Министерство цифрового развития России направило методические рекомендации более чем 20 крупнейшим интернет-компаниям — среди них Сбер, Яндекс, VK, Wildberries, Ozon, Avito и X5 — с требованием обнаруживать и ограничивать доступ VPN-пользователей до 15 апреля. Однако в самом документе Минцифры содержится примечательное признание: обнаружение VPN на устройствах Apple сопряжено с «существенными ограничениями» из-за архитектуры безопасности iOS.
В отличие от Android, предоставляющего системный доступ к сетевым параметрам через ConnectivityManager и NetworkCapabilities, iOS изолирует приложения друг от друга и не позволяет им собирать информацию о сетевых настройках на системном уровне. Это принципиально затрудняет определение того, маршрутизирует ли пользователь трафик через VPN.
Методические рекомендации также перечисляют сценарии, при которых обнаружение VPN затруднено или невозможно: VPN на домашних роутерах, VPN внутри виртуальных машин и контейнеров, прокси-серверы с домашними IP, split tunneling, CDN-сервисы, скрывающие геолокацию, и новые VPN-сервисы, появляющиеся быстрее обновления баз данных.
Для бизнеса бремя соответствия оказывается огромным. Генеральный директор Zecurion Алексей Раевский оценил стоимость создания подобной системы в «десятки миллионов рублей в месяц» — с привлечением выделенных команд разработчиков. Евгений Царёв из RTM Group добавил: даже продвинутые скоринговые модели не позволяют надёжно отличить корпоративный VPN от обхода блокировок.
Корпоративное использование VPN планируется вносить в белый список: исторические паттерны — например, подключение через VPN только в рабочее время — могут освобождать устройство от блокировки. Само Минцифры рекомендовало не вести непрерывный мониторинг, указав, что это «негативно влияет на расход трафика и потребление заряда батареи».
Компании, не выполнившие требования, рискуют лишиться IT-аккредитации, быть исключены из списка предустановленных приложений и из белого списка сервисов, освобождённых от ограничений.
Почему это важно для пользователей VPN: Трудности России с применением VPN-детектирования на уровне приложений — особенно на iPhone — наглядно показывают сложность реального контроля зашифрованного трафика. ASMO VPN использует продвинутые протоколы обфускации, делающие трафик неотличимым от обычного HTTPS.