Mitä yritysten tulisi tietää Venäjän uudesta VPN-lainsäädännöstä?

Uudet säännöt voivat hankaloittaa yritysten omien VPN-yhteyksien käyttöä kansainvälisissä yhtiöissä. Miten yritys sitten voi pitää VPN-yhteytensä avoinna, jos venäläiset työntekijät pyrkivät sen kautta verkossa valtion kieltämiin sisältöihin?

Yritysten VPN-yhteyksien pelätään tarjoavan takaportin lainvastaisiin sisältöihin

Monet verkkosisällöt ovat Venäjällä lainvastaisia ja kiellettyjä. Tällaisia sisältöjä ovat muun muassa sota- ja itsemurhapropaganda sekä ääri-ideologiset aineistot. Kiellosta seuraavat toimenpiteet vaihtelevat sen mukaan, millaisesta lainvastaisesta tiedosta on kyse, mutta lopputulos on aina sama: pääsyä tällaiselle verkkosivustolle rajoitetaan.

Venäjän viestintäviranomainen Roskomnadzor ylläpitää luetteloa verkkosivustoista ja niiden verkko-osoitteista ja edellyttää, että verkkosivustojen omistajat ja hosting-palveluntarjoajat estävät pääsyn lainvastaisiin sisältöihin. Jos ne laiminlyövät tätä velvollisuuttaan, kaikkien venäläisten internet-palveluntarjoajien (ISP) on estettävä asiakkaidensa pääsy kiellettyihin sisältöihin. Estoa voidaan helposti kiertää, jos käyttäjä vierailee verkkosivustolla muun kuin venäläisen palveluntarjoajan kautta.

Verkossa tarjottavista kaupallisista VPN-palveluista tulee siis rikoksentekovälineitä, joiden avulla venäläiset voivat ohjata verkkoliikenteensä kulkemaan Venäjän rajojen ulkopuolella sijaitsevien exit node ‑reitittimien kautta. Yritysten yksityiset VPN-yhteydet toimivat samalla tavalla, mutta käyttötarkoitus on toinen: niillä varmistetaan suojatut yhteydet yrityksen sisäisen verkon eri osien välillä.

Lopputulos on joka tapauksessa se, että Venäjällä asuvilla kansainvälisten yritysten työntekijöillä on pääsy sensuroimattomaan internetiin työnantajansa tietokoneilla.

Uusi lainsäädäntö estää pääsyn lainvastaisiin sisältöihin

Venäjän presidentti allekirjoitti 29.7.2017 lain tietotekniikkaa koskevan lainsäädännön muuttamisesta.[1] Siinä säädetään muun muassa, että Venäjällä kiellettyihin verkkoihin ja sisältöihin pääsemiseen käytetyt tieto- ja tietoliikenneverkkojen ja/tai tietovarantojen omistajat eivät saa sallia, että heidän omistamiaan tietovarantoja ja verkkoja hyödynnetään Venäjällä kiellettyihin tietovarantoihin ja verkkoihin pääsemiseksi.

Laki koskee sekä yksityisille käyttäjille tarkoitettuja kaupallisia VPN-palveluita että yritysten sisäisiä VPN-ratkaisuja.

Lakimuutoksen mukaan tieto- ja tietoliikenneverkkojen ja/tai tietovarantojen omistajan (toisin sanoen VPN-palveluntarjoajan) on liityttävä Venäjän federaation tietokantaan, jossa on luettelo tietovarannoista ja verkoista, joihin pääsyä Venäjällä on rajoitettu.

Valtion tietokantaa ylläpitää Roskomnadzor, ja se suodattaa pois kaikki sensuroidut sisällöt. Ellei lainsäädäntöä noudateta, Roskomnadzor voi estää venäläisten internet-palveluntarjoajien asiakkailta VPN-yhteyden käytön. Kiellettyihin aineistoihin pääsyä koskeva kielto kohdistuu tällä hetkellä ensisijaisesti kaupallisesti saataviin VPN-yhteyksiin, mutta lain kirjaimellisen tulkinnan mukaan sitä sovelletaan myös yritysten sisäisiin verkkoihin. Tästä syystä uudessa laissa säädetään kahdesta poikkeuksesta.

Poikkeukset VPN-yhteyksiä koskeviin rajoituksiin

Kiellettyihin aineistoihin pääsyä koskevaa kieltoa ei sovelleta valtion ja kuntien verkkoihin eikä tilanteisiin, joissa seuraavat kaksi edellytystä täyttyvät:

1) Venäjällä kiellettyihin sisältöihin pääsyn mahdollistavan VPN-yhteyden käyttäjät on määritelty etukäteen

2) VPN-yhteyttä käyttävä henkilö käyttää sitä tukitoimintoihinsa liittyviin teknisiin tarkoituksiin.

Näitä kahta edellytystä ei käsitellä lainsäädännössä tarkemmin, mikä jättää niihin tulkinnanvaraa.

On siis selvää, että täyttääkseen ensimmäisen ehdon VPN-yhteyden omistajan tulisi laatia luettelo kaikista VPN-yhteyttä käyttävistä työntekijöistään Venäjällä. Yleisen venäläisen liiketoimintakäytännön mukaan luettelo on laadittava kirjallisesti ja yhtiön toimitusjohtajan on allekirjoitettava se. Jos kyse on konsernista, voi kuitenkin olla vaikeaa määrittää, minkä konserniin kuuluvista yhtiöistä pitäisi laatia kyseinen luettelo.

Venäjän tietotekniikkalainsäädännössä ei tehdä eroa emoyhtiön (joka yleensä omistaa VPN-järjestelmän) ja sen tytäryhtiöiden ja osakkuusyhteisöjen (joiden työntekijät käyttävät yrityksen sisäistä VPN-järjestelmää) välillä. Toinen huomioitava seikka ovat vierasverkot, jotka saattavat käyttää samaa VPN-yhteyttä kuin yrityksen oma verkko. Jos näin on, yrityksen tulisi lainsäädännön vaatimukset täyttääkseen laatia luettelo myös vierasverkkoa käyttävistä vierailijoistaan.

Mitä toiseen ehtoon tulee, ”teknisten tarkoitusten” tosiasiallinen ulottuvuus ja rajanveto jäävät hämäriksi. Yhtiön tulisi jotenkin varmistaa, etteivät sen Venäjällä toimivat työntekijät käytä VPN-yhteyttä mihinkään muuhun kuin ”teknisiin tarkoituksiin”. On myös epäselvää, tarkoitetaanko uudessa laissa viitatulla ”VPN-yhteyttä käyttävällä henkilöllä” työntekijää vai yhtiötä. Mitä ”teknisillä tarkoituksilla” sitten tarkoitetaankin, varmaa on, että ne eivät koske työntekijöiden henkilökohtaisia tarpeita.

Kansainvälisten yritysten on kiellettävä VPN-yhteyksiensä yksityiskäyttö

Mitä kansainvälisten yhtiöiden venäläisten tytäryhtiöiden sitten kannattaisi tehdä? Venäläisen liiketoimintakäytännön perusteella toteuttamiskelpoisin ratkaisu olisi muuttaa paikallista IT-ohjeistusta tai ottaa käyttöön erillinen VPN-ohjeistus, jossa työntekijöitä kielletään käyttämästä yrityksen VPN-yhteyttä ja VPN-verkkoon yhdistettyjä yhtiön tietokonejärjestelmiä henkilökohtaisiin tarkoituksiin ja käyttämästä niitä millään tavalla Venäjän lakien kiertämiseen. Tällaisten ohjeistusten muuttaminen ja käyttöönotto on tehtävä Venäjän federaation työlainsäädännössä säädetyn menettelyn mukaisesti.

Se, ovatko nämä toimenpiteet riittäviä, selviää vasta sitten, kun lakimuutos on tullut voimaan ja Roskomnadzor alkaa valvoa sen noudattamista. Siksi on tärkeää seurata, mihin toimiin Roskomnadzor asiassa seuraavaksi ryhtyy.