На российских сервисах запретят регистрацию с иностранной электронной почты

Госдума в третьем чтении приняла закон «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и Федеральный закон «О связи» (в части уточнения требований,  предъявляемых к владельцу новостного агрегатора)».

Примечательно, что в первом чтении документ №570420-7 был принят ещё в 2018 году, шесть лет назад. В 2023 году он был значительно переработан. 

Согласно актуальной версии, с 1 декабря 2023 года владельцы интернет-ресурсов — сайтов, страниц, программ, информационных систем (ИС) — должны проводить авторизацию российских пользователей с использованием:

• номера телефона на основании договора с оператором связи об идентификации;
• Единой системы идентификации и аутентификации (ЕСИА) и Единой биометрической системы (ЕБС);
• иных информационных систем, соответствующих установленным законом требованиям к защите информации, владельцем которых являются граждане России, не имеющие гражданства другого государства, или российские юридические лица.

Под иными информационными системами подразумеваются такие сервисы, как, например, VK и mail.ru. Теперь там нельзя будет зарегистрироваться с помощью электронных почтовых адресов иностранных платформ.

Кроме того, в законопроекте описаны особенности регулирования провайдеров хостинга, реестр которых ведёт Роскомнадзор. Теперь они обязаны:

• уведомлять РКН о начале своей деятельности;
• обеспечивать реализацию установленных требований к защите информации и к взаимодействию с уполномоченными органами;
• выполнять требования и обязанности по обеспечению устойчивого, безопасного и целостного функционирования интернета на территории РФ;
• предоставлять услуги хостинга только после прохождения пользователями идентификации и (или) аутентификации в порядке, устанавливаемом правительством.

С 1 февраля 2024 года не допускается деятельность провайдеров хостинга, не включенных в реестр. 

А с 1 сентября 2024 года операторы Географических информационных систем (ГИС) и информационных систем государственных учреждений не вправе использовать принадлежащие иностранным юрлицам и физлицам программы и ИС и обязаны в своей работе обращаться к вычислительным мощностям провайдеров хостинга, включенных в утверждаемый правительством перечень.

Также поправки запрещают информацию о способах обхода блокировок, что совсем недавно вызвало большой резонанс в среде российских блогеров и представителей телеком-отрасли.

Один из авторов поправок, Антон Горелкин сообщил, что их «главная задача — упорядочить рынок хостинга, собрать информацию о его участниках, определить условия взаимодействия с органами власти».

По его словам, сейчас этот рынок довольно хаотичен, насыщен «виртуальными организациями, которые не обладают собственными мощностями, а по факту перепродают услуги хостинга зарубежных провайдеров», что в текущей геополитической ситуации «влечет за собой серьезные риски безнаказанного распространения противоправной информации, ставит под угрозу безопасность российских граждан и компаний».

Горелкин указал, что по замыслу авторов поправок в реестр провайдеров хостинга попадут только «добропорядочные компании», которые соблюдают требования российского законодательства. «Это создаст дополнительные гарантии и для операторов государственных и муниципальных информационных систем, которые порой сталкиваются с вопросом поиска надежного поставщика хостинг-услуг», — пояснил он.

По словам Горелкина, поправки обсуждались с представителями отрасли и, насколько ему известно, они не озвучивали замечания, касающиеся регулирования хостинга.

Закон также ограничивает иностранное участие в новостных агрегаторах. Теперь контрольный пакет акций в новостных агрегаторах (более 50%) должен принадлежать гражданам России. Владельцами таких платформ не могут быть:

• иностранное государство;
• международная организация;
• иностранное юридическое лицо;
• российское юрлицо с иностранным участием;
• иностранец или гражданин России, имеющий гражданство другого государства.

Указанным лицам также запрещается владеть и управлять более чем 20% акций новостного агрегатора.

«Нормы написаны так размыто, что сразу даже и не ясно, что это запрет на авторизацию через иностранные сервисы, – отмечает глава юридической практики Саркис Дарбинян. – Санкций как для пользователей, так и для платформ пока нет, но есть вполне очерченная новая обязанность платформ и граждан».

Эксперт уверен, что за витиеватыми формулировами нового закона скрывается стремление властей деанонимизировать всех россиян в Рунете и получить лоступ к их переписке:

«Думаю, в самой ближайшей итерации после принятия этого драфта появятся и санкции за неисполнение закона в виде блокировок и штрафов. Вот тогда и начнется суета, в результате которой платформы будут искать способы как реализовать закон (а это получится лишь при еще большей слежке за пользователями), а пользователям придётся либо уступить властям, отказавшись от своего права на приватность (перейти с защищенного Protonmail на ОРИ-реестрового МейлРу), либо навсегда потерять доступ к своим аккаунтам».

«Регистрация на сайтах через российские сервисы — это дополнительная защита персданных, – в свою очередь, уверяет глава думского ИТ-комитета Александр Хинштейн. – Часто именно регистрация через иностранные сервисы становится брешью, через которые персданные попадают в открытый доступ, либо крадутся киберпреступниками».

Но его коллега по комитету Андрей Свинцов считает, что распространять эту инициативу на всех граждан страны не нужно. Речь должна идти только о чиновниках, которые пользуются муниципальными порталами, или работниках оборонных предприятий и других важных для страны отраслей.

В целом же экспертное сообщество критически отнеслось к новым поправкам.

По мнению Ассоциации участников рынка электронных денег и денежных переводов (АЭД), нормы закона, касающиеся регламентации способов авторизации на сайтах и в информсистемах, могут затруднить удаленное обслуживание клиентов финансовых организаций и Национальной системы платежных карт (НСПК), а в некоторых случаях сделают его невозможным.

Как пояснил глава АЭД Виктор Достов, в законе прописаны четыре способа авторизации: через сотовых операторов, Единую систему идентификации и аутентификации (ЕСИА), Единую биометрическую систему (ЕБС) или через иную информсистему, принадлежащую гражданину РФ или российскому юрлицу (прямо или косвенно).

В результате, по словам эксперта, действующие системы авторизации, которые используют финансовые организации в мобильных приложениях и системах интернет-банкинга, могут оказаться вне закона.

Глава правления ассоциации «Финансовые инновации» (АФИ) Роман Прохоров полагает, что подавляющее большинство банковских систем авторизации подпадает под действие четвертого пункта. Однако исключением могут стать дочерние структуры иностранных кредитных организаций, для которых данное требование будет «дополнительным стимулом для решения вопроса об изменении владельцев».

Не будет соответствовать нормам закона и работа приложений «МирПэй» и «СБПэй», для авторизации в которых используются сервисы Apple и Android, уточняет Виктор Достов.

В отзыве АЭД отмечается, что многие клиенты обращаются к удаленным каналам несколько раз в день, а это означает миллионы авторизационных запросов ежедневно, что на порядки больше, чем инфраструктура ЕСИА, ЕБС или сотовых операторов обрабатывает сейчас.

Известный специалист по кибербезопасности Алексей Лукацкий считает, что депутаты «по скудоумию» приняли поправки, запрещающие регистрацию на российских сайтах с иностранных e-mail:

«Я вот владелец домена и сайта lukatsky.ru и есть у меня почта с этим доменом, почтовый сервер для которого хостится не в России. И у меня вопрос - я что, с домена lukatsky.ru теперь не могу нигде регаться? А как это будут проверять? По MX-записи?

А еще, после принятия закона, я попробую пройти квест с получением доступа к API ЕСИА или ЕБС, чтобы подключить их к своему сайту. Закон ведь и на физлиц, владеющих сайтами, будет распространяться. Ростелеком и Минцифры, готовьтесь...

ЗЫ. Хорошо, что ответственности за нарушение этой нормы нет».

Также, по мнению эксперта, совершенно непонятно, как владельцы сайтов будут реализовывать эти нормы. «Например, что делать с уже зарегистрированными адресами? В некоторых сервисах в принципе нельзя поменять первоначально заданный e-mail — только удалять свою учётку. А что делать с теми, кто предлагает резервную почту указывать — может ли она быть не российская? В общем, как всегда, далекие от технологий депутаты даже не подумали спросить хотя бы экспертов о предмете регулирования», – пишет Лукацкий.

Регистрация граждан из дружественных стран на российских ресурсах тоже теперь под вопросом, считает он:

«Например, в рамках партнерских отношений у многих компаний есть личные кабинеты на сайтах, в которых иностранцы регистрируются со своими рабочими иностранными адресами. Посылать всех партнеров и иностранцев <очень далеко>? Работать только с россиянами и ни с кем другим?»

Кроме этого, эксперт обратил внимание, что сами законотворцы и чиновники используют почту на Gmail. «О, как у нас все лихо закручено. Проекты Указов Президента через Gmail проходят. А если задать поиск по доменам duma.gov.ru, mosoblduma.ru и других государевых структур, то там сплошь и рядом почта gmail.com указана как контактная. Депутатам бы с себя начать, прежде чем о безопасности граждан начинать заботиться», – написал Лукацкий, приложив к посту соответствующие скриншоты.

Технический директор IТ-компании Selectel (оказывает услуги хостинга) Кирилл Малеванов сообщил РБК, что новые требования к хостерам являются неожиданными для индустрии, так как в редакции к первому чтению не упоминались. В то же время он указал, что расширение требований к провайдерам «было предсказуемо».

«Исходя из нашего понимания текста, поправки вводятся для ограничения влияния иностранных хостингов из опасений, что зарубежные провайдеры могут использовать доступ к данным в «недружественных» целях. Одно из важных требований — вычислительные мощности хостинга должны располагаться в России, а сам хостинг должен являться российским юрлицом», — пояснил Малеванов.

По его оценке, от провайдеров эти изменения потребуют значительных инвестиций в установку специального оборудования и программного обеспечения, а также соблюдения серьезных требований к техобеспечению и защите информации. «Труднее всего справиться будет небольшим провайдерам, у которых нет финансовых ресурсов и экспертизы, а также тем, чье поле деятельности лежит в «серых границах», — считает Малеванов. Среди позитивных моментов он отметил «четкое определение и описание ответственности сервис-провайдера».

Перед голосованием выступил один из авторов законопроекта, Сергей Боярский, который попросил поддержать поправки в третьем чтении.

Закон был принят большинстном голосов при четырёх против и пятнадцати воздержавшихся: