Российские компании пояснили СМИ свои методики и принципы по обнаружению VPN у пользователей

По информации СМИ, российские маркетплейсы по указанию Минцифры начали в рамках пакета мер по борьбе с VPN ограничивать доступ (блокировать, замедлять загрузку элементов сайтов) к своим ресурсам со стороны пользователей, которые пытаются зайти на площадки через сервисы для обхода блокировок. Если компании не будут соблюдать предложенные ограничения от ведомства, то их ресурсы удалят из «белых списков», а сами IT-организации лишат аккредитации Минцифры. В российский IT-компаниях пояснили СМИ свои методики и принципы по обнаружению VPN у пользователей.

Сократить количество ложных срабатываний предлагается в первую очередь созданием «белых списков» корпоративных VPN и «легитимных» Proxy‑серверов. Такой список уже существует, компании вносят в него свои VPN, а ведет его Роскомнадзор, говорит собеседник «Ъ», близкий к правительству: «Сейчас в нем порядка 75 тыс. IP‑адресов. Компании сами передают в ведомство данные через личный кабинет Роскомнадзора на исключение из фильтрации на ТСПУ. Также ведомство направляет владельцам корпоративных VPN уведомления о блокировке новых сервисов и протоколов. Главные требования к „белым“ VPN — это ограничение доступа к запрещённым ресурсам и взаимодействие с Роскомнадзором».

«Главная задача, которая будет стоять перед IT‑компаниями, это максимально прозрачно донести до клиента, что включённый VPN может не позволить ему пользоваться полным функционалом продукта и дать удобную навигацию»,‑ говорит источник «Ъ», близкий к крупной IT‑компании. При этом, по его словам, VPN влияет на работоспособность приложений, поэтому почти все крупные игроки и госорганы уже «так или иначе обрабатывают входы в приложения с включённым VPN».

Пояснение от IT-компаний по этой ситуации:

• «Почта России»: «С технической точки зрения требования не являются трудновыполнимыми. Значительной перестройки технологической архитектуры платформ не потребуется». Дополнительные затраты, если и возникнут, будут связаны с совершенствованием систем безопасности и лежат в рамках текущих планов по IT-развитию, а работа корпоративных VPN не будет затронута, добавили в «Почте России»;

• РЖД: технические ограничения на доступ к их сервисам из-за рубежа реализуются начиная с 2022 года из-за «беспрецедентных попыток компьютерных атак на инфраструктуру компании с адресов, относящихся к зарубежным интернет-провайдерам». В РЖД добавили, что уже направили все необходимые материалы для включения корпоративных VPN в «белые списки»;

• «Росатом» (часть сервисов компании входят в «белые списки»): архитектура решений компании «изначально спроектирована с учётом требований информационной устойчивости и не опирается на общедоступные VPN-сервисы, поэтому новые требования не окажут критического влияния на работу ресурсов»;

• новые условия по ограничению доступа пользователей со включённым VPN для компаний интернет-торговли означают серьёзное падение трафика, уверены в Ассоциации компаний интернет-торговли (АКИТ, входят Ozon, «М.Видео», Avito и другие): «Если проводить аналогию с традиционной розницей и ее инфраструктурой, то, по сути, это запреты на вход в помещение магазина и на покупки». То есть часть сервисов до сих пор не включены в «белый список» — и они просто не работают при отключённом мобильном интернете, а те, которые смогли в него войти, теперь должны работать выборочно, объяснили в АКИТ.

Источник СМИ в одной из госкомпаний заявил, что в отрасли в общем не прогнозируют снижения активности пользователей в своих приложениях и на сайтах. По его словам, сайты многих компании уже давно не работает за рубежом и, соответственно, с включённым VPN. Другой собеседник СМИ из российской IT-компании подтвердил: «Ряд сервисов уже работает корректно только при выключенном VPN — почти все банковские приложения, "Госуслуги" и другие».

«Но меры воздействуют на следствие, а не на причину роста VPN-трафика. По данным опросов, от трети до половины российских интернет-пользователей регулярно используют VPN», — пояснил СМИ партнёр практики «Цифровая трансформация» компании Strategy Partners Сергей Кудряшов.

После введения новых требований «количество пользователей, естественно, упадет», уверен источник «Ъ», близкий к крупным технологическим компаниям: «Но как показала предыдущая практика блокировок, пользователи достаточно быстро приспособятся, а сами сервисы VPN и Proxy быстро модернизируются и адаптируются». При этом юзеры продолжат пользоваться привычными сервисами, «в том числе и из‑за отсутствия адекватных и полноценных альтернатив», уверен эксперт.

Такую технологическую доработку — отслеживание пользователей с включённым VPN — для крупных IT-компаний нельзя назвать сложной или затратной, уверен источник “Ъ” в крупной IT-компании. Источник “Ъ” среди софтверных компаний объясняет, что для выявления простого VPN-трафика компаниям не потребуются большие затраты и отдельное ПО, такое как DPI (Deep Packet Inspection — технология «глубокий анализ трафика»): «На уровне пользовательских приложений разработчики видят, откуда идет трафик, и могут просто передавать данные об IP. DPI работает по сигнатуре трафика, а VPN-сервисы так тяжело описать». Определить VPN-трафик возможно с помощью DPI, хоть и не полностью, при этом «его установка стоит денег».

«Оценить совокупные затраты компаний на новые требования затруднительно, но структура расходов понятна. Это дополнительные мощности для классификации трафика, доработка существующих сервисов под новые логики блокировок и время разработчиков могут быть достаточно существенными»,— уверен Сергей Кудряшов. Источник “Ъ”, близкий к крупным технологическим компаниям, говорит, что затраты составят дополнительные 20% к текущим бюджетам на IT, «потому что придётся не просто перенастроить оборудование и каналы связи, а разработать или докупить специальные продукты для реализации тех или иных требований». Но господин Кудряшов считает, что такая оценка завышена: «Задача для платформ состоит не в закупке нового оборудования, а в модификации логики работы приложений — это решается за счёт перераспределения ресурсов разработки».

Источник СМИ в крупной технологической компании заявил, что отрасли пока непонятно, в какой степени каким пунктам новых требований Минцифры нужно следовать: «Мы готовимся применить эти требования, но их влияние на пользователей и бизнес пока неясно. Оно будет зависеть не только от того, что сделаем мы, но и что сделают остальные участники рынка». Источник СМИ, знакомый с планами Минцифры, рассказал, что пока нет точного механизма передачи данных компаниями о VPN в Роскомнадзор: «Все строится на уровне требований, но бизнес не понимает, как передавать данные, учитывая, что Роскомнадзор говорил, что IP-адреса являются персональными данными, а их передача без согласия ограничена». Другой собеседник СМИ добавил, что пока вопрос об отдельной ответственности компаний за несоблюдение новых требований по отслеживанию VPN с бизнесом не обсуждался.

В открытом доступе пока нет детально описанной и прозрачной процедуры, которая бы однозначно показывала, в каком именно формате компании должны передавать данные в Роскомнадзор, добавляет Антон Данилов-Данильян: «Скорее всего, речь будет идти либо об уже существующих каналах взаимодействия с регулятором, либо о дополнительных требованиях для сервисов, работающих в особом регуляторном контуре». «Но сейчас для этого нет правовых оснований, и компании в отрасли не понимают, на основании чего они вдруг должны выявлять VPN», — напоминает собеседник “Ъ”, близкий к крупному IT-бизнесу.

Сейчас Минцифры обсуждает ряд нюансов новых требований — доступы разработчиков и другое — с отраслью и ищет решения с учётом действующего законодательства, говорит собеседник “Ъ”, близкий к правительству. «Минцифры хочет решить задачу с минимальными последствиями и обременениями для пользователей. Существующие сейчас ограничения и обсуждаемые с операторами связи и цифровыми платформами новые меры по ограничению доступа пользователей с VPN — компромисс, позволяющий не вводить административную ответственность за это для граждан», — уверяет эксперт.

Разработчик под ником xtclovver выпустил открытый проект под названием RKNHardering. Это тестовое Android‑приложение для обнаружения VPN и прокси на устройстве, согласно методичке для выявления сетевых средств обхода. Исходный код решения написан на Kotlin.

Также на GitHub опубликован почти аналогичный проект YourVPNDead для Android.

В начале апреля 2026 года Минцифры выпустило для российских IT-компаний методичку по борьбе с VPN. В ведомстве просят площадки следить за сетевой активностью с помощью своих сервисов. При этом в Минцифры признали, что выявление VPN на iPhone «существенно ограничено» из-за ограничений ОС. Схема Минцифры: пользователь зашёл на условный маркетплейс, забыл выключить VPN, сервис не дал дальше им пользоваться, а затем обнаруженный IP-адрес, который посчитал за VPN, направил регулятору.