Хостерам разрешат идентифицировать клиентов не только через «Госуслуги»
Но не все альтернативные способы будут считаться «доверенными»
Минцифры доработало проекты будущих требований к провайдерам хостинга (сервисы для размещения сайтов). Опубликованные в рамках процедуры публичного обсуждения документы, в частности, расширяют число способов идентификации клиентов хостеров. В первоначальной версии, которую предлагало министерство в конце сентября, это можно было сделать только через портал «Госуслуги» или по паспорту. Новый вариант предусматривает, что проверять клиентов можно будет через:
- Единую систему идентификации и аутентификации (ЕСИА);
- Единую биометрическую систему (ЕБС);
- усиленную квалифицированную электронную подпись;
- паспорт или другой удостоверяющий личность документ;
- перевод денег провайдеру с открытого в российском банке счета;
- информационную систему провайдера или иной компании (если она контролируется российским юрлицом).
Клиенты хостеров по типу идентификации будут делиться на две категории:
- первая — ЕСИА, ЕБС, квалифицированная подпись, удостоверяющие документы и денежный перевод;
- вторая — все остальные.
Какие возможности будут предоставляться той или иной категории, в документах не указано. По словам двух источников РБК на рынке хостинга, при идентификации по первой категории сети будут считаться «доверенными». «Доступ из недоверенных сетей может перекрываться по требованию властей, то есть хостинг с простой (второй) идентификацией будет легальным, но с постоянной угрозой отключения», — сообщил один из собеседников РБК.
Как планируют регулировать хостеров
Минцифры разрабатывает несколько нормативно-правовых актов, которые должны уточнить требования законов «О связи» и «Об информации, информационных технологиях и защите информации», принятые летом этого года, — они и введут регулирование деятельности хостинг-провайдеров.
Планируется, что хостеры будут должны:
- предоставлять вычислительные мощности только тем, кто прошел процедуру идентификации;
- соблюдать требования о защите информации;
- обеспечить выполнение установленных Роскомнадзором требований к используемой вычислительной мощности, необходимой для проведения оперативно-разыскных мероприятий и др.
Роскомнадзор также должен к декабрю этого года создать государственный реестр хостингов, и те компании, которые в него не попадут, не смогут легально оказывать услуги. Операторы госсистем и госведомств будут обязаны сотрудничать только с теми хостинг-провайдерами, кто будет соответствовать специальным требованиям. Объем российского рынка хостинга в 2022 году Российская ассоциация электронных коммуникаций оценивала в 10,6 млрд руб.
Первые версии разработанных Минцифры проектов для уточнения требований закона вызвали критику участников рынка. В частности, они настаивали, что требование об идентификации только через портал «Госуслуги» или по паспорту приведет к переходу части клиентов к зарубежным сервисам. «[Проект постановления правительства] подрывает конкурентоспособность российских хостинг-провайдеров и дает неконкурентное преимущество иностранным хостингам, которые могут принять оплату от всех лиц, включая граждан России. При этом они могут не вступать в реестр хостингов в России и не выполнять [новые требования]», — говорилось в одном из отзывов на первоначальную версию проекта. В другом указывалось, что предусмотренные проектом средства идентификации можно приобрести на профильных ресурсах «за копейки», поэтому изменение никак не повлияет на процент совершения возможных преступлений.
В отзывах также отмечалось, что требования в такой редакции приведут к дополнительным затратам игроков рынка на технические доработки, что может отразиться на росте стоимости услуги для пользователей. Участники рынка просили рассмотреть возможность переходного периода для новых требований до 2025 года.
Как новые требования воспринимает рынок
Гендиректор хостинг-провайдера RUVDS Никита Цаплин в беседе с РБК отметил, что разделение сетей провайдера на надежные и ненадежные по типам идентификации — технически незатратное решение и никаких особых рисков не несет, но хостерам могут потребоваться дополнительные пулы IP-адресов для разделения клиентов по двум категориям.
По словам гендиректора хостинг-провайдера RUSONYX Константина Анисимова, для обычных пользователей хостеров нет никакой опасности находиться в пуле «недоверенных». «Само разделение делается на случай серьезных кибератак со стороны зараженных вирусами ресурсов пользователей — при такой атаке на госресурсы входящий трафик со стороны недоверенных сетей может быть ограничен или закрыт, — пояснил эксперт. — Если атака происходит со стороны доверенной сети, хостеру или госорганам будет легко связаться с владельцем этой сети и решить вопрос об ограничении трафика».
Член оргкомитета Профессиональной ассоциации в сфере облачных технологий (Russian Cloud Computing Professional Association, RCCPA) Антон Салов говорит, что большинство компаний осознают, зачем вводятся такие меры, и понимают, с какими вызовами в части телефонных мошенничеств сталкиваются жители России. «Аналогичные вызовы появились и в WEB-сфере, для оперативного реагирования на такие угрозы и введены данные меры», — указал эксперт.
Владелец молдавского хостинг-провайдера PQ.Hosting Иван Некулицы сказал РБК, что влияние новых требований на рынок будет зависеть от наличия «санкций» за невыполнение. «Если будут санкции за нахождение сетей в списке ненадежных, это будет доставлять дискомфорт. Хотя зависит и от уровня санкций — возможно, мы сможем с легкостью нивелировать сложности, — рассуждает Некулицы. — Если министерство пойдет по пути не кнута, а пряника за нахождение в списке надежных, будет мотивация».
В то же время участники рынка продолжают настаивать на изменении других требований к компаниям, желающим попасть в госреестр хостингов. Среди предложенных правил включения в него: защита информации и сотрудничество с уполномоченными органами; использование национальной системы доменных имен; подключение к системе противодействия кибератакам (ГосСОПКА); хранение данных о взаимодействии клиентов в течение года и др.
По словам источника РБК на рынке хостинга, расходы на доработку процессов под требования реестра составят 20–25 млн руб. единоразово и 1–2 млн руб. ежемесячно. «Такие изменения могут оказаться сложновыполнимыми или вообще невыполнимыми для небольших поставщиков. Для них перестройка под требования реестра окажется даже дороже, чем для крупных, так как у последних чаще всего уже есть службы безопасности и службы поддержки, настроены каналы связи с госорганами и системы моментальных оповещений об инцидентах. Вариант продажи бизнеса окажется экономически более оправдан или безальтернативен», — указал один из собеседников РБК. Тенденцию подтвердил и представитель хостинг-провайдера Reg.ru. По его мнению, некоторые поставщики хостинг-услуг, особенно те, для кого этот бизнес не является основным, предпочтут передать своих клиентов крупным провайдерам. «Мы уже получили первые такие предложения, думаю, как и наши основные конкуренты. И мы их охотно рассматриваем», — рассказал он. По словам представителя Reg.ru, в целом новые правила «должны повысить устойчивость интернет-ресурсов к урону от DDoS-атак и других угроз, способных навредить не только хостинг-провайдерам, но и их клиентам». Компания начала подготовку к включению в реестр, но и для нее «это не легкая задача на полчаса».
Представитель Минцифры сказал РБК, что после общественных обсуждений министерство скорректировало проект об идентификации клиентов хостинг-провайдеров. «Учтены мнения отрасли и заинтересованных ведомств. В частности, дополнена упрощенными способами процедура идентификации клиентов хостингов, например с помощью банковской карты, СБП или по мобильному телефону», — сообщил он. По его словам, требования по информационной безопасности прорабатывались с отраслью, экспертами и заинтересованными госорганами и также были скорректированы с учетом предложений. Он сказал также, что большинство из перечисленных требований провайдеры уже выполняют.
