Минцифры обсуждает с российскими хостинг-провайдерами обязательную идентификацию клиентов через «Госуслуги». Ведомство предлагает связать аренду вычислительных ресурсов с подтверждённой учётной записью в Единой системе идентификации и аутентификации — ЕСИА.
Инициатива может распространиться на все услуги хостеров, включая виртуальные серверы, выделенные машины и дополнительные сетевые ресурсы. Её заявленная цель — установить конкретного клиента, которому был предоставлен выделенный IP-адрес. Переговоры с отраслью уже идут, но официальный проект постановления пока не опубликован, сроки запуска новой схемы неизвестны.
Называть меру принятой пока нельзя. Минцифры не представило текст требований, порядок работы с иностранцами, правила хранения полученных данных и механизм переоформления уже действующих услуг. Неясно и то, станет ли ЕСИА единственным способом проверки личности или хостерам разрешат сохранить дополнительные варианты.
Полностью анонимно арендовать сервер у российского провайдера формально нельзя с 1 декабря 2023 года. Тогда вступило в силу постановление правительства №2011, регулирующее идентификацию людей и организаций, которые получают вычислительную мощность для размещения информации в интернете.
Действующие правила предлагают несколько вариантов проверки. Клиент может войти через ЕСИА, использовать Единую биометрическую систему, усиленную квалифицированную электронную подпись, лично предъявить документы или перевести деньги со счёта в российском банке либо банке другой страны Евразийского экономического союза. Провайдер также вправе применять собственную информационную систему идентификации при выполнении установленных требований.
На практике розничные хостинги часто объединяют регистрацию по электронной почте с оплатой банковской картой, проверкой платёжных данных и внутренними средствами оценки риска. Такая схема позволяет быстро выдать виртуальный сервер без отдельного перехода на государственный портал.
Новая инициатива заметно сужает этот подход. Подтверждённая запись на «Госуслугах» может превратиться из одного из вариантов идентификации в обязательный этап получения услуги.
Минцифры уже рассматривало похожую модель три года назад. Первый проект правил предусматривал проверку через государственные системы, электронную подпись, банковский перевод или личное предъявление документов.
Отрасль тогда указала на сложности с иностранными клиентами, небольшими провайдерами и договорами, заключаемыми через публичную оферту. Ведомство согласилось расширить перечень способов и допустило собственные системы хостеров. Итоговое постановление сохранило несколько вариантов идентификации.
Теперь идея единой государственной авторизации возвращается. Возможной причиной стала неодинаковая надёжность существующих процедур. Электронную почту можно создать на вымышленные данные, банковская карта иногда принадлежит другому человеку, а собственные системы провайдеров различаются по объёму проверок.
Авторизация через ЕСИА даёт хостеру подтверждённый набор сведений из государственной системы. Она также позволяет связать договор, аккаунт клиента и историю выдачи сетевых ресурсов единым идентификатором.
Выделенный IP-адрес обычно предоставляется виртуальному или физическому серверу для постоянного доступа из интернета. На таком адресе может работать сайт, почтовая система, программный интерфейс, игровой сервер, узел удалённого доступа, прокси или личный VPN.
При расследовании фишинга, распространения вредоносных программ или сетевой атаки IP-адрес часто становится первой технической зацепкой. По нему можно определить автономную систему и провайдера, после чего запросить сведения об арендаторе ресурса.
Новая схема должна сделать эту цепочку короче: провайдер будет заранее знать подтверждённого владельца аккаунта и сможет установить, кому в конкретный момент был выдан адрес. Именно такую модель участники обсуждения описывают формулой «за каждым выделенным IP должен стоять конкретный пользователь».
Простой таблицы «адрес — паспорт» для этого недостаточно. В облачной инфраструктуре IP-адреса могут освобождаться, повторно выдаваться и переноситься между виртуальными машинами. Документация крупных облачных платформ предусматривает переназначение постоянного адреса с одного экземпляра сервера на другой.
Провайдеру потребуется хранить временные отметки, историю назначения адресов, идентификаторы серверов и сведения о владельцах аккаунтов. Для сетей с трансляцией адресов также нужны номера портов: один публичный IPv4 может одновременно использоваться несколькими абонентами. Этот принцип закреплён в технических стандартах операторской трансляции адресов.
Формулировка о привязке IP к пользователю упрощает устройство современного хостинга. На одном адресе могут размещаться сотни сайтов клиентов. Такая схема характерна для общего хостинга, обратных прокси, балансировщиков нагрузки и сетей доставки содержимого.
Один клиент также может управлять десятками серверов через единую учётную запись. Адрес может принадлежать компании, а фактически с инфраструктурой будут работать несколько администраторов, подрядчиков и разработчиков.
Виртуальный сервер допускает дальнейшую перепродажу. Клиент российского хостера способен разделить его ресурсы между другими людьми, создать прокси-сервис или выдать доступ к установленному программному обеспечению. Первичная идентификация покажет владельца договора, но не всегда непосредственного пользователя соединения.
Поэтому результат будет зависеть от объёма журналирования. Связь с ЕСИА устанавливает личность покупателя услуги, но сама по себе не доказывает, кто выполнял конкретное действие с сервера.
Обязательная авторизация через «Госуслуги» может повлиять на пользователей, которые арендуют российский виртуальный сервер и самостоятельно устанавливают на него VPN. В этой схеме владелец получает отдельную машину и IP-адрес, после чего разворачивает WireGuard, OpenVPN, Amnezia или другой программный комплекс.
Хостер уже должен идентифицировать такого клиента по действующим правилам. Переход к ЕСИА сделает проверку единообразнее и устранит возможность зарегистрировать аккаунт через временную почту и формальную оплату.
Коммерческие сервисы, арендующие российские серверы, тоже могут столкнуться с дополнительным контролем. Провайдер сможет надёжнее связать каждый договор и сетевой адрес с конкретным физическим лицом, индивидуальным предпринимателем или организацией.
Инициатива не вводит автоматический запрет VPN и не означает, что хостер получит доступ к содержимому зашифрованного соединения. Она относится к личности арендатора инфраструктуры. Пользователи зарубежных серверов вне российской юрисдикции напрямую под это требование не попадают.
Мера также не запрещает корпоративные защищённые сети. VPN широко применяют компании для удалённого подключения сотрудников, объединения офисов и администрирования внутренних систем. Правовое значение будут иметь назначение сервиса, его работа с ограниченными ресурсами и соблюдение других действующих требований.
Если новые правила распространят на существующих клиентов, провайдерам придётся запросить подтверждение через ЕСИА до продления договора или в течение отдельного переходного периода.
Похожая модель запускается в национальных доменных зонах. С 1 сентября 2026 года администраторы доменов .ru, .рф и .su должны проходить обязательную идентификацию через ЕСИА. Без неё нельзя будет зарегистрировать или продлить доменное имя. К концу апреля процедуру заранее прошли более 100 тыс. администраторов.
Для хостинга порядок пока не определён. Возможны разные варианты: запрет на выдачу новых ресурсов неподтверждённым клиентам, ограничение продления, временная приостановка услуг или постепенная проверка всей действующей базы.
Мгновенное отключение серверов выглядело бы рискованно. На них могут работать интернет-магазины, медицинские системы, корпоративная почта, резервные копии и программные интерфейсы. Отрасли потребуется переходный срок и механизм уведомлений.
ЕСИА рассчитана прежде всего на граждан России и организации, связанные с российскими государственными реестрами. Иностранный пользователь может столкнуться с более сложной регистрацией, отсутствием необходимых документов или невозможностью быстро подтвердить учётную запись.
Участники рынка предлагают сохранить для нерезидентов отдельный способ проверки. Это может быть передача паспортных данных, банковская идентификация, электронная подпись или проверка через хостера. Конкретной схемы пока нет.
Без альтернативного механизма российские провайдеры рискуют потерять иностранных разработчиков и компании. Клиент также может лишиться возможности продлить сервер, получить новый адрес или управлять действующим продуктом.
Похожая проблема возникла при подготовке обязательной идентификации владельцев российских доменов. Иностранным администраторам приходится оформлять доступ к ЕСИА либо передавать управление российскому представителю. Отсутствие понятного переходного процесса создаёт риск потери домена после окончания оплаченного срока.
На 8 июля 2026 года в реестре Роскомнадзора находилось 584 хостинг-провайдера. Участники рынка оценивают интеграцию с ЕСИА по-разному. «Турбо Облако» уже подключило государственную авторизацию и считает расходы приемлемыми. «Рунити» предварительно оценивает внедрение минимум в 5 млн рублей, а через ЕСИА в сервисах группы уже идентифицировались более 420 тыс. клиентов.
RUVDS ожидает, что дополнительный барьер сильнее всего затронет студентов, независимых разработчиков и покупателей недорогих виртуальных серверов. Компания допускает уход от 20% до 35% розничных клиентов на зарубежные площадки.
Крупные корпоративные клиенты почувствуют изменение слабее. Они заключают договоры от имени юридического лица, передают реквизиты и проходят внутренние проверки ещё до получения инфраструктуры.
Для небольшого хостера интеграция означает разработку нового входа, подключение к технологической инфраструктуре ЕСИА, защиту персональных данных, изменение договоров и поддержку пользователей. Расходы могут ускорить укрупнение рынка: небольшим компаниям станет сложнее конкурировать с операторами, у которых такая система уже работает.
Подтверждение личности повышает цену массового создания одноразовых аккаунтов. Организатору фишинговой кампании станет сложнее арендовать десятки серверов у разных российских поставщиков на вымышленные данные.
Полностью убрать вредоносную инфраструктуру таким способом невозможно. Злоумышленники используют украденные учётные записи, подставных владельцев, взломанные серверы, зарубежные хостинги и заражённые домашние устройства.
Жёсткая идентификация может переместить часть активности за пределы российских площадок. Получение данных от иностранного провайдера обычно требует более сложного межгосударственного взаимодействия, а сервер можно оплатить через посредника или криптовалютой.
Эффективность меры будет зависеть от скорости обработки жалоб, качества журналов, обнаружения поддельных аккаунтов и обмена данными между провайдерами. Сам вход через «Госуслуги» не заменяет технический анализ фишинговых страниц и вредоносного трафика.
Интеграция не обязательно означает передачу хостеру всего профиля пользователя с «Госуслуг». ЕСИА возвращает информационной системе определённый набор подтверждённых атрибутов в пределах запрошенных прав и согласия.
Хостинг всё равно будет хранить связку между государственным идентификатором, договором, платежами и выданной инфраструктурой. Такая база представляет интерес для мошенников: она позволяет установить, какими доменами, серверами и IP-адресами управляет человек.
Провайдерам придётся усилить контроль доступа, журналирование действий сотрудников и защиту интерфейсов поддержки. Компрометация аккаунта хостера после внедрения ЕСИА может стать опаснее, если злоумышленник получит доступ сразу к подтверждённой цифровой личности и серверной инфраструктуре.
Авторизация через «Госуслуги» также не отменяет фишинг. Поддельная страница хостинга способна показать фальшивую форму входа в ЕСИА. Пользователям важно проверять адрес авторизации и не вводить данные государственного аккаунта на странице самого провайдера.
Сейчас никаких срочных действий выполнять не требуется. Инициатива находится на стадии обсуждения, текст нового постановления не опубликован.
После принятия правил российские хостинги, вероятно, добавят обязательную кнопку входа через ЕСИА и начнут уведомлять клиентов о необходимости подтверждения. Владельцам VPS, сайтов и облачных серверов стоит следить за письмами провайдера и заранее проверить доступ к учётной записи на «Госуслугах».
Для инфраструктуры, критичной для бизнеса, полезно иметь резервную копию, актуальные контактные данные и план переноса на другой сервер. Передача серверного аккаунта другому человеку после прохождения идентификации может создать юридический риск для владельца записи. Все действия с выданного адреса формально будут связаны с клиентом, указанным в договоре.
Вопросы и ответы
Требование уже вступило в силу?
Нет. Минцифры обсуждает инициативу с хостинг-провайдерами. Проект нормативного документа, дата запуска и переходный период пока не опубликованы.
Разве хостинги сейчас не проверяют клиентов?
Проверяют. С 1 декабря 2023 года российский провайдер должен идентифицировать клиента одним из разрешённых способов. Среди них ЕСИА, биометрическая система, электронная подпись, документы, банковский перевод и собственная система провайдера.
Что именно хотят изменить?
Обсуждается обязательная привязка клиента к подтверждённой записи ЕСИА. Неизвестно, сохранятся ли другие способы проверки.
Коснётся ли это обычного виртуального хостинга?
Источники говорят обо всех услугах провайдеров. Точная сфера действия станет понятна после публикации проекта.
Запретят ли личные VPN-серверы?
Из этой инициативы такой запрет не следует. Владелец российского VPS должен будет подтвердить личность, но установка защищённого соединения сама по себе не становится запрещённой.
Сможет ли государство видеть трафик VPN через «Госуслуги»?
ЕСИА подтверждает личность арендатора и не расшифровывает трафик. Сетевой анализ и идентификация клиента — разные процессы.
Попадут ли под правило иностранные хостинги?
Прямое действие ожидается для провайдеров, работающих в российском правовом поле. Аренда сервера у зарубежной компании автоматически не требует входа через российский портал.
Почему нельзя определить человека просто по IP?
Адреса переиспользуются и переназначаются. Один публичный адрес также может разделяться между несколькими клиентами. Для точного сопоставления нужны время, номера портов и журналы провайдера.
Что будет с иностранцами без «Госуслуг»?
Механизм пока не представлен. Участники отрасли предлагают предусмотреть альтернативную проверку личности.
Могут ли отключить уже работающий сервер?
Такой порядок не утверждён. Вероятнее всего, потребуется переходный период и подтверждение перед продлением услуги.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.