Эксперты Российского союза промышленников и предпринимателей (РСПП) вновь раскритиковали подготовленные в Минкомсвязи проекты нормативных актов, разработанные для исполнения закона о суверенном Рунете (об автономной работе Рунета).
Напомним, закон о суверенном Рунете был подписан президентом 1 мая. Согласно закону, Роскомнадзор будет отвечать за "координацию обеспечения устойчивого, безопасного и целостного функционирования на территории РФ сети интернет". При возникновении угроз стабильной работе интернета в стране ведомство сможет осуществлять "централизованное управление сетью связи общего пользования". Документ гласит, что операторы связи должны обеспечивать установку в своей сети технических средств противодействия угрозам устойчивости, безопасности и целостности функционирования в России интернета.
Закон вступит в силу 1 ноября 2019 года. Исключением станут положения о криптографической защите информации и о национальной системе доменных имен, которые должны вступить в силу с 1 января 2021 года. В настоящее время Минкомсвязи и Роскомнадзор разрабатывают и публикуют проекты необходимых для работы закона подзаконных актов. В июне в РСПП уже раскритиковали ряд таких проектов – эксперты тогда отмечали, что принятие документов грозит ухудшить качество связи и может обернуться дополнительными расходами для операторов.
Как пишет РБК, подготовленный проект приказа Минкомсвязи обязывает участников рынка обеспечить защиту от несанкционированного доступа к оборудованию и программному обеспечению, используемым для определения сетевого адреса сайта в случае введения названия домена в адресной строке браузера. В отзыве РСПП отмечается, что для обеспечения такой защиты всем операторам необходимо создавать VPN-соединения от национальной системы доменных имен к каждому ресурсу в Рунете. Эксперты считают, что это требование налагает "существенные необоснованные обременения на всех участников рынка, не предусмотренные федеральным законом".
"Теоретически злоумышленник может получить доступ к информации о том, какому домену соответствует какой IP-адрес и почтовый сервис, а если это промежуточный запрос, то на какой сервер запрос переходит дальше. Как правило, кража такой информации происходит редко, но злоумышленники могут "подделать" ресурс, чтобы пользователь оставил на нем, например, свои персональные данные или скачал зараженный файл – это классический фишинг", – отметил один из авторов отзыва Алексей Семеняка, уточнив, что создать VPN-соединение для всех ресурсов в Рунете практически невозможно, как невозможно оценить и необходимый для этого объем затрат.
В свою очередь, представитель компании "МегаФон" предположил, что вывод РСПП о прописанной в проекте необходимости построения защищенных сетей для предотвращения несанкционированного доступа к данным можно объяснить "нечеткостью формулировок" в проекте. Само по себе создание VPN представитель оператора назвал избыточным и недостаточно проработанным с технической точки зрения.
Эксперты также указали на недостатки проектов, касающихся функционирования национальной системы доменных имен. Так, один из документов гласит, что российская национальная доменная зона будет состоять из сайтов, которые находятся в зонах .RU, .РФ и .SU. Однако, по словам бывшего директора Координационного центра национального домена сети интернет Андрея Колесникова, который направил в Роскомнадзор критический отзыв, домен.SU не имеет четкого юридического статуса, поскольку был делегирован СССР.
"Домен .SU не содержится в списке зарегистрированных кодов для стран Международной организации по стандартизации (ISO) и в списке доменов верхнего уровня корпорации ICANN. В связи с этим, если ICANN сочтет необходимым прекратить делегирование указанного домена, как в свое время поступили с доменом Югославии .YU, может возникнуть существенный юридически-правовой казус", – сказал Колесников.
Наконец, в РСПП раскритиковали проект положения о национальной системе доменных имен, в котором говорится об обязательном использовании системы абонентами услуг связи. В отзыве комиссии РСПП говорится, что такое требование не предусмотрено законодательством, а реализация принудительной обязанности использовать только национальную систему доменных имен технологически невозможна.
По словам исполнительного директора Общества защиты интернета Михаила Климарева, вынесенные на общественное обсуждение проекты подзаконных актов содержат немало абсурдных норм. "Закон настолько абсурдный, и это не раз подчеркивалось экспертами еще во время его рассмотрения Госдумой, что написать к нему достойную подзаконную базу – сложная задача", – уверен Климарев.
