Перед самым концом прошлого века в ИТ-индустрии активно обсуждалась проблема кодирования даты. Производители решений утверждали, что многие программисты использовали для хранения года только два разряда — под последние два числа. Поэтому 1 января 2000 года такие счётчики должны были обнулиться, и могло произойти страшное. Они уверяли, что в результате такой ошибки может произойти всё, что угодно: самолёты начнут падать, а ядерные ректоры — взлетать. Была развёрнута целая программа по решению «Проблемы 2000», которая предполагала замену оборудования и программного обеспечения, проведение тестов и круглосуточное дежурство 1 января 2000 года. Денег на эту программу тогда было затрачено не мало, а эффективность принятых мер особенно ни кто не оценивал.
История с вступлением в силу поправок к закону «О персональных данных», которые внесены так называемым законом о локализации ФЗ-242, очень похожа на «Проблему 2000». Во-первых строго определена дата — 1 сентября 2015 года, во-вторых — ожидались проблемы, хотя и не у ядерных реакторов, но, как минимум, у авиаперевозчиков. В-третьих же — основная задача активной деятельности заключается не в решении проблемы, а в привлечении дополнительных денег на ИТ.
Последнее утверждение можно доказать, например, с помощью интервью главы Роскомнадзора Александра Жарова, которое было опубликовано на сайте ведомства по адресу http://rkn.gov.ru/news/rsoc/news34448.htm второго сентября. В нём есть следующий пассаж: «Закон также стимулирует инвестиции в нашу экономику и развитие IT-индустрии. Сегодня Samsung открывает в России большой дата-центр для обслуживания российских клиентов. В том же направлении работают такие гиганты индустрии связи, как французский Orange, английский IXCellerate. И, по мнению большинства экспертов и участников этого рынка, развитие дата-центров на территории России будет стимулировать развитие IT-индустрии. За 2014 год количество серверных стоек в России увеличилось на 15 процентов. А бюджеты, вложенные в эту сферу, выросли на 30 процентов». На дворе не самые тучные времена, а компаниям приходится заниматься переносом данных в Россию, стимулируя рост российских ЦОДов.
Есть и четвёртое сходство ФЗ-242 с «Проблемой 2000» — ни кто не проверяет эффективность вложенных средств. Тогда 1 января 2000 года самолёты падать не начали, а ядерные реакторы продолжали трудиться на благо народного хозяйства. Что, естественно, хорошо. Сейчас, похоже, аналогичная ситуация. Собственно, и заранее было известно, что больших кар не последует — соответствующая статьи КоАП предполагает штраф за не исполнение требований ФЗ-152 (в том числе и в редакции ФЗ-242) в размере от 4 до 10 тыс. руб. Сравните со стоимостью переноса данных в российские ЦОДы. Конечно, есть ещё угроза блокировки соответствующих ресурсов, но для этого их нужно проверить.
В то же время у Роскомнадзора, как следует из того же интервью, есть планы на проверку в сентябре 90 организаций, а до конца 2015 года ведомство намеренно проверить целых 317 компаний. Если учесть, что всего операторов ИСПДн 2,5 млн компаний, то доля поверяемых в месяц составляет всего 0,0036%. Впрочем, Александр Жаров уверяет, что проверять будут в основном крупные компании, поскольку на проверку небольших компаний не хватит ресурсов. Кроме того, уточнено, что ни одной крупной социальной сети в планах проверки пока нет. Есть и ещё одно ограничение — из проверок исключены авиаперевозчики, консульские услуги и работа журналистов, поскольку их работа регламентируется международными договорами.
Но самый интересный вопрос: как Роскомнадзор будет проверять, где расположены базы данных? Оказывается очень просто: «Вопрос:Как будете проверять? Ответ: Документарно. Инспектор Роскомнадзора в ходе плановых проверок запросит договор с российским дата-центром или документы, подтверждающие наличие собственного дата-центра на территории нашей страны». То есть переносить сами данные и не обязательно — достаточно заключить договор с российским ЦОДом. Теперь понятно, почему растут бюджеты данной сферы.
Но что произойдёт после проверки? Роскомнадзор 7 сентября опубликовал алгоритм, в соответствии с которым будет проводить проверку локализации базы данных. Его финальной точкой в самом плохом варианте является обращение в суд, причём даже для не резидентов. В какой суд собираются обращаться представители ведомства, если у нарушителя нет российского представительства — не понятно. Видимо, в международный. Было бы интересно посмотреть на подобное разбирательство.
Впрочем, есть и существенное отличие ФЗ-242 от «Проблемы 2000» — в любой момент Роскомнадзор может активизироваться и начать проверять Facebook, Google или Twitter — для этого есть так называемые проверки по жалобам клиентов. Когда это может произойти по-прежнему не понятно, но такие проверки могут начаться в любой момент — все юридические инструменты для подобной атаки уже подготовлены.
