Текст был расшифрован автоматически.

Маргарита Лютова. Здравствуйте! Вы на канале Carnegie Politika Берлинского центра Карнеги по изучению России и Евразии. Меня зовут Маргарита Лютова, здесь со мной в этой онлайн-студии Давид Френкель, технический руководитель дата-отдела «Медиазоны» и автор статей для Carnegie Politika. Давид, приветствую!

Давид Френкель. Привет!

Лютова. Спасибо нашим зрителям, что вы к нам присоединяетесь, спасибо за ваши лайки, которые очень помогают развиваться каналу Carnegie Politika. Поддержите нас, пожалуйста, таким образом, это для нас очень ценно. Речь сегодня пойдет о всевозможных технических ограничениях, которые налагают российские власти. Новостей на эту тему очень много, по несколько раз в день. Постараемся отделить важные, имеющие долгосрочные последствия от информационного шума и говорить на человеческом, а не на техническом, как часто бывает в этих новостях.

Итак, буквально сегодняшнее сообщение о том, что новые пользовательские данные, якобы будут доступны для поиска в СОРМ, всесильной системе, часто в представлении пользователей, которые не очень технически подкованы. Об этом сообщил «Коммерсант», и теперь якобы и паспортные адреса, ИНН, банковские реквизиты, и чего только не, будут чуть ли не в легком доступе для оперативно-розыскных мероприятий. Объясните, пожалуйста, как все это понимать, вызывает, я думаю, довольно много беспокойства читать такие сообщения, будто бы теперь еще сильнее за ними будут следить.

Френкель. Да, я думаю, что главное, что нужно сказать, это то, что важно понимать и не иметь иллюзий, что все эти сведения и так были бы в доступе у правоохранительных органов. Никакие паспортные данные, банковские, ИНН, ничего из этого операторы не стали бы скрывать, если бы правоохранительные органы о них попросили. Речь идет в первую очередь о том, чтобы автоматизировать такой обмен, чтобы не нужно было слать какую-то бумажку с запросом, а получать эти сведения в автоматическом или каком-то полуавтоматическом режиме.

Лютова. Это такой бюрократический процесс, то есть формально речь идет вообще о приказе Министерства цифрового развития, где перечислены требования к операторам связи, и получается, что просто этот приказ какие-то документальные процессы должен упростить.

Френкель. Не столько это все-таки бюрократически, это скорее такая оптимизация бюрократии. Да, сейчас действительно бюрократический процесс, то есть в рамках ОРМ, там правоохранительные органы, силовики какие-то, ФСБ или полиция, они должны запросить эти сведения в бюрократическом режиме. По крайней мере, на бумаге это должно так выглядеть, для суда это должно так выглядеть. Мы понимаем, что они зачастую это делают в обход, зачастую они просто присылают, звонят какому-то своему сотруднику, прикомандированному к оператору связи. Но на бумаге, для красоты, для суда они должны показать, что да, действительно там проведено ОРМ, проведена какая-то работа, отправлены запросы, в общем, защититься такими бумажками.

Да, теперь они явно хотят от этого всего избавиться, они хотят, чтобы это все было автоматически, чтобы был какой-то подзаконный акт, нормативный акт, который устанавливает порядок взаимодействия. И потом вместо того, чтобы суду показывать все эти свои запросы, ответы, они просто скажут: «Да, вот как бы есть нормативный акт, есть порядок взаимодействия, и мы в рамках этого порядка взаимодействия сами получили все, что нам нужно». А операторов просто, ну, скажем так, превентивно обяжут передавать эти сведения, даже не передавать сведения, а делать их доступными для СОРМа.

Мне кажется, что многие, кто писали эту новость, не совсем поняли, в чем принципиальное отличие. Принципиально отличие в том, что не сам СОРМ нужно будет изменить операторам, потому что операторы не имеют, в общем, никакого прямого доступа к СОРМу, для операторов это черный ящик. А операторов обяжут построить некий сервис свой внутренний, который будет взаимодействовать с СОРМом и все эти сведения передавать, видимо, в постоянном режиме. То есть оператор, не знаю, напишет программу, которая будет собирать сведения о своих абонентах, паспортные данные, еще какие-то, брать их из какой-то базы и просто сгружать их на эти самые коробочки СОРМ. И вот там перечислено, по каким протоколам это можно делать.

И дальше уже не нужно никакой запрос слать. Сотрудник, имеющий доступ к СОРМу, просто будет писать какой-то поисковый запрос. И получает список доступных сведений у конкретного оператора на конкретном устройстве СОРМ. О, вот уже как в Google, да, скажи мне какой паспорт у такого-то человека. И оператору не нужно будет уже никаких дополнительных действий после этого делать. Все уже будет как бы передано на СОРМ. В этом главная угроза, главное изменение. Но, по сути, для конечного пользователя, для нас с вами, да, или абонентов этих провайдеров, ничего не поменяется, кроме скорости этого взаимодействия. Просто это произойдет быстрее и проще для силовиков. Но для вас ничего не поменяется.

Лютова. Вряд ли эта скорость для нас принципиальна, для пользователя.

Френкель. Система крутится медленно, поэтому, к сожалению, да, в смысле, что рано или поздно, если есть что найти и как прицепиться к конкретному человеку, ну, конечно, эта скорость на вас никак не повлияет. Ну, хорошо, они вместо года будут несколько месяцев этим заниматься. Для вас действительно ничего не поменяется.

Лютова. Ну, да, важно понимать, что операторы эти данные так или иначе все равно передадут и сейчас, и до приказа, и после. Другое сообщение, тоже касающееся данных абонентов. Вчерашнее. Стало известно, что «Роскомнадзор», это официальные данные, оштрафовал 85 операторов связи за то, что они не предоставили сведения об IP-адресах своих абонентов. При этом запросов таковых было почти 1400. Видимо, хочется отсюда сделать очень простой, возможно, неверный вывод, что все остальные все предоставили. И дальше возникла путаница о каких именно IP-адресах идет речь, является ли это борьбой с DDoS-атаками или борьбой с VPN. Расшифруйте, пожалуйста, и эту технически-бюрократическую новеллу.

Френкель. Да, в общем, именно так. Действительно, все остальные все предоставили. В 2025 году была довольно, на самом деле, громкая новость, мы ее все широко обсуждали. О поправке, которая обязывала оператора действительно предоставлять эти сведения. И более того, речь шла о том, чтобы создать вообще личный кабинет для провайдеров в «Роскомнадзоре», куда провайдеры должны были быть точно так же…. Ну, вот похожая история. Чтобы все автоматизировать, упростить для силовиков, чтобы провайдеры сами ходили куда-то заливать, да буквально все то же самое. И есть отдельно там поправки, пункт о том, что... А еще помимо вот этой автоматической системы, куда, ну, полуавтоматической системы, куда провайдеры сами должны были ходить и руками все загружать без запросов, помимо этого силовики еще теперь могут отправлять запрос, на который нужно быстро ответить.

И вот эти вот тысячи с лишним запросов, это как отправленные, ну, вручную для какой-то оперативной информации. И действительно там 80 провайдеров не ответили на этот запрос, и получили закономерный штраф. Мы даже не знаем, может быть, они как бы опоздали просто и отправили эти данные позже. Не надо строить иллюзии, что провайдеры какой-то большой борьбой с режимом занимаются, не готовы, значит, ничего передавать и сотрудничать. Это похоже на такую процессуальную немножко историю. Действительно, да, они не предоставили сведения по конкретному запросу. Пропустили, забыли, не успели что угодно.

Я уверен, что эти сведения в итоге силовики в любом случае получили. Вот через автоматическую систему, через просто поздно отправленный ответ. Или после того, как штраф заплатили, оператору пришлось выполнить эти требования. Потому что в конечном итоге у операторов просто отбирают лицензию. Поэтому либо они прекращают существование, либо они сотрудничают.

Лютова. А давайте уточним, о каких именно сведениях идет речь, потому что я потом встретила официальные комментарии «Роскомнадзора» для РБК, который пояснил, что речь идет о данных IP-адресов оборудования, но не о принадлежности конкретным пользователям. То есть, грубо говоря, есть там абонент какого-то провайдера, не знаю, Маши Ивановой, и у нее есть роутер. И присылается IP-адрес роутера, но не тот факт, что роутер стоит у Маши Ивановой. Или как это устроено?

Френкель. Конечно, одним из важнейших сведений для следователей является взаимосвязь между IP-адресом и, ну, как бы, абонентом, тем человеком, на которого заключен контракт между провайдером и, ну, значит, домом, квартирой. Потому что, действительно, провайдеры не могут узнать, в общем, кто конкретно совершал какие действия в интернете внутри вашей квартиры, или кто был у вас в гостях, кто подключался, какие устройства. Все это скрыто по нормальному, скрыто в вашей внутренней сети. У вас там установлен роутер, вы помещаетесь к вашему роутеру, который Wi-Fi раздает, и это все остается на его стороне.

А вот, скажем так, розетка, в которую ваш роутер воткнут, розетка интернета, которую установил провайдер, вот с этого момента провайдер уже знает, и он знает, например, серийный, если можно так сказать, номер вашего роутера. Что важно, это то, что для того, чтобы вы могли пользоваться интернетом, провайдер выдает вам IP-адрес, и этот IP-адрес как бы единый на эту розетку. И, соответственно, вот эти сведения, вот эта, как бы, такая таблица соответствий, кому в какое время провайдер выдал, какой розетке провайдер выдал какой IP-адрес, это самое интересное сведение для силовиков, потому что для них это означает, ну, собственно, какая квартира там совершила определенные действия в интернете.

Например, совершено мошенничество, давайте делать вид, что, в общем, силовики не только слежкой со злонамеренными целями занимаются, но реально иногда расследуют преступления. Вот совершено какое-то мошенничество, человеку, не знаю, что-нибудь отправили какую-то поддельную ссылку, и мы знаем IP-адрес, например, с которого эта ссылка была отправлена. Человек зашел на Яндекс.Почту, отправил ссылку, и мы знаем, с какого IP-адреса он зашел на Яндекс.Почту. И дальше правоохранительным органам нужно понять, а этот IP-адрес, они могут узнать, что этот IP-адрес принадлежит определенному провайдеру просто по, ну, есть такие таблицы глобального соответствия, да, кто владеет каким набором адресов. Они знают, что это там, не знаю, «Мегафон». И они приходят к «Мегафону» и говорят: «Скажите, пожалуйста, кто вот именно в этот момент времени, когда была отправлена ссылка, в вашей внутренней системе получил этот IP-адрес»? Для того, чтобы как раз узнать, ну, кто мошенник.

И дальше, получив от оператора соответствие, IP-адреса меняются, перевыдаются, они могут выдаваться, например, на день, а могут выдаваться, например, на все время, что у вас эта розетка, вы можете заплатить, чтобы у вас был постоянный IP-адрес. То есть со стороны правоохранительные органы не знают, как это устроено для конкретного IP-адреса, поэтому они приходят к провайдеру, так или иначе получают ответ, какая, ну, какая квартира, или если это мобильный провайдер, там как бы больше сведений, какой это конкретно телефон, где он находился, там много, много что можно узнать от мобильных операторов. Получают эти сведения и дальше уже, ну, другие действия, обыски и все прочее.

Лютова. То есть, грубо говоря, эти данные — это помощь силовикам в том, чтобы получать информацию о том, кто и что делал в интернете, будь то мошенничество или, не знаю, изучение материалов каких-нибудь независимых СМИ.

Френкель. Ну, это буквально угроза вычислить тебя по IP, вот это она самая. То есть, если уже IP-адрес известен, то да, вот именно так через провайдеров они это получают. То есть, с помощью вот этой самой первой нашей новости провайдеры будут сгружать больше сведений на СОРМ, то есть, там сразу с IP-адресом будет написано, например, ну, гипотетически будет написано, например, ваш ИНН, паспортные данные и так далее, что упростит эту задачу, не нужно будет все эти запросы писать. Но это все вот эти попытки силовиков упростить себе жизнь, сделать так, чтобы это можно было все делать максимально автоматически и буквально писать в Google, кому предложит этот IP-адрес и не тратить время на всякие запросы, бюрократию и прочее.

Лютова. Для конечного пользователя, который находится в России, что все это означает? То есть, может ли он теперь полностью быть, ну, уверенно в плохом смысле слова, что он в любой момент может быть, как вы сказали, вычислен по IP и в интернете он фактически больше не анонимен, если он никаким специальным средством анонимизации не прибегает?

Френкель. Никогда не был. То есть, ничего не поменялось. С самого начала существования всей этой инфраструктуры это работает именно так. При необходимости во всем мире силовики приходят к операторам и спрашивают, кто совершил это преступление вот с этого IP-адреса, и операторы, ну, по-хорошему взаимодействуют, потому что мы можем придумать огромное количество ситуаций, когда это абсолютно оправданно. Я не знаю, там, буллинг в интернете приведший к самоубийству, мошенничества какие-то, не знаю, заказ убийства, что угодно. Мы можем придумать огромное количество преступлений. В общем, все преступления в современном мире так иначе связаны с, не знаю, коммуникацией, использованием сетей.

Ну, так огромное количество причин, почему провайдеры должны действительно взаимодействовать и помогать находить преступников. К сожалению, естественно, этим злоупотребляют во всем мире. Российские силовики, там, ФСБшники, не исключение совершенно. Просто у нас к ним еще меньше доверия, чем к кому-либо. Но для нас ничего не поменяется. Для россиян, которые, не знаю, опасаются какой-то слежки, дополнительного внимания, ничего не меняется. Как раньше нужно было использовать средства скрытия трафика, так теперь точно так же их нужно использовать. Просто иметь в виду, что в случае чего найдут их быстрее, чем раньше, потому что нужно будет бумажку писать.

Лютова. Тут, наверное, у многих просто возникнет вопрос, а что, если найдут тот факт, что я использую средства сокрытия своего трафика? И об этом, наверное, сейчас поговорим про борьбу с VPN.

Френкель. У нас есть один единственный закон в Кодексе административных правонарушений о поиске экстремистской информации. Причем не просто любой, а та, которая внесена в реестр экстремистских материалов. И там есть подпункт о том, что, ну, скажем, вас автоматически практически штрафуют, если вы не просто искали материал, а искали его с помощью средств сокрытия трафика. То есть, грубо говоря, если вы через VPN искали что-то заведомо запрещенное из реестра запрещенных, не просто там что-то запрещенное, а именно из реестра, то вас можно штрафовать. Там не очень большой штраф. Иначе нужно доказывать умысел.

Лютова. И «Медиазона» писала об этом очень хорошо. Возникает вопрос, а как именно об этом узнают силовики, если я использовала средства анонимизации?

Френкель. Мы знаем, как они это делают на самом деле. Здесь нет никакого фокуса технического. У вас забирают телефон и смотрят, что в нем установлено. И все известные нам дела по этой статье, они построены ровно так. Причем мы даже не знаем на самом деле, как это произошло. Я объясню. Дело в том, что в этих делах, их, по-моему, три сейчас, у человека отбирали телефон, уже зная, что в нем найдут. То есть, дело построено так, что, да, у человека отобрали телефон, нашли там историю поиска. Там даже не идет речь о том, что у него нашли VPN, но нашли историю поиска, что он искал какие-то экстремистские материалы. Но мы не понимаем, как он привлек внимание силовиков изначально.

А из материалов абсолютно очевидно, да, что там человек... За человеком следили, человека поймали буквально чуть ли не в автобусе, где он ехал, и знали уже, что у него найдут. То есть, видимо, силовики просто используют это не очень популярную и, в общем, с небольшим штрафом статью для какой-то... для давления на тех, на кого они не могут надавить иначе, но очень хотят. Поэтому пока что эта статья фактически не используется в реальности, и массово уж точно.

Лютова. Резюме — пользуйтесь VPN, дорогие наши зрители.

Френкель. В любом случае. Просто пользуйтесь. В общем, на самом деле, все наши обсуждения можно свести к тому, что не выключайте VPN, имейте их несколько, используйте их для всего. Ну, можем поговорить в деталях, есть разные более сложные истории.

Лютова. Отчасти даже глава Совета по правам человека, давно потерявшего свою прямую функцию, Валерий Фадеев, на нашей стороне, он тут внезапно высказался в том духе, что, ну, бесполезно регулировать VPN. Мол, это сложнейшая система, выключить невозможно. А если все-таки попытаться сделать, то, якобы, цитирую Валерия Фадеева уже почти дословно, огромная система интернета просто может быть сломана. Это очевидно, говорит Валерий Фадеев. Что скажете, согласимся ли мы с Валерием Фадеевым?

Френкель. Ну, вынужденно согласимся. Два раза в день, да, сломанные часы показывают правильное время. И мы все знаем человека, чьи права Валерий Фадеев защищает, единственного. Но проблема в том, что... То есть, скажем так, что мне больше всего интересно в этой новости, это мое ощущение, что кто-то добежал до Фадеева как до лоббиста, кто-то, кто очень заинтересован в том, чтобы все-таки VPN работали. А мы слышали несколько таких голосов. Да, мы слышали этот голос, например госпожи Касперской, которая тоже очень сильно вступилась за интернет и бизнесы, которые в интернете работают, с той же самой мыслью, что нельзя все заблокировать, вы просто уничтожите всю отрасль. Госпожа Касперская уже извинилась за свои очень резкие высказывания.

Вот теперь кто-то добежал до Фадеева как до лоббиста тех же самых бизнес-интересов. Ну да, действительно пытаются заблокировать все на свете. В итоге крошат просто бизнесы, особенно малые бизнесы. Потому что если какие-то крупные компании... Понятно, что там Яндекс какой-нибудь договорится с силовиками и государством о том, как им работать в новых условиях. Ну, в общем, в белые списки их выносят, и все у них более-менее хорошо. Какие-то малые бизнесы или новые просто бизнесы, у них совершенно как бы правила игры теперь не прописаны. Как им достучаться, как им попасть в белые списки, как им не стать жертвой вот этих ковровых бомбардировок, ковровых отключений VPN.

И мы понимаем, что, ну скажем так, как правило, Парето много где действует, так и здесь, что большая часть самых простых средств обхода блокировок VPN они уже побеждены. В том смысле, что они заблокированы, и они заблокированы как-то довольно легко. Остались те, кто активно борется. И с ними бороться Роскомнадзору очень сложно. Приходится идти на всякие сложные методы, разные экзотические их примеры мы слышали в последние месяцы, и ввести плату за иностранный трафик, и просто блокировать VPN в популярных приложениях, в маркетплейсах. Все эти странные инициативы как раз появляются потому, что с теми, кто выжил, с ними очень сложно бороться.

И единственный способ борьбы дальше — это, в общем, просто отключать все, отключать весь иностранный трафик, отключать все, что не похоже на что-то обычное. И то VPN мимикрируют, и начинаем блокировать обычные сайты. Непонятно, как сделать так, чтобы не уничтожить половину интернета дальше. И очевидно, что малые бизнесы и многие интернет-бизнесы довольно, мне кажется, опасаются новых шагов, которые приведут к тому, что их заденет. Да, и сейчас они еще как-то существуют, то на следующей итерации этой войны они вполне могут стать жертвами. Но, мне кажется, они ищут все возможные пути лоббирования, пути как-то достучаться до этих кабинетов и сказать, что нас не трогайте, мы хотим работать дальше.

Поэтому и господин Фадеев оказался, мне кажется, в этой сфере. Не вызывает у меня ощущения, что он какой-то омбудсмен, тем более интернет-омбудсмен. Поэтому, мне кажется, это абсолютно такая лоббистская история. Услышат ли его голос? Мне кажется, по большему счету, нет. Потому что, мне кажется, что источником главных требований последних месяцев является или сам Путин, или кто-то очень наверху, кто-то очень приближенный к нему. Плюс очень много бизнес-интересов уже силовиков по продаже устройств, по продаже устройств для блокировок, по дележке этого рынка, что остановить эту систему никто не хочет. Зачем это делать, когда мы все прекрасно работаем, «Роскомнадзор» прекрасно работает.

«Роскомнадзор», я не устаю напоминать, запросил себе министерские полномочия в какой-то момент, попросили сделать их министерством. Потому что очень хорошо у них все идет, они прекрасно работают, они справляются, по большему счету, с блокировками, и они хотят еще больше денег, еще больше ресурсов, еще больше власти. Они стали очень сильным силовым ведомством. Ну так и зачем мы сейчас все это остановим, потому что Фадеев сказал, что интернету плохо. Да нет, конечно, столько людей заинтересовано, все прекрасно живут. Поэтому я думаю, что ситуация будет скорее все-таки ухудшаться. Наверное, не очень быстро. Мои прогнозы, что прямо резкого ухудшения все равно не будет. Они будут постепенно удушать все годами. Ну, в общем, с Фадеевым мы согласны. Но ждать какой-то реакции положительной на слова такого человека я бы не хотел.

Лютова. Да уж, вряд ли Фадеев может на что-то повлиять, просто любопытно, да, именно с лоббистской точки зрения, как это все просачивается. Вы упомянули эту историю с введением платы за международный трафик, теперь вроде бы как это все дело откладывается, об этом написали РБК, Forbes, «Коммерсант», говорят, будто бы, то ли ближе к осени, то ли после выборов в Госдуму. Как вы это интерпретируете? Речь или идет о технической неготовности все это ввести, об осознании, что эта мера, мягко говоря, не очень продуктивна, или это правда какая-то политическая штука? Здесь понятно, что мы влезаем на какую-то территорию политологов, но тем не менее политическая штука, давайте всех не раздражать, пусть сходят на выборы, а потом уже будем вводить такие непопулярные истории.

Френкель. Я в целом скептически к политическим таким объяснениям отношусь, я немножко радикально в этом смысле настроен, я считаю, что выборов в России нет, и всем более-менее плевать, что там на выборах произойдет. Ну окей, это какая-то проверка, там, готовность админресурса, ну хорошо, админресурс все равно сходит, проголосует как надо, все будет прекрасно, никого не волнует там падение рейтингов, я уверен, по крайней мере в сфере того, сколько галочек нужно нарисовать. Поэтому вряд ли, вот эти объяснения, что давайте мы отложим на после выборов, чтобы кого-то не нервировать, мне кажется, абсолютно wishful thinking, о том, что вообще что-то на что-то влияет, тем более на выборы что-то влияет, я в это все не верю.

У меня здесь есть мое, собственно, объяснение абсолютно техническое, мне кажется, что просто не успели, это оказалось гораздо сложнее для самих операторов закупить оборудование необходимое там для подсчета просто этого трафика, они просто не успели это сделать.

Лютова. Чтобы лучше все понимали техническую сторону, давайте запомним, как по замыслу это вообще все должно выглядеть, то есть, есть какой-то лимит международного трафика, а сверх него нужно платить.

Френкель. Да, значит, идея была, что... идея же хорошая, скажем так, если выступать адвокатом дьявола, идея хорошая, что давайте, раз мы не можем заблокировать все VPN, мы просто сделаем так, чтобы не могли свободно пользоваться трафиком за рубеж. Внутри России никаких ограничений, да, какие-то сайты российские без ограничений, а вот если зарубежные сайты вы используете, мы введем лимит трафика, как в старые добрые времена, когда, в принципе, был лимитный трафик на всем, на домашнем интернете, вот так же только для зарубежного интернета.

Причем BBC по источникам писали, что планка выбрана не просто так, что проведены какие-то замеры и выяснилось, что большинство пользователей там не тратит больше 10 гигабайтов зарубежного трафика в месяц. Им, в общем, с барского плеча абсолютно отвешиваются дополнительно. Мы не будем вводить лимит 10, мы введем лимит 15, поэтому никого, массу обычных пользователей не коснется, у них останется запас, вообще прекрасно все. А вот таких power-юзеров, которые по какой-то причине вдруг используют очень много, больше 15 гигабайтов в месяц, мы введем для них плату. Вы будете платить за каждый гигабайт довольно существенную сумму, там 100–150 рублей, по-моему, в сливах этих говорилось, что, на мой взгляд, гигантская просто заградительная сумма, но это буквально 150 рублей за каждый или каждый второй ролик на YouTube, например.

И таким образом люди, которые пользуются VPN, то есть стучатся за рубеж на свои сервера или на VPN-сервисы, они будут отрезаны, им придется платить за каждый гигабайт своего VPN еще сверху 100 рублей, что для большинства россиян будет просто заградительной историей, а для богатых, для там, не знаю, жителей Рублевки, каких-то чиновников, олигархов, это вообще как бы ноль. Да, они просто выкупят свое право пользоваться VPN и не будут испытывать никаких проблем. А вот для всех остальных это будет полностью такое заградительное требование. И, в общем, идея по-дьявольски прекрасная. Да, это как бы звучит эффективно.

Лютова. Очень короткое уточнение, а международный трафик — это же не только все, что мы используем при помощи VPN, это вообще обращение к любому ресурсу вне зоны ru.

Френкель. Именно так. Это буквально любой ролик на YouTube. Раньше с этим было проще, потому что были сервера Google в России, теперь их вроде бы как больше нету, поэтому буквально каждый ролик на YouTube для вас будет зарубежным трафиком. Абсолютно все. То есть технически очень сложно отличить. Скажем так, если бы можно было отличить, что из этого VPN, а что из этого просто зарубежный трафик, они бы заблокировали VPN и не придумывали бы этого всего. Но именно потому что они не могут отличить, и появляется эта идея, что давайте мы просто рубанем весь зарубежный. Именно на этом и строится сама идея, само происхождение этой идеи. И поэтому, конечно, они зарубят все, они зарубят и... Не знаю.

Ну, в первую очередь, это касается стриминговых и видеосервисов, потому что они жрут большинство трафика. Да, там большая часть вообще трафика в интернете, это, не знаю, там Netflix, YouTube и подобные сервисы. Но вместе с ними вы потеряете и что-то меньше, ну, не знаю, обновления, например, iPhone. Они точно так же скачиваются с серверов Apple и будут считаться зарубежным трафиком. Но, видимо, обычно у среднего пользователя они укладываются в этот лимит. Ну, соответственно, вполне вероятно, что вам придется иногда заплатить за обновление iPhone. Или что-нибудь такое. Обновление Windows. Ну, в общем, какие-то такие истории вполне могут выпасть за этот лимит. И вам придется платить или ждать следующего месяца, когда квота обновится. Именно так.

Лютова. Вот. Возвращаясь назад к тому моменту, когда я вас перебила этим уточнением, вы говорили о возможной технических сложностях, с которыми сталкиваются операторы, чтобы все дело ввести. То есть это скорее вопрос того, что надо что-то наладить. И в чем основное препятствие, если можно предположить?

Френкель. Собственно, что нужно сделать провайдерам для того, чтобы считать трафик своих абонентов таким образом? Им нужны вот эти самые устройства DPI для того, чтобы смотреть, куда трафик уходит, на лету его как-то считать и членить. И, видимо, провайдеры просто не успели закупить это оборудование. Оно не очень дешевое. И чем провайдер больше, тем более мощное или больше этого оборудования нужно закупить. И мы более-менее знаем, что у мобильных операторов это оборудование было и так. Они его модернизировали. Мы обсуждали широко новость где-то год назад. «Билайн» закупал оборудование DPI. Мы… тогда многие эксперты задавались вопросом, зачем они это делают.

И с тех пор более-менее стало понятно, что это делают для белых списков. Они реализуют белые списки сами на своей стороне. Вот эта история с интернет-трафиком зарубежным, она очень похожа на белые списки. Да, то есть весь российский трафик, он как бы в белом списке, а весь зарубежный трафик нет. И для реализации этих белых списков нужен точно такой же подход. Но этот подход требует вложений, требует денег, требует установки оборудования. И моя основная версия, что да, просто они реально не успели. Что операторов в России оказалось гораздо больше, чем, видимо, авторы идеи думали. Скажем так, у них были более оптимистичные взгляды на то, как быстро провайдеры могут это сделать. И этого не удалось.

Плюс параллельно идет история с тем, что, в общем, рынок провайдеров пытаются немножко зачистить. Идет реформа лицензирования провайдеров. И по оптимистичным оценкам из пяти, кажется, пяти тысяч сейчас существующих в России провайдеров, ожидается, что останется, может быть, тысячи две. А по пессимистичным оценкам, как бы их ни осталось, ну там, четыре. Да, мы все знаем, что там большая четверка. Вот как бы их ни осталось четыре. И гораздо проще, конечно, все эти штуки вводить, когда у тебя всего четыре провайдера. Ну, их уже несколько тысяч, этих провайдеров. Гораздо проще, быстрее. В общем, останутся только крупные, у которых есть деньги, чтобы ввести такие системы. Ну, тогда все будет проще сделать. То есть, возможно, здесь либо техническая трудность, либо такая вот тоже административно-бюрократическая.

Пусть у нас будет меньше провайдеров, нам будет проще это все контролировать. Мы там сейчас их штрафуем постоянно за всякую ерунду. А у нас будет гораздо меньше. И, в общем, все это будет легче ввести, проконтролировать, проверить. И, в общем, штрафы эти приносят копейки в казну. Дело не в том, чтобы деньги с провайдеров собрать, а в том, чтобы контроль за ними жесткий вести. Ну, вот это все будет проще. И вот тогда-то мы введем плату за зарубежный трафик. Я быстро скажу, что есть гипотеза, совсем конспирологическая, о том, что, да, в общем, не было никаких планов, на самом деле, вводить эту плату. Поэтому ее до сих пор и не ввели и откладывают. Потому что это все страшилка, для того, чтобы всех запугать.

Для того, чтобы просто люди боялись использовать VPN, готовились к худшему, сдерживали себя, так сказать, вели себя хорошо. Будете плохо себя вести, VPN свои использовать. Мы вот такое придумаем и еще и не такое придумаем, вам так страшно будет, поэтому вели себя хорошо. Есть такая гипотеза, она у меня не основная, но, в общем, не могу сказать, что в ней нет какого-то ощущения, что в ней может быть какая-то правда. Но, действительно, вот эти откладывания каждый месяц на еще чуть-чуть, еще чуть-чуть, а потом давайте на лето, ну, они действительно немножко отдают таким вайбом, что бойтесь, оно когда-нибудь придет, просто мы все время будем откладывать.

Лютова. Но при этом оно абсолютно реалистично, то есть это не что-то настолько технически, например, трудное, я просто понимаю, что это тогда логично предполагать, что это страшилка, а это что-то, что просто требует денег и немножечко времени.

Френкель. Мне кажется, да. Я говорю, что мне кажется, что это отличная идея с точки зрения злонамеренного актора. Молодцы, придумали очень хорошую кознь.

Лютова. Еще одна новость, связанная с борьбой с VPN, которая может быть воспринята, скорее всего, ошибочно, как, ну, если не оттепель, ну, какая-то временная пауза, это исчезновение планов «Роскомнадзора» повысить уровень эффективности блокировок VPN до 90 с лишним процентов в конце 30-го года. Документ, который обнаружило издание The Bell, Мария Коломыченко, нашим зрителям тоже хорошо знакомая. И там много было интересного, что, получается, и к 30 году в связи с атаками дронов, если верить этому документу, нужно было блокировать VPN, и вот он исчез. Как вы это интерпретируете? Решили не позориться, не раздражать людей, я не знаю, поняли, что выглядит все это нереалистично.

Френкель. Я уже сказал, что я сомневаюсь в том, что кого-то беспокоит, насколько людей пугают какие-то публикации или, наоборот, их вкидывают для того, чтобы люди действительно испугались. Мне кажется, здесь проблема, в первую очередь, в том, что никто так и не понял, в общем, что означает это число, как его будут измерять, и, возможно, кто-то из чиновников догадался, что действительно, о чем мы будем, как мы будем это доказывать, показывать своему собственному начальству. И есть еще такой любимый всеми параметр, называющийся АППГ, аналогичный показатель прошлого года. То есть, если ты задрал куда-то планку, то в следующем году тебе нужно показать еще лучше результат, обязательно, потому что нужно показывать, что эффективность улучшается.

Поэтому умные чиновники закладывают минимально возможные, так сказать, цели для того, чтобы в следующем году было реалистично улучшить. И вот когда ты закладываешь какую-то очень высокую планку, там, что-то 92%, да, то не очень понятно, что в следующий раз ты закладываешь 93%, что ты будешь делать. Но главная проблема в том, что так никто и не понял, мне кажется, как именно, как это посчитать, как они будут это доказывать своему собственному начальству, показывать. Ну, то есть, можно нарисовать все, что угодно, но по-хорошему кто-то где-то что-то спросит, мол, а как вы это получили, и человек, который это вписал, будет виноват. Поэтому я думаю, что это такой бюрократический абсолютно момент, вписали какое-то число, потом поняли, что непонятно, что с ним делать, и его же и убрали, чтобы потом самим не отчитываться за глупость.

Скажем так, реальная эффективность, она как будто немножко субъективная, и она как будто бы с нашей точки зрения, как у российских граждан, и особенно с точки зрения людей, которые сейчас в России, она хорошая эффективность. Да, все блокируется, все отваливается, приходится использовать VPN, VPN отваливаются. В общем, эффективность неплохая. А с точки зрения их начальства, она плохая, потому что люди все еще обходят блокировки, люди пользуются, читают, смотрят нас, читают какие-то каналы в Телеграме, и в общем, все у них массово как-то работает. Значит, эффективность плохая, надо ввести какие-то другие меры.

И мне кажется, вот в этой где-то борьбе совершенно никому не важно, сколько там процентов заложено, им важно показать начальству свою эффективность, но при этом никто не хочет, как я уже сказал, никто не хочет выкрутить, выключить интернет полностью. Никто не хочет выкрутить все на 100%. Потому что 100% означает, что в следующем году показывать будет нечего. Да, «Роскомнадзор» можно будет распускать, потому что нет интернета, нет «Роскомнадзора», а это уже бизнес-интересы огромного количества людей. Ну, зачем так делать? Поэтому, мне кажется, очень закономерно, что это число исчезло, никто не заинтересован в том, чтобы оно было. Не то, что в паблике, а чтобы оно вообще где-то на бумаге было. Всем проще без него.

Лютова. Непонятно, да правда, как они это прочитают. Вы уже начали это делать, фактически. Я хотела подвести какой-то промежуточный итог по состоянию на конец мая. Как обстоит дело с борьбой с VPN в России? Да, вы уже сказали, что многие уже заблокированы, кто-то выжил и с ними бороться сложно. Как думаете, куда это пойдет дальше? Пойдет ли это в сторону какого-то усиления административных именно мер за использование VPN или технически есть еще куда улучшаться и становиться эффективнее?

Френкель. Ну, будет хуже, понятно. Я не вижу здесь никаких поводов просто для того, чтобы ситуация улучшалась. Самый оптимистичный сценарий, с моей точки зрения, это что все останется так, как сейчас. Во что плохо верится. Да, все-таки система построена так, чтобы закручивать гайки. Мне кажется, что административное давление — это самый логичный путь развития. Скажем так, просто удивительно, что до сих пор нет ответственности за использование VPN. И, в общем, это звучит как что-то очень ожидаемое. Что-то, что как будто бы должно появиться. Как будто система российская вся построена так, что вот именно такие шаги и делаются.

В этом смысле большой гуманизм, что до сих пор, в общем, не сажают за использование VPN очень либеральной нашей власти спасибо большое говорю я с горькой усмешкой. Ну, я жду, что, конечно, появятся такие штрафы. Другой вопрос — как быстро это появится? Да, это, наверное, действительно... Вот здесь, наверное, можно сказать, что внешние факторы влияют. Мне кажется, влияет и экономическая ситуация, и какая-то напряженность социальная, и ситуация на фронте. Да, мне кажется, что, например, неуспехи российских властей, российской армии в Украине, они могут повлиять. Мне кажется, что они приводят к недовольству самых разных слоев общества. И либеральных, которые просто против войны, и, так сказать, ультрапатриотических, которые, мне кажется, в последнее время показывают все больше недовольства.

Ну буквально что, мол, российские власти плохо воюют, надо воевать лучше, убивать больше людей. И вот на этом фоне вполне может быть ответная реакция, как вот такое усиление, переход к административному давлению в сфере блокировок. Начать наказывать конечного пользователя за... Ну, скажем, мне кажется, совершенно нет никакой проблемы ввести просто уголовную или какую-нибудь серьезную ответственность за публикацию в запрещенном Телеграме именно для того, чтобы пытаться задушить эти голоса, причем вполне как бы ультрапатриотические с точки зрения российских властей. Голоса, которые говорят: «Да-да, надо больше воевать». Вот их можно абсолютно прекрасно раздавить и задушить.

Мы видели, что они такие довольно трусливые и, в общем, при первой атаке сразу затыкаются. Ну, вот можно прям таким молотом заткнуть их сразу радикально. И не будет никакой такой пятой колонны внутри России, которая вроде как и провоенная, вроде как и власть не поддерживает. Очень удобно. Вот какое-то такое усиление, какое-то такое беспокойство внутри с неожиданной стороны, мне кажется, может быть очень быстрым фактором, чтобы, не знаю, Госдума в трех чтениях за одно заседание приняла поправку о введении ответственности за публикацию в запрещенных соцсетях для пользователей. Не для самих соцсетей или для бизнесов, которые их посмели упомянуть, а вот прям для пользователей. И это будет сильным продвижением, это будет чем-то прям новым, мы такого давно не видели.

В остальном, помимо вот этого шага, ну, мне кажется, что это все-таки поступательные, очень медленные шаги, но будут еще более лучше блокировать. Да, они постепенно все-таки закупают новые оборудования, обучают какие-то нейросети, чтобы лучше определять VPN. Это все постепенно происходит, это усиливается. И, в общем, эксперты из VPN-сервисов, с которыми я общаюсь, они тоже так пессимистично на вещи смотрят, они говорят, что, ну, будем бороться, мы готовимся, но, в общем, ресурсов у них много, они эти ресурсы будут применять все больше и больше. Мы будем видеть ухудшение. Резкое — нет, но поступательное — да. Конечная точка всего этого — это белые списки каждый день по всей России. Это то, к чему мы, к сожалению, можем рано или поздно прийти.

Лютова. Да, пока мы не там, посмотрим на еще другие новостные сообщения, тоже вызывающие беспокойство. Возможно, это как раз к слову о технических средствах, которые улучшаются. «Ростелеком» объявил о создании системы. Я сначала, когда увидела, подумала, что это новость сатирического новостного издания. Система «Леший коннект», которая будет помогать «Ростелекому», государственной компании, управлять роутерами, якобы обновлять их прошивку в нужный момент и так далее. Содержит ли это какое-то неприятное последствие для пользователей «Ростелекома»? Означает ли это слежку прямо за ними? Как вообще понимать эту систему, которая так экзотически названа?

Френкель. Мне кажется, что название этой системы — это подсказка для нас, что на самом деле произошло. Сейчас объясню. Ну, в общем, нет, ничего не произошло. Для пользователей ничего не изменится. И можно сказать, что это норма. Во-первых, технически есть просто открытые, доступные всем провайдерам протоколы общения со своими роутерами. Для чего это нужно? Для того, чтобы вы не звонили с вопросами: «А вот у меня что-то не работает, как починить?», чтобы провайдер, например, автоматически определяя какую-то такую проблему, мог ее решить сам. Для больших провайдеров это прямо проблема, потому что содержать штат поддержки — это дорого, это долго, люди не могут дозвониться, поддержка плохо работает, это все неудобно.

А большинство проблем можно решить автоматически. Для этого нужно просто иметь доступ к оборудованию и провайдеры, которые выдают своим клиентам свои собственные роутеры, имеют все возможности для того, чтобы эти проблемы решать сами. То есть цель здесь абсолютно не злонамеренная, цель здесь просто оптимизировать работу и, в общем, улучшить качество обслуживания. И так делается во всем мире. У меня точно такой же роутер, я живу в Чехии, у меня точно такой же роутер от провайдера, и мой провайдер имеет доступ к этому роутеру, они могут его обновить, снять с него какие-то данные, если им нужно и так далее. Мне не нужно им звонить и говорить, что у меня там что-то перестало работать, они это видят автоматически.

В чем может быть проблема? Проблема может быть в том, что, к сожалению, злонамеренный провайдер может узнать чуть больше. Если захотят, они могут, например, узнать, какие устройства у вас подключены к вашему Wi-Fi, они могут узнать, кто, например, на какой сайт заходил, с какого устройства внутри вашей квартиры. С этим легко бороться, просто не используйте, не раздавайте Wi-Fi с вот этого роутера провайдера, поставьте свой собственный. То есть у вас стоит, у вас в розетку, в ту самую интернет-розетку воткнут роутер провайдера, который вам выдали, а дальше в него воткнут ваш Wi-Fi роутер, и вы подключаетесь к нему.

И тогда нет никакого способа, чтобы провайдер узнал чуть больше, чем он и так про вас знает, и никакой проблемы, никакой слежки новой не появится. А почему мне кажется, что название здесь очень говорящее, почему они назвали эту систему «Леший», мне кажется, что это история про импортозамещение абсолютно. Поэтому и название такое как бы славянское, да, что вот мы заменили какую-то зарубежную систему.

Лютова. Но при этом «коннект», да? «Леший», но «коннект».

Френкель. Ну куда без этого, конечно, конечно. Плюс это еще такой стилек такого маркетинга, что вот мы типа современные технологии, но вот с нашим русским душком. Это все очень такая маркетинговая история, мне кажется. Я уверен, что у них была такая система, нет никаких сомнений, если они раздают свои роутеры, что у них есть такая система. Но видимо, это была система какая-то закупленная зарубежная, которую они больше не имеют там лицензии, поддержки или еще что-то. Они разработали свою и вот презентуют ее. И название они сделали такое славянское, да. И маркетинг у них, и в новостях все разошлось прекрасно. А то, что лишний раз можно какую-то страшилку пустить, чтобы люди испугались, нервничали, так еще лучше, отлично. Одни плюсы. Для пользователей, мне кажется, ничего не поменялось. Не пользуйтесь Wi-Fi с роутеров провайдеров, все у вас будет хорошо.

Лютова. Еще один постоянный источник страшилок, отчасти довольно реальных, отчасти надуманных, это, конечно, мессенджер Max. Продолжается его насаждение. Теперь операторы большой четверки вроде как договорились, что пользователи через мессенджер Max смогут получать разные технические подтверждающие коды. И вышел одновременно довольно широко разошедшийся материал на портале Хабр, который вы комментировали, но который перепечатали многие крупные популярные СМИ, о том, как Max для андроида просто страшенно следит за каждым своим пользователем. Давайте коротко, понимая, что в очередной раз не хочется вас мучить, но коротко напомним все-таки, в чем состоят реальные основные уязвимости мессенджера Max на всех платформах, где мы его могли бы использовать, и почему его стоит опасаться, и что надо делать, чтобы этого избежать?

Френкель. У мессенджера Max есть одна как бы фатальная уязвимость, после которой уже можно, в принципе, ничего не обсуждать. Фатальная уязвимость заключается в том, что 100% ваших действий в нем контролируется российскими властями, российскими силовиками. Все сообщения, все нажатые кнопки, все отправленные, не знаю, выбранные эмодзи, возможно, гипотетически даже не отправленные сообщения, которые вы там в черновиках написали. Все, что вы делаете внутри приложения Max, вы должны учитывать, что это доступно российским властям. Абсолютно все. Поэтому после этого… как бы моя главная претензия, что уже после этого не нужно придумывать, что еще плохого может сделать мессенджер Max, когда это как бы вот уже абсолютное зло.

Ему не нужно уже ничего там следить дополнительно, не знаю, взламывать какие-то соседние приложения, как его обвиняют. Ничего из этого уже не нужно, самое страшное он уже делает. Им нельзя пользоваться именно поэтому. Дальше идет история о том, что «а вот еще мессенджер Max может там еще что-то, что-то, что-то, что-то». Большая часть из этих вещей, или известно было с самого начала, его стали сейчас вот обвинять в этой статье, что он может обновляться вне сторов. Мы это знали, потому что у него есть сертификат. Приложение, когда вы устанавливаете на Android приложение, оно просит права на разные действия, такие сертификаты. И вот оно просило сертификат обновляться вне маркета.

Это как бы неприятная вещь, но в общем не очень опасная, потому что это не происходит тайно. мессенджер Max не может скачать что-то из интернета, какую-то программу, установить ее на ваш телефон и использовать ее без вашего участия. Нет. Операционная система Android заточена годами на то, чтобы бороться с таким поведением. Мессенджер Max не первая в этом смысле угроза и тоже еще одна из моих основных претензий, что точно такая же угроза исходит из огромного количества российских приложений. Это российские банки. Было очень хорошее расследование и исследование RKS Global, их экспертов в безопасности, которые скачали самые популярные в российском регионе приложения в плей-маркете и посмотрели, какую слежку они применяют за пользователями.

И банковские приложения — просто катастрофа. Банковские приложения собирают все возможные сведения и невозможные сведения. Они там перебирают, используют какие-то хаки для того, чтобы узнать используете ли вы VPN. И когда в том же самом обвиняют Max, такие практики есть. Люди используют такие практики, чтобы узнать, используете ли вы VPN. Банки так делают годами. Почему? Банки не любят, когда вы пользуетесь VPN. Банки не хотят, чтобы вы деньги присылали из каких-то непонятных IP-адресов. В общем, не нравится им это, используйте нормально. А сейчас еще на фоне этой идеи, что давайте мы сделаем так, чтобы приложения определяли VPN и просто мешали вам VPN пользоваться, так еще больше приложений используют те же самые уловки, чтобы вам мешать.

Поэтому вдруг делать вид, что ого, мессенджер Max оказывается тоже так делает. Да понятно, что он так делает. Все так делают. Все российские приложения, не знаю, банковские приложения, популярные приложения, делают так и делают по-всячески еще хуже. И все это вместе приводит к тому, что нельзя пользоваться, если вы опасаетесь таких угроз, нельзя пользоваться ни приложениями Яндекса, ни приложениями Сбера, ни приложениями, не знаю, Wildberries, Озона. Все эти приложения как бы инвазивны. Они все используют какие-то практики, чтобы знать про вас больше информации и использовать это против вас.

Отдельно большой пласт — это то, что называется фингерпринтинг. Я не устаю повторять, что компанию Яндекс пару лет назад поймали на очень агрессивном сборе сведений о своих пользователях, фактически используя уязвимость в телефонах Android. Они сделали так, что, например, если у вас установлены Яндекс Карты на телефоне, и вы заходите на какой-то сайт с Яндекс метрикой, то приложение Яндекс Карты фактически сообщает сайту все, что оно про вас знает. Ваш аккаунт в Яндексе, ваши какие-то сведения, где вы находитесь, да все, что угодно. При том, что вы просто зашли на сайт, я не знаю, какой угодно, просто на нем есть Яндекс метрика, которая должна, по идее, просто аналитику собирать.

Все верно, но Яндекс получил возможность таким образом рассказать про вас очень много. И они делают это для того, чтобы лучше вас таргетировать, показывать вам памперсы, когда вам они нужны. Цель как бы не суперзлонамеренная. Можно ли этим злоупотреблять? Можно. И когда люди очень нервно реагируют на то, что в мессенджере Max тоже есть модуль фингерпринтинга, модуль для сбора аналитики, и он инвазивный. Конечно, он инвазивный, но также инвазивный, как эти модули в ВК. В ВК мессенджере тот же самый модуль, просто вот тот же самый компонент, разработанный той же самой компанией, называется точно так же, используется точно так же. И здесь очень важно просто правильно выстраивать стратегию защиты и стратегию рисков.

Если для вас это риск, если вы видите в этом угрозу, то значит нужно избавиться от всех подобных приложений. От российских банков, от ВК, от Яндекса и так далее. Здесь нужно быть последовательным, потому что опасность заключается в том, что если вы сосредоточиваете всю свою ненависть на мессенджер Max, то вы забываете про те же самые угрозы от других приложений. И в итоге безопасности это не приводит. Это приводит к тому, что вы нерационально подходите к своей защите. Нужно подходить рационально. Что можно посоветовать? Используйте отдельное устройство для российских приложений всех. В первую очередь, конечно, для мессенджера Max.

А лучше его использовать, самое безопасное, мне кажется, использовать его в браузере. Логика здесь такая, что браузеры еще более недоверчиво относятся к сайтам, чем операционные системы к приложениям. Браузеры используют дополнительные средства, дополнительные ограничения, чтобы не дать мессенджеру Max в браузере сделать что-то злонамеренное. Используйте в браузере по возможности. Если вас заставляют, если вы не можете от этого отказаться, установите, залогиньтесь в мессенджер Max в браузере и пользуйтесь им там.

Лучше использовать для этого отдельное устройство. И тут начинается отдельная история, что как пользоваться так, чтобы, например, не вычислили, что у вас на одном устройстве VPN, а на другом нет. Тоже проблема. Да, провайдер видит, что вы из вашей квартиры, у вас половина, часть какая-то трафика уходит куда-то на один сервер в Голландии, а другая часть трафика только на российские сайты. Очень подозрительно. А почему вы Телеграмом не пользуетесь? Что, вы не пользуетесь Телеграмом? Неужели. А почему мы этого не видим? Опять же, вы таким образом подсказываете, что у вас есть VPN, и подсказываете, как он выглядит и так далее. Поэтому тут такая очень сложная начинается игра, а как пользоваться другим устройством, чтобы никто не догадался. Ну, можно выстраивать свою стратегию защиты так. Это неплохой вариант, просто сложный, и нужно четко понимать, зачем вы это делаете.

Лютова. Да, ну, по крайней мере, базовая рекомендация про то, что мессенджер Max лучше всего использовать в браузере, мне кажется, очень важно всем запомнить. Просто, на всякий случай, подводя итог. Мне кажется, учитывая понятное абсолютно недоверие, даже фиксируемое при всем аккуратном, скажем так, мягком отношении к социологии, даже фиксируемое опросами, недоверие к мессенджеру Max, возникает вот страх, помимо того, что, вы уже объяснили, все, что делается в мессенджере Max, видно вовне. Есть страх, что, допустим, я ничего плохого, в общем, ничего не делаю в мессенджере Max, я просто установил его на устройство, потому что меня заставили, вот там, в СПбГУ на работу не берут, например.

Как выяснилось в данном издании, это иной вариант, тоже недавняя новость, без мессенджера Max. А может ли он что-то еще из моего устройства, из моей цифровой жизни, значит, выдать вовне? И я думаю, вот с этим страхом связано повышенное внимание к каким-то новым появляющимся уязвимостям.

Френкель. С одной стороны, да, это закономерный страх, и мы знаем точно, что, да, мессенджер Max пытается собирать информацию о том, используете ли вы VPN, видимо, для того, чтобы просто не разрешать вам им пользоваться включенным VPN, чтобы опять же вся та же история, что вам было неудобно, вы выключали VPN и постепенно от него отказывались. Та же самая логика, что там Wildberries или Ozon делают, да, точно так же в приложение вас не пускают, выключите VPN, они даже более-менее те же самые методики используют, как VPN вычислять.

Эти методики, по большему счету, были перечислены в утекшие методичками цифры, там было буквально перечислено, как это делать, более-менее они все это так и делают. Единственное, что мессенджер Max тут пионер, да, и их поймали на этой деятельности еще в январе этого года, задолго до того, как сама идея стала массовой, до того, как появилась эта методичка, до того, как стали заставлять российские сервисы не пускать людей с VPN и мешать им. То есть тут, возможно, на мессенджере Max обкатывали эту идею, да, он это делает, да, он пытается понять, включен ли у вас VPN, это неприятно, ну, значит, не используйте его на устройстве, где у вас есть VPN, защититесь так дополнительно.

Но по большему счету все эти страшилки, что он может прочитать ваши сообщения в другом мессенджере и так далее, они все упираются в нерациональное. Они упираются в то, что люди сосредоточили свою ненависть и страх на одном конкретном приложении, что некорректно и небезопасно. Если бы я был сотрудником, там, Минцифры, ФСБ и еще чего-то, я бы, конечно, радовался такому вниманию и сосредоточил все свои средства слежки на чем-нибудь другом. На Госуслугах, например, приложении Госуслуги. И тогда люди в панике не устанавливают мессенджер Max и ищут способы, как объяснить работодателю, почему его нету, а тем временем у них установлены Госуслуги, которые прекрасно делают все то, чего вы боитесь.

Внимания к ним никакого нет, никто не бегает на Хабре, каждую неделю статью не выкладывает, а мы там, значит, тихонько обновляем и добавляем все новые и новые функционалы слежки. Гениально, просто прекрасно, спасибо большое, что все так сосредоточены на мессенджере Max. Поэтому я очень сильно топлю за то, что да, окей, у вас есть какие-то страхи, значит, надо этим страхам быть рациональными и видеть тогда угрозу этих страхов не только в мессенджере Max, а рационально оценивать, может ли такая угроза быть во всем, в чем угодно российском, может быть. И последнее, что я добавлю, это вот сама новость про то, что эти коды, что операторы большой четверки стали коды всякие передавать через мессенджер Max.

Лютова. Я, наверное, не четко сформулировала, они еще не стали, они договорились, что это будет происходить. Да, там же есть еще все-таки даже какая-то бюрократическая, я помню, несколько недель назад Центральный банк говорил, что ну давайте пока банковские не будем, мы как-то не готовы к этому.

Френкель. История эта скорее положительная, я сейчас объясню, почему. Они уже так делают с Госуслугами какое-то время, что можно залогиниться в Госуслуги, получив код в мессенджере Max. И тоже была некая истеричная реакция, что вот теперь в Госуслуги коды в мессенджере Max, какой кошмар. Коллеги, уже как бы у властей, у силовиков и так есть доступ к вашим Госуслугам. Нет никакой информации в Госуслугах, которые силовики не могут получить, ну просто позвонив при желании в Госуслуги и получив ее по запросу. В общем, абсолютно полный доступ к Госуслугам, конечно, у них есть. Но есть другая проблема, что есть акторы, которые не являются акторами государственными, не являются силовиками, а являются просто бандитами, мошенниками, жуликами и так далее.

Которые могут точно так же попытаться получить доступ к вашим Госуслугам со злонамеренными целями, но другими. Ну просто, не знаю, получить ваши документы, завести на вас кредит. Или еще как-то вам навредить, узнать про вас какую-то информацию. И вот для них СМСки с кодами, это прекрасно. Потому что СМСки с кодами, к сожалению, в 2026 году до сих пор никак не защищены. Они передаются в открытом виде. Это такая устаревшая технология, которую никто в общем не развивает, потому что ей мало кто пользуется. И она как была задумана изначально, там в 90-е годы, так она и продолжает работать. Все сообщения можно перехватить, есть куча разных техник, как это можно сделать. Подмена базовой станции, к вашему дому подъезжает машина с антенной и читает все СМСки.

Или есть уязвимости в сетях операторов, когда с помощью роуминга воруется ваш трафик, и СМСки просто в открытом виде передаются. И люди крадут эти коды, используют их для того, чтобы получить доступ. Поэтому общая рекомендация по возможности просто вообще, где можно не использовать коды из СМС, все современные крупные сервисы позволяют подключать какие-то другие способы защиты получения этих кодов. Обычно есть приложения, которые эти коды генерируют. У Google есть такое приложение, Google Authenticator называется. И Госуслуги позволяют пользоваться этим гугловским приложением. Они разрешают подключить его как источник этих кодов. И это лучшее, что вы можете сделать, защититься от всех факторов таким образом, что у вас будет на телефоне это приложение, оно генерирует код, и вы его вводите, и вам не нужны никакие СМСки.

Но когда власти говорят, что давайте мы переведем эти коды из СМС в мессенджер Max, по-хорошему, с точки зрения слежки власти, для вас ничего не меняется. Они как могли все ваши СМСки читать, так они могут читать все ваши коды в мессенджере Max, для вас ничего не поменялось. Но негосударственные акторы оказываются отрезаны от перехвата СМСок, что для вас плюс, что для вас на самом деле хорошо. Плохо, что эти коды будут в мессенджере Max, но это лучше, чем они в СМСках. Поэтому сама по себе эта концепция действительно улучшает безопасность. Она просто уменьшает количество акторов, которые могут получить доступ.

Но никак не влияет на то, может ли получить доступ государство. Оно может в любом случае. Поэтому сама по себе концепция хорошая, и для многих людей, для каких-то бабушек, которые точно не будут разбираться, как вот эти одноразовые пароли из приложения подключить, для них, конечно, это улучшение безопасности. А для нормальных пользователей, в смысле технически как-то минимально подкованных, способных потратить время, чтобы разобраться, ну, конечно, лучше не пользоваться мессенджером Max, а установить это приложение и пользоваться им. Вот такая вот история.

Лютова. Спасибо большое. Стало многое сильно понятнее. На этом, наверное, на сегодня поставим точку. Хотя бесконечно можно разные технические новеллы обсуждать. Это был Давид Френкель, руководитель дата отдела «Медиазоны» и автор статей для Carnegie Politika, я ему говорю спасибо большое.

Френкель. Спасибо большое.

Лютова. И спасибо всем нашим зрителям. Поставьте, пожалуйста, лайк этому видео, пишите ваши комментарии, задавайте вопросы. Мы будем с вами на связи. Надеюсь на новые встречи. И я, Маргарита Лютова, с вами на этом обращаюсь.