Недавние изменения, пополнившие список административных правонарушений, вызвали широкий резонанс — особенно в связи с наказаниями за поиск экстремистского контента. Однако для бизнеса куда более важным аспектом стали новые нормы, касающиеся использования корпоративных VPN, которые вступают в силу с 1 сентября 2025 года (Федеральный закон от 31.07.2025 № 281-ФЗ).
Забегая вперед: формального запрета на VPN нет. Но даже рутинное использование VPN для корпоративных целей — например, для безопасного удаленного доступа к компьютерам — может привести к штрафам. Если интеграция в корпоративную инфраструктуру произведена с нарушениями, организация может быть вынуждена заплатить вплоть до 1 000 000 рублей.
Предыстория
Статья 15.8 Федерального закона «Об информации, информационных технологиях и о защите информации» давно регулирует правила ограничения доступа к VPN-сервисам и другим инструментам обхода блокировок Роскомнадзора.
В целом схема взаимодействия с регулятором выглядит так:
Причем эти правила касаются не только «публичных» VPN, но и корпоративных решений.
В целом схема взаимодействия с регулятором выглядит так:
- Роскомнадзор получает информацию о VPN-сервисе, через который можно попасть на заблокированные сайты, и направляет официальное требование его владельцу.
- Владелец ресурса в течение 30 рабочих дней должен подключиться к федеральной информационной системе с перечнем запрещенных сайтов (ФГИС).
- Далее, не позднее 3 рабочих дней после подключения, необходимо технически ограничить доступ к запрещенным ресурсам через сервис на территории РФ.
Причем эти правила касаются не только «публичных» VPN, но и корпоративных решений.
Явка с повинной
Ситуация резко изменилась за последний год: IP-адреса корпоративных VPN все чаще попадали под блокировки в рамках мер по обеспечению противодействия угрозам «суверенного Интернета».
Чтобы не лишиться доступа к внутренним системам и корпоративным платформам, компании (в том числе российские офисы международных холдингов) начали самостоятельно обращаться в Роскомнадзор с просьбой внести их IP-адреса в «белый список». Такой механизм предложило само Минцифры, чтобы сохранить стабильную работу корпоративных VPN-сервисов.
В рамках этой инициативы компании добровольно передавали и продолжают передавать информацию о своих VPN-сервисах в Роскомнадзор. Логика простая: если существует вероятность блокировки в рамках политики «суверенного Интернета», лучше заранее попытаться попасть в «белый список», чем внезапно оказаться в ситуации остановки работы критичных бизнес-процессов.
Чтобы не лишиться доступа к внутренним системам и корпоративным платформам, компании (в том числе российские офисы международных холдингов) начали самостоятельно обращаться в Роскомнадзор с просьбой внести их IP-адреса в «белый список». Такой механизм предложило само Минцифры, чтобы сохранить стабильную работу корпоративных VPN-сервисов.
В рамках этой инициативы компании добровольно передавали и продолжают передавать информацию о своих VPN-сервисах в Роскомнадзор. Логика простая: если существует вероятность блокировки в рамках политики «суверенного Интернета», лучше заранее попытаться попасть в «белый список», чем внезапно оказаться в ситуации остановки работы критичных бизнес-процессов.
Новая ответственность: за что будут штрафовать
С начала осени ситуация усложнится. В силу вступит статья 13.52 КоАП РФ со штрафами для владельцев VPN. Использование этой технологии будет напрямую грозить бизнесу штрафами. За что именно предусмотрены санкции:
Отвечать будет «владелец» программно-технического комплекса. Кто именно считается таковым — вопрос неочевидный, особенно когда речь идет об использовании компанией готовых решений сторонних провайдеров.
Напрашивается аналогия с понятием владельца сайта, зафиксированным в п. 17 ст. 2 закона «Об информации»: это лицо, которое определяет правила функционирования ресурса. Логично предположить, что организация не должна отвечать за ограничения, заложенные производителем VPN-продукта. Однако насколько такая логика будет поддержана судами — особенно с учетом того, что правоприменительная практика нередко занимает сторону Роскомнадзора — пока не ясно.
- Нарушение порядка взаимодействия с Роскомнадзором — до 500 000 руб.
- Игнорирование требования подключиться к ФГИС — до 500 000 руб.
- Неисполнение обязательств по блокировке запрещенных на территории РФ ресурсов — до 500 000 руб.
- Повторное совершение любого из указанных нарушений — до 1 000 000 руб.
Отвечать будет «владелец» программно-технического комплекса. Кто именно считается таковым — вопрос неочевидный, особенно когда речь идет об использовании компанией готовых решений сторонних провайдеров.
Напрашивается аналогия с понятием владельца сайта, зафиксированным в п. 17 ст. 2 закона «Об информации»: это лицо, которое определяет правила функционирования ресурса. Логично предположить, что организация не должна отвечать за ограничения, заложенные производителем VPN-продукта. Однако насколько такая логика будет поддержана судами — особенно с учетом того, что правоприменительная практика нередко занимает сторону Роскомнадзора — пока не ясно.
Выбор стратегии: уведомлять РКН или нет
Вопрос о включении корпоративного VPN в «белый список» Роскомнадзора остается открытым. С июля требования к процедуре ужесточились, и путь к официальному признанию IP-адресов безопасными может оказаться непростым.
Сейчас каждой организации необходимо заранее оценить риски и выбрать один из двух сценариев:
A. Заявить о себе и попытаться внести IP-адреса в «белый список» РКН, понимая, что это повысит прозрачность и может повлечь штраф, если не получится соблюсти сроки и требования.
Б. Ничего не предпринимать и остаться «в тени» — штрафы в этом случае менее вероятны, но всегда есть риск полной блокировки критичных для бизнеса сервисов.
Принять такое решение нужно совместно с технической командой: важно понимать, какие VPN-сервисы используются, можно ли адаптировать их под требования Роскомнадзора и реально ли выполнить фильтрацию запрещенного трафика в пределах отведенных 33 рабочих дней.
Сейчас каждой организации необходимо заранее оценить риски и выбрать один из двух сценариев:
A. Заявить о себе и попытаться внести IP-адреса в «белый список» РКН, понимая, что это повысит прозрачность и может повлечь штраф, если не получится соблюсти сроки и требования.
Б. Ничего не предпринимать и остаться «в тени» — штрафы в этом случае менее вероятны, но всегда есть риск полной блокировки критичных для бизнеса сервисов.
Принять такое решение нужно совместно с технической командой: важно понимать, какие VPN-сервисы используются, можно ли адаптировать их под требования Роскомнадзора и реально ли выполнить фильтрацию запрещенного трафика в пределах отведенных 33 рабочих дней.
С чего начать бизнесу решать проблему с корпоративными VPN
Прежде чем начать «обелять» IP-адреса, важно заранее ответить на главный вопрос: как именно вы будете исполнять требования регулятора. Ниже несколько ключевых рекомендаций:
Источник: https://companies.rbc.ru/news/ZFD7lnBhbk/vpn-pod-pritselom-biznes-riskuet-popast-pod-millionnyie-shtrafyi/
- При выборе корпоративного VPN оценивайте его техническое соответствие ожиданиям Роскомнадзора — сможете ли вы настроить его под требования регулятора или нет.
- Подготовьте внутренние инструкции для сотрудников, чтобы зафиксировать легальные рамки использования VPN.
- Учтите: обход блокировок с помощью VPN теперь квалифицируется и как отягчающее обстоятельство по Уголовному кодексу РФ.
Источник: https://companies.rbc.ru/news/ZFD7lnBhbk/vpn-pod-pritselom-biznes-riskuet-popast-pod-millionnyie-shtrafyi/