Для защиты критической информационной инфраструктуры от участившихся атак приходится ужесточать правовое регулирование и принимать меры, увеличивающие расходы компаний
Компании обязаны отчитываться перед Роскомнадзором о том, для каких целей они собирают данные и обрабатывают конкретную информацию. А также сообщать в ведомство об утечках данных в течение суток, а затем и о результатах внутреннего расследования происшествия
В ближайшие два-три года рост числа утечек данных в России составит 50‒150% в год, считает управляющий компании RTM Group Евгений Царев. Такой прогноз он дал в ходе мероприятия, организованного Ассоциацией пользователей стандартов по информационной безопасности АБИСС. Со своей стороны, в компании InfoWatch отмечают, что только за 2017‒2021 годы количество записей персональных данных, раскрытых в результате утечек, превысило население России в пять раз.
По мнению Евгения Царева, рост числа утечек связан одновременно как с затягиванием процесса импортозамещения программного обеспечения, так и с ускоренным движением к цифровому суверенитету. Часть компаний не спешит замещать иностранное оборудование и ПО, поддерживая работоспособность своей IT-инфраструктуры при помощи различных «костылей». Это приводит к всевозможным ошибкам и росту количества уязвимостей. Другие компании, напротив, в ускоренном порядке избавляются от всего иностранного. Однако новые программные продукты порой выпускаются без достаточного тестирования, поэтому в них остаются уязвимости, которыми могут воспользоваться злоумышленники. Перед специалистами по информационной безопасности встает вопрос, как в таких условиях защитить граждан и критически важную информационную инфраструктуру.
Критическая информационная инфраструктура (КИИ) — это ПО, системы управления и средства связи, которые используются в ключевых сферах жизнедеятельности государства и общества: здравоохранении, промышленности, топливно-энергетическом комплексе, транспорте, финансовом секторе, городском хозяйстве. Субъектами КИИ являются как государственные органы и учреждения, так и частные компании и индивидуальные предприниматели, работающие в этих отраслях. Для объектов КИИ установлены три категории значимости: самая высокая — первая, самая низкая — третья. Категории присваиваются исходя из масштаба возможных последствий в случае нарушения работы такой инфраструктуры.
В прошлом году президент Владимир Путин подписал указ, запрещающий приобретать иностранное ПО для значимых объектов КИИ. Кроме того, с 1 января 2025 года нельзя будет эксплуатировать ранее приобретенное иностранное программное обеспечение на значимых объектах критической информационной инфраструктуры.
«Откровенно говоря, все заменить в такие сроки невозможно. Не у всех продуктов есть российские аналоги, нужно время на их разработку, — рассказала “Эксперту” председатель АБИСС Анастасия Харыбина. — Государство сейчас реально помогает в разработке, выделяет дополнительные инвестиции. Но недостаточно просто создать информационный продукт — он должен быть безопасным. И это, к сожалению, отодвигает возможные сроки импортозамещения».
Анастасия Харыбина обратила внимание на то, что резкий уход иностранных вендоров способствовал росту количества уязвимостей: «Ряд вендоров просто отключили информационные системы от обслуживания. Естественно, организациям нужно было быстро что-то придумать. Справедливости ради, очень много было сделано, но обеспечить функционирование не равно обеспечить безопасное функционирование. Многие компании были вынуждены в сжатые сроки и, вероятно, без должного анализа перейти на альтернативное ПО или самостоятельно собирать что-то из открытого кода».
По ее словам, это противоречит концепции security by design, в соответствии с которой информационная безопасность должна с самого начала стать неотъемлемой частью программного продукта и быть интегрирована во все его компоненты. «У нас не было такой возможности — замещали все быстро, потому что иначе бы все встало. А потом уже вернулись к вопросу обеспечения информационной безопасности», — добавляет председатель АБИСС.
Другим важным обстоятельством стал рост числа субъектов КИИ. В марте вступило в силу постановление правительства, согласно которому в перечень субъектов КИИ экономической сферы теперь помимо банков входят и другие финансовые организации: негосударственные пенсионные фонды, страховые организации, центральные депозитарии и контрагенты, операторы услуг информационного обмена. К социально значимым последствиям нарушения функционирования КИИ теперь также причисляют сбои в работе не только транспортной инфраструктуры, но и транспортных средств. Эти изменения привели к тому, что число субъектов КИИ значительно выросло и всем им придется выполнять требования законодательства об использовании преимущественно российского ПО с 2025 года. Одновременно для них повышаются требования по информационной безопасности.
В будущем к КИИ могут быть отнесены и другие сферы жизни, считает Александр Иванцов, старший инженер по защите информации Deiteriy Compliance. Эксперт напомнил о недавних атаках на российские системы оповещения, когда в ряде регионов в теле- и радиоэфире вышли ложные предупреждения о ракетной угрозе. «Если такое еще повторится, это попадет в зону внимания государства и может привести к тому, что системы оповещения или средства массовой информации станут одной из сфер, которая будет включена закон о безопасности критической информационной инфраструктуры», — полагает Александр Иванцов.
С одной стороны, новые требования дадут толчок к развитию информационной безопасности компаниям, ранее не занимавшимся этими вопросами. Это повысит их устойчивость к различным атакам. С другой стороны, потребуется реализовать больше защитных мер, что приведет к дополнительным затратам. По подсчетам Евгения Царева, для субъектов КИИ с первой категорией значимости (нарушения в их работе затронут наибольшее количество граждан) и числом сотрудников более 1000 человек стоимость внедрения систем информационной безопасности может достигать сотен миллионов рублей. Эксперт привел данные, согласно которым для компаний с числом сотрудников 100‒9500 человек и размером уплаченных налогов от 2 млн до 19 млн рублей стоимость внедрения систем информационной безопасности составляет от 10 до 60 млн рублей соответственно.
Многие специалисты по информационной безопасности обращают внимание на еще одну проблему — дефицит кадров в своей сфере. С учетом роста числа объектов КИИ она становится особенно актуальной. Сейчас для специалистов по ИБ, обслуживающих КИИ, требуется наличие высшего профессионального образования. Недавно стало известно, что Федеральная служба по техническому и экспортному контролю (ФСТЭК) готова разрешить специалистам со средним специальным образованием работать на объектах критической информационной инфраструктуры.
«Эта мера частично поможет компенсировать нехватку специалистов, — отметила Анастасия Харыбина. — Вход в профессиональную сферу ИБ упрощается. Другое дело, что это будет нижний уровень специалистов — джуниоры, если проводить аналогию с разработкой. Конечно, они смогут взять на себя часть функционала и процессов, но этого недостаточно. Специалисты среднего и высокого уровня тоже необходимы, но нужно время, чтобы они появились».
Эксперты отмечают, что власти уже принимают меры для повышения информационной безопасности. По данным InfoWatch, в целом за 2022 год было принято 257 нормативных правовых актов, касающихся регулирования сфер ИБ, ИТ и цифровой экономики в целом.
Александр Моисеев, ведущий консультант по информационной безопасности Aktiv.Consulting, рассказал о некоторых инструментах. Так, создано более 30 центров компетенций, которые изучают, в какой приоритетности осуществлять поддержку тех или иных программных продуктов, по каким критериям оценивать эффективность программных средств. В 2021 году на базе Института системного программирования им. В. П. Иванникова РАН под эгидой ФСТЭК России был основан технологический центр исследования безопасности ядра Linux, где коллективы разработчиков могут проверять безопасность ПО.
Кроме того, сейчас разрабатываются перечни и каталоги импортозамещенного ПО. В прошлом году правительство приняло постановление о создании национального репозитория ПО с открытым кодом к апрелю 2024 года. В нем будет размещаться программное обеспечение, созданное в том числе на бюджетные средства. И в дальнейшем разработчики смогут использовать готовые решения в своих проектах, что ускорит создание нового отечественного ПО. Что касается обеспечения безопасности КИИ, то ФСТЭК разработала методику, позволяющую проверять как зарубежные, так и российские обновления для иностранного ПО.
«Есть множество государственных ресурсов, где содержатся сведения об актуальных угрозах и уязвимостях. Специалисты могут использовать их, чтобы понимать, есть ли слабые места в их инфраструктуре», — рассказал Александр Моисеев. Кроме того, ФСБ получила право проводить тесты на проникновение без информирования субъекта КИИ с целью проверки безопасности используемых информационных систем.
В прошлом году были также внесены изменения в Федеральный закон «О персональных данных». Руководитель отдела консалтинга и аудита Angara Security Александр Хонин назвал это самым большим обновлением за все время существования закона. «Одна из целей, которую эти изменения несут, — нормализовать объем сбора персональных данных компаниями», — говорит эксперт.
Ранее многие персональные данные собирались без четкой необходимости, на всякий случай. Теперь же компании обязаны отчитываться перед Роскомнадзором, сообщая, для каких целей они собирают и обрабатывают конкретную информацию. Кроме того, усложнилась передача персональных данных в зарубежные страны. Теперь оператор должен уведомлять Роскомнадзор о намерении передать информацию за рубеж, а ведомство может ответить отказом.
Еще одним важным нововведением последнего времени стала обязанность сообщать в Роскомнадзор об утечках данных. Сначала в течение суток необходимо уведомить о произошедшем инциденте, а затем в течение 72 часов — о результатах внутреннего расследования происшествия. С учетом большого количества утечек, которые происходят в последнее время, эта мера оправданна, считают эксперты.
«Что будет дальше? Из ближайшего — оборотные штрафы, о которых мы с вами слышим очень давно. Скорее всего, их введут», — добавил Александр Хонин. Сейчас КоАП предусматривает штрафы за утечку данных для юрлиц в размере 60‒100 тыс. рублей при первом нарушении и до 500 тыс. рублей — при повторном. Минцифры же предлагает штрафовать организации, где произошла утечка, на 1% от годового оборота или на 3%, если компания пыталась скрыть проблему. Владимир Путин поручил правительству до 1 июля 2023 года рассмотреть вопрос о введении оборотных штрафов.
Эксперты также ожидают дальнейшего ужесточения регуляторики в области критической информационной инфраструктуры и персональных данных. «Это менталитет нашей страны: если не заставлять принимать меры и не закручивать гайки, к сожалению, никто ничего делать не будет», — говорит Александр Хонин.