пройти на информационную страницу о том, что ресурс заблокирован. Это может привести к злонамеренному использованию и атаке на клиента со стороны третьих лиц. Например, при использовании фишинга на доменных именах визуально близких к названию заблокированного ресурса.

Выводы:

  1. Вероятным последствием реализации данных требований будет монополизация и централизация операторского бизнеса;

  2. Проект Приказа не соответствует действующему законодательству в области информации и рекламы. Например, Роскомнадзор в Проекте Приказа берёт на себя полномочия по ограничению информации на страницах с информацией об ограничении доступа, однако Закон об информации не наделяет Роскомнадзор данными полномочиями по ограничению информации;

  3. Разработчики документа перекладывают бремя исполнения законодательства о блокировках на телекоммуникационный бизнес, максимально снимая с себя риски и ответственность за блокировки и возлагая обязательства по отслеживанию меняющихся сетевых адресов;

  4. Так как сети операторов имеют отличия в архитектурном построении считаем необходимым дать возможность операторам самостоятельно принимать решение о методах блокировки.

Кроме этого, как недавно было отмечено Министром связи и массовых коммуникаций Российской Федерации Н. А. Никифоровым, существующие механизмы блокировки не эффективны. Проект Приказа только увеличивает неэффективность существующих механизмов блокировок.

Для повышения эффективности механизма блокировок, необходимо провести категоризацию информационных ресурсов, которые могут быть заблокированы.

  1. Если ресурс находится на территории Российской Федерации и ориентирован на работу с Российской аудиторией, необходимо находить владельца информации и добиваться полного удаления информации, а не блокирования.

  2. Если ресурс находится за пределами территории Российской Федерации и не ориентирован на работу с Российской аудиторией, необходима оценка числа обращений к такому ресурсу, выделения групп лиц, обращающихся к такому ресурсу. Решение о методах работы с такими ресурсами должно приниматься с учетом результатов анализа, а также вида нарушений. Так, например, нарушение авторских прав ресурсом, расположенным за пределами территории Российской Федерации и не ориентированным на работу с Российской целевой аудиторией не должно быть предметом ограничения доступа к этому ресурсу с учетом технологических ограничений таблицы "чёрного списка".

  3. Особое внимание следует уделить работе с ресурсами, расположенными за пределами территории Российской Федерации, но ориентированных на работу с Российской аудиторией.

  4. Особое внимание по ограничению доступа к информации с таких ресурсов должно быть сосредоточено на ресурсах, содержащих экстремистские материалы, материалы с признаками детской порнографии и материалы, связанные с нелегальным распространением наркотических и психотропных веществ.

  5. Решение по подходам к ограничению информации с таких ресурсов должно также приниматься на основе анализа статистики обращений и выделения групп потенциального риска.