Провайдеры, которые не захотят установить на своих сетях специализированные технические средства противодействия угрозам (ТСПУ), по сообщению газеты «Известия», подпадут под серьёзные штрафные санкции. Более того, их руководству может грозить уголовная ответственность.

Речь идёт о так называемом законе «о суверенном Рунете». Суть инициативы заключается в пропуске всего интернет-трафика в России через ТСПУ для выявления потенциально опасных данных и с целью ограничения доступа к нежелательным ресурсам. Внедрение системы, как отмечается, особенно актуально в сложившейся геополитической обстановке. Весь трафик Рунета начнёт пропускаться через ТСПУ до конца 2023 года.

Источник изображения: pixabay.com

Контролировать использование специального оборудования будет Роскомнадзор. Если в ходе проверки выяснится, что трафик не пропускается через ТСПУ, на компанию может быть наложен штраф в размере от 1 до 5 млн руб. (при повторном нарушении). При этом руководство оператора может быть оштрафовано на 1,5 млн руб. А в случае злостного нарушения должностному лицу может грозить до трёх лет лишения свободы.

Говорится, что уже сейчас через ТСПУ проходит 100 % трафика мобильной связи и свыше 95 % потока фиксированной связи в РФ. Такое оборудование установлено у 367 операторов. При этом с марта 2022 года действует мораторий на внеплановые проверки компаний на предмет использования ТСПУ. Вместе с тем ранее сообщалось, что Минцифры хочет переложить обязанность блокировать запрещенные ресурсы с Роскомнадзора на самих операторов связи.

«Угроза безопасности функционирования интернета на территории страны и сети связи общего пользования служит основанием для обращения в прокуратуру для согласования проведения проверок по выявленным фактам нарушений пропуска трафика в обход ТСПУ», — отметили в Роскомнадзоре.

Немецкому Бундестагу пришлось отложить принятие поправок к Закону об энергоэффективности (Energy Efficiency Act) на время традиционных правительственных каникул — как сообщает издание DataCenter Dynamics, на голосование просто не явилось достаточное для формирования кворума количество депутатов. Никаких поправок внесено уже, вероятно, не будет, но голосование перенесено на сентябрь.

Новый закон устанавливает допустимые уровни PUE для дата-центров, а также регламентирует обязательную утилизацию «мусорного» тепла ЦОД. При этом имеются важные исключения из законопроекта от ноября 2022 года, иронично названного в Германской ассоциации дата-центров (GDA) «законом по предотвращению ЦОД». В GDA подчёркивают, что предпочитают стимулирующие меры строгим требованиям.

Закон об энергоэффективности предусматривает снижение Германией энергопотребления на 26,5 % к 2030 году, до показателей 15-летней давности. Евросоюз же на фоне энергетического кризиса призывает снизить общее энергопотребление к 2030 году на треть. Хотя требования к ЦОД в новой версии не такие жёсткие, по-прежнему предусмотрено обязательное использование тепла ЦОД. Это может ограничить реализацию новых проектов, а требования к уровню PUE и использованию возобновляемой энергии могут оказаться не по плечу провайдерам колекейшн-сервисов.

Источник изображения: Sigmund/unsplash.com

В первой версии законопроекта от 2022 года ЦОД должны были передавать не менее 30 % избыточного тепла другим организациям уже со следующего года, а с 2027 года — от 40 %. В некоторых случаях эти требования просто невозможно выполнить по экономическим причинам или из-за отсутствия необходимой инфраструктуры. В мае 2023 года требования скорректировали. Теперь речь идёт об отдаче только 10 % тепла с 2026 года и от 20 % — с 2028-го.

Источник: Uptime Institute

Германские операторы посчитали, что и такие требования чрезмерны, поскольку спрос не всегда будет соответствовать предложению, а в некоторых местностях системы центрального отопления для передачи им «мусорного» тепла просто отсутствуют. После переговоров с представителями бизнеса добавились исключения, позволяющие обойти требования.

Предполагается, что в окончательном варианте закона будет отменено требование размещать ЦОД не дальше 5 км от системы центрального отопления. Вместо этого все новые ЦОД должны будут иметь специальные станции передачи тепла на своей территории, а операторов систем отопления обяжут отвечать на предложение избыточного тепла в шестимесячный срок. Коммунальные службы считают такие проекты сложными и дорогими.

С 2026 года уровень PUE не должен превышать 1.2, хотя GDA отмечает, что некоторые уже одобренные проекты ЦОД не соответствуют этому требованию. Кроме того, колокейшн-провайдеры не смогу полноценно контролировать уровень PUE, поскольку их клиенты будут действовать на своё усмотрение. Наконец, закон всё ещё требует использовать 50 % возобновляемой энергии к 2024 году, и 100 % — к 2027. Исключение делается в случае получения «зелёных» сертификатов у северных соседей Германии вместо использования местной экобезопасной энергии.

Российские IT-компании, по сообщению РБК, обеспокоены тем, что в реестре отечественного ПО могут оказаться иностранные продукты. К такой ситуации может привести проект изменений в закон «Об информации, информационных технологиях и о защите информации», который в настоящее время рассматривается Государственной думой.

Документ, о котором идёт речь, предусматривает предоставление доступа в реестр отечественного ПО для решений организаций с долей иностранцев более чем в 50 %, тогда как сейчас такая доля должна приходиться на российских бенефициаров. В случае принятия законопроекта для попадания в реестр иностранным разработчикам будет достаточно оформить передачу прав на продукт своей дочерней структуре в России.

Источник изображения: pixabay.com

На это обращает внимание Ассоциация разработчиков программных продуктов (АРПП) «Отечественный софт», которая объединяет более 260 российских IT-компаний. Авторы законопроекта указывают на то, что сейчас российские компании с существенной долей акций, находящихся в свободном обращении, в том числе на российских биржах, фактически не могут считаться разработчиками отечественного софта. Чтобы снять данное ограничение, в проекте предлагается заменить понятие «участие» на «контроль».

«Для российских IT-компаний будет создан стимул для выхода на биржи, что позволит привлечь дополнительные отечественные и зарубежные инвестиции и приведёт к ускоренному развитию отечественных технологий», — говорится в документе. Проблема, как отмечает АРПП, заключается в том, что в текущей версии законопроекта не указано, что должны рассматриваться исключительно компании с листингом на российских биржах. По мнению ассоциации, документ необходимо дополнить таким уточнением.

На сегодняшний день в реестр отечественного ПО включены приблизительно 17 тыс. продуктов, а количество правообладателей превышает 6 тыс. Если новый документ будет принят, в реестре с большой вероятностью появятся зарубежные продукты, которые смогут использовать госорганы и госкомпании.

Роскомнадзор (РКН) включил 12 иностранных хостинг-провайдеров в перечень компаний, подлежащих «приземлению». Об этом сообщила пресс-служба ведомства. Согласно законодательству, иностранные провайдеры хостинга, пользователи которых находятся на территории РФ, подпадают под действие ФЗ № 236-ФЗ «О деятельности иностранных лиц в сети «Интернет» на территории РФ».

В список вошли Hetzner Online, Network Solutions, WPEngine, HostGator, Ionos, DreamHost, FastComet, Amazon Web Services (AWS), GoDaddy, Bluehost, Kamatera, DigitalOcean. Для них на сайте РКН отражен статус исполнения требований законодательства РФ. AWS еще в марте 2022 года запретил заказчикам из России и Белоруссии заводить новые аккаунты. В отличие от других американских компаний и прочих поставщиков ИТ-решений у AWS нет центров обработки данных, инфраструктуры или офисов в России.

Фото: Mary Oakey / Unsplash

Зарубежные интернет-компании, подлежащие «приземлению», обязаны открыть на территории России филиал, представительство или юридическое лицо, разместить на своем сайте форму обратной связи с пользователями, а также зарегистрировать личный кабинет на сайте Роскомнадзора. Кроме того, от подобных компаний могут потребовать ограничивать доступ к информации, признанной нарушающей российское законодательство. За невыполнение требований нарушителям может грозить частичная или полная блокировка.

Китайские интернет-регуляторы анонсировали целый пакет проектов правил работы сетей Wi-Fi и Bluetooth. Как сообщает издание The Register, операторы сетей, использующих данные беспроводные технологии, должны будут применять технические решения, исключающие злонамеренную активность. Новые правила и принципы сформулировала Администрация киберпространства Китая (CAC).

Ожидается, что правила будут применяться к ad-hoc сетям, действующим «на коротких дистанциях». Предполагается, что это поможет бороться с нарушением существующих в стране законов и продвижением чуждых обществу ценностей. Новые меры практически дублируют правила, применяемые Пекином в отношении телеком-операторов и владельцев онлайн-сервисов: все они обязаны следить за трафиком, способным нанести ущерб национальной безопасности страны.

Источник изображения: Jerry Wang/unsplash.com

На операторов будет возложена обязанность «предотвращать и противодействовать» использование их оборудования для распространения дезинформации и сообщать о таких попытках в компетентные органы. Кроме того, пользователи подобных сетей должны будут указывать свои настоящие идентификационные данные. Отправитель и получатель информации должны будут действовать с согласия друг друга, а в случае нарушения закона ответственность будут нести обе стороны.

В CAC хотят, чтобы провайдеры таких сетей также оповещали пользователей о правилах безопасного использования сервисов, также они должны обеспечить пользователям возможность сообщить о тех или иных инцидентах в случае необходимости. Более того, операторы должны будут иметь планы устранения угроз в случае возникновения непредвиденных ситуаций.

Правда, определение подпадающих под новые правила сетей несколько размыто. При желании к ним можно причислить, как различные автономные чаты на базе mesh-сетей Bluetooth и Wi-Fi, которые используют протестными движениями, так и домашние точки доступа или тетеринг. Так или иначе, Пекин демонстрирует решимость охватить контролем все сети передачи данных.

Государственная дума приняла в окончательном третьем чтении поправки в Кодекс Российской Федерации об административных правонарушениях (КоАП), вводящие оборотные штрафы для операторов связи, которые отказываются сотрудничать с правоохранительными органами. Речь идёт об обязательной установке на сетях телеком-компаний так называемой системы оперативно-розыскных мероприятий (СОРМ).

СОРМ, как утверждается, позволяет расследовать преступления, предотвращать теракты и бороться с телефонным мошенничеством. «Оборудование должно устанавливаться на сетях каждого оператора связи, но небольшие компании экономят и уклоняются от внедрения СОРМ», — говорится на сайте Госдумы. По информации Роскомнадзора, количество выявленных нарушений лицензионных требований, связанных с реализацией СОРМ, в 2020 году составляло 867, в том числе 177 среди юридических лиц. В 2021-м эти значения достигли соответственно 1110 и 206.

Источник изображения: pixabay.com

Из-за нарушения требований в 2020 году на операторов наложены 124 штрафа на общую сумму около 2,2 млн руб., в 2021-м — 246 штрафов на сумму примерно 11,5 млн руб. В соответствии с новыми нормами за отказ от применения СОРМ предусмотрен штраф от 0,001 % до 0,003 % от годовой выручки за первое нарушение и от 0,01 % до 0,03 % от годовой выручки — за повторное нарушение.

Операторы, которые не имеют финансовой возможности приобрести оборудование СОРМ на начальном этапе своей деятельности, могут использовать систему в формате услуги. Стоимость такого сервиса зависит от объёма передаваемого трафика и составляет от 500 тыс. руб. до 800 тыс. руб. с ежемесячной арендной платой от 55 тыс. до 110 тыс. руб. соответственно. 

Авторы «Стратегии развития отрасли связи в РФ на 2024–2035 годы», по сообщению газеты «Коммерсантъ», предлагают ввести так называемый «налог на трафик» для интернет-компаний, создающих основную нагрузку на сети передачи данных. Предварительный вариант документа подготовлен Минцифры совместно с операторами связи.

Предполагается, что владельцы крупных веб-площадок будут заключать с российскими операторами коммерческие договоры о пропуске трафика. В случае утверждения новые правила затронут отечественные онлайн-кинотеатры, а также такие зарубежные платформы, как YouTube, поисковик Google, мессенджер WhatsApp и многие другие.

Источник изображения: pixabay.com

Вместе с тем, как отмечается, под действие «налога на трафик» не подпадут сервисы, входящие в реестр организаторов распространения информации (ОРИ). Это, в частности, социальные сети «ВКонтакте» и «Одноклассники», службы «Яндекса», а также видеохостинг Rutube, принадлежащий «Газпром-медиа холдингу» (ГПМХ). Таким образом, полагают участники рынка, инициатива направлена прежде всего на получение отчислений от зарубежных интернет-компаний.

С другой стороны, говорят эксперты, в России нет законодательного механизма, который позволил бы собирать с иностранных фирм «налог на трафик», а создать его вряд ли получится. Кроме того, попытки получить отчисления от компаний, разворачивающих на инфраструктуре операторов свои сети доставки контента (CDN), могут привести к разрыву сотрудничества. А это негативно отразится на качестве сервисов для конечных пользователей.

«Очевидный вариант — блокировка зарубежного сервиса в РФ. Но сейчас, например, несмотря на то что юрлицо Google в РФ банкротится, а компания получила оборотный штраф 21,8 млрд руб. за отказ удалить запрещённый контент, сервисы Google в РФ не блокируют, поскольку полноценных аналогов нет», — приводит «Коммерсантъ» заявления участников российского IT-рынка.

Еврокомиссия начала опрос клиентов и конкурентов облачного сервиса Microsoft Azure по поводу возможного злоупотребления софтверным гигантом своим влиянием на рынок для вытеснения с него конкурентов. Как сообщает Bloomberg, у регулирующего органа Европейского Союза вызывает опасение возможное использование Microsoft имеющегося доступа к конфиденциальной бизнес-информации, принадлежащей облачным фирмам, с которыми у неё есть коммерческие отношения, для продвижения своего облачного сервиса.

Поводом к этому стали жалобы на антиконкурентное поведение Microsoft, поступающие от облачных фирм, включая CISPE, отраслевую группу, использующую в своей работе веб-сервисы Amazon. Еврокомиссия попросила компании дать ответы на вопросы до 16 мая, а также предоставить к концу месяца не содержащие конфиденциальную информацию доказательства антиконкурентного поведения Microsoft.

Источник изображения: Microsoft Azure

Не исключено, что после такого опроса может начаться официальное расследование. Это будет совсем некстати для Microsoft, которая предпринимает усиленные попытки убедить регулирующие органы по всему миру одобрить приобретение Activision Blizzard, издателя блокбастера Call of Duty, за $69 млрд. Европейская комиссия в понедельник условно одобрила слияние двух компаний, хотя несколькими неделями ранее антимонопольный орган Великобритании наложил на него вето.

Добавим, что в марте Еврокомиссия уже проводила опрос среди компаний по поводу антиконкурентного поведения Microsoft на облачном рынке в связи с поступившими жалобами от французской фирмы OVH Cloud, итальянской компании Aruba, датской ассоциации облачных вычислений и немецкого поставщика облачных услуг Nextcloud. Какими были его результаты, пока неизвестно.

Европейское агентство по сетевой и информационной безопасности (ENISA) разрабатывает новые, более жёсткие требования к облачным провайдерам в части хранения данных в пределах ЕС, чтобы исключить возможность доступа иностранных правительств к данным блока, пишет Bloomberg, ознакомившийся с проектом нового закона. По новым правилам для того, чтобы получить высшую сертификацию кибербезопасности, компании будет необходимо хранить данные в ЕС.

Как пояснил ресурс, на практике это означает, что американские провайдеры облачных услуг, такие как Amazon, Microsoft и Google, должны будут в соответствии с новыми требованиями гарантировать, что американское правительство не сможет получить доступ к европейским облачным данным. При этом зарубежные облачные провайдеры должны будут либо управлять отдельным юридическим лицом в ЕС независимо от материнской компании, либо создать СП с европейской облачной компанией.

Источник изображения: Pixabay

ENISA предлагает ввести двухуровневую классификацию кибербезопасности «высокого» уровня. Большинство американских облачных провайдеров соответствуют предложенному стандарту «EL3», которым устанавливается определённый уровень прозрачности данных. Самый высокий уровень кибербезопасности — сертификация EL4 — требует, чтобы данные хранились в ЕС без доступа иностранного правительства. Наличие высшего сертификата кибербезопасности будет необходимым условием при отборе компаний для получения контракта на хранение конфиденциальных правительственных данных.

Американские компании опасались, что ENISA в качестве условия высшей сертификации включит в новые требования правила владения облачными данными в ЕС подобные тем, что уже действуют во Франции. Однако, как оказалось им будет проще реализовать предложение ENISA. Например, по словам источников Bloomberg, решение Oracle Sovereign Cloud, скорее всего, уже соответствует предлагаемым требованиям сертификации EL4.