Всем привет, на связи юрист ispmanager Олег Макаров. Расскажу, как попасть в обязательный с 1 февраля 2024 года реестр хостеров, какие правила придется соблюдать и как накажут, если этого не сделать. Этот текст — расширенная авторская версия моей колонки на RB.ru

Моя статья пригодится хостерам — тем, кто ими является с точки зрения Роскомнадзора (РКН).

Мы уже обсуждали в предыдущей статье, как подготовиться к внесению в реестр. С тех пор появились новые подробности. Я попробую перевести на человеческий язык «нормативку» нашего правительства и ответить на частые вопросы.

С 1 февраля в России законно услуги хостинга могут оказывать только 442 компании — именно столько значится в обязательном по № 406-ФЗ реестре хостеров. Если и вы не хотите быть «угрозой Рунету», потребуется:

• изучить объемные законы;

• вложиться финансово, потому что перечень требований закона выглядит внушительно, и малому игроку исполнить их будет крайне накладно.

В этой статье обсудим:
Реестр хостинг-провайдеров — как попасть
Подключение к ГосСОПКА
Сбор данных клиентов
Подключение к СОРМ
Дополнительные требования: учения, НСДИ, ФСТЭК и локация в РФ
Наказания для хостеров в реестре и вне его
Главное: риски, расходы и ответственность хостеров

Реестр хостинг-провайдеров — как попасть

«Взяли на карандаш» — так можно описать ситуацию с реестром. Например, его участников будут тщательно контролировать, обяжут делиться информацией с правоохранительными органами и подключиться к СОРМ — системе технических средств для обеспечения функций оперативно-разыскных мероприятий.

Реестр хостинг-провайдеров — это табличка в Excel, которую сформировал и ведет Роскомнадзор. По решению Минцифры, сейчас именно РКН — оператор отечественного реестра. Позже ведомство может поручить вести учет другой организации.

Сегодня в реестре хостинг-провайдеров 442 организации. Среди них — Кубанский госуниверситет, ювелирный завод Uvelit и оператор связи МТС. 

Странно видеть университет и «ювелира» в хостинг-реестре, но вот единственное объяснение: несколько организаций объединяются в группу компаний и выбирают одно юрлицо как IT-центр для остальных участников. Он предоставляет организациям внутри группы вычислительную мощность, чтобы размещать и хранить информацию. Получается, что IT-центр занимается хостингом и должен войти в реестр. Предполагаю, что такие компании запросили в РКН, чтобы уточнить — нужно ли им быть в реестре. Читателям в аналогичной ситуации советую тоже обратиться в РКН. Пока официальных разъяснений на этот счет я не встретил.

Реестр хостинг-провайдеров регулируется Постановлением Правительства от 28.11.2023 № 2008 «Об утверждении Правил формирования и ведения реестра провайдеров хостинга». 

Как зарегистрироваться в реестре:

1. Подать уведомление в личном кабинете на сайте Роскомнадзора. Заполнить форму несложно, если вы прочтете руководства и заранее соберете техническую информацию об оборудовании, на котором разворачиваете хостинг.

Как подать уведомление, подробно описано в Постановлении правительства № 2009. 

А Роскомнадзор в своей инструкции рассказывает, какие данные внести.

Ответ придет в течение 15 рабочих дней в личном кабинете на сайте РКН. Возможны три варианта:

• Всё ок. Компанию внесут в реестр РКН.

• Корректировка. Если вы что-то не указали или данные не соответствуют внутренней информации о вас в госорганах, РКН попросит исправиться. Укажет, где ошибки и что добавить в уведомление. У вас будет 5 рабочих дней.

• Отказ. Уведомление придется заполнять по новой. Зато количество попыток не ограничено.

Дальше расскажу о требованиях, которые необходимо выполнить хостинг-провайдерам из реестра РКН.

Кажется, что соблюсти требования Роскомнадзора будет сложно небольшим компаниям. Потребуется много человеческих ресурсов: изучить и правильно внедрить новую систему, назначить ответственных за работу с РКН, Минцифры и правоохранительными органами. И придется доработать инфраструктуру внутри компании, если есть просадка по требованиям к мощности.

Похожая эпопея была с «законом Яровой», когда интернет‑провайдеры подключались к СОРМ. Тогда небольшие компании не смогли выполнить положения, но продолжали работать. А в 2023 году государство ввело штрафы для операторов связи, которые не подключились к СОРМ, — от 0,001 до 0,003% от годовой выручки. Полагаю, похожая ситуация произойдет и в хостинг‑сфере.

Перейду к требованиям.

Подключение к ГосСОПКА 

ГосСОПКА — федеральная информационная система, которую курирует Национальный координационный центр по компьютерным инцидентам (НКЦКИ). ГосСОПКА создана, чтобы защищать Рунет от угроз: участники системы передают друг другу информацию о кибератаках. И вам, как участнику этой инфраструктуры, нужно подключиться к этой системе.

Как подключиться.

Два способа:

• Простой. Найти региональный корпоративный центр, который заключил соглашение с федеральным центром ГосСОПКА и ФСБ «в области обнаружения, предупреждения и ликвидации последствий компьютерных атак», и подключиться через него. Сайты таких центров уверяют, что они «существенно оптимизируют этот процесс».

• Сложный. Создать собственную инфраструктуру для подключения к ГосСОПКА. Нужно самим стать корпоративным центром. Это задача не из простых, так как связана с лицензированием в ФСБ. На мой взгляд, для хостера нет экономического смысла идти по такому сложному пути.

Время хранить Рунет приходит после подключения к ГосСОПКА. Например, если хостер узнает, что клиент участвует в кибератаке, в течение 12 часов он должен сделать всё, чтобы клиент больше не представлял угрозы. Способы не указаны, так что разбирайтесь сами — точечно и жестко.

Как работает система оповещения о кибератаке: НКЦИИ обнаружил кибератаку с IP-адреса, который принадлежит хостинг-провайдеру → сообщил хостинговой компании → компания в течение 4 часов определяет источник кибератаки → передает информацию в НКЦКИ. Например, сетевой адрес, порт, протоколы. 

Также хостер обязан оперативно устранить «дыры» в инфраструктуре, если недочеты найдет кто-то из ведомств внутри ГосСОПКА — ФСБ, Минцифры или РКН.

Требования к участнику ГосСОПКА:

• Иметь средства защиты от DDOS-атак.

• Владеть информацией, где используются серверы.

• Использовать национальную систему доменных имен (НСДИ).

• Фильтровать сетевой трафик с внешними ресурсами от клиентов в зависимости от способа их идентификации. О них подробно расскажем ниже.

А еще теперь нужно хранить всю информацию о клиентах при работе с ними и в течение года после того, как перестали с ними работать.

Возможные проблемы. Мое мнение: если у хостера всё в порядке с техническим персоналом и «железом», требования из этого раздела выполнить реально. Если подключение происходит через корпоративный центр, обязательно проверить, чтобы у него были:

• лицензия ФСБ;

• соглашение «в области обнаружения, предупреждения и ликвидации последствий компьютерных атак».

Сбор данных клиентов 

Теперь сведения о клиентах нужно дополнительно подтверждать. Данные придется собирать и у старых клиентов — если они ранее не проходили идентификацию нужными способами или прошли ее до 1 января 2023 года. Способов можно выбрать один или несколько, они указаны в Постановлении правительства № 2011.

Как собирать данные 

Приемлемые способы идентификации:

• Учетные данные из Госуслуг.

• Использование усиленной квалифицированной электронной подписи.

• Паспорт, если клиент обращается лично.

• Биометрия.

• Оплата картой российского банка или государства — члена ЕАЭС (Армения, Казахстан, Беларусь, Кыргызстан). Можно оплатить с помощью СБП. Ограничение: нельзя использовать неименные предоплаченные карты — чтобы их оформить, не нужны документы, поэтому нет возможности идентифицировать клиента.

• Подтверждение с помощью номера телефона. Важно: номер должен быть с услугами радиотелефонной связи и выдан российским оператором. Номера IP‑телефонии не подойдут.

• Использование другой информационной системы, которая идентифицирует клиента. Главное, чтобы система была под контролем российского юрлица.

Кажется, самое простое — это протянуть оплату через СБП и карты, но все данные о транзакции должны храниться у хостера, чтобы в случае чего ответить на запрос правоохранительных органов.

Возможные проблемы. Пока что проблема в неименных предоплаченных картах: с их помощью легко обойти идентификацию, потому что для выпуска не нужны документы. Поэтому рекомендую дополнительно использовать единую систему идентификации и аутентификации (ЕСИА) или номер телефона.

Подключение к СОРМ 

Хостинг‑провайдерам не нужно подтверждать внедрение СОРМ, чтобы попасть в реестр. Но если СОРМ нет, хостера могут исключить из реестра.

Мое мнение: именно ради подключения к СОРМ и приняли закон о реестре хостеров. Потому что единственный способ раскрыть киберпреступления — получить информацию от хостера, который предоставил мощности злоумышленнику.

Вот автор закона, депутат Госдумы А. В. Горелкин, говорил, что рынок хостинга насыщен «виртуальными организациями, которые не обладают собственными мощностями, а по факту перепродают услуги хостинга зарубежных провайдеров», что в текущей геополитической ситуации «влечет за собой серьезные риски безнаказанного распространения противоправной информации, ставит под угрозу безопасность российских граждан и компаний».

Как подключиться. Выполнить требования документов, которые регулируют подключение к СОРМ. Подключение к СОРМ для хостеров несколько отличается от уже существующих требований для операторов связи.

Есть два документа, которые регулируют процесс подключения к СОРМ для хостинговых компаний:  Приказ Минцифры № 935 и  Постановление правительства № 1952.

Важно:

• Создать базу данных, из которой правоохранительные органы могут в любой момент получить информацию. Для этого нужно использовать язык программирования GraphQL — в документе описаны команды и настройки.

• Собирать и передавать данные клиентов. Список длинный, например: персональные сведения, переписки, видео, аудио. Было бы проще, если бы в документе написали, что можно не собирать.

• Подать заявление в ФСБ не позднее чем за 45 дней до начала работы. Форму заявления на сайте ФСБ я не нашел. Простите, но я не хочу звонить в ФСБ, так что давайте как-нибудь сами.

• ФСБ рассматривает заявление до 30 дней. Если всё в порядке, в течение трех месяцев ведомство поможет разработать план, как внедрить технические средства по требованиям, от чтения которых у меня заболела голова. Затем проверит его выполнение.

Хорошая новость: по согласованию с ФСБ хостер может использовать технические средства другого хостера или владельца автономной системы (AS). Крупные операторы связи уже обсуждают, как выпустить продукт, который даст возможность компаниям пользоваться техническими средствами для СОРМ.

А еще хостер обязан принимать меры, чтобы хранить в тайне информацию об оперативно‑разыскных мероприятиях, и технические средства хостеров должны находиться на территории РФ.

Возможные проблемы. Подключение к СОРМ — головная боль хостеров и возможная причина крушения малого бизнеса в хостинге. Предполагаю, что будет много отказов от ФСБ. Работа с ФСБ — самая сложная часть подключения к СОРМ.

Что делать, чтобы не получить отказ от ФСБ:

• Изучите все нормативные документы, на которые я ссылаюсь в этой главе.

• Проведите аудит мощностей и подготовьте инфраструктуру, чтобы внедрить СОРМ. ФСБ может отказать, даже если найдет небольшие отклонения от требований.

Пока остается надеяться, что на рынке появится продукт, который поможет внедрить СОРМ, — это облегчит работу небольшим хостерам.

Дополнительные требования: учения, НСДИ, ФСТЭК и локация в РФ

Остальные требования кажутся не такими значительными, но все равно они есть. Собрал их в одной главе.

Хостеры должны:

• Участвовать в учениях «по обеспечению устойчивого, безопасного и целостного функционирования <…> сети Интернет».  Минцифры проводит учения для всех хостинговых компаний. Об учениях предупреждают, рассылают программу. Хостерам не нужно следить за этим самостоятельно. Подробности  в Постановлении правительства № 1316.

• Использовать Национальную систему доменных имен (НСДИ).  Подробности  в приказе Минкомсвязи № 510.

• Выполнять требования Федеральной службы по техническому и экспортному контролю (ФСТЭК).  Фиксировать дату, время и другие сведения, которые помогут определить действия пользователя, хранить информацию в течение одного года. Подробнее —  приказ Минцифры № 1.

• Находиться на территории РФ чтобы иностранные лица не нарушили работу средств связи. Об этом рассказывают подробнее  в Приказе Минкомсвязи № 579.

Возможные проблемы.  В документах нет подробностей, как исполнять требования и ничего не нарушить. Можно поискать специалистов, которые знают требования ФСТЭК и средства защиты, рекомендованные ведомством.

Наказание для хостеров в реестре и вне его

Сейчас хостинг‑провайдеры не несут административной и уголовной ответственности, если не вписались в реестр или не выполняют требований, сообщает РКН  на своем сайте. Но правильный юрист пойдет разбираться, а что с другими видами ответственности.

Новые правила для хостеров ввел Закон об информации. Его статья 17 указывает, что за нарушения грозят гражданская, административная и уголовная ответственность.

Хостинг‑провайдерам действительно не грозит административная и уголовная ответственность, как и сказал РКН. Тут подтверждаю: специальной статьи в Законе об информации на данный момент действительно нет. Риск «притянуть» хостера по УК РФ тоже околонулевой — там конкретной статьи тоже нет.

 Ответственность для незарегистрированных в реестре.  Вот несколько возможных последствий хостинга вне реестра — по ГК РФ.

• Запретить деятельность по ст. 1065 ГК РФ. Не буду вдаваться в юридическую аргументацию, вот коротко: основанием для иска будет тезис, что хостеры вне реестра несут угрозу для безопасности Рунета и сохранности персональных данных граждан. Практика говорит, что весомых оснований для применения этой статьи в нашем случае нет. Но публичные интересы в судах в наше время превыше всего, так что вероятность имеется.

• Заблокировать сайт либо вывести страницу из поисковых запросов у пользователей. Сайты хостеров, которые оказывают услуги в нарушение запрета, могут внести в реестр запрещенной информации РКН и, как следствие, заблокировать сайт либо вывести страницу из поисковых запросов у пользователей. Это самый реалистичный вариант. Но сейчас четкой аргументации для такой ответственности в законе нет.

Ответственность для тех, кто в реестре. Если Роскомнадзор обнаружит нарушения, то направит требование устранить их в течение 10 рабочих дней. Если не успеть, РКН направляет запрос «почему?» и дает еще 20 рабочих дней, чтобы хостер наконец-то исправился. Если снова ничего не произойдет, в течение 5 рабочих дней компанию исключат из реестра. Штраф за неисполнение требований РКН по ч. 1 ст. 19.5 КоАП РФ — от 10 до 20 тысяч рублей.

Риски наказания сейчас я бы оценил как малозначительные. И думаю, что наказывать никого не будут, пока не введут прямые штрафы — как для операторов связи.

Я бы назвал происходящее льготным периодом. Сейчас идет обкатка нового регулирования, и поэтому суровых наказаний пока не вводят. Предполагаю, что продлится она до конца 2024 года, а потом введут штрафы, как было с операторами связи и «законом Яровой». Полагаю, размер штрафов отобьет желание заниматься хостингом вне реестра. А пока, если не успели этого сделать, можно готовиться к включению в реестр.

Сложно придется небольшим компаниям, которые работают через реселлинг. Чтобы законно работать так по новым требованиям, арендаторам и арендодателям придется плотно обмениваться информацией и взаимодействовать друг с другом. Мало кто захочет брать ответственность за чужих клиентов: если арендатор нарушит требования, его трудно привлечь к ответственности.

Скорее всего, если у небольшого хостера не найдется ресурсов внедрить новые требования, его поглотит крупный бизнес — тот же «Рег.ру» уже собирает предложения о продаже бизнеса хостинг‑провайдеров.

Главное: риски, расходы и ответственность хостеров

Как попасть в реестр. Подать уведомление через личный кабинет на сайте РКН. Инструкция как правильно заполнить уведомление.

Риски и проблемы.  Трудности, с которыми могут столкнуться компании:

• Не хватит ресурсов, чтобы внедрить новые требования. Небольшие компании рискуют потерять бизнес. Как следствие, крупные игроки рынка могут поглотить небольших хостеров.

• Тяжело найти корпоративный центр  чтобы подключиться к ГосСОПКА. У центра должны быть лицензия ФСБ и соглашение «в  области обнаружения, предупреждения и ликвидации последствий компьютерных атак».

• Проблемы с идентификацией клиентов.  Клиенты могут оплачивать услуги с  неименных предоплаченных карт — с их помощью легко обойти идентификацию, потому что для выпуска не нужны документы. Решение: принимать оплату, хранить все данные о транзакциях и быть готовым передать их правоохранительным органам.

• ФСБ откажет в подключении к СОРМ.  Взаимодействие с ФСБ — самая тяжелая часть работы. Чтобы не получить отказ от ФСБ, нужно изучить все нормативные документы и строго соблюдать требования по внедрению СОРМ.

• Реселлинг станет невыгодным.  С новыми требованиями больше рисков: если арендатор нарушит условия, его трудно будет привлечь к ответственности.

Возможные расходы.  Придется доработать инфраструктуру компании и следить за «дырами» — для этого нужны средства и опытные сотрудники.

Помимо основных требований, есть дополнительные: выполнять положения ФСТЭК, использовать НСДИ. Для этого может потребоваться специалист, который знает все эти требования и умеет применять их на практике.

Ответственность и штрафы. Хостеры пока не несут административной и уголовной ответственности, если не включились в реестр или не выполнили новые требования.

Виды возможной гражданской ответственности:

• Для тех, кто не включился в реестр, — запрет работы, блокировка сайта или вывод из поисковых запросов пользователей.

• Для тех, кто в реестре, — штраф от 10 до 20 тысяч рублей по ч. 1 ст. 19.5 КоАП РФ, если РКН найдет нарушения, а компания их не устранит.

Если у вас остались вопросы по включению в реестр РКН — задавайте в комментариях. Обсудим.