Срочно

Мнение

Мнение: Алексей Лукацкий, эксперт по безопасности Cisco Systems
Алексей Лукацкий
эксперт по безопасности Cisco Systems

В условиях растущих угроз кибертерроризма на критические инфраструктуры, обеспечение их безопасности становится как никогда важной задачей. Поэтому уже в среднесрочной перспективе 2–5 лет в России необходимо принять ряд законодательных изменений и нормативных актов, которые дадут новый толчок развитию отрасли информационных технологий и кибербезопасности.

Один из них — законопроект о безопасности критической информационной инфраструктуры (КИИ), который появился на свет еще в 2013 году по инициативе Федеральной службы безопасности (ФСБ). Проект закона, который задумывался для обеспечения информационной безопасности, в том числе атомных электростанций, систем управления транспортом, ГАС «Выборы» и телекома, в течение долгих двух лет обрастал мнениями экспертов, общественных организаций и будущих субъектов регулирования.

Для России это будет совершенно новая тема, которая потребует практически с нуля создавать целый рынок, что потребует и новых людей, а это новые программы обучения, и новых технологий, а это новые НИОКР, и нового ПО и оборудования, а это развитие наукоемкого производства, и новых процессов. Иными словами, практически с нуля будет создана новая ниша, и рынок кибербезопасности, замерший в ожидании чего-то свежего и незаезженного, как персональные данные, получит новый толчок для своего развития.

Так сложилось, что инциденты в области кибербезопасности обычно замалчиваются, а уж применительно к критической инфраструктуре тем более. Все произошедшие негативные события, а они есть, обычно не выносятся на суд публики и остаются в очень узком кругу специалистов. Очень редко, когда сведения об атаке на критическую инфраструктуру становятся достоянием гласности.

Например, недавно ФСБ опубликовала на своем сайте безликую новость о том, что была обнаружена атака на ряд государственных органов и критических инфраструктур. Никаких деталей об этом инциденте в публичном доступе нет, и это очень хорошо характеризует сложившуюся ситуацию. Сейчас готовится ряд законопроектов, обязывающих сообщать о таких инцидентах, но и в этом случае эта информация будет носить непубличный характер. Вряд ли граждане захотят знать, что на атомные электростанции, дамбы, систему управления транспортом, системы водоочистки и другие системы ЖКХ совершаются кибератаки. Одно дело слышать о взломе почтового ящика какой-либо звезды или политика и совсем другое — бояться реальной катастрофы, на которую очень сложно повлиять. Отсутствие такой публичности и отсутствие законодательства привели к тому, что текущая ситуация с обеспечением кибербезопасности далека от идеальной: владельцы критических инфраструктур просто не заинтересованы в их безопасности, которая стоит немалых денег, не имеющих отдачи.

Задержка связана с попыткой «съесть слона целиком», когда авторы законопроекта попытались подвести под понятие критической инфраструктуры очень уж большой круг лиц, не ограниченный только традиционными отраслями — ТЭК, транспорт, ЖКХ, управление войсками, телекоммуникации и т. п. По одной из версий законопроекта и подзаконных актов получалось, что под новый закон может попасть любая организация, кибератака на которую приводит к ущербу свыше одного миллиона рублей. Это приводило к тому, что чуть ли не каждое юрлицо становилось субъектом нового регулирования, что, разумеется, вызвало отторжение и включение лоббистских интересов. Это и привело к заморозке работы над законопроектом. По самой последней информации, внесение данного законопроекта в Госдуму запланировано не раньше 2018 года, то есть после выборов президента.

Согласно данному законопроекту, должны быть в том числе установлены требования к системам безопасности объектов критической информационной инфраструктуры с учетом их категории опасности и проведена оценка защищенности критической информационной инфраструктуры Российской Федерации и ее объектов.

Угрозы для критических инфраструктур почти неотличимы от других отраслей и предприятий — разница только в масштабе возможного ущерба. Перехват управления, модификация управляющих команд, нарушение работоспособности систем управления технологическими процессами могут привести к экологической катастрофе или гибели людей. Например, недавно на одном из пищевых производств в рецептуру изготовления продукта питания было несанкционированно внесено изменение, которое привело к тому, что готовый продукт стал токсичен для потребителей. В другом примере атака на нефтеперерабатывающий завод привела к остановке производства на три дня и срыву сроков поставки топлива. В третьем — злоумышленники на 40 минут вывели из строя систему управления цепочками поставок на металлургическом предприятии и в этот момент смогли украсть состав с рудой. Нейтрализовать эти угрозы и призваны требования по кибербезопасности, которые до недавнего времени вообще никак не реализовывались на предприятиях, потому что их владельцы считали киберугрозу надуманной, а свои системы физически изолированными от сети интернет. Мировая практика показывает, что все это мифы и чувствовать себя в безопасности не может никто.

В паре с первым законопроектом готовится законопроект «О внесении изменений в законодательные акты Российской Федерации в связи с принятием Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации"», который среди прочего предполагает установить уголовную ответственность за несоблюдение мер безопасности критической инфраструктуры и реализацию атак на них — до семи лет лишения свободы.

В настоящее время основным рабочим нормативным актом в области кибербезопасности критических инфраструктур является выпущенный в 2014 году 31-й приказ по защите автоматизированных систем управления технологическими процессами (АСУ ТП) Федеральной службы по техническому и экспортному контролю (ФСТЭК России), уполномоченной в области безопасности КИИ. ФСТЭК в соответствии с поручением президента планирует разработать ряд методических документов, в том числе по реагированию на инциденты, моделированию угроз и мерам защиты в АСУ ТП. Также ведомство готовит набор обязательных требований по сертификации оборудования и программного обеспечения, которое может применяться в системах управлениях технологическими процессами, разрабатывается проект по промышленным антивирусам.

За информационной безопасностью в России сейчас «приглядывает» государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) ФСБ. Данная система создана в 2013 году и сейчас активно развивается для более эффективного мониторинга и блокировки атак на отечественные госорганы и критические инфраструктуры. В ближайшем будущем планируется выход приказов, в том числе утверждающих порядок реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак на объектах, требования к техсредствам СОПКА и их эксплуатации. Несмотря на то что сама система ГосСОПКА работает уже не первый год, она только недавно стала выходить из тени.

На данный момент реализация всех новых нормативные актов не планирует привлечения финансирования из федерального бюджета, а значит, все затраты будут переложены на плечи владельцев критических инфраструктур. В большинстве стран мира соотношение владения такими инфраструктурами составляет 9 к 1 в пользу коммерческих, а не государственных предприятий. Поэтому основной объем финансирования ляжет именно на коммерческие структуры, которые будут всеми правдами и неправдами стараться уменьшить эту сумму. Например, сделать это можно за счет занижения уровня (категории) опасности, что мы сейчас наблюдаем при оценке уровня антитеррористической защищенности. Что же касается суммы затрат, то назвать сумму сегодня не представляется возможным, так как непонятно, какие предприятия в итоге попадут под определение критической инфраструктуры и, соответственно, под требования нового законодательства.