Провайдерам прижали хост
Компании просят отложить новые требования Минцифры
Крупные IT-компании, оказывающие услуги виртуального размещения данных и сайтов (хостинг-провайдеры), подготовили замечания к приказу Минцифры, который ужесточает их ответственность за действия хакеров. Провайдеры считают, что вступление приказа в силу уже в декабре не даст возможности реализовать все необходимые меры, а также повлечет дополнительные расходы. Но в Минцифры не видят причин переносить сроки.
Фото: Игорь Иванко, Коммерсантъ
Фото: Игорь Иванко, Коммерсантъ
“Ъ” ознакомился с отзывами крупных IT-компаний и операторов связи на проект приказа Минцифры, который усиливает требования к безопасности хостинг-провайдеров, а также с 1 декабря возлагает на них ответственность за использование злоумышленниками трафика для кибератак.
Речь идет о поправках к принятым летом Госдумой изменениям в закон «Об информации», которые регулируют работу хостинг-провайдеров. Подзаконные акты, описывающие новые обязанности компаний, опубликованы в сентябре. По ним провайдеры обязаны подключаться к системе противодействия кибератакам ФСБ ГосСОПКА и сами блокировать ресурсы, через которые ведутся кибератаки, и передавать данные о вредоносном трафике в систему. При выявлении атаки, организованной через ресурсы клиентов, провайдер должен их заблокировать в течение 12 часов (см. “Ъ” от 15 сентября).
23,7 процента
на столько, по данным Минцифры, снизились капитальные вложения операторов связи по итогам 2022 года.
В МТС, которая в том числе оказывает услуги хостинг-провайдера, опасаются, что в текущем виде поправки грозят компаниям ответственностью за «действия или бездействие лиц, которым предоставляются вычислительные мощности, в случае их использования для компьютерных атак». Это следует из заключения компании, опубликованного на странице проекта приказа. В случае успешной атаки на IT-системы, если они имеют категорию значимости критического информационного объекта, ответственным в хостинг-провайдере лицам грозит ответственность вплоть до уголовной (ст. 274.1 УК РФ), подчеркивают в МТС. Впрочем, концептуально компания не критикует приказ, а лишь предлагает перенести его срок вступления в силу на 1 января 2025 года.
Реализация всех мер требует проектирования системы защиты провайдеров хостинга, выделения дополнительных средств, проведения закупочных процедур требуемого дополнительного оборудования и программного обеспечения, их установки и ввода в эксплуатацию, набора и подготовки необходимых специалистов для эксплуатации дополнительных программно-технических средств, говорится в отзыве «МегаФона». В компании также считают, что срок вступления приказа в силу нужно перенести на 2025 год.
В «Яндексе» считают, что в проект необходимо внести ряд поправок, которые позволят провайдерам самостоятельно определить, как оптимально выстроить реакцию на действия хакеров и избежать дополнительных расходов на средства анализа трафика. Например, оставить в приказе только требование по «определению» вторжений в IT-системы через каналы передачи трафика, удалив из него требование по их «предотвращению». В «Яндексе» и МТС отказались от комментариев, в «МегаФоне» “Ъ” не ответили.
«Комментарии и предложения, в частности по отсрочке вступления приказа в силу, мы считаем закономерными — рынку нужно время на раскачку и встраивание в новые реалии»,— говорит гендиректор RUVDS Никита Цаплин. Он считает идеи участников рынка разумными и «без существенных перегибов в чью-либо сторону». По мнению эксперта, они «могут быть основой компромисса между рынком и государством».
Однако в Минцифры “Ъ” сказали, что не видят причин корректировать приказ: «Проект, размещенный министерством, прорабатывался с отраслью, экспертным сообществом и заинтересованными органами власти. По итогам общественного обсуждения он уже был скорректирован с учетом предложений».