Ограничение VPN в России 2026: административная ответственность, плата за трафик и лишение IT-аккредитации

28 марта глава Минцифры Максут Шадаев провёл два совещания — с операторами связи и с цифровыми платформами, на которых были представлены инициативы по борьбе с использованием VPN. Министерству поручено снизить потребление VPN, причём с минимальными последствиями для пользователей.

Первая мера — плата за международный интернет-трафик свыше 15 ГБ в месяц в мобильных сетях, потенциально с 1 мая.

Здесь есть два сценария. Если ограничивается весь международный трафик без разбора, операторам реализовать это технически просто, но тогда под удар попадает любой зарубежный сервис, включая автоматические обновления приложений и операционных систем, которые легко расходуют несколько гигабайт за один цикл без участия пользователя. Если же задача — выделить именно VPN-трафик внутри общего международного потока, у операторов для этого есть техническая возможность: VPN-соединения оставляют характерные признаки в заголовках пакетов. Но тогда возникает проблема идентификации: как считать трафик пользователя, который физически находится за границей и просто использует обычное мобильное соединение.

Вторая мера — запрет пополнения Apple ID со счёта мобильного телефона, действующая с 1 апреля. Формальная цель — затруднить покупку VPN-приложений. Фактический эффект шире: та же блокировка касается iCloud, Apple Music и любых других платных сервисов экосистемы Apple, которые пользователь оплачивал через баланс оператора.

Третья мера — поручение крупным цифровым платформам (маркетплейсы, банки, агрегаторы) блокировать пользователей, подключённых через VPN. Технически это решаемая задача для больших игроков: у них уже есть собственные скоринговые системы безопасности, которые анализируют происхождение и поведение трафика — откуда пришёл запрос, что делает пользователь, не похоже ли это на парсинг каталога.

Здесь же возникает важный побочный эффект — структурный дисбаланс трафика по геолокации. Крупные дата-центры, через которые проходит VPN-трафик, физически расположены в определённых юрисдикциях, например, в Дублине. Если доля пользователей маркетплейса из Дублина составляет тысячные доли процента, а доля трафика из того же региона — несколько процентов, это статистическая аномалия, которую крупные платформы способны выявить и отфильтровать именно благодаря масштабу своих данных.

Самая жёсткая мера касается самих IT-компаний: разработчики, чьи сервисы продолжают функционировать у пользователей с включённым VPN, рискуют лишиться IT-аккредитации Минцифры. Для бизнеса аккредитация очень важна. Она даёт налоговые льготы, право на IT-ипотеку для сотрудников, отсрочку от призыва и включение продукта в реестр отечественного ПО.

По данным «Коммерсанта», выявлять VPN-трафик и направлять соответствующие запросы в Минцифры будет ФСБ — хотя на практике основным источником данных всё равно станут операторы связи, у которых уже выстроено взаимодействие со спецслужбами.

Белые списки в домашнем интернете

«Ростелеком» заявил, что для южных регионов России в случае соответствующего решения Минцифры и Роскомнадзора домашний интернет может быть переведён в режим белых списков, когда доступны только сервисы из утверждённого перечня.

Важен исходный контекст этого механизма: белые списки изначально создавались как мера против дронов, которые управлялись через мобильный интернет на отечественных сим-картах. Логика ограничения мобильного трафика в такой рамке понятна. Распространение этой же логики на домашний проводной интернет куда менее очевидное решение.

Если механизм действительно заработает для домашних сетей, пользователю останутся базовые сервисы — почта, видеохостинги, такси, доставка еды — плюс некий набор разрешённых внешних соединений для крупных платформ, у которых инфраструктура распределена по миру и физически требует связи с зарубежными серверами.

Замедление Telegram в России

С 14 марта 2026 года доля неудачных запросов к Telegram из России достигла почти 80%, в отдельных регионах — 90%. Помимо медиафайлов теперь с задержкой отправляются и обычные сообщения. Фактически мессенджер перестал полноценно функционировать без VPN.

Если социальная сеть будет бороться за выживание, она может выпустить новую версию приложения, которая будет генерировать в разы больше обращений к серверу — и это просто сломает сами средства противодействия угрозам.

Государственная почта для юрлиц: обязательная и платная переписка с органами власти

В России обсуждается создание государственной платформы для официальной электронной переписки между гражданами, компаниями и органами власти. Для юридических лиц, ИП и самозанятых подключение предлагается сделать обязательным и платным, оператором системы предположительно станет «Почта России».

Логика появления адреса электронной почты в реестре юрлиц заключалась в том, чтобы дать налоговой и другим органам возможность связаться с организацией. Со временем туда же добавились телефоны и email. Новая инициатива идёт другим путём: создаётся отдельный обязательный канал связи, и совершенно неясно, как он будет интегрирован с существующими корпоративными почтовыми системами.

Ключевой нерешённый вопрос — переадресация. Если пересылка с государственного почтового ящика на привычный корпоративный email невозможна, бизнесу придётся вручную мониторить ещё один канал связи. Не менее спорный момент — приостановка доступа к ящику при неуплате: если этот канал обязателен для получения юридически значимых уведомлений, остановка доступа к нему создаёт правовую коллизию.

Утечка данных 26 млн американцев: подрядчик страховых компаний CNN раскрыл SSN и медкарты

Компания CNN, провайдер услуг печати, платежей и документооборота для крупнейших американских страховщиков, стала источником одной из крупнейших утечек данных в истории США. Скомпрометированы данные порядка 26 миллионов человек: адреса, номера социального страхования (SSN) и медицинская информация.

Operation League: ФБР и Европол закрыли теневой форум League Base, 13 арестов в 14 странах

4 марта в рамках операции Operation League власти 14 государств закрыли League Base — один из крупнейших теневых форумов по торговле украденными данными. Результат: 13 арестов, 32 обыска, опрос 33 подозреваемых.

Формулировка «крупнейший теневой форум» создаёт ложное впечатление о масштабе операции и природе площадки. На деле речь о публичном, не даркнетовском, форуме, который начинался как сообщество для обсуждения утечек данных. Торговая составляющая выросла органически: пользователи начали предлагать друг другу базы для покупки, и площадка постепенно превратилась в гибрид форума и маркетплейса.

Claude в военных операциях США: Пентагон использовал ИИ для планирования ударов по Ирану

По данным Wall Street Journal, командование армии США на Ближнем Востоке использовало модель Claude от Anthropic для разведки и проработки сценариев при планировании ударов по Ирану — после того как администрация Трампа запретила правительственным ведомствам использовать конкурирующий продукт. Anthropic публично осудила это использование: внутренние правила компании прямо запрещают применение модели для разведки, разработки оружия и насильственных действий. В тот же день OpenAI, наоборот, объявила о начале сотрудничества с военным министерством США.

Здесь стоит развести две вещи: технические возможности генеративных моделей и их реальное применение в военном контексте. Сами по себе такие модели не принимают решения об ударах — они помогают обрабатывать данные, готовить аналитические справки, систематизировать информацию. Это применимо в разведке точно так же, как в любой другой области, требующей анализа больших массивов текста.

Иранская группировка Handala атаковала Stryker: уничтожение 200 тысяч устройств через Microsoft Intune

11 марта проиранская хакерская группировка Handala заявила об атаке на медтех-компанию Stryker, в результате которой вайпер-вредонос необратимо уничтожил данные на 200 тысячах корпоративных устройств.

Характер атаки — массовый сброс устройств к заводским настройкам штатными корпоративными средствами — указывает, что, вероятнее всего, злоумышленники получили административный доступ к платформе управления устройствами Microsoft Intune. Это принципиально другая категория атаки: не эксплуатация уязвимости в защите, а злоупотребление легитимным инструментом администрирования после компрометации привилегированной учётной записи.

Disney заплатил $3 млн по CCPA, штраф 400 тысяч рублей в России: как меняется цена утечек

Disney выплатила почти 3 миллиона долларов — крупнейший штраф в истории применения калифорнийского закона о защите данных потребителей (CCPA). Компания заявляла об отсутствии передачи персональных данных третьим лицам, но при этом интегрировала в Disney Plus, Hulu и ESPN Plus сторонние рекламные SDK, через которые данные фактически передавались, игнорируя запросы пользователей на отказ от таргетированной рекламы.

В России в это же время детская онлайн-школа UKIDS получила штраф 400 тысяч рублей после публикации клиентской базы — первое применение ужесточённых санкций за утечку персональных данных, которые формально действуют с 30 мая 2025 года, но до этого момента дела рассматривались по старым нормам со штрафами до 60 тысяч рублей.

По меркам американских корпораций $3 млн — это далеко не большой штраф, скорее издержки ведения бизнеса. А для российского рынка 400 тысяч рублей — уже заметная сумма, потому что раньше за утечки данных у нас фактически не штрафовали.

Россия разрешит обучать ИИ на чужом контенте без согласия правообладателей: что это значит для разработчиков

Правительство России готовит законопроект, по которому разработчики ИИ смогут использовать защищённые авторским правом материалы для обучения моделей без согласия правообладателей.

Автор статьи: Царев Евгений