Использование VPN-сервисов в России сопряжено с серьёзными угрозами безопасности персональных данных и новыми законодательными ограничениями. Депутат Госдумы Антон Немкин подчеркнул, что бесплатные сервисы зачастую становятся инструментом в руках киберпреступников.

Многие бесплатные приложения фактически не обеспечивают заявленный уровень безопасности. По словам Антона Немкина, такие программы собирают информацию о пользователях и передают интернет-трафик третьим лицам. В программный код нередко внедряют вредоносные модули или шпионское ПО. В результате человек передает историю своей активности и персональные данные неизвестным операторам, создавая лишь иллюзию конфиденциальности.

Злоумышленники применяют VPN для маскировки реальной геолокации. Подмена IP-адреса позволяет скрывать источники фишинговых атак, массовых рассылок и попыток взлома аккаунтов. По данным депутата, следы преступления могут вести через несколько стран и десятки серверов, что существенно усложняет оперативную работу правоохранительных органов. Под видом популярных сервисов часто распространяются приложения, которые перехватывают банковские данные, пароли и коды из SMS-сообщений или push-уведомлений.

Исследование Open Technology Fund выявило непрозрачные структуры собственности у популярных провайдеров. Компании Innovative Connecting PTE, Autumn Breeze PTE и Lemon Clove PTE формально зарегистрированы в Сингапуре, но фактически управляются из КНР. Приложения Turbo VPN, VPN Proxy Master, XY VPN и 3X VPN признаны специалистами «чрезвычайно тревожными». Суммарно их загрузили более 700 миллионов пользователей Google Play Store.

Провайдеры часто используют туннельный протокол Shadowsocks. Его главной уязвимостью являются заранее прописанные внутри приложений пароли, которые позволяют перехватывать и расшифровывать коммуникацию. Кроме того, многие сервисы работают на арендованных серверах в сторонних дата-центрах, не имея полного контроля над оборудованием. Некоторые приложения тайно собирают данные о местоположении вопреки заявленной политике приватности.

Госдума приняла поправки, вводящие строгие санкции за нарушения в сфере использования обходных технологий. Реклама VPN-сервисов теперь наказывается штрафом до 500 тысяч рублей для юридических лиц. Аналогичные взыскания предусмотрены для владельцев сервисов за отказ взаимодействовать с Роскомнадзором или блокировать запрещенные ресурсы. При повторных нарушениях штрафы для компаний могут достигать 1 миллиона рублей. Умышленный поиск экстремистских материалов из списка Минюста через VPN обойдется гражданам в сумму до 5 тысяч рублей.

Законодатели также ужесточили ответственность за операции с личными данными. За передачу регистрационных данных интернет-аккаунтов и SIM-карт суды будут штрафовать на суммы до 200 тысяч рублей. Уголовный кодекс дополнили статьями 274.4 и 274.5, которые предусматривают до 3 лет лишения свободы за организацию передачи данных для входа в аккаунты. Согласно предложенным изменениям в статью 63 УК РФ, применение VPN-сервисов при совершении преступления станет отягчающим обстоятельством.