«Интернет “ляжет” на сутки? Я этого вообще не понимаю»
Государство последовательно ужесточает контроль за интернетом, но теперь не только за его контентной частью, но и за технической. Мотивы властей понятны, но при этом необходимо, чтобы законопроекты, затрагивающие интернет-отрасль, в обязательном порядке проходили технологическую экспертизу, уверен гендиректор компании «Технический центр Интернет» (ТЦИ) АЛЕКСЕЙ ПЛАТОНОВ. О том, как сейчас защищен российский сегмент от чрезвычайных ситуаций и какие потенциальные угрозы для рунета отрабатывались на учениях Минкомсвязи в 2014 году, господин Платонов рассказал в интервью “Ъ”.
— На протяжении последнего года актуальна тема так называемой критической инфраструктуры, на которой собственно держится интернет. Являются ли главный реестр и система регистрации доменов, которыми оперирует ТЦИ, такой инфраструктурой?
— ТЦИ оперирует не только реестром, а системой регистрации, частью которой и является реестр. Система регистрации состоит из нескольких элементов. Наиболее известный из них — DNS (Domain Name System — система доменных имен, компьютерная распределенная система для получения информации о доменах.— “Ъ”), система адресации, которой мы занимаемся совместно с MSK-IХ (крупнейший центр обмена интернет-трафиком в России.— “Ъ”). Когда домен зарегистрирован, информация о нем попадает в сеть DNS, и эти домены в виде сайтов становятся доступными.
Критическая эта инфраструктура или нет? Перечень требований к такой инфраструктуре должны составлять эксперты вместе с профильными ведомствами. В настоящий момент соответствующих документов на этот счет просто нет. А реестр доменов, конечно, не является критической инфраструктурой.
— Почему?
— Реестр — это база данных, куда заносится информация о доменах. Далее из нее получается некая выжимка, это называется файлом зоны. Эти данные поступают в систему DNS, которая и обеспечивает адресацию. Повседневная работа интернета зависит не от реестра, а от сети DNS. Если что-то с нашим реестром случится и он станет недоступным, это коснется только регистраторов — организаций, которые для пользователей в этом реестре регистрируют доменные имена. Интернет будет работать как ни в чем не бывало, просто новых имен не будет до тех пор, пока реестр не починят. Но даже в этом случае это будет очень кратковременным явлением. Думаю, все эти факты просто на уровне здравого смысла указывают на то, что реестр российских доменов не является критической инфраструктурой.
Если говорить о дополнительных объективных критериях, то есть жесткие требования ICANN (Internet Corporation for Assigned Names and Numbers; созданный при участии правительства США администратор вопросов, связанных с доменными именами, IP-адресами и прочими аспектами функционирования интернета.— “Ъ”) в отношении доменов. Там сказано, что доступность реестра должна составлять 98%. То есть около 2% времени в год реестр может быть недоступен по каким-то причинам, а вот система DNS должна быть доступна всегда — 100% времени. И мы всегда выполняем все эти требования, хотя обязательными они пока являются только для международных доменов.
— Правда ли, что вы этот реестр всегда дублируете? Зачем?
— Да, это так. Мы постоянно проводим работы по повышению надежности. Реестр у нас распределенный, он имеет две точки: одна — в Москве, другая — в Петербурге. Они страхуют друг друга, то есть если что-то случилось с узлом в Москве, то работает другой в Питере, и наоборот. Кроме того, мы сейчас делаем еще и третий узел — резервную копию реестра. Если что-то случится с основной распределенной системой, мы все равно запустим еще один узел в течение короткого времени.
— Возвращаясь к вашей фразе о том, что то, что входит в определение «критической инфраструктуры», должны решать специалисты. На декабрьском форуме «Интернет-экономика» вы обратили внимание участников на то, что «у интернета нет границ», и предложили, чтобы законопроекты, затрагивающие интернет-отрасль, в обязательном порядке проходили бы техническую и технологическую экспертизу. Чувствуется пусть и прикрытое, но раздражение.
— Раздражения нет. Просто на встрече в 1999 году с премьер-министром — на тот момент — Владимиром Путиным с общественными интернет-организациями было решено, что если будут возникать законодательные инициативы об интернете, они должны обязательно проходить там экспертизу. Какое-то время это соблюдалось, была договоренность, и ее никто не отменял. Сейчас такой отлаженной системы обсуждения законодательных инициатив со специалистами нет, и происходят разные стихийные вещи. Пусть это будет, например, на площадке Института развития интернета — главное, чтобы это в принципе было. Надо исходить из того, что мы все находимся по одну сторону. А раз так, то и обсуждать надо всем вместе. Иначе это несбалансированный подход.
— Насколько, по-вашему, вообще сейчас защищен российский сегмент от чрезвычайных ситуаций? Какая необходимость, по вашему мнению, в появлении новых предложений по созданию резервных копий реестра IP-адресов, DNS-серверов, системы мониторинга трафика?
— Что касается опасности и всяких мер — надо их сформулировать сначала, чтобы был понятен перечень рисков и внешних воздействий. А потом уже посмотреть, как это все влияет на нашу систему. Приведу пример. Наиболее часто говорят об опасности, связанной с тем, что ICANN может отключить наш национальный домен. Из года в год эта страшилка повторяется. Ее справедливость и реальность сомнительная, хотя в Ливии и Ираке в моменты военного противостояния это происходило, но в современных политических реалиях и с учетом развития технических возможностей это выглядит сомнительно.
В 2014 году Министерство связи проводило учения, где речь шла именно о нарушениях адресации. По условиям учений, сеть DNS работала неадекватно из-за того, что информацию о домене .RU убрали из базы данных ICANN. ТЦИ, MSK-IX и другие телекоммуникационные компании должны были сохранить работоспособность национального сегмента интернета — естественно, на уровне модельной сети. А еще до того, независимо от государственных инициатив, MSK-IX развернула резервный дублирующий корневой сервер — копию одного из 13 корневых серверов, обслуживающих верхний уровень адресации. При наличии такого дублирующего сервера можно сделать так, чтобы система продолжала работать — то есть ICANN «убирает» информацию о домене с корневых серверов, но на нашем сервере она сохраняется. И если весь российский интернет замкнуть на этот сервер, то все будет работать, как и работало. Именно это на учениях и отработали.
Тем не менее, несмотря на весь опыт, спустя какое-то время стали говорить о том, что есть опасность, связанная с тем, что наша инфраструктура может так не сработать... К чему я клоню? Требуется разработать комплекс организационных административных мер, которые будут применяться в критической ситуации. Это до сих пор не сделано. Надо беспокоиться не о технической части — она работает нормально, и риски, связанные с ней, минимальны.
— Вы говорите о регламенте действий госведомств, операторов связи и технических организаций в случае чрезвычайных ситуаций?
— Да, надо записать порядок действий. Все должны подготовиться, чтобы в час икс достать конверты из сейфа и начать выполнять адекватные ситуации меры, чтобы все продолжало работать. Чтобы не возникло потом ситуации, когда кто-то будет по телефону раздавать импровизированные указания телекоммуникационным компаниям.
— Какие есть у вас еще предложения?
— Давайте про IP-базы поговорим. В законопроекте, который в феврале обсуждался в прессе, есть путаница. Делаются голословные утверждения, что интернет «ляжет» на сутки. Я этого вообще не понимаю. Смотрите, мы относимся к району обслуживания базирующейся в Амстердаме RIPE NCC (одна из пяти региональных интернет-регистратур, выполняющих распределение интернет-ресурсов.— Ъ”), это Северная Африка и Евразия. И наши IP-адреса RIPE NCC фиксирует, у нее есть база данных, которая содержит связь блоков IP-адресов и локальных интернет-регистратур (это может быть оператор, может быть корпоративная сеть). Копия, или «зеркало», этой базы есть в MSK-IX. Причем эти данные есть не только там! RIPE NCC позволяет «зеркалировать» эту базу для удобства и простоты доступа. То есть это привязка оператора к блокам IP-адресов, никоим образом не влияющая на работу сети.
Вторая часть — база данных так называемых объектов маршрутизации. Этой информацией операторы делятся добровольно, показывая, как они строят свою политику маршрутизации трафика, причем таких баз в мире несколько. В соответствии с этим другие операторы строят свою политику. А можно строить маршрутизацию вручную на основе информации, получаемой от сетей-соседей, что многие небольшие операторы и делают. Суть в том, что эта система сделана для удобства и оптимизации работы, и если она вдруг отключится, то вот так сразу ничего не «ляжет», хотя бы потому, что система обладает определенной инерцией.
— Информация о выделении блоков интернет-адресов и номеров автономных систем аккумулируется только в зарубежных базах данных. Это несет какой-то риск для суверенитета национального сегмента сети?
— Я не вижу риска. Нам периодически нужна информация о том, какие блоки IP-адресов кому принадлежат. Она есть у той организации, которая эти номера распределяет. Мы имеем к ней доступ. Если вдруг что-то случилось — у нас есть зеркальное отражение этой базы. Так можно договориться до того, что нужно заново интернет построить — «нарисуем» собственный блок IP-номеров и построим. Но мы все-таки часть глобальной сети, давайте придерживаться этой концепции.
— Зарубежные каналы связи и точки обмена трафиком предлагается сделать более контролируемыми. Организовывать международные каналы связи смогут только операторы, имеющие лицензию на трансграничную передачу данных.
— В законопроекте Минкомсвязи единственная вещь, которая вызывает определенные опасения, это слово «лицензия». Если возникнет дополнительная лицензия на передачу трафика через границу, то это может дать отрицательный эффект и ограничит конкуренцию. Можно написать какие-то правила, по которым кто-то получит преференции, и соответствующая область услуг может быть монополизирована. Ограничение конкуренции или наложение неоправданных условий на операторов — вот чего люди опасаются.
— В Минкомсвязи считают, что критические элементы инфраструктуры рунета (реестры национальных доменных зон, DNS-серверы, точки обмена трафиком, трансграничные переходы кабельных и радиорелейных линий связи) находятся в собственности и под управлением коммерческих организаций, у которых нет обязательств по обеспечению непрерывности функционирования. Насколько это утверждение корректно?
— Не согласен с ним. В любом случае, надо начать с того, чтобы разобраться, какая структура является критической, а какая, например, «существенной» (есть такой термин в западных документах — essential), что далеко не одно и то же. Например, реестр доменной зоны — это некритическая инфраструктура, я уже объяснил почему. Хотя она, конечно, существенна для функционирования интернета. DNS — система глобальная, она включает в себя корневые серверы верхнего уровня, национальные серверы и т. д. Общепринятый подход — это то, что корневые серверы верхнего уровня, которые находятся под эгидой ICANN, относятся к элементу DNS, который является критическим…
Насчет точек обмена трафиком — давайте выключим MSK-IX и посмотрим, что будет. Вернее, я вам скажу: ничего не будет, просто трафик будет ходить неоптимально. Появятся петли трафика, он начнет ходить затейливо. Задержки увеличатся, потеряется связь между некоторыми операторами, которые будут вынуждены ее компенсировать тем, что будут гонять трафик через транзитных операторов. Возникнет некая дезорганизация, которая достаточно быстро упорядочится, и все будет работать и дальше, правда, немного медленнее.
— Мы говорили, что все это находится под управлением коммерческих компаний, и это беспокоит Минкомсвязь.
— Хорошо, давайте зададимся вопросом: а какие компании должны поддерживать инфраструктуру сети? Явно же не ФГУПы. Скорее, речь может идти о доле госучастия в той или иной коммерческой компании. Возьмем «Ростелеком», который контролируется государством,— эта коммерческая компания вполне может поддерживать критические элементы инфраструктуры, разве нет? А, кстати, MSK-IX, в свою очередь, контролируется «Ростелекомом». Кроме того, не надо все-таки забывать, что мы существуем в условиях рыночной экономики. Если у оператора что-то не будет работать, абоненты просто уйдут к другому. Если вдруг MSK-IX будет плохо работать, все просто переключатся куда-то еще, все рассыплется на более мелкие точки обмена трафиком, конца света не настанет, но MSK-IX потеряет бизнес.
Также и с DNS. Мы кровно заинтересованы в том, чтобы все работало как надо, потому что в противном случае клиенты будут искать другого оператора. Бизнес регулируется конкуренцией. Кроме всего прочего, мы этим занимаемся 20 лет, и для нас дело чести, чтобы инфраструктура работала. За все годы у нас не было ни одного серьезного сбоя ни в одной из всех систем, которые мы поддерживаем. Мы на это тратим деньги и надеемся, что наши акционеры — Координационный центр доменов .RU/.РФ (КЦ) и Фонд развития интернета — относятся к этому с пониманием и не будут с нас требовать дивиденды любой ценой и заявлять, что не надо ничего строить. Нельзя также не отметить, что КЦ, который владеет 75% акций АО ТЦИ, фактически находится под контролем государства через его представителей, делегируемых Минкомсвязи в органы управления КЦ.
— Как часто платит ТЦИ дивиденды своим акционерам?
— Раз в полгода. Конечно, приоритетом являются развитие и поддержание на должном уровне инфраструктуры реестра. Кроме того, есть ежемесячные лицензионные отчисления регистратурам (администраторам доменной зоны) за то, что мы их доменные зоны используем для нашей деятельности. То есть часть — лицензионное отчисление, часть — дивиденды. Лицензионные — постоянные, дивиденды — переменные.
— Сколько может составлять лицензионное отчисление?
— У нас за счет лицензионных отчислений всем — 130 млн руб. в год. В Фонд развития интернета и КЦ.
— О внешних инвестициях в ТЦИ или МSK-IX никогда не заходил разговор?
— Никогда. В это тоже многие не верят, считают, что нельзя такие компании построить и развивать без инвестиций. Прибыль реинвестируется в развитие. И в ТЦИ так, и я помню, как начинался бизнес в MSK-IX в 1995 году. Было всего семь участников, которые платили по $100 за порт. Обороты росли постепенно — сейчас у них около 390 участников на данный момент в Москве. Это национальные и региональные операторы, хостинговые компании, контент-провайдеры, корпоративные, научные и образовательные сети.
— Серьезно ли сказывается на бизнесе динамика валютных курсов?
— Есть проблемы, конечно. Зарплаты мы не индексировали и пока не собираемся, посмотрим, что дальше с курсом будет. Что касается «железа» — проблемы есть. Тем не менее, думаю, цену на домены для регистраторов придется повысить, иначе мы не вылезем. Надо учесть также, что сейчас в российском сегменте интернета самые дешевые услуги на регистрацию доменов в мире. В среднем — 500 руб. в год для пользователей.
— Какие доходы приносят вам домены?
— В зонах .RU, .РФ и .SU — всего примерно 6 млн с небольшим доменных имен. Пользователи платят регистраторам в среднем по 500 руб. за продление действия домена на год. 500 руб. умножаем на 6 млн, получаем оборот в этой отрасли — 3 млрд руб., не бог весть какой большой. Наш доход тоже легко считается: 70 руб., которые мы берем с регистраторов за регистрацию или продление действия доменов, надо умножить на эти 6 млн, то есть 420 млн руб. Бизнес технического центра достаточно простой. В другой ситуации это могло бы даже быть некоммерческой организацией, но сейчас АНО запрещено в соответствии с новым законодательством заниматься предпринимательской деятельностью. Только поэтому у нас ТЦИ — это АО.
— Удается ли привлекать к себе в качестве клиентов зарубежные регистратуры?
— К сожалению, нет. По статистике, сегодня американские технические центры обслуживают суммарно более 500 новых доменов верхнего уровня new gTLDs (.win, .club, .science), что составляет более 50% всех делегированных на текущий момент. Всего на поддержке у них находятся 6,7 млн доменных имен, зарегистрированных в новых доменах верхнего уровня (46% от общего числа). Все-таки нам сложно конкурировать на международном рынке. Там мощный бизнес, американские технические центры этот рынок поделили и пристально следят за тем, чтобы никто их не подвинул. Однако ТЦИ помимо поддержки доменных зон предлагает и другие услуги: статистику, аналитику. Ими, например, пользуется латвийская национальная регистратура (.lv).
— А что за игроки под себя подмяли этот рынок?
— К примеру, Afilias, Neustar, Minds+Machines, Verisign, Rightside Registry — в основном американские. Есть разные технические центры, у многих из них сотни доменных зон на обслуживании. Мы тоже можем обслуживать такое количество клиентов, но вложения в рекламу, маркетинг — очень серьезные деньги, мы просто не готовы в это инвестировать. Поэтому наша задача — поддержка национальных зон. И нам этого хватает, чтобы развиваться и обеспечивать необходимые качества по текущей эксплуатации. Выход на иностранные рынки возможен только с серьезной внешней инвестиционной поддержкой. Зарубежный инвестор не будет в нас вкладывать, российский олигарх в нас тоже не инвестирует, в этом я уверен. Наш инвестор хочет быстрых денег. А здесь деньги долгие: долго раскручиваться, ездить, уговаривать страны третьего мира, ведь все американские и европейские клиенты уже разобраны.
— С доменом .RU какая динамика?
— Он довольно бодро рос, а сейчас растет примерно на 3% в год. Считаю, это связано прежде всего с экономической ситуацией в целом и с тем, что в последнее время усилили борьбу с недобросовестными владельцами доменных имен.
— Какую роль в торможении играет борьба с фишинговыми сайтами?
— Большую, ведь во многих доменах их бурный рост связан с использованием имен в качестве вредоносных сайтов. Наш вклад — КЦ и ТЦИ — в проекте «Нетоскоп», где участвуют «Лаборатория Касперского», «Яндекс», «Ростелеком», Group-IB, RU-CERT и др., все эти компании ведут базу данных «зловредов». Сейчас швейцарская компания Switch, которая занимается также информбезопасностью, присоединилась к проекту и хочет войти в число компаний, которые работают с этой базой, чтобы регистраторы получили возможность блокировать «зловредов».
— Это позитивный отток.
— Это очистка. Мы не должны стремиться к тому, чтобы получать только коммерческий эффект, если при этом у нас будет зона «грязная». Тогда на нас будут показывать пальцем и говорить, что это помойка. Это все равно скажется, потому что люди, регистрирующие домены, в конечном итоге будут меньше работать с такой зоной.
— КЦ, который стремился стать оператором базы MNP (сохранение мобильного номера при смене оператора), контракт в итоге не получил. Над этим проектом трудились сотрудники ТЦИ, и реализовать его предполагалось на вашей базе. В ТЦИ ранее говорили, что наработки не пропадут, систему можно будет использовать, были идеи на этот счет. Как-то ТЦИ использовал этот опыт?
— Пока не использовал, нет таких областей, куда удалось бы это пристроить. Но мы готовы эту систему предложить. Мы хотим ее зарегистрировать сейчас в реестре отечественного ПО. Сложилась странная ситуация, когда эту работу фактически делает некая литовская компания, а наш отечественный производитель обойден вниманием.
Считаю, что к этому вопросу есть смысл вернуться. Система находится в рабочем состоянии, у нас есть софт, разработчики, которые готовы этот софт дорабатывать в нужном направлении, и с нами нет проблемы в оплате в валюте. И это была бы поддержка отечественного производителя. Мы даже коммерческого интереса не хотим тут искать. Дальше уже регулятор пусть решает, кому он больше доверяет.
— Доля шифрованного трафика по всему миру растет, сейчас шифруется примерно треть веб-трафика, проходящего через MSK-IX. Несет ли это какие-то проблемы или сложности в работе ТЦИ?
— Для ТЦИ никаких сложностей: мы работаем с системой DNS, с трафиком не работаем никак. А что касается трафика шифрованного вообще — он и будет нарастать. На самом деле после разоблачений Сноудена техническое сообщество очень сильно возбудилось. Тогда на одном из заседаний IETF (Internet Engineering Task Force — открытое международное сообщество проектировщиков, ученых, сетевых операторов и провайдеров, с 1986 года занимается развитием протоколов и архитектуры интернета.— “Ъ”) было принято стратегическое решение, что трафик будут шифровать, чтобы противодействовать отслеживанию информации. Понятно, что есть спецслужбы, им надо. С другой стороны, есть всякие злодеи, которые тоже это делают. И формально это борьба с ними. Ну и со спецслужбами, конечно, тоже.
— Американские спецслужбы и сами подливают масла в огонь, демонстрируя специфическое отношение к проблемам уязвимости устройств и софта, призывая технологические компании специально оставлять «для нужд правоохранителей» лазейки в своих продуктах.
— Попытки надавить на технологические компании, конечно, имеют место. Разумеется, это способствует переходу к защите путем шифрования. Тем не менее даже если будет полное и всеобщее шифрование трафика, конечно, спецслужбы будут настаивать на том, чтобы компании предоставляли при необходимости ключи. Но это можно упорядочить в рамках разыскной деятельности, например, обязать операторов предоставлять временный ключ лишь по решению суда. Закончили слушать — ключ поменяли. Теоретически это можно сделать. Но бесконтрольное прослушивание будет невозможно.
Источник: www.kommersant.ru
blog comments powered by Disqus