Роскомнадзор впервые фактически перевел борьбу со средствами обхода блокировок в систему измеримых KPI. Согласно документу «Решение о порядке предоставления субсидии № 25–66883–01845–Р», эффективность ограничения VPN к 2030 году должна достичь 92%. Одновременно государство продолжает масштабное финансирование инфраструктуры фильтрации трафика: только в 2026 году ФГУП «Главный радиочастотный центр» (ГРЧЦ) должно быть выделено 20 млрд рублей в рамках программы «Информационное общество».
Фактически речь идет уже не о точечных блокировках отдельных сервисов, а о постоянной модернизации всей системы анализа и фильтрации интернет-трафика. При этом вместе с усилением контроля растут и вопросы со стороны бизнеса: насколько реалистично обеспечить такой уровень фильтрации, можно ли отделить корпоративные VPN от средств обхода блокировок и во что подобная инфраструктура обойдется операторам и компаниям.
О том, как на практике работают современные системы DPI, почему фильтрация VPN превращается в бесконечную технологическую гонку и к каким последствиям это может привести для рынка связи и корпоративного сегмента, рассказал Дмитрий Бабич, ведущий инженер отдела сопровождения информационных систем UDV Group.
— Один из самых обсуждаемых моментов в документе — показатель «92% эффективности ограничения VPN». Для большинства это звучит довольно абстрактно. Что вообще может скрываться за такой цифрой?
Скорее всего, речь идет не о «доле VPN вообще», а о внутренней метрике системы фильтрации. На практике такие KPI обычно считают как долю успешно пресеченных сессий — то есть попытки установить соединение, которые либо блокируются сразу, либо деградируют до неработоспособного состояния.
Считать долю трафика неудобно, потому что он зашифрован и маскируется, а «долю сервисов» — слишком абстрактно. Поэтому наиболее реалистичная трактовка — это процент попыток обхода, которые система смогла обнаружить и сорвать по журналам DPI и ТСПУ.
— То есть речь идет скорее об эффективности самой системы фильтрации, чем о полном исчезновении VPN?
Да, именно. Это внутренняя техническая метрика, а не показатель того, что «VPN больше не существует». Важно понимать, что такие системы работают вероятностно: они пытаются выявить и сорвать как можно больше попыток обхода.
— Тогда сразу хочется понять, как это вообще работает технически. Что такое сигнатурный анализ VPN-трафика?
Сигнатурный метод — это поиск своеобразных «отпечатков» VPN в трафике. DPI-система сверяет пакеты с известными шаблонами: заголовками, handshake-механиками, поведением протокола. Если есть совпадение — соединение режется или деградирует.
Но ограничения у такого подхода тоже достаточно фундаментальные. Сигнатуры работают только против известных паттернов. Шифрование скрывает содержимое, а обфускация и мимикрия под обычный HTTPS сильно снижают точность распознавания.
— Получается, это постоянная игра в догонялки?
По сути — да. Это непрерывная гонка. Причем сейчас к сигнатурному анализу добавляют еще и поведенческий подход: анализируют размеры пакетов, интервалы, длительность сессий. Так можно выявлять даже замаскированный трафик.
Иногда здесь подключают и модели машинного обучения, которые помогают искать нетипичное поведение в потоке.
— В документе фигурируют очень серьезные суммы на модернизацию инфраструктуры. Насколько такие вложения вообще сопоставимы с задачей ограничения VPN?
Дмитрий Бабич, UDV Group: На самом деле — вполне сопоставимы. Здесь важно понимать масштаб. Речь идет не о том, чтобы «заблокировать пару сервисов», а фактически о перестройке инфраструктуры фильтрации в рамках всей страны.
Причем ограничение VPN — только один из сценариев использования этой системы. Она требует постоянного обновления и масштабирования.
Самые затратные статьи — это высокопроизводительное DPI-оборудование и ТСПУ, серверная инфраструктура, хранение данных, каналы связи, размещение в дата-центрах.
Отдельно стоит разработка и сопровождение правил фильтрации и программного обеспечения. Причем критично не только внедрение, но и постоянная модернизация — без нее эффективность довольно быстро начинает снижаться.
— Но здесь возникает очень чувствительный вопрос для бизнеса. Можно ли вообще надежно отделить «обходные» VPN от корпоративных VPN, которые используют компании?
Полностью надежно — нет. И корпоративные VPN, и средства обхода используют одинаковые базовые механизмы: шифрование и туннелирование. На уровне сети они выглядят очень похоже.
Поэтому на практике приоритетом становится не столько точная классификация, сколько снижение числа обходов. Все, что похоже на VPN и не находится в белых списках, может блокироваться или деградировать.
— То есть бизнес в значительной степени зависит от механизмов исключений?
Да. Основной способ сохранить доступ для корпоративного сегмента — это белые списки. Но они требуют отдельного согласования и постоянного сопровождения.
И здесь возникает неизбежный компромисс: чем жестче фильтрация, тем выше риск задеть легитимные корпоративные VPN.
— Еще один амбициозный показатель — обработка до 98% интернет-трафика. Насколько это вообще реализуемо без ухудшения качества связи?
Формально 98% — это не про одинаково глубокую обработку каждого пакета, а скорее про общий охват инфраструктуры. Через систему должно проходить почти всё соединение.
На практике баланс достигается за счет разных уровней анализа. Часть трафика идет через полноценный DPI с сигнатурным и поведенческим анализом, часть обрабатывается проще — по приоритетным правилам.
Кроме того, узлы распределяют нагрузку, а критичные сервисы получают приоритет. Если возникают перегрузки, система может упрощать анализ, чтобы не ломать связность сети.
Поэтому это скорее вопрос масштаба инфраструктурного охвата, чем гарантии одинаковой проверки всего трафика.
— Может ли такая модернизация привести к росту расходов у операторов и компаний?
Да, и это достаточно вероятный сценарий. Хотя основная обработка трафика ложится на ТСПУ, операторам все равно приходится поддерживать запас мощности сети и более сложную маршрутизацию, чтобы компенсировать задержки и узкие места.
У бизнеса тоже растут операционные расходы: переход на другие VPN-протоколы, аренда или разворачивание дополнительных серверов, постоянная перенастройка инфраструктуры.
Отдельно добавляется работа с белыми списками — их нужно согласовывать, обновлять при изменении сервисов, подрядчиков или сетевой архитектуры. Все это увеличивает нагрузку на инженеров и сопровождение.
— Если смотреть на ситуацию стратегически, получается, что это не разовый проект, а постоянный процесс?
Именно так. С экономической точки зрения это скорее не инвестиция «один раз и навсегда», а постоянно поддерживаемая система.
Первый этап действительно дает резкий рост эффективности за счет внедрения оборудования и новых правил фильтрации. Но дальше начинается адаптация технологий обхода: появляются новые протоколы, обфускация, распределенные сервисы.
В итоге систему приходится постоянно обновлять — сигнатуры, алгоритмы анализа, вычислительные мощности.
Поэтому расходы после внедрения не заканчиваются, а переходят в режим постоянного сопровождения и модернизации. Это классическая технологическая «гонка вооружений», где эффективность поддерживается только непрерывными вложениями.