IT-компании, оказывающие услуги виртуального размещения данных и сайтов (хостинг-провайдеры), подготовили замечания к приказу Минцифры, который направлен на их интеграцию в «суверенный Рунет». Власти преподносят его как «защиту от хакеров».
Владимир Путин подписал закон, вводящий регулирование провайдеров хостинга, 31 июля. Он предполагает создание реестра хостеров, которые должны размещать свою инфраструктуру в России и предоставлять к ней доступ Роскомнадзору (РКН) и ФСБ. Кроме того, провайдеры хостинга должны проводить идентификацию всех своих клиентов, установить технические средства противодействия угрозам (ТСПУ) РКН и использовать национальную систему доменных имен (НСДИ, была создана как замена международной системы в рамках исполнения закона о суверенном Рунете). Те, кто не попадет в реестр, должны будут прекратить оказывать услуги по предоставлению своих мощностей.
Проект приказа Минцифры детализирует требования к хостерам, которые в свою очередь, считают, что новые нормативные требования могут кардинально изменить рынок.
Согласно новым правилам, все компании, предоставляющие услуги хостинга, обязаны будут устанавливать оборудование исключительно на территории России, использовать только DNS-серверы национальной системы доменных имен и подключиться к госсистеме обнаружения и ликвидации последствий компьютерных атак (ГосСОПКА). Данные требования должны вступить в силу уже в декабре текущего года.
Операторы считают, что часть требований просто невыполнима. Например, для предоставления всей необходимой информации о компьютерных атаках ГосСОПКА хостер должен весь трафик направлять через межсетевой экран, поясняет в своем отзыве «Мегафон». Это отдельная коммерческая услуга, которую провайдер хостинга не вправе навязывать своим клиентам. Кроме того, межсетевой экран ограничивает и замедляет трафик, добавили в компании.
В «Мегафоне» также отмечают, что хостер не может контролировать сетевые настройки клиентов и указывать, какие параметры ему использовать. Хостер также должен сохранять и передавать по запросу властей информацию о взаимодействии владельцев сайтов с их пользователями, однако таких данных у хостера просто нет, она есть только у владельца сайтов, отмечает оператор.
Все эти меры потребуют от хостеров создания системы защиты информации, для которой необходимо закупить оборудование и софт, а также нанять и подготовить специалистов для эксплуатации этой системы, считают эксперты. МТС в своем отзыве также указывает на «большие финансовые и операционные издержки на приведение инфраструктуры в соответствие с требованиями приказа». Операторы предложили отложить вступление в действие приказа до 1 января 2025 года.
Срок вступления в силу требований к хостинг-провайдерам по информационной безопасности соответствует срокам, закрепленным в законе «О связи», заявили в Минцифры. «Предусмотренные в проекте приказа меры позволят обеспечить сохранность информации и защитить инфраструктуру провайдеров от взломов и утечек», — уверены в министерстве.
В вопросе реализации новых норм у мелких и крупных компаний возникли разногласия. Первые считают новые условия невыполнимыми совершенно.
Основные затраты у хостинговых компаний уходят на персонал, пояснил независимый IT-эксперт и создатель «Эшер II» Филипп Кулин. Насколько вырастут расходы на персонал — пока непонятно, но дополнительные кадры для поcтоянной работы с той же ГосСОПКА потребуются. Причем это должны быть высококвалифицированные кадры, их на рынке немного, подчеркивает эксперт. По его мнению, это значительно поднимет расходы хостеров, которые небольшой бизнес просто не сможет себе позволить, а это приведет к тому, что небольшие хостеры закроются или уйдут на нерегулируемую часть рынка.
В комментарии «Роскомсвободе» Кулин также раскритиковал просьбу крупных компаний отложить вступление в силу новых норм:
«Хостинг-провайдеры не доверяют властям. Какие-то "отложки", которые никого не спасут, просит только ентерпрайз».
Источник Forbes на телекоммуникационном рынке оценивает необходимые расходы на доработку процессов под требования законодательства в 20-25 млн рублей единоразово и в 1-2 млн рублей ежемесячно — на поддержание инфраструктуры. Учитывая низкую маржинальность бизнеса, затраты могут быть сопоставимы с годовой прибылью компании, добавил он.
Рынок хостинга в России динамичен: наряду с лидерами есть и игроки средней категории, а также совсем небольшие компании, рассуждает генеральный директор хостинг-провайдера RUVDS Никита Цаплин. «Но тенденция сейчас такова, что небольших игроков все меньше: эпоха, когда хостерами могли стать вчерашние школьники, ушла. Небольшим структурам сложнее всего справляться с изменениями, то же внедрение СОРМ (система оперативно-розыскных мероприятий) может стоить хостеру в 1-5% от его выручки за год. Но, во-первых, это единоразовая мера, а во-вторых, есть аутсорсинг — маленькие компании могут взять СОРМ в аренду», — считает он.
Инфраструктура множества хостеров абсолютно не готова и не будет готова к таким изменениям, считает директор направления облачных решений EdgeЦентр Глеб Сердитых. «Конечная стоимость клиентского сервиса для хостера крайне невысока, что компенсируется не всегда высокими требованиями к производительности систем. Главное, чтобы соблюдались требования отказоустойчивости и максимально низкой цены», — поясняет эксперт. Множество небольших сервис-провайдеров свернет бизнес или уведет его в теневой сегмент, крупные игроки получат часть их клиентской базы, а также будут вынуждены компенсировать возросшие издержки на подключение дополнительных регуляторных инструментов, полагает Сердитых.
Главное за неделю в области права.
23 декабря 2022 года Минюст включил Роскомсвободу в реестр незарегистрированных общественных объединений, выполняющих функции иностранного агента. Мы не согласны с этим решением и обжалуем его в суде.