Государство вводит новые правила кибербезопасности для хостинг-провайдеров. Они будут обязаны подключиться к системе противодействия кибератакам ФСБ ГосСОПКА, самостоятельно блокировать ресурсы, через которые ведутся кибератаки, и передавать данные о вредоносном трафике в систему. Также компаниям придется принимать участие в учениях по отключению рунета от глобальной сети. Участники рынка подчеркивают, что реализация всех этих мер угрожает ростом тарифов для клиентов и даже создает угрозу нового типа атак на сайты — через вполне официальные блокировки.
Рисунок: Виктор Чумачев, Коммерсантъ
Минцифры 14 сентября опубликовало ряд нормативных актов, посвященных работе хостинг-провайдеров (оказывают услуги виртуального размещения сайтов и др.) и обеспечению их безопасности. Документы выступают подзаконными актами к принятым летом Госдумой поправкам к закону «Об информации», которые регулируют работу провайдеров. Поправки предполагают, в частности, появление реестра отечественных провайдеров, на мощностях которых могут размещаться государственные информационные системы.
Документы Минцифры регулируют ведение реестра участников рынка, а также уточняют требования к защите информации при ее размещении в системах хостинг-провайдеров, подключенных к сети.
Они должны будут подключиться к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА; контролируется ФСБ). При выявлении системой кибератак, например DDoS, проводимых через ресурсы, которые размещены у хостинг-провайдера, он должен их заблокировать в течение 12 часов.
Также компании, оказывающие услуги размещения сайтов, должны будут предоставить в ГосСОПКА по запросу в течение четырех часов идентификаторы опасных ресурсов (исходный и целевой IP-адреса, объем отправленных и полученных данных и т. д.).
Всего в требованиях десять пунктов, собеседник “Ъ” в одном из хостинг-провайдеров подтвердил, что до сих пор подобных требований не было. В Минцифры “Ъ” уточнили, что требования проектов распространяются на всех игроков, «они направлены на то, чтобы провайдер мог обеспечить сохранность информации и защитить инфраструктуру от взломов и утечек».
ГосСОПКА запущена ФСБ по указу президента от января 2013 года. В 2017 году подключение к системе стало обязательным для субъектов критической информационной инфраструктуры (КИИ, банки, ТЭК, операторы связи и др.). Осенью 2022 года Национальный координационный центр по компьютерным инцидентам при ФСБ сообщал, что количество новых подключений к системе за год достигло 670.
Кроме того, Минцифры опубликовало проект постановления правительства, по которому хостинг-провайдеры будут обязаны наравне с операторами связи участвовать в учениях по закону «о суверенном рунете» в рамках его отключения от глобальной сети. У большинства провайдеров уже установлено соответствующее оборудование для фильтрации трафика и блокировки запрещенных ресурсов, уточнил собеседник “Ъ” в одной из компаний. По его мнению, реализовать новое требование будет несложно.
В хостинг-провайдере RuVDS считают, что инициатива Минцифры «сокращает путь между ГосСОПКА и реальным владельцем сайта». Она не повлечет необходимость набора новых сотрудников, но, возможно, приведет к росту затрат на интеграцию с системой, говорит гендиректор RuVDS Никита Цаплин. Требования Минцифры довольно легко выполнимы, считает заместитель гендиректора ГК «Гарда» Рустэм Хайретдинов, подключение к ГосСОПКА финансово необременительный процесс. Однако, подчеркивает он, «частично выполнение требований оплатят клиенты хостинг-провайдеров, поскольку, скорее всего, будут переведены на более дорогие пакеты услуг, подразумевающие продвинутую защиту».
Основная сложность для компаний в том, что не описан регламент отмены блокировки ресурсов, через которые проводятся атаки, полагает директор по инновационным проектам ГК InfoWatch Андрей Арефьеф.
«Информационный ресурс можно взломать и использовать для DDoS-атаки, что приведет к его блокировке, но, если проблема инцидента была исчерпана и устранена, его нужно восстановить. Злоумышленники, по сути, могут получить достаточно легитимный способ заморозки ресурсов, это один из серьезных рисков, и должны быть механизмы, которые позволят порядочным участникам интернет-сообщества разблокировать свои ресурсы»,— считает он.