Терроризм, кибервойны и преступность заставили правительства ужесточать защиту критической ИКТ-инфраструктуры. Страны одна за другой принимают новые законы. Россия обсуждает проблему с 2006 года, но до сих пор нет концепции единой системы информационной безопасности. Часто это приводит к тому, что найти ответственных за ущерб от кибератак невозможно.

Каждый месяц в результате кибератак происходит несколько крупных сбоев критичной инфраструктуры. Так, в ноябре хакеры взломали сайт для набора на военную службу Минобороны Канады; были взломаны банкоматы более 10 государств, включая страны СНГ и ЕС, – киберпреступники заставляли устройства выдавать наличные; злоумышленники пытались получить контроль над 20 млн роутерами в Германии, в результате почти миллион абонентов Deutsche Telekom лишились доступа в интернет. Перечень можно продолжать до бесконечности.

В мире существует более 100 организованных групп, которые занимаются кибершантажом и кражей конфиденциальной информации, которую впоследствии используют для получения геополитического преимущества или продажи заинтересованным лицам, считают в «Лаборатории Касперского». По данным Europol, в некоторых странах ЕС киберпреступления уже вышли на первое место в общем списке противоправных действий. По оценкам Check Point Software Technologies, число неизвестных программ, атакующих системы предприятий, увеличилось в 9 раз за год.

Кибератаки все более активно используются террористами. Поэтому неудивительно, что законодательство в сфере противодействия киберпреступности и защиты критической инфраструктуры ужесточается во всем мире. Среди стран, которые первыми осознали важность подобных мер, можно назвать Японию. Первый план противодействия был утвержден в конце 2005 года. В его основе – четкое определение 10 инфраструктур, признанных критическими, и список мер, необходимых для минимизации последствий от нарушения функционирования в них ИТ. В реализацию плана вовлечены Секретариат правительства, министерства, связанные с критичными инфраструктурами и информационной безопасностью, а также провайдеры критических инфраструктур.

Правительство Сингапура решило пойти другим путем – возложить ответственность за безопасность систем и сетей на владельцев и операторов критической инфраструктуры. Компании будут обязаны соответствовать установленным ИБ-стандартам, проходить регулярную проверку, осуществлять аудит безопасности и оценку рисков, а также сообщать об угрозах и случаях взлома. Кроме того, они будут участвовать в киберучениях.

Как организована борьба с киберпреступниками и защита критической инфраструктуры в России?

Немного истории

Еще в 2006 году в Государственную Думу России был внесен законопроект «Об особенностях обеспечения информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры», по словам Татьяны Никитиной, заместителя директора гражданско-правового департамента юридической фирмы «Клифф». Пару лет он «обсуждался», но в 2008 году был отозван. Любопытно, что одной из причин отзыва стало непонимание объема расходов на его выполнение. Среди наиболее затратных мероприятий были названы те самые задачи, которые должен был решить закон:

  • создание единой системы госконтроля безопасности ИКТ-систем,
  • создание реестра критически важных объектов ИКТ-инфраструктуры,
  • подготовка квалифицированного персонала.

Спустя 5 лет, в 2013 году, на общественное обсуждение был представлен законопроект «О безопасности критической информационной инфраструктуры РФ». Документ предусматривал создание реестра, аккредитацию организаций по оценке защищенности, порядок проведения этой оценки и выявления уязвимостей. Однако проект так и не ушел в Госдуму, причина осталась непонятной.

В том же году вышел указ президента №31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ». Полномочия по созданию системы были возложены на ФСБ. Позднее была опубликована Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ. Президент дал министерствам и ведомствам перечень поручений, одно из них – представить предложения об организации мониторинга интернет-угроз. Был назначен срок – 1 июня 2016 года. Главным итогом выполнения этого поручения стало принятие в июле 2016 года знаменитого «закона Яровой».

Наконец, в канун нового 2016 года, 31 декабря, президентом был подписан указ №683 «О Стратегии национальной безопасности РФ». Довольно большой текст содержит декларацию необходимости укрепления различных направлений безопасности, включая ИБ. Упоминается и безопасность, и устойчивость критической ИКТ-инфраструктуры, акцент делается на деятельности террористических и экстремистских организаций.

Кто и как защищает критическую инфраструктуру в России сегодня

Таким образом, на сегодня четкого законодательства, определяющего кто и как должен защищать критическую инфраструктуру в России, нет. «Правовое регулирование в сфере информационной безопасности в нашей стране остается бессистемным. В основном нормативно-правовые акты ориентированы на отраслевое регулирование и связаны с защитой гостайны и шифрованием данных, – говорит Татьяна Никитина. – В частности, установлена процедура лицензирования, которая отнесена к компетенции ФСБ. Отдельные документы ФСТЭК России также предусматривают базовые модели и методики определения актуальных угроз безопасности информации, методику контроля и др.».

Что такое критическая инфраструктура

Понятие критической информационной инфраструктуры появилось в российском законодательстве около 5 лет. Оно включает в себя автоматизированные системы и телекоммуникационные сети, которые используются в целях государственного управления, обеспечения обороноспособности и безопасности страны. Стабильность и безопасность их работы являются критически важными для нормального функционирования государства.

Основные законы в сфере обеспечения ИБ государственных ИТ-систем:

  • «О связи»
  • «Об информации, информационных технологиях и о защите информации»

 

Основные регуляторы:

  • Минкомсвязи России
  • ФСБ России
  • ФСТЭК

«Законодателем установлена только задача по разработке нормативных правовых актов, определяющих порядок получения федеральными органами информации об автоматизированных системах управления и иных объектах критической информационной инфраструктуры, права и обязанности собственников таких систем, а также эксплуатирующих их организаций в области обеспечения их безопасности и пр. Применение реальных мер по обеспечению безопасности критической инфраструктуры в РФ запланированы на период с 2017 по 2020 год», – продолжает Николай Гречкин, адвокат юридической группы «Яковлев и Партнеры».

Насколько надежно в таких условиях защищена критическая инфраструктура? По мнению Андрея Голова, генерального директора компании «Код безопасности», организации достаточно хорошо защищают себя собственными силами – уровень развития систем ИБ позволяет им это сделать. А актуальная для многих стран проблема обеспечения безопасности операторских сетей в России стоит не столь остро. «Если говорить про сервис-провайдинг с точки зрения оператора связи, обязанного обеспечить безопасность клиента, то такая модель у нас не сильно развита. Более того, с нее пытаются «соскочить», – говорит он. – Согласно российскому менталитету, ты не можешь доверить обработку своих конфиденциальных данных кому-то другому. Именно поэтому у нас не сильно развита облачная тематика. Причина – не в отсутствии регуляции, а в банальном отсутствии доверия».

«Законодательных актов, предписывающих ответственность за безопасность сетей и систем, для российских операторов связи нет. При этом законодательными актами предусмотрен порядок реализации на сетях операторов связи технических средств для обеспечения функций оперативно-разыскных мероприятий, которые позволяют выявлять источники противоправных действий в сфере связи, в том числе и киберугроз», – уточняет Алексей Стуров, президент Ассоциации компаний связи.

На пути к системности

По какому пути следует пойти России? По мнению Алексея Стурова, текущий уровень ИБ критических ИКТ-инфраструктур полностью удовлетворяет существующим вызовам. С ним согласен и Андрей Голов, который считает, что все необходимое для борьбы с киберпреступниками в России есть, в частности, в законодательстве прописаны такие понятия как аттестация и сертификация продуктов.

Что касается законодательного введения регулярного аудита информационной безопасности, то, по мнению Николая Гречкина, говорить об этом преждевременно, так как первоначально необходима унификация и систематизация действующего законодательства в данной сфере.

Татьяна Никитина считает, что перспективы реализации идеи единой структуры регулярного аудита информационных систем и оборудования в РФ напрямую зависят от источника финансирования такого крупного проекта и качества правового регулирования. «Вероятно, в такой ситуации одного закона будет недостаточно, следует провести целую реформу уже имеющегося законодательства. Вопрос финансирования – еще более сложный, – говорит она. – Информационная инфраструктура государства сродни дорожной инфраструктуре, она также важна для экономики страны, и пока строительство дорог является существенной частью затрат федерального бюджета, а не частных инвесторов. Никто не перекладывает расходы на реализацию дорожных проектов в полном объеме на бизнес».

Однако примеры обременения бизнеса дополнительными расходами по реализации госпрограмм, связанных с информацией, уже существуют. Достаточно вспомнить «закон Яровой», которым на операторов связи возложена обязанность хранить большие объемы информации, для чего необходимо закупать и содержать дорогостоящее оборудование. «С одной стороны, создание единой системы информационной безопасности имеет важное значение для государства и общества. С другой стороны, может повлечь за собой ухудшение бизнес-среды, так как в сложившихся неблагоприятных экономических условиях возложенные законом на бизнес затраты могут стать смертельными для многих предпринимателей и приведут к монополизации рынков», – заключает эксперт.

По мнению Алексея Стурова, попытка возложить обязанность, а тем более ответственность по контролю за киберпреступностью на операторов связи не приведет к желаемым результатам. «Любые преступления, в том числе и киберпреступления, должны находиться в исключительной ответственности государства и государственных служб, – уверен он. – Только создание специальных центров по борьбе с киберпреступлениями в рамках существующих подразделений в правоохранительных органах и их тесная работа с операторами связи и другими участниками рынка, страдающими от действий данных преступников, способны решить эту проблему».

Наталья Рудычева

 

Об авторе

Digital Report

Digital Report рассказывает о цифровой реальности, стремительно меняющей облик стран Евразии: от электронных государственных услуг и международных информационных войн до законодательных нововведений и тенденций рынка информационных технологий.

Написать ответ

Send this to a friend

Перейти к верхней панели