Минцифры предложили дополнить перечень сведений о хостинг-провайдерах (предоставляют услуги виртуального размещения данных и сайтов), содержащиеся в реестре Роскомнадзора, сведениями о производительности и вычислительной мощности инфраструктуры провайдера, а также информацией о лицах, которым предоставлены эти мощности. Это следует из проекта постановления министерства, размещенного на портале regulation.gov.ru в конце ноября. Если постановление будет принято, то вступит в силу 1 января 2025 года.
Так, Минцифры предлагает разрешить Роскомнадзору запрашивать у хостинг-провайдеров данные для физлиц - страну выдачи удостоверяющих документов, для юрлиц РФ или иностранных компаний - наименование и ИНН, сетевые адреса и доменные имена, выданные провайдером.
Соответствующий запрос служба сможет делать в случае выявления рисков устойчивости сети, срок предоставления информации - четыре часа с момента запроса. В Минцифры “Ъ” говорят, что «речи о передаче персональных данных не идет», а нововведения усовершенствуют безопасность инфраструктуры и защитят пользователей. В Роскомнадзоре объясняют, что данные нужны для выявления потенциальных источников компьютерных атак на российскую инфраструктуру, а также для оценки рисков возникновения угроз. «Сведения о вычислительной мощности предоставляются на основании запроса не чаще двух раз в год»,- поделились там.
Реестр хостинг-провайдеров Минцифры появился в начале 2024 года, с лета компании обязали вносить данные в реестр, а также полностью размещать мощности в стране, иметь возможности для установки технических средств противодействия угрозам (ТСПУ). С 1 февраля хостинг-провайдерам, не включенным в реестр, запрещено оказывать услуги в РФ. Сейчас провайдерам необходимо предоставить данные о системах, на которых предоставляются услуги хостинга, информацию обо всех IP-адресах, местонахождении мощностей, точках обмена трафиком, к которым подключена инфраструктура, а также сведения об используемых средствах защиты данных.
Сейчас формируется дополнительный перечень сведений, представляющих коммерчески чувствительную информацию как для провайдеров, так и для клиентов, отмечает директор облачного бизнеса ITGLOBAL.COM Евгений Свидерский. К раскрытию таких данных необходимо подходить осторожно: крупные компании обычно избегают публичного анонса размещения в конкретном облаке для минимизации потенциальных рисков кибератак на свою инфраструктуру: «Передача такой информации будет противоречить условиям NDA, который является неотъемлемой частью всех крупных контрактов».
Спрос на услуги хостинг-провайдеров из РФ растет в дружественных странах
«Формально эти данные станут частью реестра и, скорее всего, они не будут размещаться в открытых источниках»,- считает гендиректор хостинг-провайдера RUVDS Никита Цаплин. При этом неизвестно, где будет храниться информация, и компании могут столкнуться с претензиями от клиентов о сохранности данных о них.
В провайдере «Рунити» передачу данных называют избыточной. «Участники рынка, входящие в реестр, уже взаимодействуют с госорганами для реализации требований к вычислительным мощностям,- говорит директор по ИБ компании Сергей Журило.- Появление подобных актов создает все больше новых требований, которые необходимо исполнять, порой в ущерб развитию продуктов, улучшению их качества и безопасности».