Домены зарегистрируют на «Госуслугах»
Администраторам придется подтверждать свои данные через ЕСИА
В Госдуму планируется внести законопроект, вводящий обязательное подтверждение данных администраторов доменов через инфраструктуру «Госуслуг». Сейчас компании и физлица, управляющие доменами в зонах .ru и .рф, должны предоставлять документы по запросу интернет-регистратора. В Координационном центре .RU/.РФ, управляющем национальными доменами, говорят о необходимости исключения для нерезидентов. Но эксперты полагают, что это сведет на нет влияние новых норм, которые ряд собеседников “Ъ” и так считают неэффективными.
Рисунок: Виктор Чумачев, Коммерсантъ
Рисунок: Виктор Чумачев, Коммерсантъ
Зампред комитета Госдумы по информполитике, IT и связи Антон Горелкин в ходе конференции «Домену .ru 30 лет» 8 апреля рассказал о подготовке законопроекта о регулировании процесса администрирования доменных имен. Документ будет внесен в Госдуму в этом году, уточнил депутат: «Такая договоренность достигнута со всеми акторами, от которых это зависит».
По словам господина Горелкина, речь идет о том, чтобы «сделать верификацию тех, кто регистрирует доменные имена, через Единую систему идентификации и авторизации» (ЕСИА).
Источник “Ъ” в крупной интернет-компании утверждает, что регулирование коснется только администраторов российских национальных зон .ru и .рф. Инициатива направлена на борьбу с фишинговыми сайтами, пояснил депутат. Формально для этого предназначена запущенная в 2022 году информационная система «Антифишинг» Минцифры, признает он: «Но как "бороться" — пока мы заблокируем (домен.— “Ъ”), мошенники достигнут цели, которую преследовали».
Правила регистрации доменных имен в .ru и .рф (этими доменами верхнего уровня управляет Координационный центр .RU/.РФ) уже подразумевают, что администратор домена должен предоставлять информацию о себе: в случае с физлицами она включает в том числе сведения о документе, удостоверяющем личность, а с юрлицами — ИНН или аналогичный идентификатор иностранного государства. Но документы, которые подтверждают эти данные, администратор обязан отправлять только по запросу регистратора. «На самом деле данные никто не проверяет, и они могут быть внесенными из украденных баз паспортов»,— говорит эксперт программных продуктов компании «Код безопасности» Максим Александров.
В Минцифры подтвердили “Ъ”, что инициатива «обсуждается с заинтересованными ведомствами и отраслью». Однако гендиректор Ru-Center Андрей Кузьмичев утверждает, что «в текущей версии» законопроект с рынком пока не обсуждался: «Мы ждем диалога, как это было в прошлом году с внедрением реестра хостеров». В то же время он уточнил, что базовое описание механизма было представлено Координационному центру .RU/.РФ еще в 2019 году, а Ru-Center «участвовал в создании и отладке опытного полигона для такой идентификации».
Вопросы, касающиеся исключений из требования об использовании ЕСИА, остаются открытыми, «по ним ведется диалог с Минцифры», говорит гендиректор Координационного центра .RU/.РФ Андрей Воробьев: «Логичным выглядит исключение для нерезидентов».
Однако руководитель информационно-аналитической службы ОД «Информация для всех» Евгений Альтовский считает, что такое исключение фактически откроет дорогу злоумышленникам: «Ничто не помешает им, как и сейчас, указывать подставные данные иностранных лиц, а при запросе на подтверждение высылать фиктивные документы». Сейчас подтверждение данных администратора осуществляется после регистрации домена; если подтверждать их через ЕСИА будет нужно в процессе регистрации, то «указание данных иностранного лица окажется способом обойти требование», добавил он.
Глава направления сервисов защиты облачного провайдера Nubes Александр Быков согласен, что новые правила не создают проблем злоумышленникам: «Они будут использовать либо "угнанные" российские домены, либо иностранные». В то же время господин Александров подчеркивает, что «доверие потенциальной жертвы будет выше, если у мошеннического сайта то же доменное окончание, что и у настоящего». Подтверждение через ЕСИА, по его мнению, «сделает почти невозможной массовую регистрацию доменов в автоматическом режиме». По мнению источника “Ъ” в одном из российских хостеров, смысл новых норм скорее в том, что правительству нужно «систематизировать данные о владельцах доменов для дальнейшего регулирования».