Операторы столкнулись с проблемой оценки рисков для своей инфраструктуры
Бизнес и регулятор не могут договориться, что считать значимыми объектами на сетяхСразу несколько собеседников в российских операторах связи пожаловались РБК на проблему — какие свои программно-аппаратные комплексы (ПАКи) они должны относить к критической информационной инфраструктуре. «В действующем законодательстве определение ПАКа неоднозначно и требует конкретизации. Также необходимо разъяснить порядок отнесения объектов критической информационной инфраструктуры к ПАКам», — отметил один из собеседников РБК, близкий к крупной российской телекоммуникационной компании.
Что такое критическая информационная инфраструктура
К критической информационной инфраструктуре относятся сети связи и информационные системы госорганов, финансовых, энергетических, транспортных и ряда др. компаний, в том числе телекоммуникационнных. Согласно принятому в 2017 году закону, все владельцы подобной инфраструктуры должны присвоить своим объектам одну из трех категорий (например, первая категория присваивается тем объектам, атаки на которые могут нанести наиболее существенный урон), но процесс «идентификации» еще продолжается. За нарушение требований по обеспечению информационной безопасности подобных объектов полагаются штрафы, административная и уголовная ответственность.
По указу президента от 30 марта 2022 года госорганам и другим госзаказчикам запрещено использовать иностранный софт на принадлежащих им значимых объектах критической информационной инфраструктуры.
Что требует Минцифры
В середине июня замминистра цифровых технологий, связи и массовых коммуникаций Александр Шойтов разослал операторам связи письмо (копия есть у РБК), в котором просил до 26 июня предоставить информацию об используемых на объектах критической информационной инфраструктуры доверенных ПАКов; комплексов, не являющихся доверенными; а также о наличии или отсутствии отечественных аналогов используемых ПАКов.
ПАК — это набор технических и программных средств, работающих совместно для выполнения одной или нескольких сходных задач. К доверенным ПАКам относятся те, которые включают оборудование и софт, внесенные в специальные реестры и соответствуют требованиям безопасности ФСТЭК и ФСБ.
В письме Шойтов ссылается на постановление правительства № 1912 от 14 ноября 2023 года, по которому владельцы критической информационной инфраструктуры должны перейти на преимущественное применение доверенных ПАКов до 2030 года. При этом с 1 сентября 2024 года не допускается использование на значимых объектах критической информационной инфраструктуры приобретенных после этой даты недоверенных ПАКов. Исключение — если нет доверенных отечественных аналогов.
Среди получателей письма Шойтова было более 100 операторов, в том числе крупнейшие — «Ростелеком», МТС, «МегаФон» и «ВымпелКом» (бренд «Билайн»).
Представители «Ростелекома», МТС и «ВымпелКома» отказались от комментариев. Представитель «МегаФона» не стал комментировать тезис о сложностях с тем, какие ПАКи относить к критической информационной инфраструктуре. Он лишь сообщил, что они «ведут активную работу по переходу на отечественные ПАКи» на подобных объектах и по защите своих информсистем, а также что компания «полностью выполняет требования законодательства».
Как рассказал РБК Олег Грищенко, президент ассоциации «Ростелесеть» (включает 170 региональных компаний связи), они обсудили со своими участниками объекты критической информационной инфраструктуры, которые те заявляют в ответах на обращение Минцифры, и «пришли к выводу, что у большинства отличается подход к тому, что считать таким объектом». «По сути, операторы сами должны определить те объекты, кибератаки на которые приведут к прекращению оказания услуг связи у большого количества абонентов», — отметил Грищенко. Он указал, что по методическим рекомендациям ФСБ и ФСТЭК о том, что необходимо категорировать в сфере связи, сети не являются объектами критической информационной инфраструктуры. «В основном таковыми являются информационные системы, но операторы связи до сих пор не до конца понимают, что же причислять к таким объектам», — отметил Грищенко.
По его словам, в перечне типовых объектов подобной инфраструктуры для отрасли связи, который Минцифры опубликовало в марте этого года, содержатся общие понятия и «отсутствие конкретики вносит неопределенность трактовок у операторов». «ФСТЭК начала использовать такие перечни для разных отраслей как руководство к действию: в последний год сотрудники службы начали приходить к операторам с требованием за короткий срок провести категорирование своих объектов критической информационной инфраструктуры. Если компания его не выполняет, к ней может прийти прокуратура с проверкой. При этом у сотрудников ФСТЭК, Минцифры и операторов связи может быть разное понимание о том, что считать объектами критической информационной инфраструктуры», — рассказал президент «Ростелесети». По его словам, разъяснительная работа регулирующих и надзорных ведомств «ведется недостаточно».
По оценке «Ростелесети», операторы связи к объектам критической информационной инфраструктуры должны причислять только те информационные системы, атаки на которые приведут к прекращению оказания услуг связи. Например, управляемый биллинг. При этом информационные системы могут быть размещены на любом подходящем по техническим параметрам сервере, но последний не должен причисляться к ПАКам, так как не связан с биллингом неразрывно и сертифицируется отдельно. «Проблема в том, что у львиной доли операторов связи нехватка специалистов по информационной безопасности с определенной квалификацией, их просто нет на рынке в нужном количестве. И даже если компании находят такого специалиста, его, как правило, довольно быстро перекупают другие участники рынка или он сам уходит из-за большой ответственности — за нарушение безопасности критической информационной инфраструктуры этим людям грозит уголовная ответственность», — указал Грищенко.
Представитель Минцифры подтвердил РБК отправку указанного письма, назвав это «плановой работой». Он не стал говорить, к каким выводам пришло министерство по итогам ответов операторов о количестве доверенных ПАКов, уже используемых на сетях операторов, как и п_о тому, какова доля комплексов, для которых нет доверенных российских аналогов. Лишь отметил, что операторы «выразили готовность перейти на российские ПАКи». Также представитель Минцифры сообщил, что перечень типов ПАКов «сейчас активно дорабатывается с телеком-отраслью, включая крупнейших операторов связи, представителей экспертного и научного сообществ».