Лента новостей
Fars сообщил о боеголовках «высокой разрушительной мощности» у Ирана 08:12, Новость В США идентифицировали личность стрелка, убившего депутата и ее мужа 08:00, Статья Феномен дропов: что это значит и можно ли случайно нарушить закон 07:49 Над двумя российскими регионами ночью сбили шесть дронов 07:33, Новость Отец Маска рассказал о снижении желания работать у граждан стран Европы 07:25, Новость Николя Саркози лишили ордена Почетного легиона 07:24, Статья В Солт-Лейк-Сити произошла стрельба на митинге против Трампа 07:03, Новость Глава МИД Ирака предупредил о ценах на нефть до $200–$300 за баррель 06:49, Статья Эксперты назвали способы повлиять на процессы старения 06:34, Новость CNN сообщил, что операция Израиля против Ирана займет «недели, а не дни» 06:28, Статья WP узнала о плане Трампа запретить въезд в США гражданам еще 36 стран 06:06, Новость Под удар Ирана попал научный институт в Реховоте 06:03, Статья Козьи тропы, любовь к вафлям: в чем самобытность европейской кухни 06:03 Фальков рассказал о проекте закона для новой модели высшего образования 05:38, Новость Маск сообщил об активации Starlink над Ираном 05:13, Новость В израильском Бат-Яме трое погибли в результате удара Ирана 05:13, Новость Аэропорт Тамбова приостановил рейсы 05:11, Новость Пентхаусы и high-sky-студии: быть над городом и смотреть на него сверху 04:55
Газета
Критическая инфраструктура в критической зоне
Газета № 122 (3792) (1310)
0

Критическая инфраструктура в критической зоне

Эксперты проанализировали готовность российских компаний перейти на отечественное ПО
Каждая пятая компания, владеющая критической инфраструктурой, призналась, что не успеет перейти на российский софт к 2025 году, как того требует указ президента. Главная проблема — найти подходящий аналог зарубежным продуктам
Фото: Григорий Сысоев / РИА Новости
Фото: Григорий Сысоев / РИА Новости

Каждая пятая компания, владеющая критической информационной инфраструктурой (к ней относятся сети связи и информационные системы госорганов, финансовых, энергетических, транспортных, медицинских, телекоммуникационных и ряда других компаний), призналась, что не успеет полностью перейти на российское программное обеспечение к 2025 году, как того требует указ президента России от марта 2022-го.

Такой вывод приводится в исследовании «К2 Кибербезопасности» (подразделение компании «К2Тех») и издания Anti-Malware.ru, с которым ознакомился РБК. Авторы исследования в июне—августе этого года опросили 108 руководителей по IT и информационной безопасности российских компаний с выручкой более 5 млрд руб. и госкорпораций в электроэнергетике, медицине, фармацевтике, финансах, транспорте, логистике, металлургии и других отраслях, а также представителей разработчиков аппаратного и программного обеспечения для информационной безопасности.

Бизнес
Мордашов выступил против сбора с бизнеса за иностранный софт <p>Алексей Мордашов</p>

В 2022 году указ президента России запретил закупать иностранный софт для использования на значимых объектах критической информационной инфраструктуры, а также услуг по его использованию без согласования с уполномоченным органом. Этот же документ запретил использование иностранного софта на подобных объектах с 2025 года. К значимым объектам критической информационной инфраструктуры относятся те, которым присвоена одна из трех категорий. Согласно принятому в 2017 году закону, все владельцы критической информационной инфраструктуры должны присвоить своим объектам одну из трех категорий (например, первая категория присваивается тем объектам, атаки на которые могут нанести наиболее существенный урон) и процесс «идентификации» еще продолжается. За нарушение требований по обеспечению информационной безопасности подобных объектов полагаются штрафы в размере от 10 тыс. до 500 тыс. руб., административная и уголовная ответственность.

Основные выводы исследования:

  • к настоящему времени лишь 7% российских компаний завершили переход с иностранного на российское программное обеспечение. Еще 14% находятся на завершающей стадии. У остальных работа находится на начальной или чуть более продвинутой стадии. При этом 10% не приступали к переходу;
  • 24% респондентов не понимают, какие решения нужны для выполнения указа, а 31% считает, что отечественные решения неспособны справиться с предъявляемыми требованиями;
  • среди наиболее востребованного софта назывались межсетевые экраны (так ответили 54% респондентов), антивирусная защита (33%), сетевое оборудование (29%) и средства криптографической защиты (25%);
  • главной проблемой в процессе реализации проектов 27% опрошенных назвали подбор и закупку отечественного софта и оборудования. 14% опрошенных были вынуждены увеличить бюджет на информационную безопасность в десять раз.

Тем не менее директор по развитию бизнеса «К2 Кибербезопасность» Андрей Заикин настаивает, что, несмотря на серьезные трудности, с которыми сталкивается бизнес, большинство опрошенных воспринимают сроки выполнения поставленных государством задач как оптимальные и выполнимые. «Но не стоит забывать, что в контексте критической инфраструктуры речь идет о сотнях тысяч организаций. По нашему опыту, большое количество предприятий для защиты таких учреждений все еще используют зарубежные решения и только часть за полтора года начала процесс импортозамещения», — сказал Заикин.

Выполнимы ли требования

Коммерческий директор «Кода безопасности» Федор Дбар согласен с выводами исследования. По его словам, те заказчики, которые имели довольно высокий уровень зрелости или начали заниматься импортозамещением намного раньше 2022 года, справятся с выполнением требований. Проблемы возникают у той части организаций, которая сильно затянула с решением вопроса. «Отчасти нежелание идти по пути импортозамещения оправдывалось тем, что в России нет идеального софта или оборудования, но из-за этого образовался замкнутый круг: отечественные заказчики не покупают российские продукты в нужных объемах, у вендоров не хватает денег на развитие решений, и эти решения не становятся лучше. С другой стороны, если бы процесс перехода на отечественные продукты начался хотя бы пять-шесть лет назад, то сейчас, к острой фазе противостояния в киберпространстве, вендоры успели бы пройти два-три цикла переработки своих решений по желаниям заказчиков, и те получили бы законченные, рабочие инструменты», — рассуждает Дбар.

Технологии и медиа
«Коммерсантъ» сообщил о «зависнувшей» господдержке отечественного софта Фото: Владимир Гердо / ТАСС

Руководитель отдела консалтинга и аудита Angara Security Александр Хонин отметил, что проблемы с выполнением законодательства в области критической информационной инфраструктуры связаны с тем, что многие владельцы подобных объектов не знают о своем статусе и не занимаются присвоением категорий, что является нарушением требований законодательства. По его словам, проблема актуальна и для госорганизаций, и для крупного бизнеса, банковской сферы, ТЭК, атомной, металлургической, химической промышленности, и других отраслей — там, где используется важная информация, требующая защиты от кибератак.

Директор по развитию бизнеса центра противодействия кибератакам компании «Солар» Алексей Павлов среди основных проблем в выполнении требований назвал дефицит бюджетов и кадров, а также тот факт, что зрелость отечественных продуктов в некоторых классах (например, в сетевом оборудовании) пока отстает от иностранных аналогов и не всегда может решить задачи заказчиков. По его мнению, эти проблемы более актуальны для зрелых компаний, которым важен функционал, а малые компании в первую очередь сталкиваются с проблемой кадрового дефицита. «Рынок информационной безопасности перегрет зарплатами, поэтому небольшие организации не способны обеспечить достойный уровень зарплат и разнообразие задач для профильных специалистов», — пояснил Павлов.

По мнению главного архитектора решений по информационной безопасности Positive Technologies Михаила Кадера, основная проблема состоит в том, что многие организации подходят к соблюдению законодательства в области критической информационной инфраструктуры формально: не тестируют механизмы и подходы к безопасности, то есть не обеспечивают реальную защиту, тогда как изменения в законодательстве были направлены на обеспечение практической и результативной кибербезопасности.