ИТ-компании просят отложить требования Минцифры

Крупные ИT-компании, оказывающие услуги хостинг-провайдеров, просят пересмотреть приказ Минцифры, который ужесточает их ответственность за действия хакеров. В частности, они заявляют, что нынешние сроки вступления требований в силу (декабрь этого года) повлекут дополнительные расходы и не позволят вовремя сделать все для выполнения условий приказа, пишет «Коммерсантъ» со ссылкой на отзывы ИТ-компаний. 

Под новыми требованиями подразумеваются поправки в закон «Об информации», которые регулируют работу хостинг-провайдеров. По ним провайдеры обязаны подключаться к системе противодействия кибератакам ФСБ ГосСОПКА и сами блокировать ресурсы, через которые ведутся кибератаки, а также передавать данные о вредоносном трафике в систему. При выявлении атаки, организованной через ресурсы клиентов, провайдер должен их заблокировать в течение 12 часов. 

Свое мнение выразила МТС, которая входит в число хостинг-провайдеров. В компании опасаются, что в текущем виде поправки грозят компаниям ответственностью за «действия или бездействие лиц, которым предоставляются вычислительные мощности, в случае их использования для компьютерных атак». В итоге, в случае успешной атаки на ИT-системы, если они имеют категорию значимости критического информационного объекта, ответственным в хостинг-провайдере лицам грозит ответственность вплоть до уголовной (ст. 274.1 УК РФ). Среди прочего в МТС предложили перенести сроки вступления приказа в силу на 1 января 2025 года. 

Тем временем в «МегаФоне» уверены, что реализация всех мер потребует проектирования системы защиты провайдеров хостинга, выделения дополнительных средств, проведения закупочных процедур требуемого дополнительного оборудования и программного обеспечения, их установки и ввода в эксплуатацию, а также набора и подготовки необходимых специалистов для эксплуатации дополнительных программно-технических средств. Все это усложняет подготовку компании к выполнению требований. В связи с этим «МегаФон» также предложил перенести сроки вступления приказа в силу на 2025 год. 

В «Яндексе» же считают, что, помимо изменения сроков, в проект необходимо внести ряд поправок, которые позволят провайдерам самостоятельно определить, как оптимально выстроить реакцию на действия хакеров и избежать дополнительных расходов на средства анализа трафика. Например, оставить в приказе только требование по «определению» вторжений в ИT-системы через каналы передачи трафика, удалив из него требование по их «предотвращению». 

В то же время Федеральная служба безопасности (ФСБ) разработала проект постановления, согласно которому организаторы распространения информации (ОРИ) будут обязаны хранить и предоставлять по запросу сведения о геолокации клиента и средствах платежа. Сейчас в реестре ОРИ более 200 организаций и СМИ. В него входят «Яндекс» с ее сервисами «Яндекс Почта» и «Яндекс Карты», а также «ВКонтакте», «Мамба», «Одноклассники». Здесь же и некоторые банки, например, «Сбер».