Аутентификация по-российски: изменения в законодательстве
Кого затрагивает?
Закон касается всех активных пользователей сети Интернет, которые применяют аутентификацию через сторонние зарубежные сервисы, в частности, базовые аккаунты в различных ИТ-экосистемах и социальных сетях. Естественно, не в меньшей степени он влияет на работу большинства российских сайтов. В былые времена для того, чтобы совершить на сайте что-либо интерактивное (например, сделать заказ или оставить комментарий), нужно было регистрироваться на нем, указывая электронную почту, телефон, имя, ник и т. д. На каждом сайте или сервисе требовалось создавать новый аккаунт, которых со временем становилось все больше и больше. В определенный момент появилась техническая возможность аутентификации и авторизации на любых сайтах через сторонние сервисы (соцсети, почтовые аккаунты и т. п.), что значительно упростило взаимодействие в Сети. С тех пор для того, чтобы начать полноценную работу с сайтом, достаточно было лишь аутентифицироваться на нем через аккаунт одного из нескольких популярных интернет-сервисов. Для этих целей люди обычно обращались к аккаунтам тех сервисов, которыми пользуются наиболее часто, — социальные сети (в том числе, запрещенные сегодня в России) и сервисы электронной почты, где большинство пользователей залогинены постоянно. Поэтому попадая на сайт, где возможен быстрый вход (регистрация, аутентификация и авторизация) с помощью сервиса, в котором пользователь уже аутентифицирован, многие выбирали именно этот способ входа.
В чем суть?
Отныне владельцы российских сайтов и приложений, в которых предусмотрено взаимодействие с зарегистрированными пользователями, обязаны осуществлять их аутентификацию/авторизацию одним из четырех способов. Во-первых, по номеру мобильного телефона на основании договора об идентификации, заключенного владельцем сайта с оператором связи. До конца непонятно, что именно подразумевается в этом пункте — только Mobile ID-сервисы, предоставляемые операторами мобильной связи, или подойдут любые OTP-сервисы (One Time Password). В нынешней редакции закона больше похоже на первое. Кроме того, в законе нет прямого указания на то, что оператор номера должен быть российским. Как это будет реализовано на практике — мы пока не знаем. Во-вторых, с помощью единой системы идентификации и аутентификации (ЕСИА), больше известной как «Госуслуги». В-третьих, посредством единой биометрической системы (ЕБС). В-четвертых, с помощью иной информационной системы аутентификации и авторизации, владельцем которой является гражданин России, не имеющий гражданства другого государства, или российское юридическое лицо. В настоящее время этим требованиям отвечают, например, такие SSO-системы, как VK ID, Сбер ID, Яндекс ID.
Как утверждается в официальном телеграм-канале РОЦИТ (Региональный общественный центр интернет-технологий), для тех российских компаний, которые имеют свои сервисы аутентификации/авторизации, но не успевают решить юридические вопросы с российским контролем до 1 декабря 2023 года, были подготовлены и приняты поправки в законодательство, позволяющие сделать это в течение 2024 года. В некоторых СМИ это ошибочно трактовали как продление возможности входить на российские сайты через зарубежные сервисы аутентификации (в том числе Apple и Google), но это не так — с 1 декабря эти способы входа стали незаконными. Новый закон однозначно запрещает авторизацию с помощью зарубежных сервисов на сайтах и в приложениях, находящихся в российской юрисдикции. Однако если владельцем платформы или сайта является гражданин или юридическое лицо другой страны, то он может продолжить использовать аутентификацию через зарубежные SSO-сервисы. А вот каким требованиям должны соответствовать «собственные сервисы аутентификации/авторизации», помимо российского владельца, узнать не удалось.
Важно, что вступивший в силу запрет не затрагивает непосредственно электронную почту (хотя летом законодатели утверждали обратное) — речь идет исключительно о зарубежных сервисах аутентификации, или по-другому SSO-сервисах. Адреса электронной почты, предоставляемые пользователям в рамках иностранных сервисов типа Gmail и других, по-прежнему можно использовать на российских сайтах. Эту информацию подтверждают специалисты РОЦИТ. Другое дело, что для регистрации нового аккаунта и первичной аутентификации на сайте, этого, скорее всего, будет недостаточно и дополнительно потребуется как минимум номер телефона. Более того, владельцы сайтов и приложений могут по своему усмотрению устанавливать собственные требования к использованию определенных почтовых доменов. Не стоит забывать и о потенциальных технических сложностях: зарубежные сервисы электронной почты иногда могут сталкиваться с проблемами при получении почты с российских доменов, а российские сервисы — с иностранных доменов. Для работы с российскими сайтами теперь лучше обращаться к российским почтовым сервисам.
Тем не менее, если российский сайт позволяет залогиниться на нем с помощью связки «логин-пароль», а письма с его домена без проблем доходят на соответствующую иностранную электронную почту, можно использовать этот адрес. Дело в том, что при использовании электронной почты в качестве логина аутентификация пользователя происходит на российском сайте, а не на сторонних иностранных серверах, что полностью соотносится с буквой закона. Конечно, в данном случае также подразумевается, что сам сайт размещается на ресурсах российского хостинг-провайдера. Но тогда возникает другой вопрос: подходят ли встроенные в CMS-систему плагины для аутентификации и авторизации пользователей под весьма общее определение «информационной системы, обеспечивающей авторизацию пользователей сайтов», данное в законе? Существует вероятность, что под этим термином понимаются только определенные ID-сервисы, однако четкого ответа на поставленный вопрос до сих пор не дано.
Что дальше?
Очевидно, что владельцы российских сайтов и приложений будут постепенно (кто-то раньше, кто-то позже) отключать возможность SSO-аутентификации через иностранные сервисы. Маловероятно, что это произойдет лавинообразно, так как ответственности за нарушение закона пока нет. При этом зампред комитета Государственной Думы по информационной политике и председатель правления РОЦИТ Антон Горелкин говорит о наличии у Роскомнадзора «нужных полномочий для использования в отношении самых несознательных», но надеется, что Госдуме не придется прорабатывать дополнительные механизмы по ускорению перехода на новые правила.
Так или иначе, некоторые крупные сайты уже успели сообщить о завершении определенных этапов работы в этом направлении. В частности, маркетплейс «Озон» официально подтвердил отключение возможности зайти на свой сайт и в приложение с помощью Apple ID: за несколько дней до этого компания попросила пользователей проверить актуальность номера мобильного телефона и электронной почты, указанных в личных кабинетах. Как утверждает г-н Горелкин, также «почти всё готово у VK и «Яндекса». Однако на момент подготовки этого материала в «Яндекс» все еще можно было войти с помощью Google и иностранных соцсетей. Отдельный вопрос: сможет ли пользователь получить доступ к своей учетной записи, если ранее он применял для регистрации и входа иностранные SSO-сервисы, но не успел вовремя изменить способ входа, а его другие данные оказались неактуальными на момент попытки входа. Четкого ответа на этот вопрос нет — очевидно, что в таком случае следует попробовать восстановить доступ через техподдержку соответствующего ресурса. Однако в законе нет указаний на обязанность владельца сервиса сохранять такой аккаунт активным.
Несмотря ни на что, процесс запущен и крупные российские интернет-сервисы, скорее всего, не будут долго ждать с переходом на «аутентификацию по-российски». В связи с этим пользователям, которые для входа на российские сайты использовали зарубежные SSO-сервисы, нада как можно скорее подключить другие способы аутентификации, например, через связку «логин-пароль» на самих сайтах либо через системы российских компаний (например, VK ID, Сбер ID, Яндекс ID). От сайта к сайту ситуация с доступными способами аутентификации может отличаться. Также рекомендуется проверить актуальность своих личных данных: номера мобильного телефона и электронной почты. Там, где возможно, чиновники советуют использовать привязку через «Госуслуги», но насколько это целесообразно — решать, конечно, вам.
В свою очередь, владельцам сайтов и приложений стоит добавить (если это не было сделано ранее) возможность быстрого входа через «Одноклассники», «ВКонтакте», «Госуслуги», «Яндекс» и другие российские сервисы, чтобы не потерять тех, кто делает сайт живым — комментирует, лайкает, участвует в дискуссиях. К тому же далеко не все хотят регистрироваться и создавать отдельный аккаунт на каждом используемом сайте, предпочитая более удобную авторизацию с помощью одной из ранее созданных учетных записей в соцсети или SSO-сервисе. Тем не менее возможность входа с помощью связки «логин-пароль» имеет смысл оставить — в некоторых случаях это наиболее быстрый и удобный способ доступа к сайту.
Выводы
Предполагается, что в течение 2024 года переход на соответствие новым правилам аутентификации будет по большей части завершен. Кроме того, за это время законодатели надеются принять решение по нормам ответственности за неисполнение требований закона. Также сформируется правоприменительная практика, в рамках которой прояснится, как именно надзорные органы будут трактовать нестандартные случаи. Тем более вопросов к формулировкам, используемым в законе, осталось немало. В то же время вроде бы удалось разобраться в ситуации с применением на российских сайтах электронных почтовых адресов, зарегистрированных в иностранных сервисах — законодательных ограничений на использование такой электронной почты в качестве логина нет. По крайней мере пока нет. Однако подтверждение актуального номера телефона при регистрации нового аккаунта, скорее всего, станет обязательным. Обойтись только email-адресом, тем более если он зарубежный, вряд ли получится. Учитывая вышесказанное, не нужно исключать, что через некоторое время в закон внесут дополнительные правки или опубликуют официальные разъяснения существующих пунктов, которые, будем надеяться, добавят ясности.
Для того чтобы понять о каких переменах идет речь, попробуем сфокусироваться на событиях после 2022 года и их масштабах с точки зрения кибербезопасности.
Опубликовано 26.12.2023