Роскомнадзор намерен с сентября 2024 года вменить в обязанность операторам связи предоставлять географические координаты всех используемых ими IP-адресов, что, по словам ведомства, позволит эффективнее бороться с DDoS-атаками, а также привести в соответствие цифровые и физические границы России. Соответствующие поправки в приказ РКН от 31 июля 2019 года были опубликованы 15 января на портале для обсуждения проектов нормативных актов, пишет Forbes.ru.

Помимо географических координат проектом приказа оговорено предоставление информации о целях использования IP-адресов: для собственных нужд оператора или же нужд клиентов. Один из экспертов, опрошенных Forbes, предположил, что Роскомнадзор хочет забрать у интернет-регистратора RIPE NCC функции маршрутизации IP-адресов в России. Другой отмечает, что новые правила лишь увеличат нагрузку на операторов связи и потребуют доработки биллинговых систем.

Как указано в пояснительной записке к приказу, чтобы избежать неправомерной блокировки доступа к интернет-ресурсам для российских пользователей при противодействии DDoS-атакам, разрабатывается национальная система учёта географической принадлежности IP-адресов (GeoIP). В число её главных задач входит формирование доверенной базы данных с информацией о геолокации IP-адресов субъектов России.

Источник изображения: StartupStockPhotos/Pixabay

Дело осложняется тем, что IP-адреса могут динамически распределяться между пользователями проводного и беспроводного интернет-доступа в разных регионах страны. То же относится, например, и к клиентам облачных провайдеров. В то же время за одним IP-адресом может находиться сразу множество пользователей.

К концу 2023 года, как сообщает «Роскомнадзор», к системе «Антифрод» подключились 502 компании, что составляет менее половины от действующих в России операторов связи. Ведомство уже начало штрафовать тех участников рынка, которые нарушают сроки подключения к указанной платформе.

Система «Антифрод» разработана предприятием «Главный радиочастотный центр» (ГРЧЦ), которое является подведомственной структурой «Роскомнадзора». Платформа предназначена для сбора данных обо всех звонках и SMS с целью борьбы с мошенниками. Российским операторам необходимо подключиться к «Антифроду» до 28 февраля 2024 года.

В РФ на сегодняшний день насчитывается около 1300 операторов связи. Таким образом, доля подключившихся к системе «Антифрод» компаний составляет 38,6 %. Суммарная номерная ёмкость операторов, использующих платформу, достигает 79,4 %. В течение года система проверила примерно 90 млрд звонков, а количество предотвращённых соединений с подменой номера оценивается в 622 млн.

Источник изображения: «Роскомнадзор»

«Роскомнадзор» напоминает, что тем операторам, которые не соблюдают сроки подключения, грозит административная ответственность по статье 13.2.1 КоАП РФ — штраф до 1 млн руб. В конце 2023 года фиксируется нарушение сроков у более чем 180 компаний. Суд уже рассмотрел протоколы в отношении четырёх операторов — им назначены штрафы на общую сумму 2,1 млн руб.

«По закону оператор связи несёт ответственность за установку соединения с непроверенного номера. Система "Антифрод" помогает операторам соблюдать требования действующего российского законодательства, предоставляя им для этого техническую возможность», — говорится в сообщении ведомства.

Роскомнадзор (РКН) отклонил 72 заявки на вступление в реестр провайдеров хостинга. Причина — подача бланков с недостаточной или недостоверной информацией. В течение пяти рабочих дней компании должны исправить ошибки, иначе последует запрет на легальное оказание услуг. Об это сообщает РБК.

По данным ведомства, к 18 декабря 2023 года 346 компаний зарегистрировали личные кабинеты, 290 из них подали уведомления на включение в реестр, но лишь у 14 участников рынка заявления были оформлены корректно. По 204 заявкам проверка продолжается.

Фото: Scott Rodgerson / Unsplash

Среди компаний, которым РКН отказал в регистрации в реестре, оказались Rusonyx и RUVDS. Их представители пояснили, что ошибки возникли из-за технических проблем на стороне РКН: часть полей, ранее отмеченных как необязательные для заполнения, уже после отправки заявки стали числиться «обязательными». Также хостеры жалуются на недоработку системы, к примеру, одно лицо не может представлять несколько компаний. Кроме того, ведомство требует указать используемые системы защиты информации (сертифицированные программно-аппаратные комплексы с шифрованием), а они есть не у всех.

Летом Госдума приняла поправки в законы «Об информации, информационных технологиях и о защите информации» и «О связи», которые ввели регулирование деятельности хостинг-провайдеров. К примеру, те, кто не попадет в реестр провайдеров хостинга, станут в России незаконными операторами и не смогут легально оказывать услуги. Реестр с 1 декабря 2023 года формирует РКН.

Роскомнадзор (РКН) оштрафовал 11 иностранных хостинг-провайдеров за нарушение российского «закона о приземлении»: Amazon Web Services (AWS), Bluehost, DigitalOcean, DreamHost, GoDaddy, Hetzner, HostGator, Ionos, Kamatera, Network Solutions и WPEngine. Об этом сообщают «Известия».

Согласно закону ч.2 ст.13.49 КоАП РФ «О неисполнении обязанностей, предусмотренных законом о деятельности иностранных лиц в сети интернет», иностранные хостинг-провайдеры обязаны открыть на территории России представительство, поместить форму обратной связи для граждан РФ и зарегистрировать личный кабинет на сайте РКН.

Источник изображения: Edward Lich / Pixabay

В случае неисполнения иностранным компаниям грозит взимание от 1/15 до 1/10 совокупного размера выручки за календарный год. Также РКН может блокировать иностранных хостинг-провайдеров, запретить рекламу, поисковую выдачу, ограничить платежи и переводы денежных средств, замедлить трафик. Собственно говоря, ранее Роскомнадзор уже устанавливал запрет на поисковую выдачу сайтов этих иностранных хостинг-провайдеров.

Кроме того, в России вступил в силу закон, согласно которому к 1 февраля 2024 года провайдеры хостинга должны быть включены в реестр провайдеров, иначе им будет запрещено оказывать услуги хостинга на территории России. По данным ресурса «Домены России», в ноябре 2023 года у отечественных хостингов зарегистрировано более 2,2 млн доменов, у Германии — более 76 тыс., у США — более 39 тыс., у Франции — более 22 тыс.

Роскомнадзор объявил о начале формирования реестра хостинг-провайдеров. Компании, которые не войдут в данный список, с 1 февраля 2024 года не смогут оказывать услуги хостинга на территории России. Новые правила, как утверждается, призваны защитить рунет от возможных внешних угроз, повысить надёжность работы российских интернет-ресурсов и сервисов.

О планах по созданию реестра сообщалось в сентябре уходящего года. В соответствии с утверждёнными требованиями хостинг-провайдеры обязаны обеспечить защиту информации в своей инфраструктуре.

Источник изображения: pixabay.com

Компании, в частности, должны подключиться к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Кроме того, провайдерам хостинга необходимо оперативно реагировать при возникновении угроз — сообщать о инцидентах в течение 24 часов с момента их выявления. С целью противодействия DDoS-атакам компании должны взаимодействовать с Центром мониторинга и управления сетью связи общего пользования (ЦМУ ССОП). Кроме того, необходимо использовать Национальную систему доменных имён (НСДИ), информацию ЦМУ о местоположении использования сетевых адресов, а также серверы точного времени (NTP-серверы), расположенные на территории РФ.

Федеральный закон, регламентирующий работу провайдеров хостинга, вступил в силу 1 декабря 2023 года. Компании, ведущие деятельность в соответствующей сфере, должны подать уведомление об этом в Роскомнадзор до 15 декабря. Отмечается, что более 40 организаций начали формировать заявки, а 16 заявок полностью оформлены. Компаниям, которые только выходят на рынок, необходимо уведомить ведомство о старте работы не позднее, чем за 15 дней до начала оказания услуг.

Говорится также, что хостинг-провайдеры смогут обслуживать только тех пользователей, которые прошли идентификацию или аутентификацию одним из разрешённых способов: с помощью ЕСИА, Единой биометрической системы, усиленной квалифицированной электронной подписи или сервиса быстрых платежей банка России.

В России запустили тестирование системы противодействия DDoS-атакам на основе ТСПУ, а с начала 2024 года к этой системе должны подключиться 160 организаций. К созданию системы приступили этим летом, когда Роскомнадзором был объявлен тендер на её развитие стоимостью 1,4 млрд руб. В частности, требовались доработка ПО ТСПУ, создание координационного центра по защите от DDoS-атак, поставка оборудования и передача права использования соответствующего ПО.

Перечень организаций, которые будет необходимо подключить к системе, определяется совместно с Минцифры, ФСТЭК России и другими заинтересованными ведомствами. В Роскомнадзоре сообщили «Коммерсанту», что к системе подключаются государственные организации, компании финансового и транспортного сектора, энергетики, СМИ и операторы связи.

Источник изображения: Pixabay

Источник «Коммерсанта» выразил сомнения в эффективности системы на основе ТСПУ, поскольку она только отслеживает паттерны вредоносных пакетов в трафике. Если эти показатели меняются, то система становится бесполезной. Хотя это лучше, чем полное отсутствие защиты от DDoS-атак, конкуренцию профессиональным решениям такая система составить не сможет, заявил собеседник «Коммерсанта».

Плановые учения по безопасности и устойчивости сетей связи общего пользования, проводимые в рамках закона «о суверенном Рунете», по сообщению «Интерфакса», выявили ряд недостатков в организации отечественной IT-инфраструктуры. В частности, в случае успешных атак без связи могут остаться целые регионы РФ.

Закон «о суверенном Рунете» предполагает, что интернет-трафик в России проходит через специализированные технические средства противодействия угрозам (ТСПУ). Это необходимо для выявления потенциально опасных данных и для ограничения доступа к нежелательным ресурсам. Отмечается, что ТСПУ уже установлены на всех узлах связи в России.

Выполненные Роскомнадзором учения говорят о том, что существуют проблемы, связанные с живучестью сетей связи в условиях преднамеренного воздействия на линии и операторские сооружения. Как отметил глава ведомства Андрей Липов, прекращение работы отдельных сетевых объектов «может оказать влияние на доступность услуг связи во всём субъекте РФ».

Источник изображения: pixabay.com

Испытания устойчивости Рунета проводятся с участием операторов и экспертного сообщества, а также органов исполнительной власти. За последние четыре года Роскомнадзор провел шесть подобных мероприятий. Для улучшения безопасности российской сетевой инфраструктуры разработан проект концепции правового регулирования и проект федерального закона о первичных сетях связи.

«Учения показали себя действенным механизмом выявления угроз функционирования сетей связи и выработки мер реагирования. По их результатам оперативно принимались решения для внесения изменений в законодательство и создания необходимых технических инструментов для защиты информационной инфраструктуры и наших граждан в онлайн-пространстве», — отметил Липов.

За первые девять месяцев текущего года в России наблюдается заметный рост количества протоколов об административных правонарушениях в отношении операторов связи. Как сообщает «Коммерсантъ», в указанный период количество протоколов выросло год к году в 2,8 раза. В основном наказания связаны с отсутствием разрешений на работу базовых станций (БС), а также их использованием с нарушениями радиочастотного спектра. Эксперты опасаются, что худшее впереди — если раньше участников рынка лишь штрафовали, то теперь Роскомнадзор может лишить лицензии на эксплуатацию станции.

Всего за указанный период составлено 28 тыс. протоколов за соответствующие правонарушения. При этом в 2022 году за тот же период составили 10 тыс. протоколов, а за девять месяцев 2021 года — 42 тыс. Регуляторы объясняют снижение количества административных дел в 2022 году изменениями в КоАП. Кроме того, до начала 2023 года действовал мораторий на проверки.

Источник изображения: MaxwellFury/pixabay.com

По итогам всего 2022 года Роскомнадзор зарегистрировал снижение объёма штрафов, выплаченных «большой четвёркой» операторов за нарушения, до 67 млн. руб. — на 20 % в сравнении с 2021 годом. Количество протоколов сократилось до 3,7 тыс. «Антирекордсменом» года стал «МегаФон», заплативший 24 млн руб., второе место занимает «Вымпелком» с 21 млн, третье — МТС с 13 млн, а четвёртое — Tele2 с 8,9 млн. Одно из возможных объяснений — снижение количества новых БС в связи с санкциями и уходом зарубежных вендоров. Всего к началу 2023 года в России действовали 1,1 млн базовых станций.

По имеющимся данным, большей частью нарушения обусловлены несовершенством системы получения разрешений. На установку БС требуется месяц–два, а на получение разрешения — до полугода. При этом необходимо согласовать использование частот с силовиками, на что требуется время. Штрафы выписывают за работу не на выделенных частотах и за размещение БС не в согласованном месте. Часто такие нарушения отмечены после стройки или модернизации недобросовестными подрядчиками.

Пока компаниям за нарушения выписывают штраф, а лицензию могут аннулировать только по решению суда, причём операторы закладывают в бюджет подобные расходы. Однако новые правовые нормы грозят тем, что регулятор будет просто отнимать лицензию на эксплуатацию БС в случае выявления нарушений, а на её восстановление будет уходить много времени.

Минцифры России подготовило проект постановления правительства, благодаря которому хостинг-провайдеры будут обязаны устанавливать личности клиентов одним из нескольких доступных способов. Как сообщается на Федеральном портале нормативных правовых актов, новые правила могут вступить в силу уже с 1 декабря текущего года.

Поправки в законы «О связи» и «Об информации», подписанные президентом РФ 31 июля 2023 года, предусматривают создание и ведение Роскомнадзором реестра хостинг-провайдеров, причём последние будут обязаны оказывать содействие правоохранительным органам для того, чтобы предотвращать и пресекать противоправную деятельность. Например, хостеры будут обязаны подключаться к системе борьбы с компьютерными атаками ГосСОПКА, контролируемой ФСБ.

Фото: Van Tay Media / Unsplash

Проект постановления предполагает четыре возможности идентифицировать клиентов хостингов:

• с помощью системы ЕСИА (инфратструктура «Госуслуг») и Единой биометрической системы;
• хостинг-провайдеру можно будет предоставить документы лично;
• посредством усиленной квалифицированной электронной подписи (УКЭП) при её наличии;
• дополнительно идентификация возможна при переводе денег с банковского счёта клиента, поскольку сам факт такого перевода будет свидетельством личности обращающегося к хостинг-провайдеру. При этом сам счёт должен быть открыт или в российском банке, или в банке государства, входящего в Евразийский экономический союз (ЕАЭС).

Физическому лицу при прохождении личной процедуры идентификации хватит паспорта или другого удостоверения личности (какого именно типа, не уточняется), индивидуальному предпринимателю достаточно паспорта (иного удостоверения личности) и выписки из ЕГРИП, а лицам, представляющим юридические лица — документа, подтверждающего право на заключение договора о хостинге и выписки из ЕГРЮЛ. Как сообщается на портале, пока идёт обсуждение проекта и его независимая антикоррупционная экспертиза.

Минцифры РФ, по сообщению газеты «Коммерсантъ», подготовило ряд новых нормативных актов, регламентирующих работу хостинг-провайдеров. Изменения нацелены на повышение уровня безопасности, а также на защиту IT-инфраструктур от взломов и утечек конфиденциальных данных.

В соответствии с предлагаемыми требованиями компании, оказывающие в числе прочего услуги виртуального размещения сайтов, будут обязаны подключиться к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак ГосСОПКА (контролируется ФСБ).

При выявлении кибератак, в частности, DDoS, проводимых через ресурсы, размещенные у хостинг-провайдера, он должен их заблокировать в течение 12 часов. По требованию уполномоченных органов хостинг-провайдеры должны будут предоставлять в ГосСОПКА идентификаторы опасных ресурсов: на выполнение таких запросов отводится четыре часа. В общей сложности в нормативных актах Минцифры предусмотрены 10 пунктов, которых раньше не было.

Источник изображения: pixabay.com

В ведомстве отмечают, что требования распространяются на всех игроков рассматриваемого рынка. Минцифры также подготовило проект постановления правительства, в соответствии с которым хостинг-провайдеры должны принимать участие в учениях по отключению Рунета от глобальной сети.

Фото: Scott Rodgerson / Unsplash

Участники отрасли говорят, что, с одной стороны, реализовать новые требования будет несложно, поскольку у большинства провайдеров уже установлено необходимое оборудование для фильтрации трафика и блокировки запрещённых ресурсов. С другой стороны, это может привести к росту стоимости услуг для конечных пользователей.

Акты Минцифры, как отмечает газета «Ведомости, предусматривают также, что Роскомнадзор (РКН) создаст специальный реестр провайдеров хостинга и будет отвечать за его ведение. Для включения в этот список компании должны будут направлять уведомление в ведомство — на рассмотрение заявки отводится 10 рабочих дней.

Кроме того, провайдеры должны уведомлять Роскомнадзор о начале деятельности не позднее чем за 10 рабочих дней до её старта через личный кабинет на сайте регулятора. Те компании, которые не попадут в реестр РКН, не смогут оказывать услуги. Требования вступят в силу 1 декабря 2023-го. Хостинг-провайдеры, уже осуществляющие деятельность, должны сообщить об этом в Роскомнадзор не позднее 15 декабря текущего года.