Источник отрасли: IT-компании начали приостанавливать проекты после совещания в Минцифры

По информации телеграм-канала «Время госзакупок», источник в отрасли сообщил, что IT-компании начали приостанавливать некоторые свои проекты после совещания в Минцифры. Одной из ключевых проблем стало использование специалистов уровня senior, находящихся за рубежом, что может замедлить переход на отечественное ПО и «перевооружение» критической инфраструктуры. Также под угрозой срыва госзаказы: часть подрядчиков уже поставила работы на паузу из-за неопределённости со списком запрещённых VPN-сервисов.

«Одна из проблем, что даже крупные IT-компании пользуются услугами специалистов класса senior, находящихся за рубежом. Из наших же соотечественников. Это в первую очередь замедлит „перевооружение“ критической информационной инфраструктуры. Даже ряд госкомпаний не успели еще полностью перейти на отечественное ПО, поскольку часть софта все еще в процессе тестирования. Под угрозой срывы госзаказов, поскольку в эти процессы вовлечены множество небольших IT?контор в качестве субподрядчиков. Некоторые из них уже уведомили заказчиков, что взяли паузу, пока не прояснится ситуация со списком запрещенных VPN?сервисов», — рассказал источник из IT?отрасли.

Эксперты РБК пояснили, что блокировка VPN на крупных интернет-площадках технически сложна и затратна. Риск ошибок при отсеивании «легальных» пользователей высок, при этом бизнесу потребуются дополнительные мощности. Кроме того, по словам экспертов, непонятно, как они будут отличать корпоративный VPN от других.

«Первый самый простой, наверное, вариант: в принципе запрет на работу пользователей, которые заходят [на ресурс] из?за границы. Понятное дело, это очень плохой вариант. Второй вариант, но он уже технически сложнее — это введение так называемых скоринговых моделей, когда будет определяться, действительно ли человек пользуется VPN, или же он просто находится, например, в командировке в условном Казахстане», — рассказал СМИ эксперт.

При использовании скоринговых моделей необходимо собирать большое количество данных об устройстве, на котором установлено приложение компании, в частности, об используемом языке или локации. Это, по словам управляющего RTM Group Евгения Царёва, «довольно сложно реализовать», поскольку потребует больших вычислительных мощностей и несет риск ложных срабатываний.

«В момент подключения происходит обмен пакетами, которые можно зафиксировать и понять, что пользователь включил VPN. А вот когда он уже работает, мы не знаем: здесь он пользуется им для обхода блокировок или это корпоративный VPN», — пояснил Царёв.

Генеральный директор компании Zecurion, эксперт по кибербезопасности Алексей Раевский в эфире Радио РБК рассказал, что, когда к сервису или сайту поступает запрос, он может проанализировать «гораздо больше информации» с клиентского места: IP-адрес, версию операционной системы, версию браузера, установленные настройки региона. Кроме того, помочь выявить применение VPN могут данные о том, что пять минут назад человек «обращался к ресурсу из России, а сейчас обращается из Голландии».

«Поэтому действительно на базе вот этих сервисов, которыми в массовом режиме все россияне пользуются, можно это сделать», — сказал Раевский.

Однако он также назвал две проблемы, которые следуют из такого способа борьбы с VPN: ложное блокирование перехода на сайт «легальных» пользователей и замедление работы сервисов. Кроме того, создание системы распознавания VPN потребует ресурсов — в частности, команды, которая будет разрабатывать и поддерживать это ПО, а также дополнительных вычислительных мощностей для хранения контекстной информации в базе данных и ее анализа. По словам Раевского, компаниям это может обойтись в десятки миллионов рублей в месяц.

На вопрос о том, как Минцифры может контролировать исполнение бизнесом этих требований, эксперт ответил, что, возможно, регуляторы прибегнут к способу контрольных закупок: когда на сервисы специально будут заходить пользователи через VPN.

По информации РБК, Минцифры РФ попросило крупнейшие в России по аудитории цифровые площадки («Сбер», «Яндекс», VK, Wildberries & Russ, Ozon, «Газпром?Медиа», «Авито», X5, «2ГИС», ivi, Wink, HeadHunter, «Литрес», ЦИАН, Lamoda, «Магнит Маркет», «Всеинструменты.ру», «Гисметео», «Рамблер», «Лемана Про», «Туту», «Вкусвилл», «Ленту» и другие) помочь ведомству с блокировкой VPN с середины апреля 2026 года. Если же компании не согласятся ограничить доступ, то их могут лишить аккредитации Минцифры.

Источники из телеком-отрасли рассказали СМИ, что компании получили специальные методички от Минцифры, в которых сказано, как находить VPN-трафик и блокировать доступ пользователям. Фактически речь идёт о том, чтобы борьба с VPN велась не только на уровне операторов и регулятора, но и силами самих платформ. Более того, компании должны будут передавать данные о новых VPN-адресах в Роскомнадзор, чтобы их затем блокировали и на других ресурсах. Технически большинство компаний, участвовавших в совещании с Минцифры, к таким мерам уже почти готовы, хотя им потребуется дополнительная настройка внутренних систем.

Эксперты считают, что так Минцифры создаст «белый» и «чёрный» список VPN. По «белым» спискам можно будет заходить на заблокированные сервисы. Это будут корпоративные VPN, чтобы компании могли продолжать работу. Эксперты считают, что это не решает проблему случайных блокировок, потому что нет надёжного способа отличить разрешённый VPN-трафик от запрещённого. Также могут пострадать все пользователи из дружественных стран.

Также площадки поставили перед фактом — они разрывают все зашифрованные соединения пользователей или их оперативно уберут из «белого списка», фактически получая теневой бан.

«Минцифры хочет ограничить доступ к VPN без прямых штрафов и требует от платформ перекрыть доступ к своим сервисам с включённым VPN. Компании, которые откажутся, могут исключить из „белых списков“, их сервисы перестанут работать при выключенном интернете. Ограничения потенциально могут затронуть все маркетплейсы, соцсети и другие крупные онлайн?сервисы (например, WB, Ozon „Яндекса“ и VK)», — пояснили источники СМИ.