ЦБ предупредил банки о возможности новых блокировок VPN-сервисов
Банк России допускает блокировку Роскомнадзором (РКН) четырех VPN-сервисов, которые могут использоваться для обхода ограничений доступа к запрещенным в России интернет-ресурсам. Чтобы блокировка не задела банки, которые используют VPN, ЦБ попросил кредитные организации сообщить, какие именно сервисы они применяют, следует из письма, которое ЦБ разослал банкам 26 августа от имени исполняющего обязанности директора департамента информационной безопасности Артема Сычева. РБК ознакомился с документом, его подлинность подтвердили два источника на рынке информационной безопасности. Факт рассылки по ряду финансовых организаций подтвердил представитель ЦБ.
В письме ЦБ просит получателей указать до 2 сентября наименование VPN-сервиса, который они используют, процесс, для которого он нужен, а также IP-адреса, где он применяется. Регулятор просит банки отвечать на его письмо, если они пользуются сервисами Psiphon, Tunnelbear, Thunder, Redshield и «иными аналогичными сервисами». Как следует из письма, Роскомнадзор планирует «осуществить комплекс мероприятий по ограничению использования сервисов», а информация от кредитных организаций нужна «с целью исключения из политик ограничения доступа VPN-соединений», используемых ими.
«Банк России полагает важным провести консультации с финансовыми организациями, чтобы не допустить нарушения их операционной надежности в случае блокировки на территории России упомянутых в письме иностранных VPN-сервисов», — сказал РБК представитель ЦБ.
Как рассказал РБК источник в крупном банке, это уже не первый подобный опрос ЦБ. Регулятор озаботился этой проблемой сразу после того, как банки массово перешли на удаленный режим работы из-за введенных ограничений для борьбы с пандемией коронавируса. Собеседник уточнил, что банки в основном используют VPN-соединения именно для подключения к внутренним системам банка при удаленной работе, поэтому их блокировка может нарушить этот процесс.
РБК направил запрос в крупные банки и Роскомнадзор. «Ренессанс Кредит» не использует в своей работе сторонние VPN-сервисы, рассказал исполнительный директор, начальник управления информационной безопасности банка Дмитрий Стуров. По его словам, крупные банки в целом не используют подобные ресурсы для передачи чувствительной информации или для доступа к запрещенной информации. Стуров отметил, что подобные письма приходили от ЦБ и раньше, например, с вопросами об использовании VyprVPN и Opera VPN. Роскомнадзор начал блокировать их в июне, отметив, что работу с ними могут продолжать те компании, которые используют их в непрерывных технологических процессах. В белый список вошло 130 российских предприятий.
Как в России блокируют VPN
Роскомнадзор получил право блокировать VPN-сервисы в 2017 году после принятия соответствующих поправок в закон «Об информации, информационных технологиях и защите информации». Этот же закон установил требование для таких сервисов ограничивать доступ пользователям к запрещенным в России сайтам, но оно распространяется только на те сервисы, которые получили соответствующее уведомление от Роскомнадзора и подключились к Федеральной государственной информационной системе (ФГИС). Если сервис не подключается к ФГИС в течение 30 дней с момента получения требования от Роскомнадзора, то ведомство начинает процедуру его блокировки.
Возможная блокировка популярного приложения Tunnelbear и еще трех VPN-сервисов не первая для Роскомнадзора. Помимо ограничений для VyprVPN и Opera VPN (впоследствии отказалась от поддержки VPN в России) в июне, он также начал блокировать Hola! VPN, ExpressVPN, KeepSolid VPN Unlimited, Nord VPN, Speedify VPN и IPVanish VPN. Перед этим он также направил запросы в ведомства, чтобы уточнить, используют ли они обозначенные VPN-сервисы для работы.
Письма рассылаются банкам, чтобы РКН случайно не заблокировал необходимые для банковской структуры VPN-сервисы, объясняет независимый эксперт в области информационной безопасности Алексей Лукацкий: «Судя по всему, РКН готовит новую волну блокировки сервисов, но перед этим запрашивает информацию о важных для банков приложениях».
По словам генерального директора Института исследований интернета Карена Казаряна, перечисленные сервисы довольно популярны, а банки часто используют их для создания каналов связи поверх интернета, например, при соединении с банковским оборудованием. Он отмечает, что ранее Роскомнадзор уже пытался блокировать другие VPN-сервисы, однако существенные результаты этих действий пока не видны.
Как рассказал Филипп Кулин, автор Telegram-канала «Эшер II», посвященного блокировкам Роскомнадзора, сервис Psiphon был популярен во время протестов в Белоруссии. Он отметил, что организации часто используют VPN, чтобы связать разные офисы, подразделения и сотрудников и предоставить всем доступ к внутренней корпоративной сети.