Суммы серьезные - от 10 до 700 тысяч рублей. Теперь вход на российские ресурсы разрешен только через номер телефона, "Госуслуги" или отечественные сервисы вроде Yandex ID и СберID. Но простым пользователям бояться нечего: штрафы выпишут не вам, а владельцу сайта, и пользоваться Gmail для личных писем никто не запрещает.
Самое главное, что нужно запомнить с самого начала: штрафы касаются исключительно владельцев сайтов, а не обычных пользователей интернета.
Если владелец российского интернет-ресурса продолжит авторизовать посетителей через иностранные сервисы, то рискует нарваться на штраф. Для владельцев небольших ресурсов штраф составит от 10 до 20 тысяч рублей. Для должностных лиц, сотрудников компаний, - от 30 до 50 тысяч рублей. А для юридических лиц, то есть крупных компаний и организаций, - от 500 до 700 тысяч рублей. Причем за повторное нарушение штрафы для компаний вырастают уже до 1-1,4 миллиона рублей. Так государство стимулирует владельцев ресурсов привести свои системы в порядок.
"Инициатива направлена на дальнейшее уменьшение зависимости рунета от решений недружественных стран" - отметил первый замглавы комитета Госдумы по информполитике, председатель РОЦИТ Антон Горелкин.
Долгое время мы наблюдали ситуацию, когда физически пользователь и сайт находятся в российской юрисдикции, а ключ от входа (токен авторизации) хранится на серверах в Кремниевой долине. Это создавало серую зону, где заканчивалась ответственность владельца сайта и начинались правила иностранной экосистемы, считает председатель совета по противодействию технологическим правонарушениям КС НСБ России, основатель компании "Интернет-Розыск" (входит в ГК "Киберсистема") Игорь Бедеров.
Когда пользователь авторизуется через иностранный сервис, владелец российского ресурса фактически делегирует функцию идентификации вовне. Вы теряете контроль над критической инфраструктурой входа. Рисков несколько. Первый - это внезапная блокировка учетных записей российских пользователей со стороны зарубежного вендора по политическим или комплаенс-причинам. Сайт при этом теряет аудиторию моментально, и сделать ничего нельзя. Второй - утечка агрегированных цифровых профилей. Западные платформы используют сквозную аналитику (SSO), видя, куда и когда заходит пользователь. Мы отдавали за рубеж гигантский массив метаданных о поведении наших граждан, который затем анализируется не только маркетологами, но и спецслужбами.
Теперь разберем, что именно должны сделать владельцы сайтов. Закон обязывает их проводить авторизацию, то есть вход в личный кабинет или регистрацию, для российских пользователей только через отечественные системы. В перечень разрешенных способов входит номер мобильного телефона, зарегистрированный в России, а также всем знакомая и проверенная система "Госуслуги". Кроме того, допускается единая биометрическая система для тех случаев, где требуется особо надежная идентификация. Наконец, можно использовать российские системы авторизации, такие как Yandex ID, VK ID, mos.ru, СберID и другие подобные сервисы, владельцами которых являются граждане РФ или российские юридические лица. Теперь владельцу сайта запрещено предлагать вам для входа иностранные сервисы, например, Google ID, Apple ID или использовать зарубежную электронную почту, будь то Gmail, Hotmail, Yahoo и так далее.
Но насколько безопасно авторизоваться через биометрию, номер телефона или "Госуслуги"? Начнем с единой биометрической системы (ЕБС). Вопреки обывательским страхам, это, как ни странно, самый защищенный с точки зрения удаленного мошенничества способ. Украсть эталонный слепок лица или голоса из защищенного государственного контура с жесткой многофакторной криптографией практически невозможно. Технология работает через векторы, а не хранение фото, что нивелирует риск утечки.
По поводу Госуслуг (ЕСИА) - это зрелая инфраструктура. Безопасность авторизации через портал высока, особенно если настроена двухфакторная аутентификация. Главная угроза здесь лежит на стороне пользователя. Это классическая социальная инженерия. Как только пользователь сам передает этот код мошеннику, никакая суверенная система его не спасет.
С номером телефона все сложнее. Сам по себе он - слабый идентификатор, привязанный к уязвимой SIM-карте. Мы знаем случаи с перевыпуском SIM-карт мошенниками через сообщников в салонах связи. Но в данной архитектуре закон подразумевает использование номера как логина с последующей верификацией через код в СМС. Это базовый уровень безопасности, который желательно усиливать вторым фактором в виде российского приложения-аутентификатора или аппаратного ключа. Для рутинных сервисов (форумы, интернет-магазины) этого может быть достаточно. Банкам и критической инфраструктуре, конечно, нужно смотреть в сторону ЕСИА и ЕБС, отметил Бедеров.
Еще одна успокаивающая для простых граждан информация - на пользователей штрафы не распространяются. Россияне по-прежнему могут иметь и использовать любой зарубежный почтовый ящик. Закон не запрещает людям пользоваться Gmail для личной переписки. Однако владелец российского сайта больше не сможет использовать иностранный email пользователя в качестве логина для входа на свой ресурс. Поэтому, когда в следующий раз человек зайдет на привычный сайт, его, скорее всего, попросят привязать российский номер телефона или войти через "Госуслуги" вместо старого логина от иностранной почты.
Что же это значит для россиян? Во-первых, никаких штрафов для простых людей не будет. За нарушение ответит сайт, который не перестроился под новые правила. Во-вторых, данные граждан оказываются под дополнительной защитой, ведь закон направлен на то, чтобы они хранились на отечественных серверах и в соответствии с российским законодательством. В-третьих, пользователи совершенно не обязаны отказываться от любимой зарубежной почты. Зачем это нужно? Как пояснил глава комитета Госдумы по информполитике Сергей Боярский, ответственность устанавливается именно для владельцев сайтов, и абсолютное число наших граждан, пользователей соцсетей, эти изменения никоим образом не коснутся.
Таким образом, суть нового закона можно свести к трем простым выводам. Гражданам можно пользоваться любой иностранной почтой в личных целях. Владельцам сайтов, напротив, нельзя использовать зарубежные сервисы для входа на их ресурсы, за это предусмотрены строгие меры. Так что пользователи могут не беспокоиться: привычные аккаунты в иностранных почтовых сервисах никуда не денутся. Просто при входе на российские сайты теперь нужно будет использовать отечественные способы подтверждения личности - это и безопаснее, и соответствует новым требованиям закона.