Как только закон о суверенном рунете стали пытаться заставить работать, операторы увидели в нем огромную дыру, пишет РБК. Те самые «технические средства противодействия угрозам безопасности интернета», которые они теперь обязаны, но не хотят устанавливать в своих сетях, не защищают данные абонентов от третьих лиц. 
Что произошло
Операторы попросили на уровне закона запретить использование данных абонентов компаниям, которые устанавливают на сетях оборудование для суверенного рунета, в том числе системы глубинной фильтрации трафика DPI. По сведениям издания, этот вопрос обсуждали на закрытом совещании в Совфеде 28 ноября.
По оценке одного из источников, сейчас сохранность данных при фильтрации данных не обеспечена вообще никак — вплоть до того, что получившие к ним доступ могут использовать их в коммерческих целях. Причем устройства фильтрации DPI ставятся в разрыв сети, а значит, через них проходит весь трафик.
Операторы связи отказываются комментировать, были ли прецеденты использования их данных при тестировании систем фильтрации, а содержание контрактов на фильтрацию трафика неизвестно.
Что надо знать о суверенном рунете
По мысли властей, закон о суверенном рунете должен обеспечить автономную работу и безопасность российского сегмента интернета даже при внешних попытках отключить его от глобальной сети. При такой угрозе контрольный орган через стоящее у операторов оборудование возьмет на себя централизованное управление сетями связи. Подробно о том, как это должно работать, мы рассказывали здесь.
- Путин подписал закон о суверенном рунете еще в начале мая, а вступать в действие он должен был с 1 ноября. Это произошло в лучшем случае точечно: еще не готовы подзаконные акты, не сертифицировано и не поставлено оборудование. Тестирование DPI на сетях уральских провайдеров прошло со сбоями.
- Благодаря DPI Роскомнадзор сможет напрямую блокировать пользователям не только нежелательные сайты, но и до сих пор не поддающиеся ему протоколы — например, Telegram.
- Претензии операторов именно к компании, устанавливающей систему, тоже не случайны. Продавать операторам DPI от «РДП.ру» и устанавливать его будет структура Антона Черепенникова, партнера миллиардера Алишера Усманова, писали «Ведомости».
- О том, как Черепенников за короткое время монополизировал рынок оборудования для «закона Яровой», мы подробно писали здесь. В его «Икс-холдинг» входят несколько компаний, разрабатывающих оборудование прослушки СОРМ, о чем сам бизнесмен говорил в интервью.
Что дальше
Эксперты расходятся во мнениях, может ли компания, устанавливающая DPI, получить доступ к данным пользователей по умолчанию, но никаких технических препятствий к этому не усматривают.
Инициативу операторов они называют разумной: сейчас операторы не несут ответственности за работу оборудования, но и к производителю такого оборудования нет никаких требований о сохранности данных. По мнению консультанта по информационной безопасности Cisco Systems Алексея Лукацкого, отсутствие в законе о суверенном рунете раздела, посвященного рискам и ответственности за работоспособность сети, — один из его очевидных недостатков.
Что мне с этого?
То, что при создании закона, затрагивающего интересы всех россиян, забыли о защите их данных, достаточно характеризует и сам закон, и процесс его разработки. Дело защиты пользователя все больше становится делом самого пользователя, поэтому сейчас самое время освежить нашу инструкцию по выживанию в суверенном рунете.