Белые списки навсегда
В информационной безопасности существуют два базовых подхода к организации защиты. Первый — разрешено всё, что не запрещено. Это чёрные списки: составляется реестр плохого, всё остальное работает. Второй — запрещено всё, что не разрешено. Это белые списки: составляется реестр хорошего, всё остальное не работает.
Разница между ними — как разница между списком аллергенов в меню и списком того, что вам можно есть после визита к гастроэнтерологу.
Мы сейчас идём по первому пути. Роскомнадзор блокирует то, что нужно заблокировать, а всё остальное формально доступно. Логика безупречная: ресурс нарушает закон — ресурс блокируется. Но у этого подхода есть фундаментальная проблема: количество ресурсов, не соблюдающих российские законы, теоретически бесконечно. Реестр заблокированных сайтов вырос с 200 тысяч записей в конце 2021 года до 1,2 миллиона в 2025-м. Заблокировано 439 VPN-сервисов. Один за другим падают протоколы: OpenVPN, WireGuard, L2TP, VLESS, SOCKS5. И всё равно 41 % пользователей продолжает обходить блокировки.
Чёрные списки — это сизифов труд регулятора, который ловит воду решетом и каждый год покупает решето помельче.
Именно поэтому складывается ощущение, что переход к белым спискам неизбежен. И это не прогноз — это уже происходит.
Хронология неизбежного
Инфраструктура для «суверенного интернета» строилась задолго до того, как в публичном поле зазвучало словосочетание «белые списки». В мае 2019 года был подписан Федеральный закон № 90-ФЗ — закон о «суверенном Рунете», авторства сенатора Клишаса и депутата Лугового. По нему операторы связи обязаны устанавливать ТСПУ — технические средства противодействия угрозам. Проще говоря, оборудование глубокой инспекции трафика (DPI), управляемое Роскомнадзором. К 2025 году покрытие ТСПУ на сетях операторов достигло 100 %.
Затем — Федеральный закон № 236-ФЗ о «приземлении» иностранных IT-компаний (2021 год): крупные платформы с аудиторией свыше 500 тысяч пользователей в сутки обязаны открывать представительства в России. Санкция за неисполнение — вплоть до полной блокировки. Реестр таких компаний ведётся на сайте РКН. Большинство компаний закон проигнорировали.
В октябре 2025 года правительство утвердило «Правила централизованного управления сетью связи общего пользования» (постановление № 1667). С 1 марта 2026 года Минцифры, Роскомнадзор и ФСБ смогут вводить режим фильтрации и временной изоляции российского интернета.
А в январе 2026 года Госдума одобрила в первом чтении законопроект, дающий ФСБ право отключать не только мобильный, но и стационарный интернет, а также телефонную связь — поправки в закон «О связи», внесённые правительством в ноябре 2025-го.
Каждый шаг подкреплён соответствующим нормативным актом. Всё по закону. И вот тут мы подходим к главному.
Белые списки: от «временной меры» до повседневности
Летом 2025 года в десятках регионов начались массовые отключения мобильного интернета для борьбы с навигацией БПЛА по вышкам сотовой связи. Масштаб нарастал лавинообразно: 69 отключений в мае, 655 в июне, 2 099 в июле — больше, чем во всём мире за весь 2024 год.
Отключённый интернет — это не только недоступный YouTube. Это неработающие банковские приложения, такси, навигация, экстренные сервисы. Проблему нужно было решать, и в сентябре 2025 года Минцифры объявило о «пилотном режиме»: в периоды ограничений пользователям будет доступен набор сервисов из белого списка. Госуслуги, ВКонтакте, Одноклассники, Яндекс, Ozon, Wildberries, RuTube, мессенджер MAX, личные кабинеты операторов. К декабрю — четвёртое обновление, список расширился до нескольких сотен ресурсов.
Глава Минцифры Максут Шадаев пообещал обновлять его еженедельно, ориентируясь на «популярность ресурса у россиян». Звучит разумно. Но технический анализ на Хабре показал реальную картину: даже сервисы из официального списка работали нестабильно, банковские приложения были недоступны неделями, из мессенджеров функционировал только MAX. Белые списки внедрены в 48–57 регионах из 80+, и далеко не везде операторы установили нужное оборудование.
Проблема белых списков не в идее. Идея логичная — если уж отключаете, дайте хотя бы самое необходимое. Проблема в том, что временное имеет свойство становиться постоянным. Особенно когда инфраструктура уже построена, а нормативная база уже принята.
Один мессенджер, один видеосервис, один браузер, одна ОС
Давайте посмотрим, как выглядит интернет по белым спискам, если экстраполировать текущие тенденции.
Один мессенджер. В марте 2025 года VK при поддержке Минцифры и «Ростеха» запустил мессенджер MAX — российский аналог WeChat. К ноябрю — 55 миллионов пользователей. С 1 сентября 2025 года MAX обязательно предустанавливается на все смартфоны и планшеты. Госдума приняла закон об обязательном ведении домовых чатов исключительно в MAX. С 1 июня 2025 года госслужащим запрещено использовать иностранные мессенджеры для общения с гражданами. В августе ограничены звонки в WhatsApp и Telegram, в ноябре началась поэтапная блокировка WhatsApp. Депутат Горелкин прямым текстом заявил: «WhatsApp пора готовиться к уходу с российского рынка». А Шадаев намекнул, что и Telegram могут заблокировать, если MAX «докажет эффективность». Какой мессенджер окажется в белом списке — вопрос риторический.
Один видеосервис. 10 февраля 2026 года YouTube был окончательно заблокирован через удаление из Национальной системы доменных имён (НСДИ). Вместе с ним исчезли ещё минимум 13 ресурсов. RuTube отчитался о росте просмотров в 7,5 раз, VK Видео стал лидером с аудиторией 82,8 миллиона. Выбор для белого списка невелик, и весь он отечественный.
Один браузер. Яндекс Браузер занимает 23 % российского рынка и растёт. Chrome привязан к экосистеме заблокированного Google, Firefox и остальные не «приземлились». Выбор очевиден.
Одна мобильная ОС. ОС «Аврора» разрабатывается с 2016 года дочкой «Ростелекома». За восемь лет в её магазине приложений — 85 штук. Для понимания масштаба: в Google Play их около 3,5 миллиона. «Ростелеком» планирует поддержку Android-приложений через эмулятор и выход на планшеты, телевизоры, автомобили. Амбициозно, но пока есть только 85 приложений, а смартфонов с Авророй в массовой продаже не наблюдается.
Одна десктопная ОС. Здесь ситуация интереснее. В Едином реестре российского ПО зарегистрировано более 20 операционных систем. Лидер — Astra Linux (76 % рынка отечественных ОС), разработка «РусБИТех-Астра» на базе Debian. Сертифицирована ФСТЭК, ФСБ и Минобороны, допущена к работе с гостайной уровня «совершенно секретно». Более 18 500 клиентов, среди которых Минобороны, МВД, Газпром, Росатом, Сбербанк, РЖД. За ней — РЕД ОС (выручка разработчика выросла в 5,5 раз за два года), «Альт» от «Базальт СПО» (собственный репозиторий «Сизиф» с 23 000 пакетов, «Россети» в 2025-м потратили 400 млн рублей на закупку), ROSA Linux.
С десктопными ОС, в отличие от мобильных, импортозамещение идёт всерьёз. Указ Президента № 166 от 30 марта 2022 года запретил использование иностранного ПО на объектах критической информационной инфраструктуры (КИИ) с 1 января 2025 года. Федеральный закон № 58-ФЗ от 7 апреля 2025-го установил окончательный срок — 1 сентября 2025-го. На совещании с деловыми кругами Шадаев пересказал позицию президента коротко и ясно: «Президент сказал — будем душить».
Правда, по данным ComNews на март 2025 года, лишь 41 % региональных госорганов перешёл на отечественные ОС, а полностью завершили переход всего 2 % организаций. Но нормативная база создана, сроки установлены, штрафы с 1 января 2026-го — до 500 тысяч рублей. Направление движения очевидно.
«А что, в Европе лучше?»
Тем, кто привык тыкать пальцем в Россию, стоит оглянуться на собственный двор.
Великобритания в 2023 году приняла Online Safety Act, который обязывает мессенджеры сканировать зашифрованные сообщения. Signal заявил о готовности уйти с рынка. А ещё раньше, в 2016-м, был принят Investigatory Powers Act — «Хартия снуперов», как его называют сами британцы. По нему провайдеры обязаны хранить историю интернет-посещений всех пользователей в течение года, а спецслужбы получили право на массовый перехват данных и легализованный взлом устройств. Поправки 2024 года обязывают техкомпании согласовывать с правительством обновления безопасности перед их выпуском. Правозащитная организация Liberty назвала это «самым инвазивным режимом массовой слежки среди демократических стран». Apple пригрозила убрать iMessage и FaceTime из Великобритании.
Евросоюз продвигает Chat Control — проект регламента, который в различных редакциях предполагает сканирование всех личных сообщений, включая зашифрованные. Датский министр юстиции Петер Хуммельгаард заявил открытым текстом: «Мы должны порвать с ошибочным представлением о том, что общаться в зашифрованных мессенджерах — это гражданская свобода каждого». Глава Signal Мередит Уиттакер предупредила: «Это может покончить с приватными коммуникациями — и с Signal — в ЕС». А юридическая служба самого Европарламента заключила, что предложение нарушает статьи 7 и 8 Хартии основных прав ЕС. Digital Services Act (2022) обязывает крупные платформы проактивно оценивать «системные риски» контента — штраф до 6 % мирового оборота. Регламент о террористическом контенте требует удалять материалы в течение одного часа. Немецкий NetzDG (2017) — удаление «незаконного» контента за 24 часа, штраф до 50 миллионов евро. Исследования показали, что от 87 до 99 % удалённого по NetzDG контента было легальным. Комитет ООН по правам человека рекомендовал Германии пересмотреть закон.
Франция в 2024 году приняла закон SREN, обязывающий DNS-провайдеров и браузеры блокировать сайты из правительственного чёрного списка. Mozilla назвала это «антиутопической технической возможностью» и предупредила, что закон «предоставит руководство для авторитарных правительств».
Австралия ещё в 2018 году приняла Assistance and Access Act, дающий правительству право приказывать компаниям создавать бэкдоры в шифровании. Apple назвала закон «чрезвычайно широким и опасно амбициозным».
США. Секция 702 FISA позволяет спецслужбам собирать коммуникации без ордера. В 2021 году ФБР провело до 3,4 миллиона безордерных поисков по данным американских граждан. Суд FISA зафиксировал «широко распространённые нарушения». В 2024 году закон не только продлили, но и расширили. Проект EARN IT Act, который вносился в Конгресс трижды, фактически запрещает сквозное шифрование, позволяя рассматривать его использование как доказательство соучастия в преступлении.
Так что разговоры в стиле «ну вот, опять Россия» — это для тех, кто не следит за новостями. Зажимают везде. Разница лишь в скорости, технических деталях и степени откровенности.
Воронка
Обратите внимание на направление движения. Оно всегда одностороннее — и это касается не только России.
В 2019-м — закон о суверенном интернете (90-ФЗ). В 2021-м — закон о «приземлении» (236-ФЗ). В 2022-м — указ № 166 о запрете иностранного ПО на объектах КИИ. В 2024-м — замедление YouTube. С 1 марта 2024-го — запрет на рекламу средств обхода блокировок. В 2025-м — отключения мобильного интернета, белые списки как «временная мера», обязательная предустановка MAX, закон № 58-ФЗ о запрете иностранного ПО на КИИ. В 2026-м — блокировка YouTube через НСДИ, право ФСБ отключать стационарный интернет, вступление в силу постановления № 1667.
Каждый шаг обоснован. Каждый шаг оформлен нормативным актом. И каждый шаг сужает воронку.
Депутат Горелкин о Википедии: «С точки зрения законодательства уже ничего не мешает её запретить — теперь это вопрос политической воли и целесообразности». Обратите внимание на формулировку. Она применима к чему угодно.
Я патриот. Я понимаю, зачем нужен цифровой суверенитет, зачем нужно импортозамещение, зачем нужно устранять зависимость от платформ, которые в любой момент могут отключить тебя сами. Google уже поудалял российские приложения из Play Store. Apple отключила Apple Pay. Наши «партнёры» показали, как быстро удобные сервисы превращаются в инструмент давления. Импортозамещение — это не блажь, это реально вопрос национальной безопасности.
Но вот какая штука. Безальтернативность — это всегда плохо. Особенно когда альтернатива плоха по объективным причинам. Один мессенджер, один видеосервис, один браузер, одна ОС — это не суверенитет. Это монополия. А монополия убивает качество. Когда у пользователя нет выбора, у разработчика нет стимула. RuTube, получивший аудиторию не за счёт качества продукта, а за счёт блокировки конкурента, — это не история успеха. Это история про отсутствие конкуренции. Потому что улучшать качество можно, но зачем?
85 приложений в магазине «Авроры» за восемь лет — это не цифровой суверенитет, а пародия на цифровое импортозамещение в условиях, когда замещать особо нечем. Astra Linux с её 76 % рынка отечественных ОС и сертификацией ФСБ гораздо убедительнее. Но когда переход на неё идёт не потому, что она лучше, а потому, что за непереход штраф 500 тысяч, — это другая мотивация.
Что будет дальше
Белые списки, введённые как временная мера для регионов с отключённым мобильным интернетом, имеют все шансы стать постоянным режимом работы. Нормативная база принята: постановление № 1667 вступает в силу 1 марта 2026 года. ТСПУ установлены. НСДИ работает. Механизм удаления ресурсов из НСДИ уже опробован на YouTube.
В белом списке будет один мессенджер (MAX), один-два видеосервиса (RuTube, VK Видео), один поисковик (Яндекс), госсервисы, несколько маркетплейсов и банковские приложения. На компьютерах — Astra Linux, «Альт» или РЕД ОС. На телефонах — когда-нибудь «Аврора». Всё остальное — на усмотрение регулятора.
И знаете, меня не пугает сам набор. Яндекс — отличный поисковик. Astra Linux — вполне рабочая ОС. Госуслуги — удобнее, чем в большинстве западных стран. Меня пугает принцип. Потому что белый список — это не просто техническое решение. Это философия, при которой любой новый ресурс запрещён по умолчанию, пока не доказал свою лояльность. А в такой системе появление чего-то нового и независимого становится не вопросом таланта разработчика, а вопросом согласования с регулятором.
Импортозамещение нужно. Цифровой суверенитет нужен. Но суверенитет — это когда ты можешь всё, что нужно, а не когда тебе можно только то, что разрешили. Хочется верить, что эту разницу понимают те, кто принимает решения. Но пока траектория — в сторону второго варианта.