Российские парламентарии хотят принять законопроект, вводящий обязательное подтверждение данных администраторов доменов через инфраструктуру «Госуслуг» — Единую систему идентификации и аутентификации (ЕСИА).
Зампред комитета Госдумы по информполитике, IT и связи Антон Горелкин заявил, что документ будет внесён в парламент уже в текущем году, а затем принят.
По его словам, благодаря закону практически исчезнет проблема фишинга в доменных зонах .ru и .рф. Формально для этого предназначена запущенная в 2022 году информационная система «Антифишинг» Минцифры, признаёт он:
«Но как "бороться" — пока мы заблокируем домен, мошенники достигнут цели, которую преследовали».
Новости по теме: Бизнес-империи Олега Кана и Дмитрия Дремлюги будут национализированы
Правила регистрации доменных имен в .ru и .рф (этими доменами верхнего уровня управляет Координационный центр .RU/.РФ) уже подразумевают, что администратор домена должен предоставлять информацию о себе: в случае с физлицами она включает в том числе сведения о документе, удостоверяющем личность, а с юрлицами — ИНН или аналогичный идентификатор иностранного государства.
Но документы, которые подтверждают эти данные, администратор обязан отправлять только по запросу регистратора. «На самом деле данные никто не проверяет, и они могут быть внесенными из украденных баз паспортов»,— говорит эксперт программных продуктов компании «Код безопасности» Максим Александров.
В Минцифры подтвердили «Ъ», что инициатива «обсуждается с заинтересованными ведомствами и отраслью». Однако гендиректор Ru-Center Андрей Кузьмичев утверждает, что «в текущей версии» законопроект с рынком пока не обсуждался: «Мы ждём диалога, как это было в прошлом году с внедрением реестра хостеров».
В то же время он уточнил, что базовое описание механизма было представлено Координационному центру .RU/.РФ еще в 2019 году, а Ru-Center «участвовал в создании и отладке опытного полигона для такой идентификации».
Директор Координационного центра доменов .RU/.РФ Андрей Воробьев рассказал корреспонденту ComNews, что часто фишинговые сайты регистрируют на поддельные паспортные данные.
«При регистрации доменов паспортные данные вводятся вручную, но поскольку система регистрации использует автоматизированные средства обработки заявок, регистратор технически не может проводить сплошную проверку указанной информации. Это позволяет злоумышленникам регистрировать домены на поддельные или вымышленные данные», — объяснил Директор Координационного центра доменов .RU/.РФ Андрей Воробьев. Он заявил, что КЦ поддерживает принятие законопроекта.
Правоохранители могут установить, кому принадлежит домен, даже если преступник указал фальшивые паспортные данные. Однако после принятия законопроекта они смогут это делать быстрее. Об этом ComNews рассказал Павел Патрикеев, практикующий юрист в сфере ИТ и доменных споров, CEO и сооснователь юридического сервиса "Патрикеев и партнеры".
Тем не менее, игроки рынка считают, что лазейки для мошенников останутся. Андрей Воробьев отметил, что преступники могут использовать подставные лица или похищенные аккаунты «Госуслуг», но эти методы сложны и затратны. Также злоумышленники часто используют либо ворованные российские доменные имена, либо зарегистрированные в других странах, отметил руководитель направления сервисов защиты облачного провайдера ООО «Нубес» (Nubes) Александр Быков.
Одна из проблем, связанная с законопроектом, которую отметил генеральный директор ООО «Домены.рф» (Rf.ru) Андрей Савельев: после принятия законопроекта существенно снизится количество доменов в зонах .ru и .рф, так как люди будут больше регистрироваться в других зонах. Он считает инициативу идентификации администраторов доменов правильной, однако отмечает, что над законопроектом важно работать в диалоге с экспертами из отрасли.
