Хостеры под контролем: как провайдеров заставляют следить за VPN, и что с этим делать. Разбор Теплицы #5

Разбираемся в новых правилах для хостеров, которые усложнят доступ к VPN и изменят рынок связи.

В рубрике «Разбор Теплицы» мы в режиме реального времени разбираемся в определенной проблеме и рассказываем о новостях интернет-цензуры и рассказываем:

  • что происходит;
  • как это устроено;
  • как с этим можно бороться

Есть мысли по поводу темы? Поделитесь с нами!

Заполните небольшую форму и расскажите, что вы думаете про устройство новых ограничений и как можно минимизировать ущерб для них операторам VPN и обычным пользователям.

Кратко

В апреле 2026 года ужесточило правила работы сразу для двух уровней телеком-инфраструктуры: операторов связи и хостинг-провайдеров.

Цель государства — перекрыть инфраструктурную базу для VPN-сервисов, а заодно передать ответственность за фильтрацию от регулятора к участникам рынка. Хостеров де-факто сделали в операторами связи. Мелкие и средние игроки рынка вытесняются. Контроль над трафиком концентрируется в руках «большой пятерки» (МТС, «Мегафон», «Вымпелком», «Т2», «Ростелеком»).

Что происходит

3 апреля 2026 года, CNews сообщило, что Минцифры обсуждает с участниками рынка связи радикальное ужесточение правил лицензирования операторов: сокращение 17 существующих видов лицензий до трех, установление уставного капитала от 5 до 100 млн рублей, запрет выдачи лицензий ИП, возможность лишения лицензии за повторные нарушения с запретом на перелицензирование в течение 10 лет. Изменения могут вступить в силу с 1 сентября 2026 года. Фактически это приведет к сокращению числа игроков на рынке операторов связи.

Еще 16 апреля 2026 года газета «Коммерсантъ» сообщила, что ко второму чтению законопроекта «Антифрод 2.0» предложены поправки, прямо запрещающие хостинг-провайдерам предоставлять вычислительные мощности владельцам сайтов и IT-систем, которые обеспечивают доступ к заблокированной в России информации. Фактически это запрет на размещение серверной инфраструктуры VPN-сервисов на российском хостинге.

При этом Минцифры сообщило, что «поправки согласовываются с заинтересованными ведомствами», и финальной версии документа еще нет.

Механика

Ключевой элемент новой логики – перевод хостеров из статуса «технического посредника» в статус «контролера».

Для хостеров это потенциальное нововведение означает переход из статуса «технического посредника» в статус «контролера» <…> На практике это будет означать ужесточение оферты, более плотное взаимодействие компаний с Роскомнадзором.

Никита Цаплин, гендиректор RUVDS

Происходящее не является абсолютной новинкой. Некоторые хостеры и раньше включали в договоры публичной оферты запрет на использование мощностей для запуска VPN-серверов и прокси. Причины были отчасти коммерческими (VPN- и прокси-сервисы генерируют непропорционально высокий трафик, перегружая каналы и создавая нагрузку на соседних клиентов), отчасти регуляторными: с 2017 года VPN-сервисы в России обязаны ограничивать доступ к запрещенным ресурсам, и хостеры не хотели нести солидарную ответственность за клиентов, предоставляющих инструменты обхода блокировок. Запрет в офертах был страховкой от регуляторных рисков и от конфликтов с РКН еще до того, как государство формализовало соответствующие требования в законе.

Как это выглядит в офертах

Кликните, чтобы узнать

Beget (виртуальный хостинг, правила использования):

«Запрещено использовать ресурсы Исполнителя для предоставления массовых публичных почтовых сервисов, VPN-сервисов, прокси-сервисов».

В облачных правилах Beget формулировка мягче, зато содержит прямую привязку к юрисдикции:

«Запрещено использовать ресурсы Исполнителя для предоставления массовых VPN-сервисов, прокси-сервисов, если это противоречит правилам страны, где размещается площадка».

RUVDS (публичная оферта, Приложение 1, п. 2.3.5):

«Размещение открытых (публичных) proxy- или VPN-серверов, а также систем для проверки работоспособности сторонних. Либо размещение приватных с использованием более 10 Гбайт суммарного трафика в сутки. Либо размещение VPN, прокси-серверов, средств анонимизации трафика и любых других средств для получения доступа к ресурсам, доступ к которым ограничен на территории Российской Федерации».

NTX.ru (договор на оказание услуг, п. 11.1.5):

«Запрещено размещение open proxy, open VPN, других общедоступных сервисов (в том числе с платным или приватным доступом), которые могут служить вспомогательными средствами для противоправных действий в сети Интернет».

Показательно, что если в ранних версиях оферт запрет формулировался преимущественно через нагрузочные ограничения (трафик, ресурсы процессора) или через расплывчатую формулировку «противоправные действия», то в более поздних редакциях — как у RUVDS – появляется прямая формулировка про «средства для получения доступа к ресурсам, доступ к которым ограничен на территории Российской Федерации».

Это уже не бизнес-логика, а правовая страховка, прямо синхронизированная с реестром РКН. Поправки «Антифрод 2.0» по сути переводят эту добровольную практику ряда хостеров в обязательное требование для всех 566 участников реестра хостеров. Теперь хостеры получают функции операторов связи в части фильтрации запрещенного трафика, не становясь ими юридически.

Провайдер будет обязан проверить, состоит ли клиент в чёрном списке и исполняет ли его владелец предписания Роскомнадзора. Если клиент игнорирует закон, провайдер должен будет отказать ему в услугах. Речь идёт не просто о запрете серверов, а о конкретной процедуре для провайдеров хостинга

Игорь Бедеров, председатель совета по противодействию технологическим правонарушениям КС НСБ

Эта практика уже отрабатывалась «вручную» до принятия закона и хостеры получали соответствующие письма от РКН. Например, в декабре 2025 года хостинг-провайдер Aeza получил от Роскомнадзора список IP-адресов из своей сети (подсеть 138.124/16) с требованием удалить с них VPN-серверы в течение 24 часов, иначе весь хостинг будет заблокирован. Пользователи были обязаны прислать скриншот удаленного VPN в подтверждение выполнения требования.

Примечательно, что РКН научился находить VPN-серверы даже с обфусцированными протоколами (Xray) в «чистых» подсетях, где ранее не запускались легко обнаруживаемые OpenVPN и WireGuard. Это свидетельствует об улучшении технических возможностей обнаружения VPN на уровне ТСПУ.

Кстати, требования к реестровым хостерам уже существуют. С февраля 2024 года хостеры вне реестра РКН не имеют права оказывать услуги в России. На апрель 2026 года в реестре зарегистрировано 566 организаций. Новые поправки «Антифрод 2.0» распространяют на всех участников реестра обязательство активно выявлять и отключать клиентов-нарушителей – то есть тех, кто использует мощности для VPN.

Что ещё стоит учитывать

Реформа затрагивает сразу несколько уровней инфраструктуры одновременно, и это не совпадение. Ужесточение лицензирования операторов связи вытесняет с рынка малых и региональных игроков, у которых ТСПУ либо не установлены, либо установлены с нарушениями. По данным АМОР, с рынка уйдут десятки тысяч сотрудников; по прогнозу собеседника «Важных историй» из Ленинградской области, «средних купят, а мелких прижмут» — в течение трех лет.

Требования к хостерам закрывают последний сегмент, который оставался относительно свободным: серверную инфраструктуру VPN внутри России. Даже если VPN-сервис работает через зарубежный сервер, его клиентская часть, биллинг, управляющая панель или CDN могут находиться на российском хостинге – теперь и это под запретом.  

Важна и финансовая сторона. Хостинг-индустрия уже под повышенным давлением: рост цен на оборудование, повышение НДС и внедрение СОРМ за счет хостеров привели к удорожанию услуг более чем на 30%. Интеграция с базами РКН и обязательный отказ части клиентам, по оценке Никиты Цаплина из RUVDS, «приведут к гарантированному повышению цен для остальных».

Темп блокировок нарастает, а законодательная база для блокировок инфраструктуры достраивается параллельно. По состоянию на конец февраля 2026 года Роскомнадзор заблокировал доступ к 469 VPN-сервисам, к середине января – к 400.

Как смягчить последствия

Для VPN-провайдеров и их пользователей описанные меры формируют несколько новых ограничений, под которые нужно адаптироваться:

  • Self-hosted решения на зарубежных VPS с современными протоколами маскировки (Trojan, obfs4, XRay с нестандартными конфигурациями) остаются наиболее устойчивым вариантом на текущем этапе.
    Российский хостинг для серверной инфраструктуры VPN становится полностью непригодным – любой хостер в реестре РКН будет обязан отключить такого клиента по требованию (и самостоятельно). Зарубежные хостеры, работающие в российском правовом поле или имеющие российских совладельцев находятся под риском аналогичного давления;
  • Обфускация протоколов (Xray, VLESS, Shadowsocks) замедляет, но не останавливает обнаружение РКН – прецедент с Aeza показал, что даже «чистые» подсети с обфусцированным трафиком попадают в списки.
  • Ротация IP-адресов и использование незаметных подсетей малых хостеров сохраняет актуальность, но окно возможностей сужается по мере вытеснения малых операторов с рынка;
  • Для пользователей, разворачивающих личные VPN на VPS, критически важно выбирать хостеров за пределами российской юрисдикции и без российских акционеров.

Обновление на 13 мая 2026

Будем честны: последние недели РКН просто выкашивал обычные дата-центры целыми пулами.
Telegram-канал Liberty.

К началу мая публичные сигналы стали жёстче. 4 мая 2026 года сообщалось, что «Антифрод 2.0» планируют принять в мае, а сами поправки предполагают, что хостинг-провайдер больше не может ссылаться только на нейтральный статус технической площадки. На практике это означает переход от модели «реагировать по жалобе» к модели «проверять и не допускать заранее».

Изменение важно не только юридически, но и технически. В открытых технических публикациях и обсуждениях за апрель-май 2026 года отмечается, что обнаружение VPN все чаще строится на сочетании DPI, сигнатур TLS и поведенческого анализа, а значит хостеру достаточно получить от регулятора или оператора связи указание на подозрительный узел, чтобы затем уже самому разбираться с клиентом и отключением сервиса.

Отдельно стоит добавить, что сложившаяся практика всё заметнее смещает ответственность вниз по цепочке от государства и операторов связи к хостеру, к отключению VPN «через хостинг», а не через платежи, магазины приложений или точечные блокировки сайтов.

Теперь речь идёт не просто о риске блокировки VPN-сервисов, а о формировании режима, при котором российский хостинг становится участником контроля за обходом блокировок. Даже если финальные санкции и процедуры в публичных текстах ещё не до конца раскрыты, сама практика уже складывается: через проверку клиентов, исполнение предписаний, мониторинг «подозрительных» сервисов и отключение по признаку связи с VPN-инфраструктурой. И эта практика уже внедряется.

Обновление от 11 июля 2026 года

К чему это все приведет? Ну, к тому, что интернет-проектов станет сильно меньше. И не потому, что VPN там разместят или еще чего, нет. Просто все, кто делал хоть какой-то боле-менее работающий интернет-проект знает, что любой шаг, который не приносит пользователю пользы снижает конверсию.
Глава «Общества защиты интернета» Михаил Климарев. ЗаТелеком.

История с превращением хостеров в контролёров получила продолжение — но с другой стороны. Если весной обсуждали, как обязать провайдеров отключать «неправильных» клиентов, то теперь Минцифры хочет сделать так, чтобы анонимных клиентов у хостинга не было в принципе. Как сообщил «Коммерсантъ» 10 июля со ссылкой на двух собеседников на рынке, ведомство обсуждает с хостинг-провайдерами обязательную идентификацию клиентов-физлиц через «Госуслуги» (ЕСИА). Идея в том, чтобы за каждым IP-адресом стоял конкретный пользователь с подтверждённой учётной записью — и распространить это на все услуги провайдеров, от аренды виртуальных серверов до размещения сайтов. Сейчас личность клиента можно подтвердить проще: по электронной почте или платежом с карты российского банка.

В 2023 году Минцифры уже предлагало сделать «Госуслуги» единственным способом идентификации, но после возражений отрасли перечень допустимых вариантов расширили. Теперь у инициативы есть обкатанный прецедент рядом: с сентября 2026 года то же требование действует для администраторов доменов в зонах .ru, .рф и .su — идентификация через ЕСИА при регистрации и продлении. Хостинг предлагается подключить к той же модели. По данным Роскомнадзора, на 8 июля 2026 года в реестре провайдеров хостинга — 584 компании; именно на них распространятся новые требования, если их примут.

Мнения рынка разделились. Гендиректор «Турбо Облако» (входит в «Ростелеком») Александр Обухов считает, что любой инструмент, гарантирующий, что за ресурсом стоит реальный пользователь, помогает бороться с фишингом и мошенничеством; в его компании идентификацию через ЕСИА уже внедрили добровольно, а затраты называют подъёмными для рынка. Гендиректор RUVDS Никита Цаплин смотрит иначе: называя трансформацию нормативного поля «естественным этапом развития Рунета», он предупреждает, что обязательная идентификация заметно ударит по экономике розничного сегмента. По его оценке, в первый год отрасль рискует потерять от 20% до 35% клиентов-физлиц — независимых разработчиков, студентов, розничных пользователей — которые перенаправят бюджеты на площадки вне российской юрисдикции. На корпоративном сегменте, работающем по договорам с юридическими лицами, изменения не скажутся. Затраты на внедрение руководитель департамента хостинга «Рунити» Валентин Бостанов оценивает от 5 млн рублей на провайдера в зависимости от схемы интеграции и аттестации.

Для темы этого разбора важны два следствия. Во-первых, инициатива снова бьёт по средствам обхода блокировок: привязка каждого IP к верифицированному пользователю ударит по VPN-сервисам, которые арендуют российские VPS, чтобы обходить «белые списки» и маскировать трафик. Во-вторых, под удар попадают иностранцы — без доступа к ЕСИА аренда хостинга и доменов в России для них оказывается под вопросом, «Рунити» только разрабатывает отдельную интерактивную процедуру идентификации для нерезидентов.

Решение пока не принято, проектов постановлений нет — ведомство закрыто обсуждает инициативу с отраслью. Но направление то же, что и ранее: пространство анонимности в инфраструктуре Рунета последовательно сжимается, а хостеры превращаются из технических посредников в точку государственного контроля. Обновим разбор, когда появится проект нормативного акта.

Источники

Материал обновляется

Кстати, рассылку сложнее заблокировать. Так что каждую неделю мы рассказываем о самом важном в области технологий и безопасности: как уберечь свои данные, финансы и себя в условиях блокировок, шатдаунов и финансовых ограничений. Подпишитесь!