/ Регулирование

Жизненно важная киберзащита

Владельцы объектов критической информационной инфраструктуры сами оценят свои IT-системы

В последние годы компании из различных отраслей работают в условиях повышенного риска кибератак. Хакеры все чаще пытаются вывести из строя предприятия промышленности, энергетики, транспорта. В России вступил в силу закон, который обязал владельцев объектов критической информационной инфраструктуры (КИИ) защищаться и ввел механизмы госконтроля. Однако практическая реализация документа начнется после принятия нормативных правовых актов, конкретизирующих его положения.


Законные понятия

С 1 января 2018 года в России вступил в силу Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» № 187-ФЗ.

Эксперты отмечают, что это первый случай, когда документ в сфере информационной безопасности (ИБ) охватывает широчайший спектр отраслей.

Согласно закону, к объектам КИИ могут быть отнесены информационные системы и сети, а также автоматизированные системы управления, функционирующие в сферах:
• здравоохранения;
• науки;
• транспорта;
• связи;
• энергетики;
• банковской и иных сегментах финансового рынка;
• топливно-энергетического комплекса;
• атомной энергии;
• оборонной и ракетно-космической промышленности;
• горнодобывающей, металлургической и химической промышленности.

Объекты КИИ, а также сети связи, используемые для организации взаимодействия между ними, и составляют понятие критической информационной инфраструктуры.

Требования закона затрагивают организации (государственные органы и учреждения, юридические лица и индивидуальные предприниматели), которые владеют (на праве собственности, аренды или ином законном основании) объектами КИИ или обеспечивают их взаимодействие (субъекты КИИ).

Закон является базовым. Он определяет основные понятия и принципы обеспечения безопасности КИИ для ее устойчивой работы во время компьютерных атак. В законе прописаны полномочия государственных органов, а также права, обязанности и ответственность владельцев объектов КИИ и операторов связи и информационных систем, обеспечивающих их взаимодействие.

«Это первый прецедент, когда закон не просто дает регуляторные рекомендации, а обязывает реально защищаться от компьютерных атак, вводит оценку требований и механизмы защищенности критических информационных систем», - отмечается в отчете Positive Technologies «Кибербезопасность 2017 - 2018: цифры, факты, прогнозы»


Необходимые нормы

Принятие закона потребовало разработки 18 новых нормативных правовых актов, конкретизирующих его положения.

Основные функции контроля в области обеспечения безопасности объектов КИИ, включая регулирование, возложены на Федеральную службу по техническому и экспортному контролю (ФСТЭК) и ФСБ.

Выступая на «Инфофоруме - 2018», заместитель директора ФСТЭК Виталий Лютиков сообщил, что документы, относящиеся к зоне ответственности его службы, должны быть приняты до марта: «Мы надеемся, что в ближайший месяц, а может быть и меньше, все подзаконные нормативные правовые акты вступят в силу и начнут полностью работать. Мы тоже готовимся и готовы обсуждать проблемы, которые есть при реализации документа».

По словам В. Лютикова, наиболее важным документом является проект постановления правительства РФ, утверждающий критерии значимости объектов КИИ и порядок их категорирования. «Это первое, с чего начинает работать закон», - подчеркнул представитель ФСТЭК. Проект внесен в правительство. В работе по согласованию документа участвовало около 20 органов исполнительной власти, а также госкорпорации и Центробанк.

«Надеюсь, что в ближайшее время проект станет постановлением правительства, и мы приступим первому шагу – к отнесению объектов к значимым, в отношении которых уже будут установлены все необходимые требования и начнет осуществляться государственный контроль», - сказал В. Лютиков.

Значимым объектам КИИ должна быть присвоена первая, вторая или третья категория. Выбор будет сделан, исходя из социальной (ущерб здоровью людей, влияние на работу объектов жизнеобеспечения, транспортной инфраструктуры, сетей связи и т.д.), политической, экономической и экологической значимости. Для каждой категории будут установлены свои требования по обеспечению безопасности.

Если объект КИИ не соответствует критериям значимости, ему не присваивается категория

Каждый субъект КИИ будет сам определять, к какой категории себя отнести. Для этого будет создана комиссия из собственных сотрудников, чье решение должно быть направлено во ФСТЭК России.

«Никто не знает свои системы лучше, чем владелец предприятия. В комиссию должны входить не только специалисты по ИБ, но и те, кто обеспечивает функционирование объекта, непосредственно занимается его хозяйственной деятельностью», - уточнила заместитель начальника управления ФСТЭК России Елена Торбенко.

Порядок осуществления госконтроля в области обеспечения безопасности значимых объектов КИИ будет определен другим постановлением, проект которого внесен в правительство.

Еще пять приказов ФСТЭК в настоящее время проходят процедуру государственной экспертизы в Министерстве юстиции РФ.

В. Лютиков призвал владельцев объектов КИИ уже сейчас приступать к изучению документов и готовиться к применению положений закона.


Нормативная база дополняется

В полномочия ФСБ России входит оценка реальной защищенности информационных систем, проведение расследований компьютерных атак (когда они затрагивают интересы государства), помощь в реагировании на них.

Сотрудник профильного центра ФСБ России Иван Минаев, выступая на «Инфофоруме-2018», отметил, что одной из главных задач является создание в России экосистемы для защиты от кибератак. По его словам, Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) должна стать технологическим аналогом «феромонов тревоги», существующих в животном мире. 

Для реализации закона о безопасности КИИ ФСБ подготовила шесть приказов. Нормативная база должна быть принята до конца первого квартала 2018 года. По словам И. Минаева, ФСБ разрабатывает следующие НПА:

положение о национальном координационном центре по компьютерным инцидентам (НКЦКИ)
перечень информации, предоставляемой в ГосСОПКА и порядок ее предоставления;
порядок обмена информацией о компьютерных инцидентах как между субъектами КИИ, так и между субъектами КИИ и зарубежными международными организациями;
• порядок информирования ФСБ о компьютерных инцидентах и реагировании на них;
• требования к средствам ГосСОПКА;
порядок, технические условия установки и эксплуатации средств ГосСОПКА

Четыре проекта приказа ФСБ уже опубликованы на портале regulation.gov.ru, еще два служба планирует представить для общественного обсуждения до середины февраля. 


Как это будет работать

ГосСОПКА – единый территориально распределенный комплекс, в которых входят силы и программно-технические средства обнаружения, предупреждения и ликвидации последствий компьютерных атак (ОПЛ КА).

Здесь должна агрегироваться вся информация о компьютерных атаках и инцидентах, получаемая от субъектов КИИ. Как уже отмечалось, перечень сведений, которые будут отправляться в ГосСОПКА, определит приказ. Его проект представлен на общественное обсуждение. Согласно текущей версии документа, срок предоставления информации о кибератаке составляет 24 часа с момента обнаружения. 

Технически ГосСОПКА представляет собой распределенную систему из центров, развернутых субъектами КИИ. Они будут объединены в иерархическую структуру по ведомственно-территориальному признаку. К ним подключат технические средства (средства ОПЛ КА), установленные на конкретных объектах КИИ. Центры ГосСОПКА могут быть ведомственными и корпоративными (построенными государственными и частными корпорациями, операторами связи и другими организациями-лицензиатами в области защиты информации).

Интеграция в ГосСОПКА требует от субъекта КИИ:
• информировать о компьютерных инцидентах ФСБ, а также Центробанк (если организация занимается финансами);
• оказывать содействие ФСБ в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов.

Сформировалась новая для российского рынка концепция частно-государственного партнерства в области безопасности, считают в Positive Technologies. Во главе схемы – государство (ФСБ России), которое отвечает за функционирование системы ГосСОПКА. Есть как корпоративные, так и ведомственные центры реагирования на компьютерные атаки. В результате получается, что защита распределяется между государством и коммерческими компаниями. Появляется возможность реализовывать аутсорсинг информационной безопасности. В конечном счете создается система взаимосвязанных субъектов: защищающиеся системы, ГосСОПКА, государство. «ГосСОПКА и требования закона № 187-ФЗ не гарантируют, что систему невозможно будет взломать, но выполнение этих требований и создание центров позволит отсечь 90% примитивных атак, позволив сконцентрироваться на высокоуровневых», - отмечают специалисты Positive Technologies.

Сформировалась новая для российского рынка концепция частно-государственного партнерства в области безопасности

Вместе с принятием закона «О безопасности критической информационной инфраструктуры» в УК РФ была добавлена новая статья 274.1, которая устанавливает уголовную ответственность:
• за создание, распространение и (или) использование компьютерных программ, заведомо предназначенных для неправомерного воздействия на КИИ РФ,
• за неправомерный доступ к охраняемой компьютерной информации, содержащейся в КИИ РФ;
• за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ РФ.



Напряжение нарастает

Если раньше целью кибератак становились отдельные государственные и корпоративные порталы, то сейчас они направлены на объекты жизненно важной критической инфраструктуры, провоцирование техногенных аварий, экологических катастроф и социальных потрясений, рассказал И. Минаев.

По его словам, киберпреступность сегодня - это уже не романтичные одиночки, а организованные группы с набором новейших технологий, хорошо налаженными производственными цепочками и каналами сбыта своих услуг.

Совместное использование инфраструктуры операторами связи и интернет-провайдерами позволяет проводить комплексные атаки. И они наносят серьезный ущерб. И. Минаев напомнил о массовых заражениях вирусами WannaCry, Petya и многочисленных безымянных DDos-нападениях.

В 2017 году эксперты компании ESET прогнозировали рост ущерба от киберугроз, включая программы-вымогатели, и новые атаки на критическую инфраструктуру. Прогнозы сбылись – массовые эпидемии шифраторов нанесли значительный ущерб компаниям и вызвали широкий общественный резонанс.

Осведомленность частных и корпоративных пользователей о цифровых угрозах повышается, но вместе с тем растут число и сложность кибератак. В 2018 году хакеры будут использовать «классические» инструменты компрометации и продолжат поиски новых эффективных схем.

Эксперты ESET прогнозируют новые атаки на объекты критической инфраструктуры. В 2017 году серьезной угрозой для промышленных систем управления стала вредоносная программа Industroyer, предположительно послужившая причиной сбоя энергоснабжения в Киеве. В 2018-м атаки могут затронуть не только энергетику – в числе потенциальных целей оборонный сектор, системы транспорта и водоснабжения, здравоохранение и производство.

Глобальные корпорации стараются защитить себя и инвестируют в киберзащиту. Это станет причиной нападений хакеров на более простые цели – на малые и средние предприятия, поставляющие товары и сервисы крупным компаниям. В 2017 году успешный взлом сервера обновления популярного бухгалтерского ПО M.E.Doc привел к массовой эпидемии шифратора Petya.

В 2017 году половина российских компаний столкнулась с различными киберугрозами


Финансовые потери

В 2017 году половина российских компаний столкнулась с различными киберугрозами. 22% из них понесли в результате финансовые потери. Средняя сумма убытков одной организации – 300 тыс. рублей. В целом по стране потери от кибератак оцениваются в 116 млрд рублей. При этом бизнесмены недооценивают риски. Таковы результаты всероссийского опроса предпринимателей, проведенного аналитическим центром НАФИ в ноябре 2017 году (опрошено 500 руководящих сотрудников предприятий в восьми федеральных округах России).

Оказалось, что крупный бизнес был более подвержен информационным атакам (62% против 46-47% в малых и средних предприятиях). Несанкционированный доступ к информационным ресурсам угрожает также крупным компаниям (11% против 1 - 2% среди остальных предприятий), а интернет-мошенничество чаще направлено на малый и средний бизнес (9% среди микро-бизнеса и 2% среди крупного).

Наиболее распространенный способ обеспечения информационной безопасности предприятий - установка на всех компьютерах обновляемого антивирусного ПО, эту меру предпринимают в 88% компаний. Другие способы защиты применяются намного реже.


Руководитель управления перспективных технологий компании «Лаборатория Касперского» Андрей Духвалов:

Какие меры, помимо формирования законодательной базы, необходимо предпринимать для защиты КИИ? На Ваш взгляд, готовы ли владельцы объектов КИИ к исполнению закона?

Первое, что приходит на ум: обучение. Обучение операторов, персонала, инженеров и руководителей объектов КИИ.

Конечно, необходимо еще иметь достаточное разнообразие технических средств защиты, но, к счастью, они начинают появляться. Более того, существуют и активно применяются решения, разработанные российскими компаниями.

Однако, необходимо отметить, что на сегодняшний момент еще нет полного понимания, какие объекты можно отнести к КИИ. Этот вопрос тоже должен регулироваться подзаконными актами, которых еще нет. Однако, есть объекты, которые без всяких сомнений попадут в список КИИ. Это объекты электрогенерирующей инфраструктуры, электрические подстанции напряжением 110 кВ, 220 кВ и выше, транспортная инфраструктура федерального значения, нефте-, газодобывающая и перерабатывающая промышленность и многие другие.

Владельцы и операторы этих объектов уже не первый год активно участвуют в обсуждениях и конференциях на тему киберзащиты и запускают проекты пилотирования у себя. Накопленный к этому моменту опыт показывает, что в первую очередь не хватает специалистов. Уже появились и активно применяются программно-аппаратные решения для защиты, но нет достаточного количества компетентных компаний-интеграторов, способных грамотно их адаптировать к условиям конкретного объекта и технологической линии.

Изображения: RSpectr, freepik.com