Эксперт Чащин: владельцам сайтов придётся отказаться от входа через Google и Apple
изображение: grok
Виктор Чащин, директор по стратегическому развитию МУЛЬТИФАКТОР, прокомментировал для CISOCLUB новые требования, предусматривающие ответственность за использование зарубежных сервисов авторизации на российских сайтах. По мнению эксперта, изменения затронут значительную часть цифрового бизнеса, использующего внешние механизмы аутентификации пользователей.
Он отметил, что под действие новых норм могут попасть как крупные онлайн-платформы, так и небольшие сервисы, где предусмотрены регистрация и личные кабинеты.
«Это затронет практически любой цифровой бизнес в России от крупных платформ до небольших сайтов с регистрацией. Любой сервис, где есть личный кабинет или вход пользователя, попадает в зону риска», — заявил Виктор Чащин.
По словам эксперта, основной акцент сделан на использовании зарубежных систем единого входа. Ограничения касаются не электронных адресов как таковых, а передачи функции аутентификации иностранным платформам.
«Ключевой момент в том, что государство фактически запрещает использовать иностранные механизмы аутентификации как часть пользовательского сценария. Речь идёт именно о SSO — кнопках «войти через Google», Apple ID и аналогичных решениях. Это не про почту как логин, а именно про передачу авторизации через внешнюю платформу», — отметил он.
Виктор Чащин подчеркнул, что ответственность возлагается на владельцев ресурсов, а не на пользователей. При этом некоторые варианты взаимодействия с зарубежными сервисами остаются допустимыми.
«Ответственность при этом лежит исключительно на владельцах ресурсов, пользователей это не касается. При этом допустимыми остаются кейсы, где иностранный сервис не участвует в процессе аутентификации как доверенная сторона. Например, использование e-mail как идентификатора пользователя либо сохранение ранее созданных аккаунтов», — рассказал эксперт.
По его мнению, цель регулирования заключается в переносе контроля над процессом аутентификации внутрь российской инфраструктуры.
«Запрет направлен не на контакт с иностранными платформами как таковыми, а на передачу им функции установления доверия. Фактически речь идёт о перераспределении trust boundary: регулятор фиксирует, что контур аутентификации должен находиться внутри контролируемой (российской) инфраструктуры», — подчеркнул Виктор Чащин.
Говоря о необходимых мерах для бизнеса, эксперт отметил, что компаниям придётся пересмотреть существующие механизмы входа и отказаться от зарубежных вариантов авторизации.
«По сути, бизнесу нужно в кратчайшие сроки пересобрать свою модель авторизации. Самое очевидное действие — это убрать любые варианты входа через зарубежные сервисы, даже если они используются небольшой долей аудитории», — заявил он.
По словам Виктора Чащина, вместо этого необходимо переходить на разрешённые способы идентификации пользователей и уделить особое внимание процессу миграции существующих аккаунтов.
«Дальше перейти на разрешённые способы: номер телефона, «Госуслуги» и др. Технически это не самая сложная задача, потому что готовые решения уже есть, но важно правильно встроить их в пользовательский путь, чтобы не потерять конверсию», — отметил эксперт.
Он также обратил внимание на необходимость заранее подготовить пользователей, которые ранее входили через Google или Apple.
«Если у вас есть аудитория, которая заходила через Google или Apple, её нужно заранее «перепривязать» к альтернативному способу входа, иначе вы рискуете получить волну проблем с доступом», — рассказал Виктор Чащин.
Эксперт считает, что новые требования направлены не столько на введение штрафов, сколько на обеспечение контроля над процессом аутентификации и снижение зависимости от внешних поставщиков доверия.
«В итоге речь идёт о приведении модели аутентификации к требованиям юрисдикции и повышении управляемости доступа. Штрафы здесь выступают скорее триггером: основная задача — восстановить контроль над точкой входа в систему и исключить зависимость от внешних доверенных сторон», — заключил Виктор Чащин.
