Менеджер проектов uKit Group Алексей Попов рассказал «Роем!», как неверные записи в геолокационных базах заставили бюджетников, чиновников и частные компании заниматься «мартышкиным трудом».
Эту статью нас побудило написать то, что история циклична, а люди, принимающие исторические решения, не всегда достаточно разбираются в ИТ.
Аккурат к началу 2015 учебного года в силу вступила новая редакция «Закона о персональных данных», в соответствии с которым сайты государственных и муниципальных учреждений, в частности, школ, должны были физически храниться на территории РФ. По данным Росстата, на тот момент в стране работали 42 с лишним тысячи школ. Почти 20 тысяч образовательных и социально-значимых учреждений держали сайты на нашем конструкторе uCoz.
Как проходит проверка персональных данных — глазами Superjob и Роскомнадзора
Обратить особое внимание на этот сегмент нас заставили обращения от администраторов школьных сайтов, которые еще с начала 2015-го посыпались, как из рога изобилия. Например, один из отчетов техподдержки выглядел так:
Татьяна, завуч, сообщает: прислали официальное письмо, в котором говорится о том, что школе требуется сделать сайт на определенных сервисах (их несколько на выбор) в связи с тем, что uCoz — компания американская…
Вскоре мы смогли получить и образцы таких официальных писем.
Фрагмент письма от Департамента образования, науки и молодежной политики Воронежской области, разосланного по муниципалитетам в июне 2015 года.
Иногда, судя по переписке с администраторами, распоряжения о переезде с uCoz отдавались им устно, без каких-либо документов. Помимо «зарубежной» привязки чиновники часто обращали внимание на рекламные баннеры, появлявшиеся на части веб-ресурсов. Для обычных сайтов, как многие помнят, реклама в uCoz снималась по оплате, но для образовательных учреждений и социально значимых ресурсов всегда делались исключения. Экономики в этом сегменте нет. Это прекрасно иллюстрирует хотя бы пример существовавшего с начала 2010-го, но потом закрывшегося, специализированного конструктора от «Российского общеобразовательного портала».
Для нас обслуживание школ было скорее социальной ответственностью: достаточно было раз прислать нам справку о том, что сайт принадлежит образовательному учреждению, как ресурсу выделялся бесплатный , с него снималась реклама. Теперь встала задача помочь этим пользователям отстоять свои сайты от ненужного переезда — ведь они уже находились на территории России.
Как нас стали считать иностранной компанией
До конца 2014-го едва ли кого-то сильно волновало, что прописано во whois: многие наши ip-адреса числились за Виргинскими островами, Великобританией, Нидерландами и другими государствами. При этом привязка в записи далеко не означала реальное место дислокации сервера. На иностранные мощности мы выносили обычно только тех, кому это было объективно нужно. Школы в этот разряд, конечно, не попадали. Но случаи, когда сайт мог хоститься за рубежом, были возможны.
Поэтому мы написали отдельный парсер под поиск сайтов организаций, подпадавших под редакцию закона, и стали переносить их в московские дата-центры, если это было необходимо. Параллельно администратор ресурса мог самостоятельно узнать физический адрес сервера через отдельный сервис, запущенный нами специально под этот случай. И если сайта не оказывалось в выборке, а переезд требовался, человек мог сообщить нам об этом.
К весне 2015-го основной фронт работ по переездам был завершен, и мы запустили сервис для автоматического получения справок о том, что физически сервер с вашим сайтом расположен на территории страны.
Однако, как в старом анекдоте, — сайты переехали, а записи в различных базах остались.
Когда на школы сверху массово начали спускаться письма с требованием проверить готовность к исполнению закона, то либо прямо указывали, что сотрудники Департамента проверили сайты по такой-то базе и нашли там «нерусские» на uCoz, либо рекомендовали определенный бесплатный сервис для самостоятельной проверки. И это при том, что открытые базы обычно 2−3-летней «свежести». Кто-то из администраторов в этот момент шел к нам за помощью («я все понимаю, но нам грозят штрафом»), а кто-то — молча исполнял требование переехать еще раз, обычно уже на платный .
Сравнение: снизу — информация, которая по факту отдавалась держателем зоны DNS; сверху — старые данные от speed-tester.info, который использовали и рекомендовали для проверки в некоторых региональных департаментах.
Самым удивительным в этой «патриотической» истории было то, что многие из рекомендованных в официальных письмах сервисов либо опирались на зарубежные геолокационные базы, либо и были зарубежными. Вот выдержка из одного из постановлений:
В данный момент, согласно данным открытой базы данных MaxMind GeoIP, ваш сайт kdm62.ru «Молодежная политика и спорт Рязанской области», IP 193.109.246.150 географически располагается по адресу: British Virgin Islands Government, Mayfair, London W1K 7PJ, Великобритания, в сети Filanco LTD, …
При этом MaxMind — американская компания, но авторитетом становились именно данные службы геолокации.
А самым печальным оказалось то, что кто-то, используя устаревшие базы, предлагал школам переезд на платные решения. Сначала мы думали, что в целях очень странной попытки заработка (повторю, экономики в сегменте школьных сайтов нет), но оказалось, скорее, это был «испорченный телефон».
Ищем, кому выгодно
Если список баз геолокации, с которыми нужно было работать, стал понятен довольно быстро, то добиться конкретики о том, кого школам рекомендовали взамен uCoz, было непросто. Даже самые активные в плане общения администраторы сайтов часто опасались озвучивать детали. Поэтому оценить массовость истории с предложением других компаний было сложно.
Фрагмент переписки с «Интэрсо».
Мы смогли восстановить лишь несколько сюжетов. Одним из героев расследования стала петрозаводская студия «Интэрсо». К нам в руки попала копия письма, которое те отправили в департамент образования Свердловской области. Так как Карелию и Урал разделяют пара тысяч километров, мы заподозрили массовость этих рассылок и поспешили связаться со студией.
В переписке директор компании подтвердил, что письмо с предложением своих услуг чиновникам там рассылали по своей инициативе. А в телефонном разговоре он поделился деталями: оказалось, что они парсили выдачу поисковиков, автоматически прогоняли результаты по speed-tester.info и отправляли «письма счастья», не учитывая свежесть данных в базе. Инициативу понять можно — с 2010 года у компании существовал свой проект конструктора сайтов.
После личного общения мы больше не получали информации о том, что ребята практиковали такие ходы. За это — большое им человеческое спасибо.
Такие случаи были точно не единственными, а подобные рассылки получали и администраторы сайтов.
Фрагмент письма, полученного нашим пользователем от компании, использовавшей тот самый MaxMind для определения прописки сайта.
Другой случай показал, что иногда рекомендации конкретных поставщиков услуг были чистой и незамутненной инициативой самих чиновников на местах. Вероятно, получив предписание курировать исполнение закона, кто-то задумался — что делать с теми учреждениями, чьи сайты действительно окажутся на зарубежных серверах (те же иностранные конструкторы, работающие на российском рынке, действительно не спешили выполнять требование о переносе, что легко гуглится по официальным форумам).
Так, в Краснодарском крае на совещании кто-то вспомнил о местном провайдере на базе университета — KUBANnet, и до самих школ по испорченному телефону долетело указание — переезжать туда. Опять же, обратимся к отчетам техподдержки:
Новый директор: говорит, пришла директива о необходимости переноса на другой сервис. У нас их все устраивало, но они со своей стороны рекомендацию полностью исполнили.
Во время разговора о продлении домена с одной из учительниц, которая админит сайт школы Новопокровского района, она сказала, что вряд ли [домен продлят], так как сайт делают новый на неком «Кубаннет». Такие рекомендации получили школы от управления образованием.
Причем, изначально все строилось на основании устных рекомендаций. Поняв, что история более-менее массовая, мы связались с представителями «Кубаннета» и выяснили, что после запуска этой истории их попросили составить письмо-подтверждение о том, что они готовы хостить школы. Письмо, естественно, составили, но едва ли были очень рады самому факту переездов: потому что видели, что экономики в этом сегменте нет.
В итоге, пытаясь на протяжении нескольких месяцев ответить на вопрос, могли ли переносы сайтов школ быть кому-то выгодны, мы все больше приходили к мысли, что выгоду могли извлечь только чиновники-популисты — отчитавшись о найденных нарушениях и их исправлении. И неважно, что сайты перенеслись бы с одного российского на другой — виновата во всем была ИТ-неграмотность кураторов процесса.
Как с этим бороться
Итак, вопрос был не в физическом расположении серверов, а в записях, оставшихся в открытых базах — на их основе и делались выводы, чей сайт «буржуйский», а чей нет. Так как проверки были инициированы региональными департаментами, первой мыслью было охватить их все, поднявшись на уровень выше — в Министерство образования.
Официальный заход по этому вопросу мы сделали еще в марте, сначала изложив свою версию в официальном письме в само Министерство, а потом обратившись в Роскомнадзор за официальным заключением, где находятся сайты школ на нашей платформе. Представители Роскомнадзора были не в курсе, что департаменты работают со старыми базами, и, изучив наши доказательства (общую выборку сайтов и примеры, из-за которых уже возникали споры), согласились с тем, что система проверок должна быть систематизирована.
Рекомендации ушли в Минобрнауки в конце апреля 2015 года.
Фрагмент письма за подписью тогдашнего замруководителя Роскомнадзора М.Ю. Ксензова в Минобр от 27.04.2015.
Но понятно, что одними рекомендациями сыт не будешь. Пока они дойдут (и дойдут ли) до тех, кто курирует вопросы школьных сайтов на местах, мы продолжим терять пользователей. Поэтому, взяв список сервисов, которые использовали в региональных департаментах, мы стали связываться с их командами и владельцами.
Где-то, как в случае с уже упомянутым MaxMind, достаточно было заполнить заявку и подождать пару недель — и это было оперативно; хотя риск, что за это время где-то пройдет очередная большая рассылка «писем счастья», заставлял нас хотеть «вчера». Во многих случаях срок обновления баз был менее контролируем, и проблема была банальна:
Содержать самые актуальные базы у нас нет возможности, ибо они стоят $90 в месяц, — подобные ответы мы получали несколько раз.
История о том, что одни сервисы использовали сторонние решения, тоже встречалась регулярно: так, в популярном 2ip.ru выдавались данные IPgeobase (эта база перестала обновляться и ее владельцы не выходили на связь), но, спасибо команде, после запросов они переработали механизм на своей стороне.
В итоге, история с обновлением сторонних баз растянулась с марта до августа 2015-го, но со всеми удалось договориться о бесплатном обновлении данных по нашим подсетям. Тогда же постепенно стала спадать волна проверок на предмет выполнения школами новой редакции закона. Хотя отголоски той истории наблюдались еще долгие месяцы.
Разбираясь с этой ситуацией, мы сознательно не делали массовых рассылок по пользователям, так как понимали, что педалирование темы может напугать их. Ведь речь шла о сегменте, который, хочет он того или не хочет, скорее выполнит предписания, пусть даже и негласные, если они исходят «сверху».
Лучшее, что можно сделать в таком случае: повлиять на то, на что вы можете повлиять. Да и найти общий язык с коллегами по отрасли обычно проще.
