НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН И (ИЛИ) РАСПРОСТРАНЕН ИНОСТРАННЫМ АГЕНТОМ «РОСКОМСВОБОДА» ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА «РОСКОМСВОБОДА». 18+
Кроме этого, принятый Госдумой закон запрещает информацию про обход блокировок.
Госдума в третьем чтении приняла закон «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и Федеральный закон «О связи» (в части уточнения требований, предъявляемых к владельцу новостного агрегатора)».
Примечательно, что в первом чтении документ №570420-7 был принят ещё в 2018 году, шесть лет назад. В 2023 году он был значительно переработан.
Согласно актуальной версии, с 1 декабря 2023 года владельцы интернет-ресурсов — сайтов, страниц, программ, информационных систем (ИС) — должны проводить авторизацию российских пользователей с использованием:
- номера телефона на основании договора с оператором связи об идентификации;
- Единой системы идентификации и аутентификации (ЕСИА) и Единой биометрической системы (ЕБС);
- иных информационных систем, соответствующих установленным законом требованиям к защите информации, владельцем которых являются граждане России, не имеющие гражданства другого государства, или российские юридические лица.
Под иными информационными системами подразумеваются такие сервисы, как, например, VK и mail.ru. Теперь там нельзя будет зарегистрироваться с помощью электронных почтовых адресов иностранных платформ.
Кроме того, в законопроекте описаны особенности регулирования провайдеров хостинга, реестр которых ведёт Роскомнадзор. Теперь они обязаны:
- уведомлять РКН о начале своей деятельности;
- обеспечивать реализацию установленных требований к защите информации и к взаимодействию с уполномоченными органами;
- выполнять требования и обязанности по обеспечению устойчивого, безопасного и целостного функционирования интернета на территории РФ;
- предоставлять услуги хостинга только после прохождения пользователями идентификации и (или) аутентификации в порядке, устанавливаемом правительством.
С 1 февраля 2024 года не допускается деятельность провайдеров хостинга, не включенных в реестр.
А с 1 сентября 2024 года операторы Географических информационных систем (ГИС) и информационных систем государственных учреждений не вправе использовать принадлежащие иностранным юрлицам и физлицам программы и ИС и обязаны в своей работе обращаться к вычислительным мощностям провайдеров хостинга, включенных в утверждаемый правительством перечень.
Также поправки запрещают информацию о способах обхода блокировок, что совсем недавно вызвало большой резонанс в среде российских блогеров и представителей телеком-отрасли.
«Нормы написаны так размыто, что сразу даже и не ясно, что это запрет на авторизацию через иностранные сервисы, – отмечает глава юридической практики Саркис Дарбинян. – Санкций как для пользователей, так и для платформ пока нет, но есть вполне очерченная новая обязанность платформ и граждан».
Эксперт уверен, что за витиеватыми формулировами нового закона скрывается стремление властей деанонимизировать всех россиян в Рунете и получить лоступ к их переписке:
«Думаю, в самой ближайшей итерации после принятия этого драфта появятся и санкции за неисполнение закона в виде блокировок и штрафов. Вот тогда и начнется суета, в результате которой платформы будут искать способы как реализовать закон (а это получится лишь при еще большей слежке за пользователями), а пользователям придётся либо уступить властям, отказавшись от своего права на приватность (перейти с защищенного Protonmail на ОРИ-реестрового МейлРу), либо навсегда потерять доступ к своим аккаунтам».
«Регистрация на сайтах через российские сервисы — это дополнительная защита персданных, – в свою очередь, уверяет глава думского ИТ-комитета Александр Хинштейн. – Часто именно регистрация через иностранные сервисы становится брешью, через которые персданные попадают в открытый доступ, либо крадутся киберпреступниками».
Но его коллега по комитету Андрей Свинцов считает, что распространять эту инициативу на всех граждан страны не нужно. Речь должна идти только о чиновниках, которые пользуются муниципальными порталами, или работниках оборонных предприятий и других важных для страны отраслей.
В целом же экспертное сообщество критически отнеслось к новым поправкам.
По мнению Ассоциации участников рынка электронных денег и денежных переводов (АЭД), нормы закона, касающиеся регламентации способов авторизации на сайтах и в информсистемах, могут затруднить удаленное обслуживание клиентов финансовых организаций и Национальной системы платежных карт (НСПК), а в некоторых случаях сделают его невозможным.
Как пояснил глава АЭД Виктор Достов, в законе прописаны четыре способа авторизации: через сотовых операторов, Единую систему идентификации и аутентификации (ЕСИА), Единую биометрическую систему (ЕБС) или через иную информсистему, принадлежащую гражданину РФ или российскому юрлицу (прямо или косвенно).
В результате, по словам эксперта, действующие системы авторизации, которые используют финансовые организации в мобильных приложениях и системах интернет-банкинга, могут оказаться вне закона.
Глава правления ассоциации «Финансовые инновации» (АФИ) Роман Прохоров полагает, что подавляющее большинство банковских систем авторизации подпадает под действие четвертого пункта. Однако исключением могут стать дочерние структуры иностранных кредитных организаций, для которых данное требование будет «дополнительным стимулом для решения вопроса об изменении владельцев».
Не будет соответствовать нормам закона и работа приложений «МирПэй» и «СБПэй», для авторизации в которых используются сервисы Apple и Android, уточняет Виктор Достов.
В отзыве АЭД отмечается, что многие клиенты обращаются к удаленным каналам несколько раз в день, а это означает миллионы авторизационных запросов ежедневно, что на порядки больше, чем инфраструктура ЕСИА, ЕБС или сотовых операторов обрабатывает сейчас.
Известный специалист по кибербезопасности Алексей Лукацкий считает, что депутаты «по скудоумию» приняли поправки, запрещающие регистрацию на российских сайтах с иностранных e-mail:
«Я вот владелец домена и сайта lukatsky.ru и есть у меня почта с этим доменом, почтовый сервер для которого хостится не в России. И у меня вопрос - я что, с домена lukatsky.ru теперь не могу нигде регаться? А как это будут проверять? По MX-записи?
А еще, после принятия закона, я попробую пройти квест с получением доступа к API ЕСИА или ЕБС, чтобы подключить их к своему сайту. Закон ведь и на физлиц, владеющих сайтами, будет распространяться. Ростелеком и Минцифры, готовьтесь...
ЗЫ. Хорошо, что ответственности за нарушение этой нормы нет».
Также, по мнению эксперта, совершенно непонятно, как владельцы сайтов будут реализовывать эти нормы. «Например, что делать с уже зарегистрированными адресами? В некоторых сервисах в принципе нельзя поменять первоначально заданный e-mail — только удалять свою учётку. А что делать с теми, кто предлагает резервную почту указывать — может ли она быть не российская? В общем, как всегда, далекие от технологий депутаты даже не подумали спросить хотя бы экспертов о предмете регулирования», – пишет Лукацкий.
Регистрация граждан из дружественных стран на российских ресурсах тоже теперь под вопросом, считает он:
«Например, в рамках партнерских отношений у многих компаний есть личные кабинеты на сайтах, в которых иностранцы регистрируются со своими рабочими иностранными адресами. Посылать всех партнеров и иностранцев <очень далеко>? Работать только с россиянами и ни с кем другим?»
Кроме этого, эксперт обратил внимание, что сами законотворцы и чиновники используют почту на Gmail. «О, как у нас все лихо закручено. Проекты Указов Президента через Gmail проходят. А если задать поиск по доменам duma.gov.ru, mosoblduma.ru и других государевых структур, то там сплошь и рядом почта gmail.com указана как контактная. Депутатам бы с себя начать, прежде чем о безопасности граждан начинать заботиться», – написал Лукацкий, приложив к посту соответствующие скриншоты.
Перед голосованием выступил один из авторов законопроекта, Сергей Боярский, который попросил поддержать поправки в третьем чтении.
Закон был принят большинстном голосов при четырёх против и пятнадцати воздержавшихся:
