Борьба с VPN в России ударит по ИБ-отрасли: индустрии грозят сбои в поддержке западного ПО, отток кадров и рост атак на пользователей
Блокировка VPN в России обернулась проблемами для ИБ-отрасли: западные решения теряют связь с облаками, специалисты за рубежом не могут полноценно работать, а переход на отечественные аналоги пока болезнен. Эксперты рассказали SecPost, чем еще это грозит отрасли, а также почему обычные пользователи, ищущие обходы, могут стать легкой добычей для киберпреступников.
В понедельник, 30 марта, Минцифры провело совещание с руководителями отечественных компаний — лидеров по размеру ежемесячно активных пользователей. Глава министерства Максут Шадаев, как писал РБК, сообщил участникам встречи, что к 15 апреля компаниям необходимо ограничить доступ на их платформы пользователям с включенным VPN.
«Влияние уже ощущается, но оно неоднозначное», — отметил руководитель отдела администрирования и DevOPS MD Audit (SL Soft FabricaONE.AI, акционер — ГК Softline) Александр Дёмин в комментарии SecPost. Ограничения усложняют трансграничное взаимодействие — становится менее предсказуемым доступ к инфраструктуре, распределенным командам и зарубежным ресурсам.
«Это особенно чувствительно для компаний, работающих с распределенными командами и внешними экспертами», — отмечает Дёмин.
Однако эксперт видит в этом и другую сторону: ситуация стимулирует развитие собственных решений, как в части защищенного удаленного доступа, так и в области контроля трафика и мониторинга. Компании стали активнее инвестировать в корпоративные VPN, Zero Trust-подходы и внутренние сервисы доступа.
«Для ИБ-рынка это означает сдвиг от «потребления» к «разработке и внедрению». Но краткосрочно возникают издержки: усложнение архитектур, рост требований к инфраструктуре и необходимость быстрее закрывать пробелы в компетенциях», — считает эксперт.
Проблемы с западным ПО и отток кадров
Как отмечает основатель «Интернет-Розыска» Игорь Бедеров, многие западные системы безопасности (SIEM, NGFW, EDR) по-прежнему тянут телеметрию и сигнатуры через внешние облака. «Без стабильного VPN эти каналы рвутся — и мы получаем задержки в получении апдейтов и, как следствие, окна уязвимостей», — подчеркивает эксперт.
В то же время отток кадров усилился: если раньше специалист мог уехать, но продолжать полноценно работать на российскую компанию, теперь же такая работа, как говорит Бедеров, превращается в «полосу препятствий». Кто-то из сотрудников возвращается в Россию, но кто-то и рвет контракты.
«Потеря одного senior для команды SOC — это потеря 2-3 лет компетенций, которые не нарастить джунами», — подчеркивает эксперт.
Одновременно с этим наращивает темпы негласный переход на отечественные решения для удаленного доступа, но Бедеров называет их «пока сырыми». Впрочем, выбора нет, поэтому приходится пользоваться ими — что снижает общий уровень защищенности самих российских ИБ-компаний.
Риски для работы с иностранными клиентами
Проблемы могут возникнуть и в работе с иностранными клиентами российских ИБ-компаний. В качестве примера Бедеров приводит компании, которые продают решения для анализа трафика, песочницы или управления уязвимостями — при этом география широкая: страны СНГ, Азии и Ближнего Востока. Поддержка этих проектов зависит от удаленного доступа к демо-стендам, тестовым контурам, документации.
«Если этот доступ глушится — поддержка становится рваной. Инциденты не закрываются в срок, обновления выходят с задержками. Но есть и другой риск — юридический», — отмечает эксперт.
Бедеров приводит гипотетический сценарий, при котором сотрудник, находящийся в России, подключается через VPN к зарубежному облаку заказчика. Регулятор может начать анализировать узлы, через которые идет трафик. Теоретически это может раскрыть архитектуру проекта, IP-адреса заказчиков, даже служебные пароли.
«Зарубежные заказчики всё чаще включают в контракты пункты о том, где физически находятся сотрудники подрядчика. Если российский вендор не может подтвердить, что его инженеры работают через защищенные каналы без юрисдикционных рисков — контракты начинают рвать», — говорит эксперт.
Пользователи ищут обходы и становятся уязвимее
Борьба с VPN усилилась в конце марта: Минцифры потребовало от «большой четверки» мобильных операторов заблокировать возможность пополнения Apple ID со счета мобильного телефона. Это было нужно для того, чтобы пользователи не могли оплачивать услуги VPN. Также сообщалось о планах ввести плату за потребление свыше 15 Гб международного трафика в месяц, срок выполнения этого требования — до 1 мая.
«Люди не перестанут хотеть доступа к заблокированным ресурсам. Когда государственные регуляторы давят на легальные VPN-сервисы, пользователи не вздыхают с облегчением — они идут искать обходы. И находят», — уверен Бедеров.
Дёмин допускает, что блокировки VPN могут привести к увеличению уязвимости пользователей. «При ограничении привычных инструментов пользователи начинают искать альтернативы и часто выбирают менее надежные решения», — считает эксперт.
Так, люди могут пострадать от сомнительных VPN-сервисов, прокси или «самодельных» инструкций, распространяемых через мессенджеры и форумы. Это приведет к росту рисков для пользователей: человек может передать трафик неизвестному провайдеру, установить непроверенное ПО или открыть доступ к своему устройству.
«Это создает угрозы утечки данных, заражения и компрометации аккаунтов. Такая ситуация типична: чем выше барьеры, тем больше спрос на обходные инструменты и тем ниже средний уровень их безопасности. Поэтому ограничения без одновременного развития безопасных альтернатив могут приводить к обратному эффекту — к снижению общей защищенности пользователей», — подчеркивает Дёмин.
В качестве потенциально проблемных направлений Бедеров выделяет публичные прокси-серверы, самодельные цепочки из арендованных VPS, сомнительные VPN-агрегаторы с сомнительной же монетизацией. Эксперт отмечает, что часть этих решений не имеет ни логирования, ни шифрования в том виде, в котором нужно. При этом часть из них — сознательно вредоносна.
«Люди теряют бдительность. Когда ты используешь официальный сервис от крупного провайдера, ты хотя бы знаешь, кто за ним стоит. Когда ты тыкаешь в первую ссылку в Telegram — ты не знаешь ничего», — подчеркивает эксперт.
По словам Бедерова, атаки по модели «человек посередине» на таких подпольных каналах — это уже не теория. «Поэтому да, я ожидаю рост успешных атак именно через «народные» методы обхода. Пользователи станут менее защищены, а не более».
Telegram-канал «Время Госзакупок» сообщал со ссылкой на собственные источники в отрасли, что крупные IT-компании пользуются услугами специалистов класса senior, находящихся за рубежом. Решение касательно VPN в первую очередь замедлит «перевооружение» критической информационной инфраструктуры. При этом период перехода на отечественное ПО еще продолжается: часть софта все еще в процессе тестирования.
«Под угрозой срывы госзаказов, поскольку в эти процессы вовлечены множество небольших IT-контор в качестве субподрядчиков. Некоторые из них уже уведомили заказчиков, что взяли паузу, пока не прояснится ситуация со списком запрещенных VPN-сервисов», — сообщал собеседник «Времени закупок».
SecPost писал о февральском отчете Роскомнадзора. Регулятор заявил, что в стране удалось ограничить доступ к 469 VPN-сервисам. Для сравнения, по итогам 2024 года было заблокировано 197 таких сервисов. При этом хакерские группировки активно распространяют поддельные VPN-клиенты — их целью называли хищение корпоративных данных.
Спрос на VPN-сервисы растет на волне ограничения властями иностранных мессенджеров. Однако на быструю победу над средствами обхода рассчитывать не стоит: невозможно полностью уничтожить VPN, не разрушив весь интернет. Какие риски несет за собой рост спроса на VPN — читайте в большом материале SecPost.
Читайте также
