Как работает блокировка доступа к страницам, распространяющим запрещенный контент (теперь РКН проверяет и поисковики)
Прежде чем перейти к описанию системы, которая отвечает за фильтрацию доступа операторами связи, отметим, что теперь Роскомнадзор займется и контролем над работой поисковых систем.
В начале года утвержден порядок контроля и перечень мероприятий по соблюдению операторами поисковых систем требований прекратить выдачу сведений об интернет-ресурсах, доступ к которым ограничен на территории Российской Федерации.
Соответствующий приказ Роскомнадзора от 7 ноября 2017 года № 229 зарегистрирован в Министерстве юстиции России.
Приказ принят в рамках реализации положений статьи 15.8 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», которая определяет обязанности для владельцев VPN-сервисов, «анонимайзеров» и операторов поисковых систем по ограничению доступа к информации, распространение которой в России запрещено.
Мероприятия по контролю проводятся по месту нахождения органа по контролю без взаимодействия с операторами поисковых систем.
Под информационной системой понимается ФГИС информационных ресурсов информационно-телекоммуникационных сетей, доступ к которым ограничен.
По итогам мероприятия составляется акт, в котором указывается, в частности, информация о ПО, используемом для установления этих фактов, а также сведения, подтверждающие, что конкретная страница (страницы) сайта на момент контроля находилась в информационной системе более суток.
Акт направляется оператору поисковых систем посредством информационной системы. В случае несогласия с актом оператор в течение трёх рабочих дней вправе представить свои возражения в Роскомнадзор, который рассматривает возражения также в течение трёх рабочих дней. По результатам рассмотрения возражений оператора руководитель органа по контролю или его заместитель принимают решение о возбуждении дела об административном правонарушении.
Как сейчас устроена система фильтрации доступа для операторов связи
В России действует ряд законов, обязующих операторов связи фильтровать доступ к страницам распространяющим запрещенный контент:
- ФЗ 126 «О связи», поправка в ст. 46 — об обязанности оператора ограничивать доступ к информации (ФСЭМ).
- «Единый реестр» — постановление Правительства РФ от 26 октября 2012 г. N 1101 «О единой автоматизированной информационной системе «Единый реестр доменных имен, указателей страниц сайтов в информационно-телекоммуникационной сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в информационно-телекоммуникационной сети «Интернет», содержащие информацию, распространение которой в Российской Федерации запрещено»»
- ФЗ 436 «О защите детей…», категоризация доступной информации.
- ФЗ №3 «О полиции», статья 13, п. 12 — об устранении причин и условий, способствующих реализации угроз безопасности граждан и общественной безопасности.
- ФЗ №187 «О внесении изменений в отдельные законодательные акты РФ по вопросам защиты интеллектуальных прав в информационно-телекоммуникационных сетях» («антипиратский закон»).
- Выполнение решений судебных инстанций и предписаний органов прокуратуры.
- Федеральный закон от 28.07.2012 N 139-ФЗ «О внесении изменений в Федеральный закон «О защите детей от информации, причиняющей вред их здоровью и развитию» и отдельные законодательные акты Российской Федерации».
- Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Запросы от Роскомнадзора на блокировку несут в себе обновляемый перечень требований к провайдеру, каждая запись из такого запроса содержит:
- тип реестра, в соответствии с которым производится ограничение;
- момент времени, с которого возникает необходимость ограничения доступа;
- тип срочности реагирования (обычная срочность – в течение суток, высокая срочность –незамедлительное реагирование);
- тип блокировки реестровой записи (по URL или по доменному имени);
- хэш-код реестровой записи (изменяется при любом изменении содержимого записи);
- реквизиты решения о необходимости ограничения доступа;
- один или несколько указателей страниц сайтов, доступ к которым должен быть ограничен (не обязательно);
- одно или несколько доменных имен (не обязательно);
- один или несколько сетевых адресов (не обязательно);
- одна или несколько ip-подсетей (не обязательно).
Для эффективного доведения сведений до операторов была создана «Информационная система взаимодействия Роскомнадзора с операторами связи». Расположена она вместе с нормативными актами, инструкциями и памятками для операторов на специализированном портале:
vigruzki.rkn.gov.ru
Со своей же стороны, для проверки операторов связи Роскомнадзор стал выдавать клиента АС «Ревизор». Ниже немного о функционале агента.
Алгоритм осуществления проверки доступности каждого URL Агентом. При проверке Агент должен:
- определить IP-адреса, в которые преобразуется сетевое имя проверяемого сайта (домен) или использовать IP адреса, предоставленные в выгрузке;
- для каждого IP-адреса, полученного от DNS-серверов, произвести HTTP-запрос проверяемого URL. В случае получения от проверяемого сайта HTTP перенаправление, Агент должен проверить URL, на который осуществляется перенаправление. Поддерживается не менее 5 последовательных HTTP перенаправлений;
- в случае невозможности осуществить HTTP-запрос (не происходит установки TCP-соединения) Агент должен делать вывод о наличии блокировки IP-адреса целиком;
- в случае успешного HTTP-запроса Агент должен проверить полученный ответ проверяемого сайта по коду HTTP-ответа, по HTTP-заголовкам, по HTTP-содержанию (первые полученные данные размером до 10 кб). В случае совпадения полученного ответа с созданными в ЦУ шаблонами страниц-заглушек должен быть сделан вывод о наличии блокировки проверяемого URL;
- при проведении проверки URL, Агент должен осуществить проверку установки шифрованного соединения и промаркировать ресурс;
- в случае отсутствия совпадения полученных Агентом данных с шаблонами страниц-заглушек или доверенных страниц переадресации, информирующих о блокировке ресурса, Агент должен делать вывод об отсутствии блокировки URL на СПД оператора связи. В этом случае информация о данных (HTTP-ответе), полученная Агентом, записывается в отчёт (файл журнала проверки). Администратор системы имеет возможность сформировать из данной записи шаблон новой страницы-заглушки, для предотвращения последующих ложных выводов об отсутствии блокировки.
Список того, что должен обеспечивать Агент
- связь с ЦУ для получения полного списка URL и режимов блокировки, которые необходимо протестировать;
- связь с ЦУ для получения данных о режимах проверки. Поддерживаемые режимы: полная однократная проверка, полная периодическая с заданным интервалом, выборочная однократная с заданным пользователем списком URL, периодическая с заданным интервалом проверка списка URL (определённого типа записей ЕР);
- продолжение выполнения заданных процедур проверки по имеющемуся URL списку, в случае невозможности получения списка URL с ЦУ, и хранения полученных результатов проверок с последующей передачей на ЦУ;
- полное выполнение заданных процедур проверки по имеющимся URL спискам, в случае невозможности получения информации о режимах проверки с ЦУ, и хранения полученных результатов проверки с последующей передачей на ЦУ;
- осуществление проверки результатов блокировки в соответствии с установленным режимом;
- отправку на ЦУ отчёта о проведённой проверке (файл журнала проверки);
- возможность проверки работоспособности СПД оператора связи, т.е. проверку доступности списка заведомо доступных сайтов;
- возможность осуществлять проверку результатов блокировки с использованием прокси-сервера;
- возможность удалённого обновления ПО;
- возможность проведения диагностических процедур на СПД (время отклика, путь прохождения пакетов, скорость скачивания файлов с внешнего ресурса, определение IP-адресов для доменных имен, значение скорости получения информации в обратном канале связи в проводных сетях доступа, коэффициент потерь пакетов, среднее время задержки передачи пакетов);
- производительность проверки не менее 10 URL в секунду при условии достаточности полосы канала связи;
- возможность многократного обращения агента к ресурсу (до 20 раз), с изменяемой периодичностью от 1 раза в секунду, до 1 раза в минуту;
- возможность создания случайного порядка записей списка, передаваемого для тестирования и задание приоритета по конкретной странице сайта в сети «Интернет».
В общем виде структура выглядит так:
Программные и программно-аппаратные решения для фильтрации интернет-трафика (DPI-решения) позволяют операторам блокировать трафик от пользователей к сайтам из списка РКН. Блокируют их или нет, это проверяет клиент АС Ревизор. Он по списку от РКН в автоматическом режиме проверяет доступность сайта.
Пример протокола мониторинга доступен по ссылке.
В прошлом году Роскомнадзор начал тестировать решения для блокировки, который может применять оператор для реализации данной схемы оператором. Приведу цитату по результатам такого тестирования:
«Положительные заключения Роскомнадзора получили специализированные программные решения «UBIC», «EcoFilter», «СКАТ DPI», «Тиксен-Блокировка», «SkyDNS Zapret ISP» и «Carbon Reductor DPI».Дополню, что в тестировании каждого программного продукта принимали участие до 27 операторов связи с различной численностью абонентов из разных федеральных округов Российской Федерации.
Также получено заключение Роскомнадзора, подтверждающее возможность использования операторами связи программного обеспечения «ZapretService» в качестве средства ограничения доступа к запрещенным ресурсам в интернете. Результаты тестирования показали, что при установке по рекомендованной производителем схеме подключения «в разрыв» и правильной настройке сети оператора связи, количество выявленных нарушений по Единому реестру запрещенной информации не превышает 0,02%.
Таким образом, операторам связи предоставлена возможность выбора наиболее подходящего для них решения по ограничению доступа к запрещенным ресурсам, в том числе из перечня программных продуктов, получивших положительное заключение Роскомнадзора.
Вместе с тем в ходе тестирования программного продукта IdecoSelecta ISP из-за длительной процедуры его развертывания и настройки некоторые операторы не смогли приступить к тестам в установленные сроки. У более чем половины операторов связи, участвующих в тестировании, срок тестовой эксплуатации Ideco Selecta ISP не превышал недели. Учитывая малый объем полученных статистических данных и небольшое число участников тестирования, Роскомнадзор в официальном заключении указал на невозможность получения однозначных выводов об эффективности продукта «Ideco Selecta ISP» как средства ограничения доступа к запрещенным ресурсам в интернете.»
С официальными заключениями по результатам тестирования можно ознакомиться здесь. В этих заключениях практически ноль технической информации. Про продукт «Ideco Selecta ISP» можно почитать, чтобы знать, как не нужно делать.
В этом году тестирование продолжится и на данный момент, судя по новостям Роскомнадзора, взят уже один продукт и еще 2 в ближайших планах.
Что если блокировка произошла по ошибке?
В завершение, хотелось бы напомнить, что Роскомнадзор «не ошибается», что подтверждает Конституционный суд.
Постановление, фактически снимающее ответственность с Роскомнадзора за ошибочную блокировку сайтов, было принято в рамках рассмотрения жалобы в КС директора ассоциации интернет-издателей Владимира Харитонова. В ней говорилось, что в декабре 2012 года Роскомнадзор по ошибке заблокировал его интернет-библиотеку digital-books.ru. Как пояснял господин Харитонов, его ресурс располагался на том же IP-адресе, что и портал rastamantales(.)ru (сейчас rastamantales(.)com), который и был изначальным объектом блокировки. Владимир Харитонов попробовал в судебном порядке опротестовать решение Роскомнадзора, однако в июне 2013 года Таганский райсуд признал блокировку законной, а в сентябре 2013-го это решение оставил в силе Мосгорсуд.
Оттуда же:
В Роскомнадзоре «Ъ» заявили, что решением КС удовлетворены. «Конституционный суд подтвердил, что Роскомнадзор исполняет закон. Если у оператора нет технической возможности для ограничения доступа к отдельной странице сайта, а не к его сетевому адресу, то это ответственность оператора»,— сказал «Ъ» пресс-секретарь ведомства.
Этот вопрос актуален также для облачных провайдеров и хостинг-компаний, так как подобные инциденты случались и с ними. В июне 2016 года в России был заблокирован облачный сервис Amazon S3, хотя в реестр по требованию Федеральной налоговой службы была внесена лишь расположенная на его платформе страница покер-рума 888poker. Блокировка всего ресурса была связана как раз с тем, что Amazon S3 использует защищенный протокол https, который не позволяет заблокировать отдельные страницы. Только после того как сам Amazon удалил страницу, к которой возникли претензии у российских властей, ресурс был исключен из реестра.