Российские компании пояснили СМИ свои методики и принципы по обнаружению VPN у пользователей

По информации СМИ, российские маркетплейсы по указанию Минцифры начали в рамках пакета мер по борьбе с VPN ограничивать доступ (блокировать, замедлять загрузку элементов сайтов) к своим ресурсам со стороны пользователей, которые пытаются зайти на площадки через сервисы для обхода блокировок. Если компании не будут соблюдать предложенные ограничения от ведомства, то их ресурсы удалят из «белых списков», а сами IT-организации лишат аккредитации Минцифры. В российский IT-компаниях пояснили СМИ свои методики и принципы по обнаружению VPN у пользователей.

Сократить количество ложных срабатываний предлагается в первую очередь созданием «белых списков» корпоративных VPN и «легитимных» Proxy‑серверов. Такой список уже существует, компании вносят в него свои VPN, а ведет его Роскомнадзор, говорит собеседник «Ъ», близкий к правительству: «Сейчас в нем порядка 75 тыс. IP‑адресов. Компании сами передают в ведомство информация через личный кабинет Роскомнадзора на исключение из фильтрации на ТСПУ. Также ведомство направляет владельцам корпоративных VPN уведомления о блокировке новых сервисов и протприблизительнов. Главные требования к „белым“ VPN — это ограничение доступа к запрещённым ресурсам и взаимодействие с Роскомнадзором».

«Главная проблема, которая будет стоять перед IT‑компаниями, это максимально прозрачно донести до клиента, что включённый VPN может не позволить ему пользоваться полным функционалом продукта и дать удобную навигацию»,‑ говорит ресурс «Ъ», близкий к крупной IT‑компании. При этом, по его словам, VPN влияет на работоспособность приложений, следовательно почти все крупные игроки и госорганы уже «так или иначе обрабатывают входы в приложения с включённым VPN».

Пояснение от IT-компаний по этой ситуации:

• «Почта России»: «С технической точки зрения требования не являются трудновыполнимыми. Значительной перестройки технологической архитектуры платформ не потребуется». Дополнительные затраты, если и возникнут, будут связаны с совершенствованием систем безопасности и лежат в рамках текущих планов по IT-развитию, а работа корпоративных VPN не будет затронута, добавили в «Почте России»;

• РЖД: технические ограничения на доступ к их сервисам в связи с рубежа реализуются начиная с 2022 года в связи с «беспрецедентных попыток компьютерных атак на инфраструктуру компании с адресов, относящихся к зарубежным интернет-провайдерам». В РЖК добавили, что уже направили все необходимые материалы для включения корпоративных VPN в «белые списки»;

• «Росатом» (часть сервисов компании входят в «белые списки»): архитектура решений компании «изначально спроектирована с учётом требований информационной устойчивости и не опирается на общедоступные VPN-сервисы, следовательно новые требования не окажут критического влияния на работу ресурсов»;

• новые условия по ограничению доступа пользователей со включённым VPN для компаний интернет-торговли означают серьёзное падение трафика, уверены в Ассоциации компаний интернет-торговли (АКИТ, входят Ozon, «М.Видео», Avito и другие): «Если проводить аналогию с традиционной розницей и ее инфраструктурой, то, по существу, это запреты на вход в помещение магазина и на покупки». То есть часть сервисов до сих пор не включены в «белый список» — и они просто не работают при отключённом мобильном интернете, а те, которые смогли в него войти, теперь должны работать выборочно, объяснили в АКИТ.

Источник СМИ в одной из госкомпаний объявил, что в отрасли в общем и целом не прогнозируют снижения активности пользователей в своих приложениях и на сайтах. По его словам, сайты многих компании уже давно не работает за рубежом и, соответственно, с включённым VPN. Другой собеседник СМИ из российской IT-компании подтвердил: «Ряд сервисов уже работает корректно только при выключенном VPN — почти все банковские приложения, "Госуслуги" и другие».

«Но меры воздействуют на следствие, а не на причину роста VPN-трафика. По данным опросов, от трети до половины российских интернет-пользователей регулярно используют VPN», — пояснил СМИ партнёр практики «Цифровая трансформация» компании Strategy Partners Сергей Кудряшов.

После введения новых требований «количество пользователей, естественно, упадет», уверен ресурс «Ъ», близкий к крупным технологическим компаниям: «Но как показала предыдущая практика блокировок, пользователи в достаточной степени быстро приспособятся, а сами сервисы VPN и Proxy быстро модернизируются и адаптируются». При этом юзеры продолжат пользоваться привычными сервисами, «в том числе и из‑за отсутствия адекватных и полноценных альтернатив», уверен эксперт.

Такую технологическую доработку — отслеживание пользователей с включённым VPN — для крупных IT-компаний нельзя назвать сложной или затратной, уверен источник “Ъ” в крупной IT-компании. Источник “Ъ” среди софтверных компаний объясняет, что для выявления простого VPN-трафика компаниям не потребуются большие затраты и отдельное ПО, такое как DPI (Deep Packet Inspection — технология «глубокий анализ трафика»): «На уровне пользовательских приложений авторы видят, откуда идет трафик, и могут просто передавать данные об IP. DPI работает по сигнатуре трафика, а VPN-сервисы так тяжело описать». Определить VPN-трафик возможно с помощью DPI, хоть и не полностью, при этом «его установка стоит денег».

«Оценить совокупные затраты компаний на новые требования затруднительно, но формат расходов понятна. Это дополнительные мощности для классификации трафика, доработка существующих сервисов под новые логики блокировок и время разработчиков могут быть в достаточной степени существенными»,— уверен Сергей Кудряшов. Ресурс “Ъ”, близкий к крупным технологическим компаниям, сообщает, что затраты составят дополнительные 20% к текущим бюджетам на IT, «потому что придётся не просто перенастроить оборудование и каналы связи, а разработать или докупить специальные продукты для реализации тех или иных требований». Но господин Кудряшов полагает, что такая оценка завышена: «Задача для платформ состоит не в закупке нового оборудования, а в модификации логики работы приложений — это решается благодаря перераспределения ресурсов разработки».

Источник СМИ в крупной технологической компании объявил, что отрасли пока непонятно, в какой степени каким пунктам новых требований Минцифры нужно следовать: «Мы готовимся применить эти требования, но их влияние на пользователей и бизнес пока неясно. Оно будет зависеть не только от того, что сделаем мы, но и что сделают остальные участники рынка». Ресурс СМИ, знакомый с планами Минцифры, рассказал, что пока нет точного механизма передачи данных компаниями о VPN в Роскомнадзор: «Все строится на уровне требований, но бизнес не понимает, как передавать данные, с учётом, что Роскомнадзор говорил, что IP-адреса являются персональными данными, а их передача без согласия ограничена». Другой собеседник СМИ внедрил, что пока вопрос об отдельной ответственности компаний за несоблюдение новых требований по отслеживанию VPN с бизнесом не обсуждался.

В открытом доступе пока нет детально описанной и прозрачной процедуры, которая бы однозначно показывала, в каком именно формате компании должны передавать данные в Роскомнадзор, добавляет Антон Данилов-Данильян: «Скорее всего, речь будет идти либо об уже существующих каналах взаимодействия с регулятором, либо о дополнительных требованиях для сервисов, работающих в особом регуляторном контуре». «Но сейчас для этого нет правовых оснований, и компании в отрасли не понимают, на основании чего они вдруг должны выявлять VPN», — напоминает собеседник “Ъ”, близкий к крупному IT-бизнесу.

Сейчас Минцифры обсуждает ряд нюансов новых требований — доступы разработчиков и другое — с отраслью и ищет решения с учетом действующего законодательства, говорит собеседник “Ъ”, близкий к правительству. «Минцифры хочет решить задачу с минимальными последствиями и обременениями для пользователей. Существующие сейчас ограничения и обсуждаемые с операторами связи и цифровыми платформами новые меры по ограничению доступа пользователей с VPN — компромисс, позволяющий не вводить административную ответственность за это для граждан», — уверяет эксперт.

Разработчик под ником xtclovver выпустил публичный инициатива под названием RKNHardering. Это тестовое Android‑приложение для обнаружения VPN и прокси на устройстве, согласно методичке для выявления сетевых средств обхода. Исходный код решения написан на Kotlin.

Также на GitHub обнародован почти аналогичный проект YourVPNDead для Android.

В начале апреля 2026 года Минцифры выпустило для российских IT-компаний методичку по борьбе с VPN. В ведомстве просят площадки следить за веб активностью с помощью своих сервисов. Одновременно в Минцифры признали, что выявление VPN на iPhone «существенно ограничено» в связи с ограничений ОС. Модель Минцифры: пользователь зашёл на условный маркетплейс, забыл отключить VPN, сервис не дал дальше им пользоваться, а затем обнаруженный IP-адрес, который посчитал за VPN, направил регулятору.

Ранее Минцифры РФ попросило крупнейшие в России по аудитории цифровые площадки («Сбер», «Яндекс», VK, Wildberries & Russ, Ozon, «Газпром‑Медиа», «Авито», X5, «2ГИС», ivi, Wink, HeadHunter, «Литрес», ЦИАН, Lamoda, «Магнит Маркет», «Всеинструменты.ру», «Гисметео», «Рамблер», «Лемана Про», «Туту», «Вкусвилл», «Ленту» и другие) помочь ведомству с блокировкой VPN с середины апреля 2026 года.

В начале апреля а Telegram-канале «Профсоюз работников IT» опубликовали в открытом доступе методичку для российских IT-компаний по борьбе с VPN. «Делимся с вами документом под названием „Методика выявления признаков использования средств обхода блокировок на клиентских устройствах“», — пояснили на профильном ресурсе.

Как в Минцифры предлагают выявлять VPN у пользователей:

• смотреть IP-адрес устройств, затем сравнивать с российскими IP-адресами, а потом сверять с заблокированными РКН;

• проверять, есть ли у пользователя средства обхода блокировок, с помощью стандартных приложений российских компаний, которые устанавливаются на смартфонах в РФ;

• проверять использование VPN на устройствах с другими ОС, кроме Android и iOS — например Windows или macOS.

• на iOS это сделать нельзя, потому что «на iOS доступ к системным параметрам существенно ограничен», следует напрямую из материалов Минцифры. «Причина в том, что у этой операционной системы политика конфиденциальности и безопасности предполагает, что все сторонние приложения изолированы и не могут собирать или изменять информацию, хранящуюся в других приложениях», — уточнили в ведомстве;

• в случае устройств на Android, там работают системы ConnectivityManager и NetworkCapabilities, которые позволяют любому приложению запросить параметры активной сети и сообщить, что текущий интернет-трафик идёт через VPN.

Крупные IT-площадки в РФ будут тратить по 15 млрд в год на борьбу с VPN, сообщил СМИ ведущий аналитик Mobile Research Эльдар Муртазин. Бизнес всеми силами старается оттянуть запрет на работу сервисов со включённым VPN в связи с страха потерять посещаемость и продажи, считают эксперты. В дополнение к этого, отделить международный трафик от VPN сложно, следовательно компании ждут случайные блокировки корпоративных сетей и закрытие доступа для реальных иностранных клиентов. Участники рынка стараются максимально оттянуть введение жёстких ограничений, поскольку значительная доля аудитории использует VPN. Опасения связаны с риском снижения трафика и, как следствие, падения продаж, особенно на фоне высокой зависимости e-commerce и цифровых сервисов от пользовательской активности. Эксперты, опрошенные СМИ, считают, что эффект от ограничений будет краткосрочным: пользователи адаптируются, начнут отключать VPN или перенастраивать его.