Между строк реестра: Роскомнадзор расширяет контроль над хостинг-провайдерами

Минцифры предложило дополнить перечень сведений о хостинг-провайдерах (предоставляют услуги виртуального размещения данных и сайтов), содержащиеся в реестре Роскомнадзора, сведениями о производительности и вычислительной мощности инфраструктуры провайдера, а также информацией о лицах, которым предоставлены эти мощности. Такие изменения предусмотрены проектом постановления министерства, опубликованным на портале regulation.gov.ru в конце ноября. Если документ будет утвержден, он начнет действовать с 1 января 2025 года.

Минцифры предлагает предоставить Роскомнадзору право запрашивать у хостинг-провайдеров дополнительные сведения. Для физических лиц потребуется указание страны выдачи удостоверяющих документов, для юридических лиц РФ или иностранных компаний — наименование, ИНН, сетевые адреса и доменные имена, выданные провайдером.

Такие запросы Роскомнадзор сможет делать в случае выявления рисков устойчивости сети, срок предоставления информации — четыре часа с момента запроса. В Минцифры уточнили, что «речи о передаче персональных данных не идет», а нововведения направлены на улучшение безопасности инфраструктуры и защиту пользователей. В Роскомнадзоре пояснили, что запрашиваемая информация необходима для выявления потенциальных источников кибератак на российскую инфраструктуру и оценки рисков возникновения угроз. При этом, как указано, сведения о вычислительной мощности могут предоставляться не чаще двух раз в год по соответствующему запросу.

Реестр хостинг-провайдеров был создан в начале 2024 года, а летом компании обязали вносить в него данные. Провайдеры также должны размещать свои мощности на территории России и иметь возможности для установки технических средств противодействия угрозам. С февраля 2024 года хостинг-провайдерам, не внесенным в реестр, запрещено оказывать услуги на территории РФ. На данный момент провайдеры обязаны предоставлять сведения о системах, где осуществляется хостинг, все IP-адреса, местонахождение мощностей, точки обмена трафиком и средства защиты данных.

Сейчас формируется дополнительный перечень сведений, которые могут быть коммерчески чувствительными как для хостинг-провайдеров, так и для их клиентов. Эксперты указывают на необходимость осторожного подхода к раскрытию таких данных. Отмечается, что крупные компании обычно стараются избегать публичного упоминания размещения своей инфраструктуры в конкретных облаках, чтобы минимизировать риски кибератак. Подчеркивается, что передача такой информации будет противоречить условиям NDA, который является неотъемлемой частью всех крупных контрактов.

По мнению участников рынка, формально такие данные войдут в реестр, но, вероятно, не будут доступны в открытых источниках. При этом пока неясно, где именно будет храниться эта информация, что может вызвать вопросы у клиентов о сохранности их данных.

Некоторые провайдеры называют новые требования избыточными. Так, представители рынка отмечают, что провайдеры, уже внесенные в реестр, и так взаимодействуют с госорганами для выполнения требований к вычислительным мощностям. Вместе с тем появление новых нормативных актов, как утверждается, увеличивает нагрузку на компании, заставляя их уделять больше времени выполнению обязательств в ущерб развитию продуктов и улучшению их качества.