Минцифры РФ предоставило разъяснение в ответ на запрос по поводу возможности отнесения компаний, предоставляющих услуги SaaS (Software as a Service, программное обеспечение как услуга), к провайдерам хостинга, сообщает Telegram-канал Privacy Expert.

Министерство сослалось на пункт 18 статьи 2 Федерального закона от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации», согласно которому под провайдером хостинга понимается «лицо, осуществляющее деятельность по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключённой к сети “Интернет”».

Источник изображения: Минцифры РФ

В случае оказания услуг по модели SaaS компания предоставляет пользователю совокупность информационных технологий и технических средств, обеспечивающих обработку и (или) хранение данных пользователя без размещения его информационной системы на своих вычислительных мощностях. То есть под определение «провайдер хостинга» такая компания не подпадает, как и организации, которые используют вычислительные мощности для поддержки собственных сайтов.

Согласно разъяснению Минцифры, предоставление организацией услуг файлового хранилища тоже не относится к деятельности хостинг-провайдера, поскольку точно так же не предполагает размещения информационной системы пользователя.

Организация, осуществляющая деятельность по предоставлению сервиса авторизации клиентов, будет считаться провайдером хостинга в случае, если предоставляет вычислительные мощности для размещения информации в информационной системе, используемой для авторизации, постоянно подключённой к интернету и принадлежащей стороннему физическому или юридическому лицу. Если же она использует сервис авторизации исключительно для своих нужд, то относить её провайдерам хостинга нет оснований.

Власти Сингапура предложили поправки к Закону о кибербезопасности 2018 года. По данным The Register, полномочия регуляторов, занятых надзором в сфере кибербезопасности, расширят на провайдеров облачных сервисов и операторов ЦОД.

Одной из главных целей изменений является охват контролем не только признанных объектов т.н. «критически важной инфраструктуры» (CII), но и обеспечение кибербезопасности прочих важных систем и инфраструктурных проектов. По данным Агентства кибербезопасности Сингапура (CSA), к CII относятся системы распределения энергии, воды, банковские и финансовые сервисы, наземный транспорт, правительственные службы и др.

Поправка вводит определение «основополагающих сервисов цифровой инфраструктуры». В CSA специально подчёркивают, что к ним относятся и облачные сервисы, как в самом Сингапуре, так и за его пределами, а также дата-центры в пределах границ города-государства. Если поправка будет принята, сервисы из новой категории должны будут обеспечивать бесперебойность работы и, например, предотвращать компрометацию информационных систем.

Источник изображения: Zhu Hongzhi/unsplash.com

Нововведения могут коснуться облачных гигантов, например, AWS и Google, а также операторов ЦОД вроде Equinix. Это важно, поскольку буквально в минувшем октябре в ЦОД Equinix в Сингапуре наблюдались масштабные сбои — это привело к общегосударственному финансовому хаосу, а около 2,5 млн банковских операций так и не удалось завершить. Хотя власти не заявляли, что масштабный инцидент повлиял на появление поправок, он в любом случае послужил хорошей иллюстрацией, наглядно демонстрирующей необходимость дополнительного регулирования некоторых секторов бизнеса.

Организации, попавшие в сферу действия новых правил, также будут обязаны сообщать о любых кибератаках в отведённый законом сроек, по слухам, на это будут отводиться считанные часы. Также расширятся полномочия главы CSA (эту должность занимает Дэвид Кох (David Koh)), а ЦОД и облачные провайдеры должны будут подробно отвечать на официальные запросы главы ведомства. Кох получил и другие полномочия — относить компьютерные системы к объектам критической информационной инфраструктуры, даже те, что находятся за пределами Сингапура, если сбои в работе таких систем могут привести к проблемам в стране.

Работающие совместно с сингапурскими властями структуры и институты, оперирующие важными или критическими данными или системами, также могут быть отнесены к CII. Кибератака на них фактически означает атаку на Сингапур. Наконец, аналогичные правила будут применяться в течение года для временных систем, например, построенных для мероприятий высокого уровня.

Предполагается, что структуры, не способные выполнять требования властей, ожидают штрафы и другие наказания. Изменения детализируют после консультаций с участниками рынка цифровой инфраструктуры — постоянными и временными. Консультации продлятся до 15 января 2024. При этом рынок ЦОД в Сингапуре уже обременён другими регуляциями настолько, что компании жалуются на упущенный шанс вывести страну в мировые лидеры.

Роскомнадзор (РКН) отклонил 72 заявки на вступление в реестр провайдеров хостинга. Причина — подача бланков с недостаточной или недостоверной информацией. В течение пяти рабочих дней компании должны исправить ошибки, иначе последует запрет на легальное оказание услуг. Об это сообщает РБК.

По данным ведомства, к 18 декабря 2023 года 346 компаний зарегистрировали личные кабинеты, 290 из них подали уведомления на включение в реестр, но лишь у 14 участников рынка заявления были оформлены корректно. По 204 заявкам проверка продолжается.

Фото: Scott Rodgerson / Unsplash

Среди компаний, которым РКН отказал в регистрации в реестре, оказались Rusonyx и RUVDS. Их представители пояснили, что ошибки возникли из-за технических проблем на стороне РКН: часть полей, ранее отмеченных как необязательные для заполнения, уже после отправки заявки стали числиться «обязательными». Также хостеры жалуются на недоработку системы, к примеру, одно лицо не может представлять несколько компаний. Кроме того, ведомство требует указать используемые системы защиты информации (сертифицированные программно-аппаратные комплексы с шифрованием), а они есть не у всех.

Летом Госдума приняла поправки в законы «Об информации, информационных технологиях и о защите информации» и «О связи», которые ввели регулирование деятельности хостинг-провайдеров. К примеру, те, кто не попадет в реестр провайдеров хостинга, станут в России незаконными операторами и не смогут легально оказывать услуги. Реестр с 1 декабря 2023 года формирует РКН.

Роскомнадзор (РКН) оштрафовал 11 иностранных хостинг-провайдеров за нарушение российского «закона о приземлении»: Amazon Web Services (AWS), Bluehost, DigitalOcean, DreamHost, GoDaddy, Hetzner, HostGator, Ionos, Kamatera, Network Solutions и WPEngine. Об этом сообщают «Известия».

Согласно закону ч.2 ст.13.49 КоАП РФ «О неисполнении обязанностей, предусмотренных законом о деятельности иностранных лиц в сети интернет», иностранные хостинг-провайдеры обязаны открыть на территории России представительство, поместить форму обратной связи для граждан РФ и зарегистрировать личный кабинет на сайте РКН.

Источник изображения: Edward Lich / Pixabay

В случае неисполнения иностранным компаниям грозит взимание от 1/15 до 1/10 совокупного размера выручки за календарный год. Также РКН может блокировать иностранных хостинг-провайдеров, запретить рекламу, поисковую выдачу, ограничить платежи и переводы денежных средств, замедлить трафик. Собственно говоря, ранее Роскомнадзор уже устанавливал запрет на поисковую выдачу сайтов этих иностранных хостинг-провайдеров.

Кроме того, в России вступил в силу закон, согласно которому к 1 февраля 2024 года провайдеры хостинга должны быть включены в реестр провайдеров, иначе им будет запрещено оказывать услуги хостинга на территории России. По данным ресурса «Домены России», в ноябре 2023 года у отечественных хостингов зарегистрировано более 2,2 млн доменов, у Германии — более 76 тыс., у США — более 39 тыс., у Франции — более 22 тыс.

Роскомнадзор объявил о начале формирования реестра хостинг-провайдеров. Компании, которые не войдут в данный список, с 1 февраля 2024 года не смогут оказывать услуги хостинга на территории России. Новые правила, как утверждается, призваны защитить рунет от возможных внешних угроз, повысить надёжность работы российских интернет-ресурсов и сервисов.

О планах по созданию реестра сообщалось в сентябре уходящего года. В соответствии с утверждёнными требованиями хостинг-провайдеры обязаны обеспечить защиту информации в своей инфраструктуре.

Источник изображения: pixabay.com

Компании, в частности, должны подключиться к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Кроме того, провайдерам хостинга необходимо оперативно реагировать при возникновении угроз — сообщать о инцидентах в течение 24 часов с момента их выявления. С целью противодействия DDoS-атакам компании должны взаимодействовать с Центром мониторинга и управления сетью связи общего пользования (ЦМУ ССОП). Кроме того, необходимо использовать Национальную систему доменных имён (НСДИ), информацию ЦМУ о местоположении использования сетевых адресов, а также серверы точного времени (NTP-серверы), расположенные на территории РФ.

Федеральный закон, регламентирующий работу провайдеров хостинга, вступил в силу 1 декабря 2023 года. Компании, ведущие деятельность в соответствующей сфере, должны подать уведомление об этом в Роскомнадзор до 15 декабря. Отмечается, что более 40 организаций начали формировать заявки, а 16 заявок полностью оформлены. Компаниям, которые только выходят на рынок, необходимо уведомить ведомство о старте работы не позднее, чем за 15 дней до начала оказания услуг.

Говорится также, что хостинг-провайдеры смогут обслуживать только тех пользователей, которые прошли идентификацию или аутентификацию одним из разрешённых способов: с помощью ЕСИА, Единой биометрической системы, усиленной квалифицированной электронной подписи или сервиса быстрых платежей банка России.

«Лаборатория Касперского» запустила регуляторный хаб — ресурс, представляющий собой базу знаний в сфере информационной безопасности, позволяющую самостоятельно разобраться в законодательстве, а также понять, какие требования в области ИБ применимы именно к конкретной организации.

База знаний площадки включает федеральные законы, приказы, правительственные постановления, нормативно-правовые акты и отраслевые стандарты в области ИБ, действующие в России. Применив систему фильтров, любой посетитель сайта регуляторного хаба может получить список тех требований, которым необходимо следовать его компании. Там же можно получить практические рекомендации, как эти требования выполнить, а также информацию о том, какая ответственность грозит за нарушения.

Требования можно смотреть по конкретным отраслям — для государственного сектора, промышленности, энергетики, финансов, ретейла, транспорта и других. Помимо этого, у пользователя есть возможность указать цель — например, это может быть создание системы информационной безопасности или подготовка к аттестации, а также тип объекта защиты — государственная информационная система, критическая информационная инфраструктура и другие.

«Мы обратили внимание, что организации сталкиваются с трудностями, связанными с требованиями регуляторов: тексты законов сложны для восприятия, в них трудно ориентироваться, при этом нужно успевать следить за всеми изменениями. Кроме того, у каждого предприятия своя отраслевая специфика и цели, которые важно учитывать. Мы все прекрасно понимаем, что информационная безопасность становится ключевым элементом успешного бизнеса, как и необходимость соответствовать законодательству в сфере ИБ. Поэтому, учитывая наш опыт в области кибербезопасности, мы решили создать платформу, на которой систематизированы все нормативно-правовые акты и рекомендации по их выполнению. Мы надеемся, что это позволит снизить нагрузку на организации, которым станет проще соблюдать все необходимые требования», — прокомментировали запуск ресурса в «Лаборатории Касперского».

За первые девять месяцев текущего года в России наблюдается заметный рост количества протоколов об административных правонарушениях в отношении операторов связи. Как сообщает «Коммерсантъ», в указанный период количество протоколов выросло год к году в 2,8 раза. В основном наказания связаны с отсутствием разрешений на работу базовых станций (БС), а также их использованием с нарушениями радиочастотного спектра. Эксперты опасаются, что худшее впереди — если раньше участников рынка лишь штрафовали, то теперь Роскомнадзор может лишить лицензии на эксплуатацию станции.

Всего за указанный период составлено 28 тыс. протоколов за соответствующие правонарушения. При этом в 2022 году за тот же период составили 10 тыс. протоколов, а за девять месяцев 2021 года — 42 тыс. Регуляторы объясняют снижение количества административных дел в 2022 году изменениями в КоАП. Кроме того, до начала 2023 года действовал мораторий на проверки.

Источник изображения: MaxwellFury/pixabay.com

По итогам всего 2022 года Роскомнадзор зарегистрировал снижение объёма штрафов, выплаченных «большой четвёркой» операторов за нарушения, до 67 млн. руб. — на 20 % в сравнении с 2021 годом. Количество протоколов сократилось до 3,7 тыс. «Антирекордсменом» года стал «МегаФон», заплативший 24 млн руб., второе место занимает «Вымпелком» с 21 млн, третье — МТС с 13 млн, а четвёртое — Tele2 с 8,9 млн. Одно из возможных объяснений — снижение количества новых БС в связи с санкциями и уходом зарубежных вендоров. Всего к началу 2023 года в России действовали 1,1 млн базовых станций.

По имеющимся данным, большей частью нарушения обусловлены несовершенством системы получения разрешений. На установку БС требуется месяц–два, а на получение разрешения — до полугода. При этом необходимо согласовать использование частот с силовиками, на что требуется время. Штрафы выписывают за работу не на выделенных частотах и за размещение БС не в согласованном месте. Часто такие нарушения отмечены после стройки или модернизации недобросовестными подрядчиками.

Пока компаниям за нарушения выписывают штраф, а лицензию могут аннулировать только по решению суда, причём операторы закладывают в бюджет подобные расходы. Однако новые правовые нормы грозят тем, что регулятор будет просто отнимать лицензию на эксплуатацию БС в случае выявления нарушений, а на её восстановление будет уходить много времени.

Минцифры РФ, по сообщению газеты «Коммерсантъ», подготовило обновлённый проект постановления, регулирующего процедуру проверки личности клиентов хостинг-провайдеров. Ведомство предлагает предусмотреть дополнительные способы идентификации пользователей, в том числе по банковским данным.

Изначально планировалось, что хостеры смогут идентифицировать клиентов четырьмя способами: посредством «Госуслуг», через Единую биометрическую систему, при помощи усиленной квалифицированной электронной подписи и через личное представление документов. Теперь могут добавиться ещё несколько вариантов.

Источник изображения: pixabay.com

В частности, Минцифры предлагает закрепить возможность идентификации клиентов с помощью номера мобильного телефона. Кроме того, станет возможна проверка личности посредством Системы быстрых платежей (СБП) и банковских карт. При таком способе компании на время оказания услуг придётся хранить данные о дате и месте совершения оплаты, сумме, на которую совершена транзакция, и идентификаторе платежа (уникальный идентификатор начисления).

Предполагается, что предлагаемые изменения упростят процесс идентификации клиентов хостеров в рамках обеспечения безопасности IT-инфраструктуры. Однако участники рынка отмечают, что данная процедура создаст дополнительную финансовую нагрузку на компании, что может привести к росту стоимости услуг. Кроме того, как отмечается, поправки не решают проблему идентификации иностранных пользователей, которые используют зарубежные счета и номера телефонов.

1 декабря текущего года российские хостинг-провайдеры столкнутся с новыми требованиями, способными серьёзно изменить ландшафт рынка хостинга. Как сообщает Forbes, речь идёт об обязанности использовать НСДИ и интеграци с ГосСОПКА, что приведёт к большим разовым и регулярным расходам, которые по силам только крупным компаниям. «Большая тройка» хостинг-провайдеров включает Reg.ru (33,8 %), Masterhost.ru (9,1 %), Ru-Center (8,2%), остальные игроки рынка имеют небольшой масштаб. При этом в 2022 году российский рынок хостинга год к году вырос на 22 % до 10,6 млрд рублей.

Судя по отзывам экспертов, провайдеры не в состоянии вовремя выполнить требования закона. Приказ Минцифры детализирует закон, подписанный президентом 31 июля и предполагающий создание реестра хостеров, обязанных размещать инфраструктуру в России и обеспечивать доступ к ней Роскомнадзору и ФСБ. Провайдеры будут обязаны использовать уже созданную национальную систему доменных имён (НСДИ), а также технические средства противодействия угрозам (ТСПУ) Роскомнадзора. Наконец, их обяжут проводить идентификацию клиентов и подключиться к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).

Источник изображения: Christina @ wocintechchat.com/unsplash.com

Эксперты утверждают, что некоторые требования просто невыполнимы. Например, передачу трафика с применением ГосСОПКА придётся вести через межсетевой экран, но это отдельная услуга, которая не может быть навязана клиентам. Кроме того, такие экраны замедляют передачу трафика. Также хостер не имеет права контролировать и регламентировать сетевые настройки клиентов, а передача хостером информации о взаимодействии сайтов с пользователями и вовсе неосуществима, поскольку хостер такими данными просто не располагает.

Для выполнения новых требований придётся закупать дорогостоящие оборудование и ПО, а также готовить специалистов — по данным источника Forbes, для понадобится разово потратить 20–25 млн руб., а последующие ежемесячные расходы составят 1-2 млн руб. В этом случае мелкие компании выйдут из бизнеса или продадут его более крупным игрокам, а то и вовсе перейдут в теневой сегмент. По имеющимся данным, операторы предлагают отложить введение в действие приказа до 1 января 2025 года, но в Минцифры считают, что требования о сроках изменению не подлежат.

Президент России Владимир Путин подписал Федеральный закон «О внесении изменений в статьи ЗЗЗ³³ и ЗЗЗ⁴⁰ части второй Налогового кодекса Российской Федерации». Речь идёт об увеличении пошлины за предоставление лицензии на оказание услуг связи с 7,5 тыс. до 1 млн руб., то есть в 133 раза. Новый закон вступает в силу с 1 января 2024 года.

Об инициативе стало известно в середине декабря 2022-го. Цель закона состоит в том, чтобы предотвратить выход на рынок РФ операторов, не выполняющих обязательные лицензионные требования в части внедрения оборудования для проведения оперативно-розыскных мероприятий (СОРМ). Федеральный закон принят Государственной Думой 21 сентября 2023 года и одобрен Советом Федерации 25 сентября.

Источник изображения: pixabay.com

При этом оборудование СОРМ телекоммуникационные компании должны устанавливать на свои сети с лета 2018 года. Такие системы предусматривают хранение трафика пользователей. Однако, как говорят авторы документа, некоторые операторы из-за технических и финансовых трудностей используют механизмы, позволяющие отложить внедрение СОРМ. Один из таких способов заключается в добровольном прекращении лицензии и получении новой, что позволяет отсрочить установку COPM.

«То есть что происходит: оператор связи получает лицензию, составляет план установки средств (COPM) на два года и через полтора года лицензию отменят, получает новую», — приводит «Интерфакс» слова замглавы Минцифры Дмитрия Кима. На сайте Госдумы говорится, что величина госпошлины доводится до размеров, сопоставимых с размером штрафа за административное правонарушение в части внедрения СОРМ и стоимостью подключения соответствующего оборудования или его аренды.