Вступивший в силу в 2019 году ЗАКОН «О безопасности критической информационной инфраструктуры» так и НЕ ЗАРАБОТАЛ, признали власти. До сих пор не составлен РЕЕСТР ОБЪЕКТОВ, атаки на которые окажутся наиболее опасными для страны.
Операторы связи и банки задерживают исполнение закона о критической информационной инфраструктуре (КИИ). Об этом заявил заместитель директора Федеральной службы по техническому и экспортному контролю (ФСТЭК) Виталий Лютиков, выступая на «Инфофоруме» в Москве в четверг, 31 января. Он отметил, что только около 40 операторов предоставили во ФСТЭК сведения о «критичности» своих объектов, тогда как всего в России их около 10 тыс.
«В целом реализация положений закона «О безопасности критической информационной инфраструктуры» имеет положительную тенденцию. Но есть сложности методологического характера. Самый проблемный вопрос — это преднамеренное занижение субъектами критической инфраструктуры значимости своих объектов. Они стараются показать меньшие прогнозируемые последствия от компьютерных атак на инфраструктуру», — сказал Лютиков, добавив, что категорирование (определение степени значимости объекта) провели около 15% субъектов КИИ.
Почему операторы связи и банки вызвали беспокойство ФСТЭК и как их бездействие скажется на уровне безопасности критической информационной инфраструктуры, разбирался РБК.
Что предписывает закон?
Закон «О безопасности критической информационной инфраструктуры» вступил в силу 1 января 2018 года. К объектам КИИ в нем отнесены сети и информационные системы госорганов, предприятий оборонной промышленности, транспорта, кредитно-финансовой сферы, энергетики, топливной и атомной промышленности и др. Владельцы критической инфраструктуры должны подключить свои объекты к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), созданной ФСБ по поручению президента. Также они должны составить перечень объектов КИИ и отнести их к одной из трех категорий значимости, исходя из того, какой ущерб стране и людям будет нанесен, если информационную систему компании атакуют хакеры. Это необходимо, чтобы создать реестр значимых объектов, установить требования по их безопасности и обеспечить государственный контроль за этим процессом. В законе не указаны сроки выполнения этих работ. Но по планам ФСТЭК процесс присвоения категорий объектам критической информационной инфраструктуры должен завершиться в 2019 году, после чего начнется построение системы безопасности. При внесении проекта в Госдуму в пояснительной записке отмечалось, что «нанесение ущерба критической информационной инфраструктуре может привести к катастрофическим последствиям» во всех отраслях, поскольку внедрение цифровых информационных и коммуникационных технологий, автоматизации управления процессами сделало все отрасли уязвимыми перед компьютерными атаками. Действия хакеров могут вывести из строя не только компьютеры, но и оборудование, которым они управляют. Общий ущерб от вредоносных программ, исходя из различных методик, оценивается в сумму от $300 млрд до $1 трлн, или 0,4–1,4% общемирового ежегодного ВВП.
В 2018 году ГосСОПКА выявила более 4 млрд компьютерных атак на российскую критическую инфраструктуру, заявил директор Национального координационного центра по компьютерным инцидентам Николай Мурашов в конце 2018 года.
Почему операторы и банки в числе отстающих?
Как пояснили РБК представители «МегаФона» и «ВымпелКома» (бренд «Билайн»), эти компании составили перечни объектов критической информационной инфраструктуры и направили их во ФСТЭК. Теперь у компании есть год на то, чтобы присвоить каждому объекту определенную категорию, отметил представитель «МегаФона» Дмитрий Лукьянчиков.
Определить значимость объектов — задача для большинства организаций новая, а срок проведения категорирования пока не ограничивается, поэтому в разных отраслях субъекты КИИ подошли к решению по-разному и с разной скоростью, говорит директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов. «Для промышленных предприятий такая задача уже знакома: нечто подобное делается в области промышленной безопасности, поэтому в промышленности и энергетике категорирование вызвало не так много вопросов», — пояснил он.
По словам Кузнецова, в 2018 году операторы связи разработали единый для отрасли методический документ, помогающий выделять и категорировать ключевые компоненты своих сетей, и только сейчас приступили собственно к категорированию.
Представитель МТС Алексей Меркутов сообщил, что компания ведет работу по определению критических процессов и объектов. По его словам, владельцы КИИ ждут изменений в постановление правительства № 127, в котором описан порядок и правила категорирования. В частности, должны быть изменены сроки этой работы. Представитель «Ростелекома» Андрей Поляков заявил, что оператор проводит весь необходимый перечень работ для категорирования объектов КИИ в установленные сроки.
Источник РБК на телекоммуникационном рынке обратил внимание на то, что операторам в отличие от других владельцев КИИ сложно выполнить требования о категорировании, поскольку речь идет «о колоссальном объеме инфраструктуры, которая более масштабна и распределена, чем даже у энергетических компаний». «Провести категорирование этой инфраструктуры сложно, тем более что функция информационной безопасности в телеком-компаниях, как правило, централизована и мало у кого есть отдельные службы в дочерних структурах, которые могли бы взять на себя часть этой работы. Кроме того, все субъекты КИИ стараются категорировать объекты как много маленьких и незначимых, при том что ФСТЭК старается объединять элементы инфраструктуры в более крупные и более значимые объекты», — пояснил собеседник РБК и добавил, что по правилам категорирования критически значимой можно считать любую базовую станцию даже самого мелкого оператора. Банки не спешат определять критичность своих объектов, так как находятся в зоне более сложного регулирования, отметил аналитик центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Solar» Алексей Павлов. «Помимо основных регуляторов федерального закона есть еще отраслевой регулятор — ЦБ. Поэтому процесс согласования критериев, объектов и результатов категорирования в случае банков более сложный и многоэтапный», — указал эксперт. Представитель пресс-службы Промсвязьбанка сообщил, что организация предоставила ФСТЭК всю необходимую информацию. «Все основные документы также есть, сейчас идет уточнение по процессам взаимодействия и мониторинга», — пояснил он. Остальные банки из топ-10 не ответили на запрос РБК на момент публикации материала.
Что грозит отстающим?
Как пояснил гендиректор юридической компании «ОрдерКом» Дмитрий Галушко, максимум, что грозит оператору связи по ч. 1 ст. 19.5 Кодекса об административных правонарушениях (невыполнение предписания ФСТЭК/ ФСБ) — это штраф 10–20 тыс. руб. Он также отметил, что наказания за невыполнение закона «О безопасности КИИ» и постановления правительства № 127 не предусмотрено. Хотя не исключил, что в будущем такие санкции появятся. Согласно ст. 274.1 УК РФ, если на объекты КИИ была совершена атака и она нанесла вред, злоумышленникам и руководителям компаний — владельцев подобной инфраструктуры будет грозить уголовная ответственность. Нарушение правил эксплуатации наказывается работами на срок до пяти лет либо лишением свободы на срок до шести лет. Но пока объект не признан критически значимым, эта норма в отношении него не действует.
По словам Галушко, необходимо еще доказать, что именно ошибки оператора привели к серьезным последствиям. «Крупные операторы и так хорошо защищают свои сети, а инциденты на мелких сетях в принципе не могут нанести ущерб инфраструктуре целой страны», — заключил юрист.