Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.
Лента новостей
Как подростку получить опыт работы для успешной карьеры в будущем Партнерский проект, 12:49
Умер «индийский Уоррен Баффетт» Ракеш Джунджхунвала Бизнес, 12:48
Украинские синхронистки выиграли чемпионат Европы в отсутствие россиянок Спорт, 12:48
«Калашников» показал cерийную версию нового беспилотника ZALA 421-24 Технологии и медиа, 12:35
Сильный ливень затопил улицы Южно-Сахалинска. Видео Общество, 12:28
«Давайте уже завтра»: как помочь прокрастинатору ускориться Pro, 12:26
МЮ впервые за 101 год проиграл два матча на старте чемпионата Англии Спорт, 12:14
Как отучить молодежь от покупки сигарет Партнерский проект, 12:00
Новости, которые вас точно касаются
Самое актуальное о ценах, штрафах и кредитах — в одном письме каждый будний день.
Подписаться за 99 ₽ в месяц
Латвия предложила аннулировать ВНЖ и визы за поддержку спецоперации Политика, 11:51
В России вторые сутки подряд выявили более 28 тыс. заболевших COVID-19 Общество, 11:43
Российская CRM для малого бизнеса: реальный кейс использования РБК и Мегаплан, 11:36
Хави стал худшим тренером «Барселоны» за 20 лет Спорт, 11:36
Делегация «Талибана» посетит Москву и Казань Политика, 11:15
Спасение застревающих: как сделать российские лифты безопаснее Партнерский проект, 11:11
Технологии и медиа ,  
0 

Нестрашные хакеры: почему не работает закон о критической инфраструктуре

Вступивший в силу в 2019 году закон «О безопасности критической информационной инфраструктуры» так и не заработал, признали власти. До сих пор не составлен реестр объектов, атаки на которые окажутся наиболее опасными для страны
Фото: Кирилл Каллиников / РИА Новости
Фото: Кирилл Каллиников / РИА Новости

Операторы связи и банки задерживают исполнение закона о критической информационной инфраструктуре (КИИ). Об этом заявил заместитель директора Федеральной службы по техническому и экспортному контролю (ФС​ТЭК) Виталий Лютиков, выступая на «Инфофоруме» в Москве в четверг, 31 января. Он отметил, что только около 40 операторов предоставили во ФСТЭК сведения о «критичности» своих объектов, тогда как всего в России их около 10 тыс.

«В целом реализация положений закона «О безопасности критической информационной инфраструктуры» имеет положительную тенденцию. Но есть сложности методологического характера. Самый проблемный вопрос — это преднамеренное занижение субъектами критической инфраструктуры значимости своих объектов. Они стараются показать меньшие прогнозируемые последствия от компьютерных атак на инфраструктуру», — сказал Лютиков, добавив, что категорирование (определение степени значимости объекта) провели около 15% субъектов КИИ.

Хакеры второй раз за неделю атаковали госсистему ветеринарных документов
Технологии и медиа

Почему операторы связи и банки вызвали беспокойство ФСТЭК и как их бездействие скажется на уровне безопасности критической информационной инфраструктуры, разбирался РБК.

Что предписывает закон

Закон «О безопасности критической информационной инфраструктуры» вступил в силу 1 января 2018 года. К объектам КИИ в нем отнесены сети и информационные системы госорганов, предприятий оборонной промышленности, транспорта, кредитно-финансовой сферы, энергетики, топливной и атомной промышленности и др. Владельцы критической инфраструктуры должны подключить свои объекты к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), созданной ФСБ по поручению президента. Также они должны составить перечень объектов КИИ и отнести их к одной из трех категорий значимости, исходя из того, какой ущерб стране и людям будет нанесен, если информационную систему компании атакуют хакеры. Это необходимо, чтобы создать реестр значимых объектов, установить требования по их безопасности и обеспечить государственный контроль за этим процессом. В законе не указаны сроки выполнения этих работ. Но по планам ФСТЭК процесс присвоения категорий объектам критической информационной инфраструктуры должен завершиться в 2019 году, после чего начнется построение системы безопасности.

При внесении проекта в Госдуму в пояснительной записке отмечалось, что «нанесение ущерба критической информационной инфраструктуре может привести к катастрофическим последствиям» во всех отраслях, поскольку внедрение цифровых информационных и коммуникационных технологий, автоматизации управления процессами сделало все отрасли уязвимыми перед компьютерными атаками. Действия хакеров могут вывести из строя не только компьютеры, но и оборудование, которым они управляют. Общий ущерб от вредоносных программ, исходя из различных методик, оценивается в сумму от $300 млрд до $1 трлн, или 0,4–1,4% общемирового ежегодного ВВП. В записке отмечалось, что существенная часть объектов КИИ в России не находится в собственности государства.

Pro
Неотвлекаемые. Как управлять своим вниманием и жизнью
Pro
Фото: 20th Century Fox Film Corporation «Я вышел от шефа униженным»: как бороться с токсичностью на работе
Pro
Фото: Михаил Гребенщиков / РБК «Вкусно — и запятая»: что делать с наспех созданными новыми брендами
Pro
Самые популярные способы отъема бизнеса и как с ними бороться
Pro
Фото: Shutterstock Не приходить с капучино и без резюме: правила удачного собеседования
Pro
Фото: Michel Eule / AP Кто такие инверсионные параноики и почему они добиваются успеха
Pro
Главное — не дойти до Abibas: каким должен быть импортозамещающий бренд
Pro
Фото: Peter Macdiarmid / Getty Images Что покупают летом на Wildberries и кто продает больше всех. Рейтинг

В Group-IB заявили о краже хакерами из банков России почти 3 млрд руб.
Финансы

В 2018 году ГосСОПКА выявила более 4 млрд компьютерных атак на российскую критическую инфраструктуру, заявил директор Национального координационного центра по компьютерным инцидентам Николай Мурашов в конце 2018 года. Только на информационную инфраструктуру чемпионата мира по футболу было совершено более 25 млн вредоносных воздействий.

Фото:Константин Лемешев / ТАСС
Фото: Константин Лемешев / ТАСС

Почему операторы и банки в числе отстающих

Как пояснили РБК представители «МегаФона» и «ВымпелКома» (бренд «Билайн»), эти компании составили перечни объектов критической информационной инфраструктуры и направили их во ФСТЭК. Теперь у компании есть год на то, чтобы присвоить каждому объекту определенную категорию, отметил представитель «МегаФона» Дмитрий Лукьянчиков.

Определить значимость объектов — задача для большинства организаций новая, а срок проведения категорирования пока не ограничивается, поэтому в разных отраслях субъекты КИИ подошли к решению по-разному и с разной скоростью, говорит директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов. «Для промышленных предприятий такая задача уже знакома: нечто подобное делается в области промышленной безопасности, поэтому в промышленности и энергетике категорирование вызвало не так много вопросов», — пояснил он.

По словам Кузнецова, в 2018 году операторы связи разработали единый для отрасли методический документ, помогающий выделять и категорировать ключевые компоненты своих сетей, и только сейчас приступили собственно к категорированию.

Представитель МТС Алексей Меркутов сообщил, что компания ведет работу по определению критических процессов и объектов. По его словам, владельцы КИИ ждут изменений в постановление правительства № 127, в котором описан порядок и правила категорирования. В частности, должны быть изменены сроки этой работы. Представитель «Ростелекома» Андрей Поляков заявил, что оператор проводит весь необходимый перечень работ для категорирования объектов КИИ в установленные сроки.

Источник РБК на телекоммуникационном рынке обратил внимание на то, что операторам в отличие от других владельцев КИИ сложно выполнить требования о категорировании, поскольку речь идет «о колоссальном объеме инфраструктуры, которая более масштабна и распределена, чем даже у энергетических компаний». «Провести категорирование этой инфраструктуры сложно, тем более что функция информационной безопасности в телеком-компаниях, как правило, централизована и мало у кого есть отдельные службы в дочерних структурах, которые могли бы взять на себя часть этой работы. Кроме того, все субъекты КИИ стараются категорировать объекты как много маленьких и незначимых, при том что ФСТЭК старается объединять элементы инфраструктуры в более крупные и более значимые объекты», — пояснил собеседник РБК и добавил, что по правилам категорирования критически значимой можно считать любую базовую станцию даже самого​ мелкого оператора.

Банки не спешат определять критичность своих объектов, так как находятся в зоне более сложного регулирования, отметил аналитик центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Solar» Алексей Павлов. «Помимо основных регуляторов федерального закона есть еще отраслевой регулятор — ЦБ. Поэтому процесс согласования критериев, объектов и результатов категорирования в случае банков более сложный и многоэтапный», — указал эксперт.

Group-IB сообщила о масштабной кибератаке на российских банкиров
Финансы
Фото:Кирилл Каллиников / РИА Новости

Представитель пресс-службы Промсвязьбанка сообщил, что организация предоставила ФСТЭК всю необходимую информацию. «Все основные документы также есть, сейчас идет уточнение по процессам взаимодействия и мониторинга», — пояснил он.

Представитель пресс-службы ВТБ сообщил, что сейчас в банке завершается формирование перечня объектов КИИ, подлежащих категорированию, и в ближайшее время перечень отправят во ФСТЭК. По его словам, банк, «принимая во внимание важность задач по защите объектов КИИ, прикладывает все усилия, чтобы завершить работы по категорированию досрочно, до конца 2019 года».

В пресс-службе Сбербанка сообщили, что банк своевременно направил во ФСТЭК информацию о своих объектах КИИ и сейчас проводит их категорирование. В Сбербанке рассчитывают завершить процесс до конца этого года.

Остальные банки из топ-10 не ответили на запрос РБК на момент публикации материала.

Что грозит отстающим

Как пояснил гендиректор юридической компании «ОрдерКом» Дмитрий Галушко, максимум, что грозит оператору связи по ч. 1 ст. 19.5 Кодекса об административных правонарушениях (невыполнение предписания ФСТЭК/ФСБ) — это штраф 10–20 тыс. руб. Он также отметил, что специального наказания за невыполнение закона «О безопасности КИИ» и постановления правительства № 127 не предусмотрено. Хотя он не исключил, что в будущем санкции для нарушителей появятся.

Согласно ст. 274.1 УК РФ, если на объекты КИИ была совершена атака и она нанесла вред, злоумышленникам и руководителям компаний — владельцев подобной инфраструктуры будет грозить уголовная ответственность. Нарушение правил эксплуатации наказывается принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью либо лишением свободы на срок до шести лет. Но пока объект не признан критически значимым, то есть не получил категорию, эта норма в отношении него не действует.

В Сбербанке заявили о 18 кибератаках с начала года
Технологии и медиа

По словам Галушко, необходимо еще доказать, что именно ошибки оператора привели к серьезным последствиям. «Крупные операторы и так хорошо защищают свои сети, а инциденты на мелких сетях в принципе не могут нанести ущерб инфраструктуре целой страны», — заключил юрист.

Авторы
Теги
Магазин исследований Аналитика по теме "Безопасность"