Технологические сети связи перейдут под усиленный контроль
С 1 сентября российские корпорации из всех отраслей экономики, имеющие технологические сети связи с номером автономной системы, будут обязаны хранить трафик на территории РФ в течение трех лет и предоставлять доступ уполномоченным органам. Такое обязательство следует из поправки в закон "О связи", которую подписал президент РФ Владимир Путин.
Новое требование к корпоративным пользователям содержит закон 75-ФЗ "О внесении изменений в статью 56 федерального закона "О связи", который глава государства подписал 18 марта 2023 г.
Проект данного нормативно-правового акта (НПА) внесен правительством 19 апреля 2021 г. В ноябре того же года он принят в первом чтении, в начале февраля 2022 г. прошло второе, и 2 марта 2023 г. принят в окончательном чтении. В ходе второго чтения в изначальный текст НПА внесены поправки, согласно которым правительство РФ получило полномочия определять состав информации, подлежащей хранению владельцами технологических сетей, порядок ее предоставления, порядок взаимодействия владельцев технологических сетей с уполномоченными органами, а также контролировать их деятельность. Штраф за нарушение норм данного закона для граждан составляет 3000-5000 руб., для должностных лиц - 30-50 тыс., для юридических лиц - от 800 тыс. до 1 млн руб.
"Это законопроект о том, что операторы технологических сетей связи должны хранить именно сигнальную информацию о самом факте передачи, и она предоставляется только при проведении оперативно-разыскных мероприятий, - заявил заместитель министра цифрового развития, связи и массовых коммуникаций РФ Дмитрий Ким в ходе обсуждения данного законопроекта в Госдуме. - Основные крупные технологические сети связи на данный момент построены у операторов распространения информации. Они в текущий момент уже выполняют более жесткие требования законодательства в сфере информации и связи, то есть хранят информацию не только о самом факте передачи сообщения, но и само сообщение. Основные затраты ими уже понесены, и требования закона они уже выполняют, поэтому в принципе 90 дней мы считаем достаточным сроком".
"Принятие этого закона необходимо, чтобы преступники не уходили от ответственности, полагаясь на закрытость технологических сетей связи от правоохранительных органов. Например, детали закупочной деятельности таких корпораций, как "Газпром" или РЖД, могут содержаться в этих сетях, и для неотвратимости наказания важно, чтоб органы следствия могли иметь к ним доступ", - так заявил во время обсуждения законопроекта замглавы комитета Госдумы по безопасности и противодействию коррупции Анатолий Выборный.
"Новые "дети телекома" рождаться не будут, а "живые дети" будут долго болеть, прежде чем вырасти в зрелых игроков", - так оценил эффект от принятия данного закона член рабочей группы при правительстве РФ, генеральный директор консалтинговой фирмы "ОрдерКом" Дмитрий Галушко.
Главный специалист отдела комплексных систем защиты информации АО "Газинформсервис" Дмитрий Овчинников считает, что сфера применения данного НПА будет довольно узкой из-за того, что под его действие подпадает лишь небольшая часть технологических сетей: "Согласно действующему федеральному закону №ФЗ-126, технологические сети связи предназначены для обеспечения производственной деятельности организаций, управления технологическими процессами в производстве. Технологических сетей, которые используют протокол маршрутизации BGP, довольно мало. Обычно такой протокол используется на уровне провайдеров, а все сети поменьше и в особенности технологические сети связи практически не используют данный протокол. Это связано исключительно с величиной сети и удобством ее администрирования".
Оценка директора Центра ИТ-решений "Ланит-Интеграция" Олега Аксенова не столь однозначна: "На данный момент оценить количество технологических сетей связи и организаций, которые подпадают под действия закона, непросто. Потому что основными владельцами таких автономных сетей традиционно были провайдеры, хостинг-провайдеры и крупные организации, которые были операторами связи или имели операторские лицензии. Стоит отметить, что они изначально должны были выполнять требования, предъявляемые к провайдерам, в том числе требования касательно статьи СОРМ (система оперативно-разыскных мероприятий). Думаю, сейчас в законе в первую очередь речь идет об участниках рынка, которые имели в своем распоряжении автономные сети, но при этом не были операторами и не выполняли требования, предъявляемые к ним, поэтому данные, передающиеся по их сетям, проходили мимо надзорных ведомств. Но в отличие от операторов, к ним будут предъявляться требования по хранению фактов приема, передачи и доставки информации. Возможно, со временем требования будут расширены".
При этом сама норма, как подчеркивает Дмитрий Овчинников, уже работает, но в регламентирующих ее НПА обнаружились недоработки, в результате которых остались без присмотра технологические сети связи. Закон 75-ФЗ их полностью устраняет.
Основным препятствием для реализации требований данного НПА являются значительные затраты. По оценке Ассоциации предприятий компьютерных и информационных технологий (АПКИТ), принятие законопроекта приведет к значительным дополнительным затратам для многих компаний, занимающихся цифровой трансформацией. "Обязательство хранить внутренние метаданные заставит их приобретать существенный объем оборудования. И только на первоначальном этапе это сотни терабайт", - такую оценку высказал глава АПКИТ Николай Комлев.
Глава Ассоциации профессиональных пользователей соцсетей и мессенджеров Владимир Зыков оценил затраты бизнеса на протоколирование информации от 1000 до 5000 руб. в расчете на одно рабочее место.
Также еще на стадии законопроекта НПА вызвал большие вопросы у целого ряда объединений. К примеру, в РСПП обращали внимание, что на многих предприятиях не только отсутствуют, но даже и вовсе не предусмотрены те системы, которые им потребуются использовать для выполнения требований по хранению трафика: "Требования о хранении данных о действиях пользователей, предъявляемые к обычным операторам связи, не должны предъявляться к владельцам технологических сетей, - считают в РСПП. - Технологические сети связи имеют иную архитектуру, а в их составе могут присутствовать специализированные технологии и аппаратные средства связи, используемые в производственных процессах". Реализация требований НПА, по оценкам РСПП, потребует только на хранение данных 0,35 Пбайт при емкости канала 1 Гбит/с.
По оценке Олега Аксенова, для каждой компании сложность технических изменений с учетом новых требований будет отличаться: "Многое будет зависеть от размеров автономных сетей и количества производимых транзакций. В зависимости от масштаба будет формироваться пул данных для хранения. Соответственно, это потребует выделения определенных ресурсов для обработки и хранения имеющейся информации. Также могут появиться дополнительные задачи по взаимодействию с уполномоченными госорганами по данным из этой системы".
По мнению Дмитрия Овчинникова, главным препятствием для выполнения требований закона 75-ФЗ станет отсутствие бюджетов: "Хранение информации, упомянутой в законе, возможно, однако не исключаю, что деньги в бюджете на 2023 г. для данного мероприятия не были заложены в 2022 г. Величина затрат будет напрямую зависеть от объемов информации, которую надо будет хранить. Поэтому, возможно, для кого-то реализация окажется очень простой и ее стоимость уместится в рамки бюджетов на непредвиденные расходы, а кому-то, возможно, придется закладывать полноценное бюджетирование на 2024 г. Так что владельцы сетей, которые используют данную технологию, до 1 сентября, скорее всего, постараются перейти на другой протокол и/или временно организационными мерами запретить передавать информацию, попадающую под действие закона в своей сети".
По оценке Олега Аксенова, существует вероятность переноса вступления данного закона в силу: "Вполне вероятно, что установленный срок может быть перенесен, если компании, которые попали под требования, предоставят четкий план действий по внедрению таких решений. Естественно, внедрение подобных систем повлечет за собой дополнительные расходы для организаций и, вполне вероятно, повлияет на стоимость услуг для конечных пользователей, таких как хостинг-провайдеры, продавцы ж/д или авиабилетов".