Операторы попросили перенести вступление в силу новых требований безопасности к хостинг-провайдерам на январь 2025 года

Сейчас срок — декабрь 2023-го, и компании считают, что к этому времени не успеют исполнить все меры, также они повлекут рост расходов.

ИТ-компании и операторы подготовили отзывы на проект Минцифры, который должен вступить в силу с 1 декабря 2023 года. Речь о поправках к принятым в июле 2023-го изменениям в закон «Об информации», которые регулируют работу хостинг-провайдеров. Проект Минцифры детализирует требования к провайдерам. С отзывами ознакомились Forbes и «Коммерсантъ».
Принятый летом закон предполагает создание реестра провайдеров. Они должны быть зарегистрированы в России, размещать свою инфраструктуру на территории страны, а также предоставлять доступ к ней Роскомнадзору и ФСБ. Кроме того, им нужно проводить идентификацию всех своих клиентов, установить технические средства противодействия угрозам (ТСПУ) и использовать национальную систему доменных имен (НСДИ). Те, кто в реестр не попадёт, должны прекратить оказывать услуги.
Проект Минцифры эти требования конкретизирует. В частности, нужно использовать только DNS-серверы НСДИ, подключиться к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и оперативно передавать туда информацию. Если та выявит, что через провайдера проводят кибератаку, например DDoS, компания должна самостоятельно заблокировать свои ресурсы в течение 12 часов.

Операторы считают, что часть требований просто невыполнима, и просят перенести их вступление в силу на 1 января 2025 года. Например, «Мегафон» поясняет, что для передачи информации в ГосСОПКА нужно весь трафик направлять через межсетевой экран. Это отдельная коммерческая услуга, которую провайдер хостинга не вправе навязывать своим клиентам. Также он ограничивает и замедляет трафик.
Все эти меры потребуют проектирования системы защиты информации, для которой необходимо закупить оборудование и ПО, а также нанять и подготовить специалистов, говорят в «Мегафоне». МТС в своём отзыве тоже указывает на «большие финансовые и операционные издержки на приведение инфраструктуры в соответствие с требованиями приказа».
Также в МТС опасаются, что в текущем виде поправки грозят компаниям ответственностью за «действия или бездействие лиц, которым предоставляются вычислительные мощности, в случае их использования для компьютерных атак». В «Яндексе» считают, что нужно добавить поправки, которые позволят провайдерам самостоятельно определить, как оптимально выстраивать реакцию на действия хакеров и избежать дополнительных расходов на средства анализа трафика.
В Минцифры же заявили изданиям, что причин для корректировок не видят. Срок вступления требований в силу соответствует срокам, закреплённым в законе «О связи», считают в ведомстве.
Опрошенные Forbes эксперты считают, что исполнение всех требований повлечёт рост расходов, которые могут позволить себе не все провайдеры — в свою очередь это приведёт к уходу с рынка ряда небольших игроков. Их доля достанется более крупным компаниям, которым придётся переложить свои расходы на клиентов.

#новость