Как защитить граждан и критически важную информационную инфраструктуру?

ЭкспертHi-Tech

Государство закручивает гайки

Для защиты критической информационной инфраструктуры от участившихся атак приходится ужесточать правовое регулирование и принимать меры, увеличивающие расходы компаний

Анастасия Филиппова

Особое внимание со стороны государства — критической информационной инфраструктуре. Фото: Семен Лиходеев/ТАСС

В ближайшие два-три года рост числа утечек данных в России составит 50-150% в год, считает управляющий компании RTM Group Евгений Царев. Такой прогноз он дал в ходе мероприятия, организованного Ассоциацией пользователей стандартов по информационной безопасности АБИСС. Со своей стороны, в компании InfoWatch отмечают, что только за 2017-2021 годы количество записей персональных данных, раскрытых в результате утечек, превысило население России в пять раз.

По мнению Евгения Царева, рост числа утечек связан одновременно как с затягиванием процесса импортозамещения программного обеспечения, так и с ускоренным движением к цифровому суверенитету. Часть компаний не спешит замещать иностранное оборудование и ПО, поддерживая работоспособность своей IT-инфраструктуры при помощи различных «костылей». Это приводит к всевозможным ошибкам и росту количества уязвимостей. Другие компании, напротив, в ускоренном порядке избавляются от всего иностранного. Однако новые программные продукты порой выпускаются без достаточного тестирования, поэтому в них остаются уязвимости, которыми могут воспользоваться злоумышленники. Перед специалистами по информационной безопасности встает вопрос, как в таких условиях защитить граждан и критически важную информационную инфраструктуру.

Сжатые сроки

Критическая информационная инфраструктура (КИИ) — это ПО, системы управления и средства связи, которые используются в ключевых сферах жизнедеятельности государства и общества: здравоохранении, промышленности, топливно-энергетическом комплексе, транспорте, финансовом секторе, городском хозяйстве. Субъектами КИИ являются как государственные органы и учреждения, так и частные компании и индивидуальные предприниматели, работающие в этих отраслях. Для объектов КИИ установлены три категории значимости: самая высокая — первая, самая низкая — третья. Категории присваиваются исходя из масштаба возможных последствий в случае нарушения работы такой инфраструктуры.

В прошлом году президент Владимир Путин подписал указ, запрещающий приобретать иностранное ПО для значимых объектов КИИ. Кроме того, с 1 января 2025 года нельзя будет эксплуатировать ранее приобретенное иностранное программное обеспечение на значимых объектах критической информационной инфраструктуры.

«Откровенно говоря, все заменить в такие сроки невозможно. Не у всех продуктов есть российские аналоги, нужно время на их разработку, — рассказала “Эксперту” председатель АБИСС Анастасия Харыбина. — Государство сейчас реально помогает в разработке, выделяет дополнительные инвестиции. Но недостаточно просто создать информационный продукт — он должен быть безопасным. И это, к сожалению, отодвигает возможные сроки импортозамещения».

Анастасия Харыбина обратила внимание на то, что резкий уход иностранных вендоров способствовал росту количества уязвимостей: «Ряд вендоров просто отключили информационные системы от обслуживания. Естественно, организациям нужно было быстро что-то придумать. Справедливости ради, очень много было сделано, но обеспечить функционирование не равно обеспечить безопасное функционирование. Многие компании были вынуждены в сжатые сроки и, вероятно, без должного анализа перейти на альтернативное ПО или самостоятельно собирать что-то из открытого кода».

По ее словам, это противоречит концепции security by design, в соответствии с которой информационная безопасность должна с самого начала стать неотъемлемой частью программного продукта и быть интегрирована во все его компоненты. «У нас не было такой возможности — замещали все быстро, потому что иначе бы все встало. А потом уже вернулись к вопросу обеспечения информационной безопасности», — добавляет председатель АБИСС.

Другим важным обстоятельством стал рост числа субъектов КИИ. В марте вступило в силу постановление правительства, согласно которому в перечень субъектов КИИ экономической сферы теперь помимо банков входят и другие финансовые организации: негосударственные пенсионные фонды, страховые организации, центральные депозитарии и контрагенты, операторы услуг информационного обмена. К социально значимым последствиям нарушения функционирования КИИ теперь также причисляют сбои в работе не только транспортной инфраструктуры, но и транспортных средств. Эти изменения привели к тому, что число субъектов КИИ значительно выросло и всем им придется выполнять требования законодательства об использовании преимущественно российского ПО с 2025 года. Одновременно для них повышаются требования по информационной безопасности.

В будущем к КИИ могут быть отнесены и другие сферы жизни, считает Александр Иванцов, старший инженер по защите информации Deiteriy Compliance. Эксперт напомнил о недавних атаках на российские системы оповещения, когда в ряде регионов в теле- и радиоэфире вышли ложные предупреждения о ракетной угрозе. «Если такое еще повторится, это попадет в зону внимания государства и может привести к тому, что системы оповещения или средства массовой информации станут одной из сфер, которая будет включена закон о безопасности критической информационной инфраструктуры», — полагает Александр Иванцов.

С одной стороны, новые требования дадут толчок к развитию информационной безопасности компаниям, ранее не занимавшимся этими вопросами. Это повысит их устойчивость к различным атакам. С другой стороны, потребуется реализовать больше защитных мер, что приведет к дополнительным затратам. По подсчетам Евгения Царева, для субъектов КИИ с первой категорией значимости (нарушения в их работе затронут наибольшее количество граждан) и числом сотрудников более 1000 человек стоимость внедрения систем информационной безопасности может достигать сотен миллионов рублей. Эксперт привел данные, согласно которым для компаний с числом сотрудников 1009500 человек и размером уплаченных налогов от 2 млн до 19 млн рублей стоимость внедрения систем информационной безопасности составляет от 10 до 60 млн рублей соответственно.

Многие специалисты по информационной безопасности обращают внимание на еще одну проблему — дефицит кадров в своей сфере. С учетом роста числа объектов КИИ она становится особенно актуальной. Сейчас для специалистов по ИБ, обслуживающих КИИ, требуется наличие высшего профессионального образования. Недавно стало известно, что Федеральная служба по техническому и экспортному контролю (ФСТЭК) готова разрешить специалистам со средним специальным образованием работать на объектах критической информационной инфраструктуры.

«Эта мера частично поможет компенсировать нехватку специалистов, — отметила Анастасия Харыбина. — Вход в профессиональную сферу ИБ упрощается. Другое дело, что это будет нижний уровень специалистов — джуниоры, если проводить аналогию с разработкой. Конечно, они смогут взять на себя часть функционала и процессов, но этого недостаточно. Специалисты среднего и высокого уровня тоже необходимы, но нужно время, чтобы они появились».

Новые меры

Эксперты отмечают, что власти уже принимают меры для повышения информационной безопасности. По данным InfoWatch, в целом за 2022 год было принято 257 нормативных правовых актов, касающихся регулирования сфер ИБ, ИТ и цифровой экономики в целом.

Александр Моисеев, ведущий консультант по информационной безопасности Aktiv.Consulting, рассказал о некоторых инструментах. Так, создано более 30 центров компетенций, которые изучают, в какой приоритетности осуществлять поддержку тех или иных программных продуктов, по каким критериям оценивать эффективность программных средств. В 2021 году на базе Института системного программирования им. В. П. Иванникова РАН под эгидой ФСТЭК России был основан технологический центр исследования безопасности ядра Linux, где коллективы разработчиков могут проверять безопасность ПО.

Кроме того, сейчас разрабатываются перечни и каталоги импортозамещенного ПО. В прошлом году правительство приняло постановление о создании национального репозитория ПО с открытым кодом к апрелю 2024 года. В нем будет размещаться программное обеспечение, созданное в том числе на бюджетные средства. И в дальнейшем разработчики смогут использовать готовые решения в своих проектах, что ускорит создание нового отечественного ПО. Что касается обеспечения безопасности КИИ, то ФСТЭК разработала методику, позволяющую проверять как зарубежные, так и российские обновления для иностранного ПО.

«Есть множество государственных ресурсов, где содержатся сведения об актуальных угрозах и уязвимостях. Специалисты могут использовать их, чтобы понимать, есть ли слабые места в их инфраструктуре», — рассказал Александр Моисеев. Кроме того, ФСБ получила право проводить тесты на проникновение без информирования субъекта КИИ с целью проверки безопасности используемых информационных систем.

В прошлом году были также внесены изменения в Федеральный закон «О персональных данных». Руководитель отдела консалтинга и аудита Angara Security Александр Хонин назвал это самым большим обновлением за все время существования закона. «Одна из целей, которую эти изменения несут, — нормализовать объем сбора персональных данных компаниями», — говорит эксперт.

Ранее многие персональные данные собирались без четкой необходимости, на всякий случай. Теперь же компании обязаны отчитываться перед Роскомнадзором, сообщая, для каких целей они собирают и обрабатывают конкретную информацию. Кроме того, усложнилась передача персональных данных в зарубежные страны. Теперь оператор должен уведомлять Роскомнадзор о намерении передать информацию за рубеж, а ведомство может ответить отказом.

Еще одним важным нововведением последнего времени стала обязанность сообщать в Роскомнадзор об утечках данных. Сначала в течение суток необходимо уведомить о произошедшем инциденте, а затем в течение 72 часов — о результатах внутреннего расследования происшествия. С учетом большого количества утечек, которые происходят в последнее время, эта мера оправданна, считают эксперты.

«Что будет дальше? Из ближайшего — оборотные штрафы, о которых мы с вами слышим очень давно. Скорее всего, их введут», — добавил Александр Хонин. Сейчас КоАП предусматривает штрафы за утечку данных для юрлиц в размере 60100 тыс. рублей при первом нарушении и до 500 тыс. рублей — при повторном. Минцифры же предлагает штрафовать организации, где произошла утечка, на 1% от годового оборота или на 3%, если компания пыталась скрыть проблему. Владимир Путин поручил правительству до 1 июля 2023 года рассмотреть вопрос о введении оборотных штрафов.

Эксперты также ожидают дальнейшего ужесточения регуляторики в области критической информационной инфраструктуры и персональных данных. «Это менталитет нашей страны: если не заставлять принимать меры и не закручивать гайки, к сожалению, никто ничего делать не будет», — говорит Александр Хонин.

Как cохранить выгоды от цифровизации

В России, по оценке Сбера, количество кибератак в 2022 году увеличилось почти в 15 раз по сравнению с 2021 годом.

Лидером стал финансовый сектор — 45% от общего количества атак. Второе место занял онлайн-ретейл — 21%, на третьем месте оказалась телеком-сфера — 18%, на сектор развлечений пришлось 9%, на образование — 4%.

Ущерб мировому бизнесу от киберпреступников в 2022 году достиг 6 трлн долларов, подсчитали в Enterprise Apps Today. Так, в 2022 году Росавиация пережила колоссальный взлом своей сети и утратила 65 ТБ информации. Хакеры удалили всю почту и документооборот, а резервных копий у ведомства не было. Это вынудило Росавиацию вернуться к бумажному документообороту, а все письма отправлять по почте.

Вредоносное ПО, взломы, кража и утечка персональных данных — это далеко не полный список угроз, от которых можно защититься с помощью страхования.

В Mordor Intelligence подсчитали, что мировой рынок страхования кибербезопасности оценивался в 9,29 млрд долларов в 2021 году, и ожидают, что к 2027 году он достигнет 28,25 млрд долларов при среднегодовом темпе роста порядка 20%.

Что касается России, то, по данным Всероссийского союза страховщиков, в 2021 году страховые сборы в этом сегменте составили около 380 млн рублей. По оценке Страхового Дома ВСК, в 2022-м сборы составят порядка 750 млн рублей.

Конечно, в сравнении с мировыми объемами это незначительная сумма. Реальный спрос на подобные услуги в нашей стране пока не сформирован. Рост объемов страхования киберрисков за последний год в основном связан с сопутствующими продажами в банковском канале при оформлении кредитных продуктов. Зачастую такие программы страхования имеют существенные ограничения и не представляют реальной ценности для клиентов.

Сегодня развитие рынка страхования киберрисков в РФ тормозит и ряд других факторов. В их числе отсутствие специалистов по оценке рисков и пока еще недостаточно проработанная законодательная база: средний штраф за утечку персональных данных составляет всего лишь 60 тыс. рублей. СМИ рассказывают о кибератаках только на самые крупные и известные компаний. Поэтому многие еще не осознали опасность, не знают о таком виде страхования или не верят в его эффективность.

В то же время можно выделить три потенциальных вектора развития российского рынка страхования от киберугроз. Первый — это страхование компаний с иностранным участием, которые до последнего времени страховали эти риски в рамках зонтичных договоров защиты, покрывающих киберриски на территории всего мира. Сейчас такой возможности у них нет, и они стали искать аналогичное страховое покрытие на отечественном рынке.

Второй вектор — страхование киберрисков крупного российского бизнеса, который осознает реальную угрозу и уделяет должное внимание информационной безопасности. Третий вектор — МСБ, который такой угрозы пока не осознает, но все чаще сталкивается с кибератаками в силу низкого уровня защищенности.

Для защиты своих интересов российский бизнес может воспользоваться комплексными сервисно-страховыми продуктами. Сегодня подобную услугу на рынке, по оценке Страхового Дома ВСК, предлагают пять страховых компаний. Как правило, такие программы состоят из нескольких компонентов. Первый — программная часть, выполняющая функцию выявления атак и вредоносных действий. Второй компонент — сервисный: проводится удаленный мониторинг системы, реагирование на инциденты информационной безопасности. И наконец, страховая часть — договор страхования остаточных киберрисков.

«Сегодня необходимо выстраивать эффективную модель страхования киберрисков. Важно учитывать кадровый голод в отрасли, недостаточную осведомленность бизнеса о последствиях кибератак и несовершенную законодательную базу, — говорит гендиректор Страхового Дома ВСК Александр Тарновский. — Работу нужно вести по всем этим направлениям. Развивать компетенции сотрудников, которые будут разбираться в информационной безопасности, проводить аудит киберрисков и модернизировать законодательную базу, учитывая растущие риски».

Анна Королева

Хочешь стать одним из более 100 000 пользователей, кто регулярно использует kiozk для получения новых знаний?
Не упусти главного с нашим telegram-каналом: https://kiozk.ru/s/voyrl

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Зеленая эпоха уходит Зеленая эпоха уходит

Все больше стран отказываются от доллара в пользу национальных валют

Эксперт
Сокровищницы адмирала Чжэн Хэ: как китайские мореплаватели открыли миру Поднебесную Сокровищницы адмирала Чжэн Хэ: как китайские мореплаватели открыли миру Поднебесную

В отличие от европейцев, китайцы не проявляли интереса к морским путешествиям

Вокруг света
После падения стены После падения стены

Ключевой разговор насчет объединения Германии состоялся в июле 1990 года

Дилетант
Пожалей чужие страдания. О «Забавных играх» Михаэля Ханеке Пожалей чужие страдания. О «Забавных играх» Михаэля Ханеке

«Забавные игры» критикуют человечество, привыкшее смотреть на чужие страдания

СНОБ
Писатели новой эры: рожденные соцсетями Писатели новой эры: рожденные соцсетями

Новые технологии литературных дебютов и книжных продаж

Эксперт
От земляного вала до кирпича. Как строительство кремлей помогло оформиться государственности на Руси От земляного вала до кирпича. Как строительство кремлей помогло оформиться государственности на Руси

О том, как на Руси появились первые крепости и стали возникать города

СНОБ
Семейные музы Семейные музы

Должна ли женщина вдохновлять мужчину?

VOICE
Узнайте интересные факты о легендарной франшизе «Терминатор» Узнайте интересные факты о легендарной франшизе «Терминатор»

«Терминатор" до сих пор может поразить своими содержанием и историей создания

ТехИнсайдер
«Грызня» — лучший сериал 2023 года (на данный момент), а еще самый увлекательный способ исследовать депрессию и детские травмы «Грызня» — лучший сериал 2023 года (на данный момент), а еще самый увлекательный способ исследовать депрессию и детские травмы

«Грызня» — экзистенциальная драма о конфликте двух нервных героев на парковке

Правила жизни
Как очистить чайник от накипи: 5 способов и средств Как очистить чайник от накипи: 5 способов и средств

Как отмыть чайник от накипи с помощью средств, которые есть на каждой кухне

CHIP
Война тосола с антифризом. Что, когда и как доливать Война тосола с антифризом. Что, когда и как доливать

Какое масло заливать? Можно ли смешивать антифриз G12 и G12++?

4x4 Club
Повернуть время вспять Повернуть время вспять

Как подольше продлить молодость и сохранить красоту лица и тела?

Лиза
Что такое милиумы на лице: причины, лечение и профилактика Что такое милиумы на лице: причины, лечение и профилактика

Почему возникают милиумы и как можно их убрать?

РБК
Папа в бане, дети в бассейне Папа в бане, дети в бассейне

ГК «Основа» планирует в открыть 50 семейных термальных комплексов «Термоленд»

Эксперт
Дань Моди: насколько прочны связи миллиардера Адани с индийским правительством Дань Моди: насколько прочны связи миллиардера Адани с индийским правительством

Как два амбициозных брата построили Adani Group и потеряли все в один миг

Forbes
Не повернуть головы Не повернуть головы

Почему болит шея и как предотвратить появление этой боли?

Лиза
Церковь «Благие вести»: как 73 человека по приказу пастора уморили себя голодом, чтобы «встретиться с Иисусом» Церковь «Благие вести»: как 73 человека по приказу пастора уморили себя голодом, чтобы «встретиться с Иисусом»

73 человека ушли из жизни в Кении по приказу пастора Пола Макензи Нтенге

VOICE
5 авторов, книги которых стоит прочесть, чтобы лучше понять Китай 5 авторов, книги которых стоит прочесть, чтобы лучше понять Китай

Книги каждого из них позволят ближе познакомиться с историей страны и бытом

РБК
«Во всем ищу позитивные стороны!» «Во всем ищу позитивные стороны!»

Владимир Жеребцов — о том, почему девушки охотно ведутся на всяких проходимцев

OK!
Режиссер Савва Савельев — о свободе, памяти и Марлен Дитрих Режиссер Савва Савельев — о свободе, памяти и Марлен Дитрих

В мае на Кипре состоится премьера спектакля Саввы Савельева «Я — Марлен»

РБК
Электрические и магнитные свойства нейтрона измерили по отдельности Электрические и магнитные свойства нейтрона измерили по отдельности

Об измерении электрического и магнитного форм-факторов нейтрона по отдельности

N+1
Хотите перестать прокрастинировать? Нейробиолог из Стэнфорда советует принять холодный душ. Вот почему Хотите перестать прокрастинировать? Нейробиолог из Стэнфорда советует принять холодный душ. Вот почему

Зачем мы прокрастинируем, если это нелогично?

Inc.
Холод помогает бороться со старением и увеличивает продолжительность жизни Холод помогает бороться со старением и увеличивает продолжительность жизни

Как холод влияет на организм человека?

ТехИнсайдер
Дженнифер Лопес через полгода будет 54. Но, черт, почему она такая красотка? Дженнифер Лопес через полгода будет 54. Но, черт, почему она такая красотка?

Разбираемся в секретах красоты Дженнифер Лопес

Maxim
Я — сноб: актер Никита Ефремов Я — сноб: актер Никита Ефремов

Актер Никита Ефремов — о любимой музыке и мечте посетить Непал

СНОБ
Насколько опасна радиация для человека и как защитить себя, если вы выступили в контакт с радиоактивным веществом Насколько опасна радиация для человека и как защитить себя, если вы выступили в контакт с радиоактивным веществом

Что делать, если вы подверглись воздействию радиоактивных веществ?

ТехИнсайдер
Могут ли грибы-паразиты зомбировать людей — и когда начинать бояться Могут ли грибы-паразиты зомбировать людей — и когда начинать бояться

Как работает «зомбирование» грибами и от каких грибов ждать подвоха?

СНОБ
Вина и зрелищ Вина и зрелищ

Винодельня-театр на вилле римского императора

N+1
«Дело не в тебе, дело в инфляции»: как финансовый кризис изменил экономику свиданий «Дело не в тебе, дело в инфляции»: как финансовый кризис изменил экономику свиданий

Люди стали тратить вдвое больше на свидания

VC.RU
Весенняя подзарядка Весенняя подзарядка

Как уберечь ребенка от стресса и перегрузок в учебе?

Лиза
Открыть в приложении