26/07/2023

Принятые 25 июля поправки к законам «Об информации, информационных технологиях и о защите информации» и «О связи» вызвали неоднозначную реакцию профессионального сообщества. Напомним, что законопроект вводит нормы, касающиеся регламентации способов авторизации на сайтах и в информационных системах.

В законе прописаны четыре способа авторизации: через сотовых операторов, Единую систему идентификации и аутентификации (ЕСИА), Единую биометрическую систему (ЕБС) или через иную информсистему, принадлежащую гражданину РФ или российскому юридическому лицу (прямо или косвенно).

В отзыве Ассоциации участников рынка электронных денег и денежных переводов (АЭД) говорится, что изменения могут затруднить удалённое обслуживание клиентов финансовых организаций и Национальной системы платёжных карт (НСПК), а в некоторых случаях сделают его невозможным, пишет «Коммерсант».

По оценкам экспертов, подавляющее большинство банковских систем авторизации подпадает под действие четвёртого пункта. Действующие системы авторизации, которые используют финансовые организации в мобильных приложениях и системах интернет-банкинга, могут оказаться вне закона. В частности, это нововведение коснётся дочерних структур иностранных кредитных организаций, для которых данное требование станет дополнительным стимулом для решения вопроса об изменении владельцев. 

Эксперты отмечают, что многие клиенты обращаются к удаленным каналам несколько раз в день, а это означает миллионы авторизационных запросов ежедневно, что на порядки больше, чем инфраструктура ЕСИА, ЕБС или сотовых операторов обрабатывает сейчас. Сбои и невозможность доступа к удалённым каналам обслуживания крайне негативно скажется на доверии к финансовому сектору.

Более того, по словам источника «Коммерсанта» на банковском рынке, всё программное обеспечение, которое используется банками для собственных систем авторизации, иностранное и встроено в информационную систему, а также в систему кибербезопасности. Импортозаместить их нереально, поскольку потребует очень много времени и денег на абсолютно бессмысленную операцию, считает собеседник издания.

Используемые финансовыми организациями механизмы надёжны и их безопасность подтверждена многолетней практикой, таким образом, переходить на другие способы авторизации — это неоправданные затраты без улучшения клиентского пути, полагают участники рынка.

Несмотря на все заверения авторов законопроекта о необходимости принятия мер по защите персональных данных граждан России, источник Forbes в интернет-индустрии отмечает, что законопроект с отраслью не обсуждался и стал неожиданностью для всех. «Перед вторым чтением его кардинально переписали. По факту сегодня рассматривали совершенно новый законопроект». Эти изменения могут привести к тому, что в декабре миллионы российских пользователей могут потерять доступ к привычным ресурсам, говорит собеседник Forbes.

Дата третьего чтения законопроекта в Госдуме пока не определена.