Президент Владимир Путин подписал указ, который вводит административную ответственность для владельцев сайтов за использование иностранных сервисов для авторизации пользователей. Теперь вход на российские интернет-ресурсы разрешён только через номер телефона, портал «Госуслуги» или отечественные системы вроде Yandex ID и СберID. При этом простым пользователям опасаться нечего — штрафы будут налагаться исключительно на владельцев сайтов, а использование зарубежной электронной почты для личных целей никто не запрещает, сообщает «Российская газета».
Размеры штрафов
Для владельцев небольших ресурсов сумма штрафа составит от 10 до 20 тысяч рублей. Для должностных лиц и сотрудников компаний — от 30 до 50 тысяч. Юридические лица, то есть крупные организации, могут быть оштрафованы на сумму от 500 до 700 тысяч рублей. При повторном нарушении штрафы для компаний вырастают уже до 1–1,4 миллиона рублей. Таким образом, государство стимулирует владельцев ресурсов привести свои системы в соответствие с новыми требованиями.
Мнение экспертов
Как отметил первый заместитель председателя комитета Госдумы по информполитике, председатель РОЦИТ Антон Горелкин, инициатива направлена на дальнейшее уменьшение зависимости российского сегмента интернета от решений недружественных стран.
Основатель компании «Интернет-Розыск» (входит в ГК «Киберсистема») Игорь Бедеров пояснил, что ранее складывалась ситуация, когда пользователь и сайт физически находились в российской юрисдикции, а ключ от входа — токен авторизации — хранился на серверах в Кремниевой долине. Это создавало «серую зону», где заканчивалась ответственность владельца сайта и начинались правила иностранной экосистемы. По его словам, когда пользователь авторизуется через зарубежный сервис, владелец российского ресурса фактически делегирует функцию идентификации вовне, теряя контроль над критической инфраструктурой входа. Среди основных рисков — внезапная блокировка учётных записей российских пользователей по политическим или комплаенс-причинам, а также утечка агрегированных цифровых профилей. Западные платформы используют сквозную аналитику, видя, куда и когда заходит пользователь, что позволяет собирать гигантский массив метаданных о поведении граждан.
Какие способы авторизации разрешены
Закон обязывает владельцев сайтов проводить авторизацию и регистрацию российских пользователей исключительно через отечественные системы. В перечень разрешённых способов входит номер мобильного телефона, зарегистрированный в России, а также портал «Госуслуги». Кроме того, допускается единая биометрическая система для случаев, требующих особо надёжной идентификации. Можно использовать и российские системы авторизации, такие как Yandex ID, VK ID, mos.ru, СберID и другие подобные сервисы, владельцами которых являются граждане РФ или российские юридические лица. При этом владельцу сайта запрещено предлагать пользователям для входа иностранные сервисы, включая Google ID, Apple ID, а также использовать зарубежную электронную почту — Gmail, Hotmail, Yahoo и другие.
Насколько безопасны новые способы авторизации
Единая биометрическая система (ЕБС), вопреки распространённым опасениям, является наиболее защищённым с точки зрения удалённого мошенничества способом. Украсть эталонный слепок лица или голоса из защищённого государственного контура с жёсткой многофакторной криптографией практически невозможно. Технология работает через векторы, а не через хранение фото, что сводит к минимуму риск утечки.
Портал «Госуслуги» (ЕСИА) представляет собой зрелую инфраструктуру. Безопасность авторизации через него высока, особенно при настройке двухфакторной аутентификации. Основная угроза здесь лежит на стороне самого пользователя — классическая социальная инженерия. Если человек самостоятельно передаёт код мошеннику, никакая суверенная система его не спасёт.
С номером телефона ситуация сложнее. Сам по себе он является слабым идентификатором, привязанным к уязвимой SIM-карте. Известны случаи перевыпуска SIM-карт мошенниками через сообщников в салонах связи. Однако в данной архитектуре закон подразумевает использование номера как логина с последующей верификацией через код в СМС. Это базовый уровень безопасности, который желательно усиливать вторым фактором в виде российского приложения-аутентификатора или аппаратного ключа. Для рутинных сервисов, таких как форумы или интернет-магазины, этого может быть достаточно. Банкам и объектам критической инфраструктуры, по мнению экспертов, стоит ориентироваться на ЕСИА и ЕБС.
Что важно знать обычным пользователям
Штрафы не распространяются на граждан. Россияне по-прежнему могут иметь и использовать любой зарубежный почтовый ящик для личной переписки. Однако владелец российского сайта больше не сможет использовать иностранный email пользователя в качестве логина для входа на свой ресурс. Поэтому при следующем посещении привычного сайта пользователя, скорее всего, попросят привязать российский номер телефона или войти через «Госуслуги» вместо старого логина от иностранной почты.
Таким образом, для граждан это означает отсутствие каких-либо штрафов, дополнительную защиту данных, которые теперь будут храниться на отечественных серверах в соответствии с российским законодательством, и сохранение возможности пользоваться зарубежной почтой в личных целях. Как пояснил глава комитета Госдумы по информполитике Сергей Боярский, ответственность устанавливается именно для владельцев сайтов, и абсолютное большинство граждан эти изменения никак не затронут.