Роскомнадзор начал блокировать доступ к облачной платформе Amazon Web Services (AWS), а также службам ряда хостинговых компаний, включая GoDaddy. Причина — нарушение так называемого закона «о приземлении», который был принят 1 июля 2021 года.

Указанный закон (№236-ФЗ) предусматривает, что иностранные IT-компании с ежедневной аудиторией в России 500 тыс. человек и более обязаны открыть представительство на территории РФ, зарегистрировать личный кабинет на сайте Роскомнадзора и разместить на своей площадке электронную форму для обратной связи с российскими гражданами или организациями.

За неисполнение перечисленных требований предусмотрены различные меры воздействия — вплоть до полной блокировки ресурсов. В конце 2023 года Роскомнадзор оштрафовал ряд иностранных хостинг-провайдеров за неисполнение закона «о приземлении»: в их число вошли AWS, GoDaddy, Kamatera, Network Solutions, WPEngine и др. Однако с тех пор эти компании нарушения не устранили, и теперь их сервисы в России заблокированы.

Источник изображения: pixabay.com

В частности, 25 марта регулятор ограничил работу хостинг-провайдера Kamatera, 27 марта — WPEngine, 29 марта — HostGator.com. Далее последовала блокировка Network Solutions — 1 апреля, DreamHost — 3 апреля, Bluehost — 5 апреля, Ionos — 8 апреля, DigitalOcean — 10 апреля. Наконец, 12 апреля были заблокированы ресурсы GoDaddy, а 15 апреля — сервисы AWS. В отношении указанных провайдеров действуют «полное ограничение доступа к информационному ресурсу иностранного лица» и «запрет на поисковую выдачу». Перечисленные компании зарегистрированы в США.

Вместе с тем Роскомнадзор пока не ограничил доступ к сервисам Hetzner Online GmbH и FastComet, которые также входят в перечень иностранных провайдеров хостинга, подлежащих «приземлению» в России.

Министерство цифрового развития, связи и массовых коммуникаций РФ, по сообщению газеты «Ведомости», приравняло коммерческих CDN-провайдеров к компаниям, предоставляющим услуги хостинга. Таким образом, на сетях CDN должны устанавливаться технические средства для обеспечения функций оперативно-розыскных мероприятий (СОРМ).

О новой инициативе рассказали директор по развитию инфраструктуры «Яндекса» и генеральный директор CDNvideo. Минцифры направило разъяснения в отношении статуса CDN в ответ на запрос «ВымпелКома» (бренд «билайн»). В ведомстве сообщили, что в соответствии с 149-ФЗ «Об информации, информационных технологиях и о защите информации» под провайдером хостинга понимается лицо, осуществляющее деятельность по предоставлению вычислительной мощности для размещения сведений в информационной системе с постоянным подключением к интернету.

Источник изображения: pixabay.com

«При предоставлении услуги доставки контента (CDN) владельцем сервиса предоставляются вычислительные мощности для размещения информации в информационной системе, постоянно подключенной к сети интернет, в связи с чем указанные в письме лица [CDN-провайдеры] являются провайдерами хостинга», — говорится в ответе Минцифры.

Вместе с тем подчёркивается, что «письмо носит информационно-разъяснительный характер» и «не содержит правовых норм или общих правил, конкретизирующих нормативные предписания, и не является нормативным правовым актом». Как говорят участники рынка, из разъяснения Минцифры следует, что CDN-провайдеру необходимо направить заявку в Роскомнадзор, а затем совместно с местным органом ФСБ согласовать план установки оборудования СОРМ. По оценкам генерального директора RUVDS, для крупнейших игроков рынка с доходами 200–500 млн руб. разовые вложения в СОРМ могут превысить 10 млн руб.

Представитель «Яндекса» указывает на то, что, в соответствии с нормами Минцифры, требования законодательства по установке СОРМ должны соблюдать только те операторы, для которых CDN является бизнесом, то есть, они предоставляют свои вычислительные мощности для других клиентов. Вместе с тем компании, которые развивают CDN в собственных интересах, под правила по внедрению СОРМ не подпадают.

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) обнародовала перечень компаний, вошедших в реестр провайдеров хостинга. По состоянию на январь 2024 году в списке значатся 203 записи, из которых 18 относятся к индивидуальным предпринимателям.

Роскомнадзор начал формирование названного реестра 1 декабря 2023 года. Компании, которые не войдут в список, с 1 февраля нынешнего года не смогут оказывать услуги хостинга на территории РФ. Ранее говорилось, что ведомство отклонило 72 заявки на включение в реестр из-за некорректного заполнения бланков.

Источник изображения: pixabay.com

Сообщается, что в список на сегодняшний день входят 203 провайдера хостинга. В их числе значатся такие компании, как МТС, «Газпром Телеком», «Регтайм», «Русоникс», «Яндекс.Облако», «Вычислительный центр», «Сервер в аренду» (бренд «Хосткей») и многие другие. Включение в реестр означает, что организации соответствуют всем требованиям, предъявляемым к хостинг-провайдерам в России.

«Включение в реестр Роскомнадзора — это важный шаг для нашей компании. Это подтверждает, что мы обеспечиваем высокий уровень безопасности и надёжности наших услуг, а также соблюдаем все требования российского законодательства», — говорит генеральный директор компании «Сервер в аренду».

Для включения в реестр провайдеры хостинга должны подключиться к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Кроме того, компаниям необходимо сообщать об инцидентах в сфере безопасности в течение 24 часов с момента их выявления.

Таганский суд признал виновными в неисполнении обязанностей по организации деятельности иностранного юридического лица в интернете в России (ч. 2 ст. 13.49 КоАП РФ) одиннадцать хостинг-провайдеров: Amazon Web Services, Inc. (AWS), HostGator.com LLC, Bluehost Inc., Kamatera Inc., Ionos Inc., Network Solutions LLC, DigitalOcean LLC, DreamHost LLC, GoDaddy.com LLC, WPEngine, Inc. и Hetzner Online GmbH, передаёт «Коммерсант». Соответствующие протоколы на них были составлены месяц назад.

Источник изображения: Amazon Web Services

В виде наказания им были назначены оборотные штрафы на общую сумму свыше 367 млн руб. Самый крупный штраф был назначен AWS — 200 469 997 руб. Компании Hetzner Online GmbH был назначен штраф в размере 117 700 731 руб., DigitalOcean LLC — 30 810 055 руб. Остальным суд назначил штраф в размере 6 млн руб. За подобное правонарушение штраф может составить от 1/15 до 1/10 совокупной выручки за календарный год.

Все перечисленные компании предоставляют услуги по обеспечению облачной и веб-инфраструктуры. В сентябре прошлого года Роскомнадзор обязал российские поисковые системы информировать пользователей о том, эти компании являются нарушителями российского законодательства. А в октябре регулятор расширил ограничения и ввёл запрет на поисковую выдачу сведений о сайтах этих компаний.

Минцифры РФ предоставило разъяснение в ответ на запрос по поводу возможности отнесения компаний, предоставляющих услуги SaaS (Software as a Service, программное обеспечение как услуга), к провайдерам хостинга, сообщает Telegram-канал Privacy Expert.

Министерство сослалось на пункт 18 статьи 2 Федерального закона от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации», согласно которому под провайдером хостинга понимается «лицо, осуществляющее деятельность по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключённой к сети “Интернет”».

Источник изображения: Минцифры РФ

В случае оказания услуг по модели SaaS компания предоставляет пользователю совокупность информационных технологий и технических средств, обеспечивающих обработку и (или) хранение данных пользователя без размещения его информационной системы на своих вычислительных мощностях. То есть под определение «провайдер хостинга» такая компания не подпадает, как и организации, которые используют вычислительные мощности для поддержки собственных сайтов.

Согласно разъяснению Минцифры, предоставление организацией услуг файлового хранилища тоже не относится к деятельности хостинг-провайдера, поскольку точно так же не предполагает размещения информационной системы пользователя.

Организация, осуществляющая деятельность по предоставлению сервиса авторизации клиентов, будет считаться провайдером хостинга в случае, если предоставляет вычислительные мощности для размещения информации в информационной системе, используемой для авторизации, постоянно подключённой к интернету и принадлежащей стороннему физическому или юридическому лицу. Если же она использует сервис авторизации исключительно для своих нужд, то относить её провайдерам хостинга нет оснований.

Роскомнадзор (РКН) отклонил 72 заявки на вступление в реестр провайдеров хостинга. Причина — подача бланков с недостаточной или недостоверной информацией. В течение пяти рабочих дней компании должны исправить ошибки, иначе последует запрет на легальное оказание услуг. Об это сообщает РБК.

По данным ведомства, к 18 декабря 2023 года 346 компаний зарегистрировали личные кабинеты, 290 из них подали уведомления на включение в реестр, но лишь у 14 участников рынка заявления были оформлены корректно. По 204 заявкам проверка продолжается.

Фото: Scott Rodgerson / Unsplash

Среди компаний, которым РКН отказал в регистрации в реестре, оказались Rusonyx и RUVDS. Их представители пояснили, что ошибки возникли из-за технических проблем на стороне РКН: часть полей, ранее отмеченных как необязательные для заполнения, уже после отправки заявки стали числиться «обязательными». Также хостеры жалуются на недоработку системы, к примеру, одно лицо не может представлять несколько компаний. Кроме того, ведомство требует указать используемые системы защиты информации (сертифицированные программно-аппаратные комплексы с шифрованием), а они есть не у всех.

Летом Госдума приняла поправки в законы «Об информации, информационных технологиях и о защите информации» и «О связи», которые ввели регулирование деятельности хостинг-провайдеров. К примеру, те, кто не попадет в реестр провайдеров хостинга, станут в России незаконными операторами и не смогут легально оказывать услуги. Реестр с 1 декабря 2023 года формирует РКН.

Роскомнадзор (РКН) оштрафовал 11 иностранных хостинг-провайдеров за нарушение российского «закона о приземлении»: Amazon Web Services (AWS), Bluehost, DigitalOcean, DreamHost, GoDaddy, Hetzner, HostGator, Ionos, Kamatera, Network Solutions и WPEngine. Об этом сообщают «Известия».

Согласно закону ч.2 ст.13.49 КоАП РФ «О неисполнении обязанностей, предусмотренных законом о деятельности иностранных лиц в сети интернет», иностранные хостинг-провайдеры обязаны открыть на территории России представительство, поместить форму обратной связи для граждан РФ и зарегистрировать личный кабинет на сайте РКН.

Источник изображения: Edward Lich / Pixabay

В случае неисполнения иностранным компаниям грозит взимание от 1/15 до 1/10 совокупного размера выручки за календарный год. Также РКН может блокировать иностранных хостинг-провайдеров, запретить рекламу, поисковую выдачу, ограничить платежи и переводы денежных средств, замедлить трафик. Собственно говоря, ранее Роскомнадзор уже устанавливал запрет на поисковую выдачу сайтов этих иностранных хостинг-провайдеров.

Кроме того, в России вступил в силу закон, согласно которому к 1 февраля 2024 года провайдеры хостинга должны быть включены в реестр провайдеров, иначе им будет запрещено оказывать услуги хостинга на территории России. По данным ресурса «Домены России», в ноябре 2023 года у отечественных хостингов зарегистрировано более 2,2 млн доменов, у Германии — более 76 тыс., у США — более 39 тыс., у Франции — более 22 тыс.

Роскомнадзор объявил о начале формирования реестра хостинг-провайдеров. Компании, которые не войдут в данный список, с 1 февраля 2024 года не смогут оказывать услуги хостинга на территории России. Новые правила, как утверждается, призваны защитить рунет от возможных внешних угроз, повысить надёжность работы российских интернет-ресурсов и сервисов.

О планах по созданию реестра сообщалось в сентябре уходящего года. В соответствии с утверждёнными требованиями хостинг-провайдеры обязаны обеспечить защиту информации в своей инфраструктуре.

Источник изображения: pixabay.com

Компании, в частности, должны подключиться к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Кроме того, провайдерам хостинга необходимо оперативно реагировать при возникновении угроз — сообщать о инцидентах в течение 24 часов с момента их выявления. С целью противодействия DDoS-атакам компании должны взаимодействовать с Центром мониторинга и управления сетью связи общего пользования (ЦМУ ССОП). Кроме того, необходимо использовать Национальную систему доменных имён (НСДИ), информацию ЦМУ о местоположении использования сетевых адресов, а также серверы точного времени (NTP-серверы), расположенные на территории РФ.

Федеральный закон, регламентирующий работу провайдеров хостинга, вступил в силу 1 декабря 2023 года. Компании, ведущие деятельность в соответствующей сфере, должны подать уведомление об этом в Роскомнадзор до 15 декабря. Отмечается, что более 40 организаций начали формировать заявки, а 16 заявок полностью оформлены. Компаниям, которые только выходят на рынок, необходимо уведомить ведомство о старте работы не позднее, чем за 15 дней до начала оказания услуг.

Говорится также, что хостинг-провайдеры смогут обслуживать только тех пользователей, которые прошли идентификацию или аутентификацию одним из разрешённых способов: с помощью ЕСИА, Единой биометрической системы, усиленной квалифицированной электронной подписи или сервиса быстрых платежей банка России.

В Германии осудили восемь человек, участвовавших в работе дата-центра, использовавшегося для ведения нелегальной деятельности — от торговли наркотиками до сбыта порнографии. ЦОД располагался в бывшем бункере НАТО в городе Трабен-Трарбах — до продажи здесь работали серверы, принадлежавшие военным ведомствам.

Построенный в 1970-е западногерманскими военными бункер после объединения Германии использовался, в частности, Бундесвером, а затем был продан и с 2013 года принадлежал Герману-Йохану Ксеннту (Herman-Johan Xennt), заявившему при покупке, что будет использовать помещения для создания «гражданского» дата-центра.

Считается, что оператором германского ЦОД выступал нелегальный хостинг-провайдер CyberBunker, ранее уже предоставлявший мощности для преступной деятельности, которые располагались в другом бывшем бункере НАТО на территории Нидерландов. «Соинвестором» предположительно стал Джордж «Пингвин» Митчелл (George 'The Penguin' Mitchell), некогда один из самых успешных ирландских импортёров наркотиков. Ксеннт также сдавал часть помещений в голландском дата-центра нарколаборатории, где в 2002 году произошёл пожар.

Источник: conner/pixabay.com

Хотя Ксеннту на тот момент не предъявили обвинений, его бизнес-лицензия была аннулирована и фактически его деятельность полностью перешла на нелегальное положение. История CyberBunker чрезвычайно заинтересовала прокуроров. К 2015 году к расследованию привлекли германское подразделение, занимающееся борьбой с киберпреступностью. Позже в том же году правоохранительные органы подключились к кабелям связи, ведущим из бункера.

В незашифрованных потоках информации были обнаружены сведения о торговле наркотиками, мошеннических действиях и прочих преступлениях. Как сообщает Data Centre Dynamics, в этом дата-центре нашли пристанище всевозможные нелегальные сервисы различного назначения, включая Cannabis Road, Fraudsters, Flugsvamp, Flight Vamp 2.0, orangechemicals и второй по величине в мире «наркомаркетплейс» Wall Street Market.

Источник: reportyorym/pixabay.com

Чтобы получить больше прямых доказательств, правоохранительные органы оплатили криптовалютой хостинг в CyberBunker и создали веб-сайт, похожий на площадку для проведения мошеннической лотереи, недвусмысленно давая понять владельцам дата-центра, что намерены заниматься незаконной деятельностью.

В сентябре 2019 года, собрав достаточно информации из различных источников, бункер штурмовали более 600 полицейских — они знали, что все сотрудники будут вне помещений, поскольку один из них праздновал получение наследства. Были изъяты 403 сервера, 412 жёстких дисков, 65 USB-накопителей, 61 компьютер (включая ноутбуки), а также 57 смартфонов и около €100 тыс. наличными.

Подозреваемых обвинили в создании и участии в преступном сообществе, при этом не удалось доказать их соучастие в совершении порядка 250 тыс. фактов нарушения закона, предположительно совершённых с помощью сайтов, которые размещались на серверах в бункере. В результате судебного разбирательства Ксеннт приговорён к пяти годам и девяти месяцам лишения свободы, семеро других фигурантов уголовного дела — к различным срокам, от четырёх лет и трёх месяцев в тюрьме до года условно.