Методичка Минцифры для российских компаний, которая обязывает их ограничить доступ к своим сервисам пользователям с VPN, фактически обязывает компании внедрять в свои приложения шпионские модули. Это может негативно отразиться на работе их приложений и привести к бану на маркетплейсах типа GooglePlay и AppStore, считает киберадвокат Саркис Дарбинян.
О новых методических рекомендациях ведомства стало известно в конце прошлой недели. Как писало издание РБК, в них Минцифры фактически признало неспособность выявления VPN на устройствах iPhone из-за особенностей операционной системы iOS.
Ответственность за контроль использования VPN-сервисов ведомство решило переложить на российские компании — методичку получили, например, «Сбер», «Яндекс», VK, Wildberries, Ozon и Avito. Им поручили в срок до 15 апреля ограничить доступ к своим сервисам через VPN. В противном случае им пригрозили потерей IT-аккредитации и исключением из так называемых белых списков.
По сути распоряжение Минцифры предписывает компаниям внедрять в свои приложения шпионские модули, которые будут отслеживать активность пользователей, обращает внимание в своем Telegram-канале киберадвокат Саркис Дарбинян. Как писал РБК, Минцифры предписывало разбить выявление VPN на три этапа:
- Определять IP-адрес устройства и сравнивать его с теми IP-адресами, которые считаются российскими.
- Проверять использование средств обхода блокировок на устройстве при помощи своего приложения (если оно установлено на том же устройстве).
- Проверять использование VPN на устройствах под управлением операционных систем, отличных от Android и iOS (Windows, MacOS и др.).
Именно со вторым этапом проверки у российских властей возникали сложности, поскольку политика безопасности Apple предполагает, что приложения изолированы друг от друга. Фактически, как поясняет эксперт, по методичке Минцифры, приложения компаний «должны стучаться к другим приложениям и смотреть, как пользователь их использует», поэтому эти нововведения и можно назвать предустановкой «шпионских модулей». В начале марта о подобной технологии рассказывали и на примере госмессенджера Max. Дарбинян не исключает, что использоваться будет он же.
При этом в методичке нет ни слова о рисках, которые могут понести сами сервисы, а подобные нововведения могут негативно отразиться на их репутации, отмечает Дарбинян:
«Для бизнес-приложений это беспрецедентный шаг, который может окончательно подорвать доверие пользователей к российскому софту и сервисам. Скрыть такое сотрудничество бизнесу вряд ли удастся, поскольку исследователи и специалисты по безопасности неизбежно будут внимательно изучать поведение приложений, а любой след такого сотрудничества станет предметом публичного разбора.
Есть также большие сомнения, что Google и Apple оставят в своих каталогах подобные приложения. Последствия могут включать в том числе удаление приложения по всему миру, включая российские маркетплейсы, и отзыв лицензий разработчиков за грубое нарушение правил конфиденциальности, так что они никогда никакие приложения сервиса больше там не разместят», — поясняет он в разговоре с The Insider.
С начала апреля пользователи iPhone в России лишились возможности пополнять баланс Apple ID с мобильных счетов. Соответствующее указание операторам «большой четверки» было дано на совещании в Минцифры 28 марта. Среди причин тогда называли необходимость ограничить оплату VPN-сервисов.
