Пять странных событий, в которых замешаны «Ростелеком», Роскомнадзор, ГКРЧ, Твиттер и Джо Байден, и которые привели к коллапсу Интернета в России.
Днем 10 марта без доступа в Интернет на несколько часов остались абоненты крупнейшего провайдера, «Ростелекома». Без связи оказалось более 92% его клиентов. Дозвониться в техподдержку было невозможно: робот отвечал, что компания не может ответить по техническим причинам. Чуть позже Минцифры сообщил, что у провайдера что-то пошло не так с роутерами.
Сразу же после того, как абоненты «Ростелекома» стали получать сообщения «DNS-сервер недоступен», наблюдатели вспомнили, что 11 марта у провайдера истекает срок разрешения на использование частоты 3,4–3,6 ГГц, выданного Госкомиссией по радиочастотам (ГКРЧ) в этот день в 2011 году сроком на 10 лет. Этот диапазон должен был отойти к операторам, строящим сети поколения 5G (однако Совбез счел это нецелесообразным по соображениям безопасности и обороны, так как в этом диапазоне работают системы связи силовых структур). Затронул ли сбой 10 марта системы связи РВСН и Роскосмоса, работающие в том же самом диапазоне 3,4 — 3,6 ГГц, не сообщается.
Одновременно с этим пользователи Интернета у тех провайдеров, которые не испытывали технических проблем, обнаружили, что невозможно зайти на сайты ряда государственных организаций, включая Кремль, Госдуму, правительство, Следственный Комитет.
«Ростелеком» сразу же открестился от подозрений, что это по вине его заблудившихся маршрутизаторов без доступа в Сеть остались президент, депутаты и министры. Это, утверждают в компании, стало чистым совпадением (как, очевидно, и то, что сбой произошел в те самые часы, когда президент «Ростелекома» Михаил Осеевский принимал участие в собрании оргкомитета «Единой России» по проведению предварительного голосования по кандидатам на сентябрьских выборах).
Заявление «Ростелекома» о том, что «причины сбоя изучаются, чтобы избежать подобных ситуаций в будущем», вызывает недоверие именно потому, что будущее уже наступило. «Избегать подобных ситуаций» следовало учиться еще в 2018 году, во время эпического сражения Роскомнадзора с мессенджером Telegram.
Работа Twitter замедлена в России с 10 марта на всех мобильных и на половине стационарных устройств. Решение РКН связано с тем, что компания систематически не исполняет требования по удалению контента, запрещенного в РФ (из-за публикаций с призывами к суициду, детской порнографией и информацией об использовании наркотиков). Хотя требования совершенно правильные, но то, как они исполняются, вызывает вопросы об уровне компетентности исполнителей.
Мы имеем пять инцидентов, каким-то мистическим образом совпавших во времени. Одновременно — не значит взаимосвязано, но в случайное совпадение целых пяти событий верится с трудом просто по теории вероятностей.
1. Истечение разрешения «Ростелекому» на использование частот
Версия, лежащая на самой поверхности. В ней есть только одно белое пятно: «Ростелеком» на рынке Интернет-услуг занимает примерно такое же место, какое на рынке финансовых услуг занимает Сбербанк. Клиентами «Ростелекома» являются в том числе государственные структуры. Как могло случиться, что ГКРЧ проглядела, что с пятницы выданное ею разрешение истекает, в рамках здравого смысла понять невозможно, утверждает эксперт в области телекоммуникационного права Антон Богатов.
«Если предположить, что все участники этого договора будут действовать строго в юридических рамках, то в полночь “Ростелеком” будет обязан прекратить обслуживание тех своих абонентов, которым Интернет распределяется по указанным радиочастотам. Правда, число таких абонентов совсем невелико — это те точки, которые расположены в каких-то труднодоступных местностях, куда невозможно проложить кабель. Но сам факт, что ГКРЧ уже долгое время не собиралась, говорит о том, на каком месте по значимости у властей находится в России телекоммуникационная отрасль», — высказал он свое мнение Expert.ru.
В «Ростелекоме» сообщили Expert.ru, что беспроводным фиксированным широкополосным доступом пользуется не более 1% абонентов (всего в стране более 34 млн домохозяйств подключены к ШПД).
Богатов уточняет, что документ, регулирующий взаимоотношения между «Ростелекомом» и ГКРЧ, формально не является договором между двумя юрлицами, подразумевающим взаимные обязанности. ГКРЧ 11 марта 2011 года выдало оператору всего лишь разрешение на эксплуатацию оборудования в указанном в нем диапазоне частот, и оно было одобрено Роскомнадзором.
«Поскольку в ночь на пятницу разрешение ГКРЧ утрачивает силу, у “Ростелекома” исчезают правовые основания использовать упомянутый диапазон частот. В противном случае компании грозит ответственность вплоть до конфискации оборудования и другие неприятные последствия», — предупреждает юрист.
В самом «Ростелекоме» Expert.ru подтвердили, что присвоения частот действуют до марта 2021 года, а лицензии на право оказания услуг — до 2022-2024 года.
«В связи с тем, что лицензии действуют, сети WiMAX эксплуатируются и никому не мешают, услуги оказываются, никто на эти частоты более не претендует, мы не видим оснований для непродления присвоения частот на новый срок. Иначе логично возникает вопрос о компенсации убытков пользователю частот. Мы рассчитываем на продление разрешений, заявки поданы в прошлом году. Тут коллизия в том, что ГКРЧ не собиралась с прошлого года», — сообщили в «Ростелекоме».
2. Отказ техники в «Ростелекоме»
Это тоже очевидная причина, в которой даже не надо никого специально убеждать. Если что-то может сломаться, оно рано или поздно сломается. Эта версия никак причинно-следственно не связана с версией 1, что говорит в пользу чистого совпадения.
Технические аварии происходят постоянно у всех провайдеров, и на это, по большому счету, никто не обращает серьезного внимания, сказал Expert.ru руководитель аналитического центра компании по защите информации Zecurion Владимир Ульянов.
3. Операция РКН против Twitter
Эта операция могла иметь побочным эффектом непреднамеренный удар по провайдерам, никакого отношения к американской компании не имеющим. Так случилось в 2018 году, когда РКН пытался заблокировать мессенджер Павла Дурова. В рамках этой версии в среду РКН «выстрелил себе в ногу» — рухнул в числе прочих и сайт самого Роскомнадзора.
Отсылка к той короткой, но яростной битве совершенно не случайна. 10 марта началась анонсированная ранее операция Роскомнадзора по замедлению работы сервиса микроблогов Twitter. Те, кто в теме, моментально отметили, что происходящее как две капли воды похоже на аналогичные проблемы двух- трехлетней давности. Но это никак не связанно с версиями 1 и 2 (если только РКН не накосячил с DNS-сервером «Ростелекома»).
Когда происходят инциденты, подобные нынешним, то обычно расследованием занимаются специализированные компании в области кибербезопасности, и для этого они анализируют все, в том числе и самые невероятные, возможности, говорит Владимир Ульянов.
«Надо отдавать себе отчет, что для любой компании, я в данном случае не имею ввиду конкретно на “Ростелеком”, критически важно минимизировать репутационный ущерб, который происходит из подобных инцидентов. И поэтому аналитики буквально на весах взвешивают, что следует объявить причиной сбоя: признать ли, что он стал следствием бреши в системе безопасности или следствием внутренних проблем компании. И то, и другое компанию не украшает, но “вес” каждой из причин может быть различным в зависимости от конкретной ситуации», — указывает он.
Как поясняет эксперт, самыми неприятными с точки зрения ущерба для репутации компании являются факты, когда выясняется, что причинами тех или иных проблем является злой умысел ее же сотрудников — например, слив конфиденциальной информации, баз данных клиентов и т. д. Такие факты компании стараются опровергать, даже будучи припертыми к стенке. В этих случаях (и при наличии возможности) компании стараются поднять максимально громкий информационный шум, переводя стрелки на хакеров, конкурентов или иностранных политических недоброжелателей, чтобы отвлечь внимание общественности от беспорядка в собственном доме в надежде, что постепенно общественность увлечется какими-то иными темами и про конкретный инцидент забудут все, кроме его непосредственных виновников.
«Очень часто последствия кибератак наносят гораздо больший именно репутационный ущерб, чем технологический. Для компании бывает более приемлемо сознаться в меньшем “преступлении”, таком как поломка железа, чтобы скрыть большее. Ведь если вы пропустили внешнее вторжение в свои сервера — это может нанести серьезный удар по вашему бизнесу», — говорит аналитик.
По мнению Ульянова, на сегодняшний день было бы поспешно увязывать произошедшие события в один узел, поскольку как минимум два из них — меры РКН против Twitter и киберсанкции США против России (о чем пойдет речь ниже) — являются в большей мере декларациями, чем прямым «объявлением войны». Кроме того, считает он, целью таких акций является скорее устрашение «соперника», чем стремление нанести ему реальный урон. Иначе бы Роскомнадзор не замедлял Twitter, а попросту закрыл к нему доступ, как это было сделано с LinkedIn, а американская администрация санкционировала бы атаки на российские сервера, не заявляя об этом на весь мир.
«Настоящие войны начинаются без предупреждения, и для кибервойн это верно в той же самой степени», — говорит Ульянов.
4. Заявление администрации США об ответном ударе по Рунету
Администрация Джо Байдена в конце февраля предупредила, что со стороны американских властей в течение следующих трёх недель ожидается «серьёзный ответ» на серию приписываемых России кибератак. Ответом должны стать «тайные действия в российских сетях», причём так, чтобы эти действия были «очевидны для президента Владимира Путина, его разведывательных служб и вооружённых сил, но не для остального мира». (SolarWinds: How Russian spies hacked the Justice, State, Treasury, Energy and Commerce Departments - CBS News) Американские спецслужбы убеждены, что российские кибердиверсанты инфицировали вирусами 18 тысяч госучреждений в США и по всему миру в декабре прошлого года.
Эта версия точно никак не связана с версиями 1-2, но в ней можно усмотреть косвенную причинно-следственную взаимосвязь с п.3 («око за око»). Отсюда рукой подать до конспирологического (но очень красивого) вывода, что сбой 10 марта в России и был тем самым ответом, которым угрожали из Вашингтона.
Так, во всяком случае, считает кандидат философских наук, член-корреспондент РАЕН Геннадий Бичев.
По мнению ученого, в чреде событий 10 марта намерение администрации США наказать Россию за кибератаки, получившие название «Солнечный ветер», является искомым общим знаменателем.
«Это предположение основано на том, что надо искать сторону, у которой есть техническая возможность совершить если не все, то бо́льшую часть тех действий, которые привели ко вчерашним событиям. В данном случае кроме американских спецслужб, собственно, заподозрить и некого. И я думаю, что атака против российских сайтов и главного оператора Интернета была целенаправленно проведена открыто и с размахом — именно для того чтобы ни у кого не возникло сомнения, что это именно преднамеренная акция, а не какие-то случайные технические проблемы, на которых, разумеется, объекты атаки будут настаивать, чтобы не выглядеть проигравшими», — рассуждает Бичев.
Если это так, то американские хакеры сели в ту же самую лужу, в которую в 2018 году сел Роскомнадзор: ответный удар поразил совершенно не те цели, против которых замышлялся. Разумеется, президент Путин был информирован о том, что кремлевский сайт недоступен, но назвать такую кибератаку «тайной» (если это в самом деле был обещанный американцами ответ) можно только в издевку.
5. Пожар в дата-центре в Страсбурге
Может иметь своим следствием версию 2, если предположить, что трафик вышедшего из строя в ночь на среду дата-центра каким-то образом оказался перенаправлен на сервера в Москве, и те рухнули, как это случается при DDOS-атаке. Но эта версия совершенно изолирована от других четырех. Если, конечно, это не было преднамеренным «поджогом Рейхстага» в рамках американских «тайных действий» (предположение абсолютно фантастическое и приводится исключительно для полноты картины рассмотренных вариантов).