С нового года хостинг-провайдеров в РФ обяжут раскрывать данные о стране выдачи документов клиентов-физлиц и не только
Минцифры предлагает расширить перечень данных, которые хостинг-провайдеры будут предоставлять Роскомнадзору. С 1 января 2025 года компании должны будут раскрывать информацию о стране выдачи документов клиентов-физлиц и сведения о юрлицах, использующих их услуги, а также о производительности и вычислительной мощности своей инфраструктуры. Эти данные будут запрашиваться только при выявлении подозрительной активности в Сети. Нововведение вызывает опасения у провайдеров, которые обеспокоены безопасностью данных своих клиентов, поскольку сохранение конфиденциальности играет решающую роль в защите от кибератак.
Сейчас хостинг-провайдеры, входящие в реестр, обязаны предоставлять информацию о своих системах, IP-адресах, местоположении мощностей, точках обмена трафиком и используемых средствах защиты данных. Этот реестр был создан в начале 2024 года, а с лета компании обязаны вносить в него данные и размещать свои мощности в России. Кроме того, они должны иметь возможность установки технических средств противодействия угрозам (ТСПУ). С 1 февраля 2024 года провайдеры, не включённые в реестр, не могут оказывать услуги в России.
Роскомнадзор сможет запрашивать новые данные в случае выявления рисков устойчивости сети. Срок предоставления информации — четыре часа. В Минцифры утверждают, что речь не идёт о передаче персональных данных, а нововведения направлены на повышение безопасности инфраструктуры и защиту пользователей. Роскомнадзор поясняет, что эти данные необходимы для выявления источников кибератак и оценки рисков. Сведения о вычислительной мощности будут запрашиваться не чаще двух раз в год.
Однако эксперты отрасли выражают опасения. Евгений Свидерский, директор облачного бизнеса ITglobal.com, отмечает, что раскрытие такой информации может противоречить соглашениям о неразглашении (NDA), которые являются неотъемлемой частью крупных контрактов. Компании часто предпочитают не раскрывать информацию о своих провайдерах, чтобы минимизировать риски кибератак.
Никита Цаплин, генеральный директор RUVDS, обращает внимание на неопределённость в вопросах хранения информации и возможные претензии клиентов к компаниям по поводу сохранности данных. В «Рунити» считают новые требования избыточными, указывая на существующее взаимодействие с госорганами и потенциальный ущерб развитию и безопасности продуктов из-за постоянно растущего числа требований. По мнению Сергея Журило, директора по информационной безопасности «Рунити», новые акты зачастую тормозят развитие продуктов и снижают качество их работы.