Министерские страсти по критической инфраструктуре

После замечаний операторов связи из законопроекта о критической инфраструктуре уберут обязательство по пропуску трафика только через пункты обмена из государственного реестра и ограничение в 20% иностранного участия.

У крупнейших сотовых операторов не осталось замечаний к законопроекту об инфраструктуре интернета в России, следует из письма заместителя главы Минкомсвязи Алексея Соколова в правительство (копия есть у “Ъ”). Поправки доработаны по итогам двух совещаний у главы Минкомсвязи Николая Никифорова с участием представителей МТС, «МегаФона», «Вымпелкома», «Ростелекома», Tele2 и «Акадо» в конце ноября и начале декабря, говорится в документе.

В аппарате правительства РФ подтвердили получение письма. «Итоговая версия проработана и подготовлена совместно с ведущими российскими операторами, по их словам, все их ранее данные замечания учтены»,— пояснили в пресс-службе Минкомсвязи.

Законопроект разработан Минкомсвязью по итогам учений, проведенных в рунете в 2014 году Советом безопасности РФ. Первая версия поправок к закону «О связи» появилась в ноябре 2016 года, она предлагала обязать операторов связи пропускать трафик на территории РФ только через точки обмена, стоящие на учете у государства. Во вторую редакцию поправок в августе 2017 года включили норму об ограничении иностранного участия в российских точках обмена трафиком долей в 20%. Данный законопроект — один из самых ключевых документов последнего времени, направленных на самоизоляцию Рунета. Таким образом претворяются в жизнь принятый летом закон «О критической информационной инфраструктуре», а также продолжается принятие необходимого пакета законов согласно заложенных в «Доктрину информационной безопасности» положений.

Желание контролировать эту инфраструктуру ожидаемо, — комментировали документ на заре его появления эксперты. «Наши власти хотят выстраивать интернет-инфраструктуру по типу газовой трубы, чтобы иметь возможность в случае чего перекрутить вентиль. Они исходят из того, что воздействовать на российскую компанию проще, чем на не российскую, поэтому ограничивают иностранное участие», – говорил глава агентства Telecom Daily Денис Кусков. В каком-то смысле принятие такого закона будет означать создание аналога «Газпрома», только «труба» будет поставлять интернет внутрь страны.

Предложения Минкомсвязи были жёстко раскритикованы не только отраслью и экспертами, но и другими министерствами. Определение точек обмена трафиком «настолько широко, что под него попадают все операторы связи», а это могло лишить их возможности иметь иностранных акционеров с долей более 20%, следовало из письма МТС, «МегаФона», «Вымпелкома» и Tele2 Николаю Никифорову в октябре. Операторы также спорили с утверждением Минкомсвязи о том, что более 60% интернет-трафика российских пользователей проходит так называемые петли за рубежом, что делает его досягаемым для иностранных спецслужб. Пропуск трафика по зарубежным маршрутам обходится дорого, поэтому через зарубежные петли в реальности проходит не более 1% общего трафика федеральных сотовых операторов, настаивали они.

Отрицательное заключение на проект представило Минэкономики, поправки не поддержал и Минфин «из-за неясности механизма финансового обеспечения его реализации». «Серьезные замечания» имелись у Минюста и ФСБ, следует из материалов Минкомсвязи. Процедура повторного согласования уже запущена: проект направили в Минобороны, Минфин и Минюст и планируют внести в Госдуму до 1 апреля 2018 года.

Как следует из новой версии законопроекта, в нем было уточнено понятие точки обмена трафиком — теперь это «пункт обмена трафиком». Уточнения в итоге позволили отделить операторов от владельцев пунктов обмена трафиком, пояснил представитель МТС. Поправки теперь говорят об ограничении иностранного участия долей в 20% в «значимых пунктах обмена трафиком». Под это определение попадает лишь центр обмена трафиком MSK IX, подконтрольный структурам «Ростелекома», уверены источники в отрасли связи. В MSK IX нет иностранного капитала, сообщил представитель компании. Критерии отнесения к значимым пунктам обмена трафиком, согласно законопроекту, будут определены правительством, уточнили в Минкомсвязи.

Основные обязательства, которые накладывает на операторов законопроект,— наполнять создаваемую ГИС «Связь» техническими данными, уточняет источник в одном из крупных операторов. При этом требование по пропуску трафика только через пункты обмена из госреестра с операторов снято, подтверждают собеседники в операторах связи. «По сравнению с первоначальной версией законопроект претерпел значительные изменения. Были учтены правки и замечания операторов связи. Мы готовы к дальнейшему конструктивному диалогу с регулятором для прояснения оставшихся вопросов»,— сообщили в пресс-службе «МегаФона». В случае принятия поправок без изменений, разногласия операторов с Минкомсвязью будут сняты, подтвердили в МТС. В «Вымпелкоме» и Tele2 от комментариев отказались, в «Ростелекоме» не ответили на запрос журналистов.

Впрочем, риск ограничения иностранного участия все же может затронуть других игроков рынка обмена трафиком,— например, площадку «Евразия Пиринг», построенную на базе дата-центра британской IXcellerate. «Стартап «Евразия Пиринг» с точки зрения законопроекта не является значимой площадкой, но по мере роста рынка и бизнеса мы не исключаем рисков ограничения иностранного участия»,— подтвердил собеседник, близкий к IXcellerate.

Опрошенные РосКомСвободой эксперты в целом согласились с выводами операторов о сомнительности данного законопроекта в «первозданном» виде, подчеркнув, что в последнее время интерес государства к критической информационной инфраструктуре (КИИ) сильно возрос. В связи с этим как грибы растут всевозможные законы и другие нормативные акты, регулирующие её. Например, с начала января этого года вступил в силу принятый прошлым летом Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 №187-ФЗ, разработку которого курировала ФСБ. Данный закон должен защитить сети критически важных объектов (атомная отрасль, энергетика, связь, тяжпром, химпром и т.п.), законопроект же от Минкомсвязи, вызвавший протест операторов, по словам главного аналитика Ассоциации электронных коммуникаций (РАЭК) Карена Казаряна, своего рода «авторская инновация» замминистра связи Алексея Соколова, которая должна ввести централизованное управление сетями с целью повышения стабильности и устойчивости Рунета, «но а) на нее налипло много всего странного в случайном порядке, б) подлинная мотивация там скорее «про свечной заводик»».

«2015-2016 г.г. принесли серьезные перемены в регулирование критической информационной инфраструктуры в России, — говорит консультант ПИР-Центра Олег Демидов. — Так получилось, что развитие получили параллельно сразу две законодательные инициативы: законопроект «О безопасности критической информационной инфраструктуры Российской Федерации», разработанный ФСБ РФ (изначально еще в 2013 г.), а также законопроект Минкомсвязи, вносящий поправки в ФЗ «О связи» и известный как законопроект о критической инфраструктуре Рунета. Параллельное продвижение двух законодательных инициатив привело к парадоксу: сложились два разных подхода к определению и таксономии критической инфраструктуры, а организации сектора ИТ и связи, включая операторов связи, могут столкнуться с необходимостью выполнять два не связанных между собой набора требований регуляторов«.

Федеральный закон №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», принятый 26 июля 2017 г. и вступивший в силу 1 января 2018 г., закрыл десятилетнюю дискуссию регуляторов о том, какие объекты КИИ и какими методами необходимо защищать от компьютерных угроз. Закон, отмечает Демидов, сформировал терминологическую, методологическую и институциональную базу для государственной политики в области предупреждения и ликвидации последствий компьютерных атак и компьютерных атак. «Нормы ФЗ-187 распространяются практически на все ключевые отрасли народного хозяйства и охватывают объекты КИИ, функционирующие в 13 различных сферах, в том числе в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности», — отмечает он.

Нормы ФЗ, продолжает Демидов, вобрали в себя и закрепили нормативную базу для реализации и развития Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (система ГосСОПКА), включая положения Указа Президента РФ 31с от 15.01.2013 г., а также Концепции ГосСОПКА (утверждена Президентом РФ 12.12.2014, № К 1274).

Напомним, перед Новым годом силовики выложили на общественное обсуждение пакет документов, направленных на реализацию положений Федерального закона от 26.07.2017 года №187-ФЗ «О безопасности критической информационной инфраструктуры». В частности, в одном из документов было сказано, что обмен информацией о компьютерных инцидентах должен осуществляться субъектами КИИ путем взаимного направления уведомлений в соответствии с форматами представления сведений о компьютерных инцидентах в ГосСОПКА.

Демидов обращает внимание на то, что включает в себя ФЗ «О безопасности КИИ»:

• Систему категорирования объектов КИИ по ряду критериев (значимость для национальной безопасности и обороноспособности, социальная, политическая, экономическая и экологическая значимость).
• Классификацию объектов КИИ по классам значимости/опасности (с вытекающим из него разведением функций ФСБ и ФСТЭК в зависимости от класса объекта КИИ).
• Систему функций государственных регуляторов, требований к защите объектов КИИ, прав и обязанностей субъектов КИИ, мер государственного контроля обеспечения безопасности значимых объектов КИИ и проч.

Разбирая «закон Соколова», Демидов обращает внимание на то, что нормы закона затрагивают и операторов связи – во-первых, сектор связи непосредственно причислен к сферам, в которых функционируют объекты КИИ. Во-вторых, помимо лиц, ведущих деятельность в 13 вышеперечисленных сферах, к субъектам КИИ согласно №187-ФЗ относятся «российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей». Фактически речь идет в том числе об операторах связи, чья инфраструктура позволяет связывать между собой сети объектов КИИ в остальных сферах, упомянутых в законе. В предфинальной редакции законопроекта непосредственно перед его внесением на голосование в Госдуму фигурировала более прозрачная формулировка: речь шла об «операторах связи, обеспечивающих взаимодействие объектов КИИ между собой». Таким образом, на операторов связи теоретически могут распространяться нормы ФЗ, связанные с обязанностями субъектов КИИ, такими как обязательное информирование ФСБ РФ о компьютерных инцидентах и содействие ФСБ РФ в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов; установка и эксплуатация средств обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, и проч.

Кроме того, в текст проекта постановления Правительства РФ «Об утверждении показателей критериев значимости объектов КИИ РФ и их значений, а также порядка и сроков осуществления их категорирования» также включен показатель социальной значимости «возможное прекращение или нарушение функционирования системы управления сетью связи», оцениваемое в зависимости от затронутой территории и количества пользователей услуг связи. В случае, если по такому показателю категорируется инфраструктурный объект оператора связи, ему может быть присвоен статус значимого объекта КИИ РФ, на владельца которого распространяется ряд дополнительных требований и обязательств.

В своём развёрнутом комментарии Демидов обращает внимание на ряд важных изменений, которые не просто коснутся деятельности многих игроков рынка, но и в корне изменят правовой статус некоторых из них:

«Параллельно работе ФСБ над проектом №187-ФЗ, летом 2014 года в публичном поле впервые проявилась работа регуляторов над треком защиты «критической инфраструктуры национального сегмента Интернета». В июле были проведены первые крупномасштабные киберучения Минкомсвязи с участием ФСБ, ФСО, Минобороны, МВД, «Ростелекома», Координационного центра национальных доменов .RU/.РФ и крупнейшей в России точки обмена трафиком (IXP) MSK-IX. На учениях отрабатывались различные модели угроз, включая нарушение работы российского сегмента глобальной сетевой инфраструктуры в результате «недружественных внешних воздействий» — от компьютерных атак на оборудование магистральных операторов связи РФ и отказа в обслуживании российских операторов на крупной зарубежной IXP до централизованного воздействия на данные уникальных идентификаторов, выделенных российским пользователям и операторам связи. Отработка итогов киберучений проходила с осени 2014 года в рамках Совбеза, а также на площадке Минкомсвязи и других профильных ведомств. Одним из ее главных итогов стало появление в феврале 2016 г. рабочего документа Минкомсвязи, который после неоднократных переработок превратился в законопроект поправок в ФЗ «О связи» (текущая редакция — №160817 на Regulation.gov.ru).

Заявленная цель законопроекта — «обеспечение целостности, непрерывности, стабильности, устойчивости и защищенности функционирования российского национального сегмента информационно-телекоммуникационной сети «Интернет». При этом нормы документа должны будут напрямую затронуть операторов связи, владельцев точек обмена трафиком (IXP), отдельно определяемых в документе, а также российских юридических лиц и ИП – владельцев автономных систем (AS) и диапазонов IP-адресов. Ключевые нововведения, которые предлагается ввести за счет законопроекта:

1. Создание ГИС «Интернет» — системы централизованного государственного мониторинга и проактивного контроля маршрутизации интернет-трафика операторов связи в масштабах Рунета.
2. Норма об обязательном подключении операторов связи к точкам обмена трафиком для наращивания стабильности, устойчивости и распределенности Рунета, а также ограничение иностранного владения IXP (не более 20% иностранного участия в капитале).
3. Минкомсвязь и ФСБ определяют требования к владельцам и операторам критической инфраструктуры Рунета, а также порядок их взаимодействия друг с другом и с государственными органами.
4. Минкомсвязи становится единственным обязательным учредитель администратора национальных доменных зон .RU/ .РФ (Координационный центр доменов .RU/.РФ).
5. Правительство РФ определяет состав информации, обрабатываемой в национальных доменных зонах .RU и .РФ, порядок ее хранения, обмена и предоставления доступа.
6. Государство становится регулятором ресурса нумерации, делегированного российским операторам связи и другим его пользователям (путь создания NIR – Национальной интернет-регистратуры, взаимодействующей с RIR – региональной интернет-регистратурой).
7. Только российские операторы связи могут организовывать на российской территории линии передачи сообщений электросвязи, пересекающие госграницу; обеспечивается контроль технических требований к таким трансграничным линиям со стороны ФСБ и Минкомсвязи.

Законопроект неоднократно вызывал резкую критику со сторону отраслевого и экспертного сообщества, включая Рабочую группу «ИТ и связь» Экспертного совета при Открытом Правительстве РФ. В заключениях экспертов РГ, в число которых входят и представители сообщества операторов связи и IXP, отмечались следующие системные изъяны и проблемы, нарастающие от ранних версий законопроекта к более поздним:

• Происходит размывание предмета и объекта регулирования: от идеи ГИС «Интернет» как «диспетчерской» для централизованной маршрутизации интернет-трафика законопроект в итоге пришел к широкому, но внутренне не согласованному регулированию «критической инфраструктуры Рунета».
• При этом перечень элементов КИ Рунета носит бессистемный, де-факто случайный характер: в единый список смешаны информационные системы (сама ГИС «Интернет», сооружения связи (IXP), доменные ресурсы и инфраструктура, а также вообще логические объекты (автономные системы).
• Проблема усугубляется системными изъянами в определениях элементов КИ Рунета: так, автономные системы вопреки практике технического сообщества и RFC IETF де-факто определяются как физические, а не логические объекты – и так далее почти по каждому пункту.
• Законопроект санкционирует прямое вмешательство оператора ГИС «Интернет» в маршрутизацию интернет-трафика операторами связи РФ. При этом не измерены потенциальные эффекты такого вмешательства в контексте цели законопроекта и экономики бизнес-процессов операторов связи, а также не учтена возможность организации требуемых баз данных силами самих операторов связи.
• Коллизия норм законопроекта с №187-ФЗ «О безопасности КИИ РФ» в части регулирования КИИ сектора связи – возникает параллельное регулирование без взаимного согласования и приведения в соответствие определений, таксономии, системы требований и обязательств, распространяющихся на участников отрасли ИТ и связи, включая операторов связи.
• Авторы законопроекта серьезно переоценивают роль IXP в обеспечении маршрутизации трафика и обеспечении стабильности и устойчивости Рунета (доля передаваемого через IXP трафика де-факто составляет не более 15-20%). Кроме того, количество IXP в России относительно невелико (по разным оценкам, не более 20-30), причем существенную часть составляют малые региональные игроки с не слишком развитой инфраструктурой и ее резервированием. Как следствие отсюда, обязательное подключение сетей операторов связи РФ к IXP и пропуск трафика через них несет высокий риск создания «бутылочных горлышек» и общей деградации устойчивости и топологической децентрализации Рунета.
• Распространение на IXP требований по хранению данных из «пакета Яровой», что изначально избыточно, так как весь пользовательский трафик, передаваемый через инфраструктуру точек обмена трафиком, и так подлежит хранению операторами связи, на сетях которых он генерируется и передается».

Читайте также:

«Китаизация» Рунета входит в активную фазу и начнётся с точек обмена трафиком
?
Отрасль нашла крайне вредным законопроект Минкомсвязи об инфраструктуре Рунета
?
В Минсвязи проверили возможность перехвата SMS и отключения зоны .RU от интернета
?
ФСБ укрепляет оборону на случай кибератак
?
Кибератаками в сетях связи займётся ГосСОПКА