‍‍Методичка Минцифры по выявлению VPN: объясняем простым языком

Надеемся, уже все успели ознакомиться с методичкой, которой с нами любезно поделились неравнодушные коллеги. Огромное вам спасибо от нас и от всего Рунета.

Мы её подробно изучили и обратили внимание на большое количество технических терминов, которые, скорее всего, непонятны не IT-специалистам. Попробуем объяснить простым языком.

Сперва мы объясним что было в методичке, а в конце статьи будут ответы на вопросы, которые мы чаще всего встречали.

Поэтапное внедрение проверок средств обхода

Внедрение проверок VPN и Proxy планируется в несколько этапов. Называются они следующим образом:

• Этап 1: GeoIP (определение местоположения по IP)
• Этап 2: Мобильные устройства
• Этап 3: Широта охвата (ноутбуки и персональные компьютеры)

Разберём их подробно один за другим.

Этап 1: GeoIP

Планируется собирать и анализировать данные о геопозиции всех наших устройств: смартфонов, компьютеров, ноутбуков и так далее. Короче, всего, что позволяет заходить на отечественные сайты или пользоваться отечественными приложениями. Сбор и анализ данных будут происходить на серверах РКН.

Пример того, как это может происходить:

1. Вы заходите на сайт «Госуслуги».
2. Сервис видит ваш публичный IP-адрес.
3. По публичному IP-адресу, с использованием специальных баз данных, определяют ваш регион и страну.
4. Проверяют, не относится ли IP-адрес к дата-центру или хостингу.
5. Смотрят репутацию IP, был ли он раньше замечен в использовании VPN или прокси.
6. Сравнивают местоположение текущего входа в Госуслуги с историей ваших предыдущих местоположений при входе на сайт.

Пример ситуаций:

• Если вы в РФ и заходите на сайт без VPN, то будет виден российский IP-адрес: скорее всего, всё будет ок.

• Если вы в РФ, но у вас включен VPN, РКН может увидеть IP-адрес сервера, где развёрнут VPN. Например, в каких-нибудь Нидерландах. Тогда по геопозиции, репутации или истории ваших входов это может быть определено как подключение с VPN.

• Если VPN-сервер в РФ, РКН всё равно может заподозрить использование VPN по тому, что IP принадлежит хостингу. Это важно понимать для тех, кто проживает вне РФ и не может зайти на отечественные сайты без использования VPN.

Поскольку GeoIP — не очень точный метод, то в качестве вспомогательных источников на мобильных устройствах предлагается использовать:

• данные GPS/ГЛОНАСС;
• идентификаторы вышек мобильной связи;
• идентификаторы Wi-Fi точек рядом.

Естественно, эти данные не выдаются по умолчанию — приложениям нужны дополнительные разрешения. Поэтому нужно с настороженностью относиться к, например, отечественным мессенджерам, которые просят доступ к местоположению.

Этап 2: Мобильные устройства

Слежка за VPN на мобильных устройствах отличается тем, что анализ будет в основном происходить на наших с вами телефонах через отечественные приложения.

Пример того, как это будет происходить:

1. Вы открываете приложение «Госуслуги» или входите в свой аккаунт.
2. В этот момент приложение смотрит наличие факта VPN-подключения. И в Android, и в iOS есть механизмы, позволяющие увидеть признаки VPN, но на Android их обычно больше.
3. Если признаки использования VPN есть, то подключение может быть помечено как подозрительное. Данные об этом будут направлены в РКН.

Предвкушая вопрос «а как такие приложения пройдут проверку Google Play?», отвечаем: им необязательно это делать, потому что они могут распространяться через RuStore, который обязателен к установке на все продающиеся в России смартфоны с сентября 2025 года.

Этап 3: Ноутбуки и персональные компьютеры

Последним и самым сложным для РКН этапом является слежка через приложения на ноутбуках и компьютерах. Сложен он по той причине, что на компьютерах может быть больше ложноположительных срабатываний из-за корпоративных VPN, антивирусов, ПО для айтишников (Docker, WSL, виртуальные машины) и так далее. Этот этап будет выполняться после того, как методики опробуют на мобильных устройствах.

Стоит отметить, что летом 2025 года Минцифры обсуждало с представителями бизнеса предустановку отечественных ОС «Альт», «РедОС» и «Астра Линукс» на продаваемые в России ноутбуки и персональные компьютеры.

Ответы на вопросы

1. Гарантирует ли второе пространство (Knox, Shelter и так далее) защиту от слежки?

Второе пространство не гарантирует, что следящее приложение не увидит использование VPN. Например, на Android-смартфонах приложение из второго пространства имеет доступ к определённой информации о сетевых настройках, позволяющий выявлять некоторые VPN или Proxy.

К тому же, разработчики VPN-протоколов иногда совершают ошибки, которые упрощают слежку даже с использованием второго пространства.

2. Гарантирует ли раздельное туннелирование защиту от слежки?

Не гарантирует по той же причине, по которой не поможет второе пространство (см. выше).

3. А если использовать веб-версию вместо приложения?

Веб-версия снижает возможности слежки, но не исключает их полностью. Как уже упоминалось в разборе первого этапа, сервер сайта, например, «Госуслуги», всё равно видит ваш IP-адрес и его местоположение. А значит, сервис может сохранять историю перемещений, анализировать её и принимать на её основе решения. Если вы хотя бы раз забудете выключить VPN и зайдёте на следящий сайт, то ваше внезапное перемещение куда-нибудь в Нидерланды будет выглядеть подозрительно.

4. А если я буду выключать VPN перед использованием следящих приложений, а потом включать обратно?

В методичке указано, что проверки на использование VPN должны происходить при запуске приложения, входе в аккаунт или другом ключевом действии. Сами ключевые действия определят компании, разрабатывающие следящие приложения. Несмотря на то, что в методичке прямым текстом запрещён непрерывный контроль, мы советуем не верить на слово и считать, что приложения могут следить, даже находясь в фоне.

5. Какие приложения будут следить?

К приложениям, которые могут осуществлять слежку за VPN, можно отнести любые приложения компаний, которые Минцифры хочет привлечь к борьбе с VPN: «Сбер», «Яндекс», VK, Wildberries&Russ, Ozon, «Газпром-Медиа», «Авито», X5, 2ГИС, ivi, Wink, HeadHunter, «Литрес», ЦИАН, Lamoda, «Магнит Маркет», «ВсеИнструменты.ру», «Гисметео», «Рамблер», «Лемана Про», «Туту», «Вкусвилл» и «Лента».

Мы советуем относиться к любым отечественным приложениям как к потенциально следящим.

6. Использовать iOS надёжнее, чем Andriod?

Нет. Использование опредлённых операционных систем не гарантирует то, что VPN не будет выявлен, так как этим VPN могут пользоваться разные люди, с разными техническими навыками и разным подходом к цифровой гигиене. К тому же, слежка через веб-версии отечественных сервисов работает одинаково для любых устройств.

7. Как защититься от слежки?

Самым простым и, в то же время, наиболее надёжным способом противодействия такому уровню слежки является наличие отдельного устройства (смартфон и/или ноутбук) для всех отечественных приложений и сервисов.

Объединяйтесь.