Регулирование / Статьи
регуляторика технологии
19.6.2023

Одно сплошное КИИ

Требования отнесения объектов к критической информационной инфраструктуре будут пересмотрены

Правительство расширит перечень объектов, относящихся к критической информационной инфраструктуре (КИИ). Требования изменятся, и скоро практически все технические объекты станут относиться к категории жизненно важных, считают в Минпромторге. Кроме того, сейчас разрабатываются основы госполитики в области технологической безопасности КИИ. О том, стоит ли ожидать снижения кибератак, нужны ли TLS-сертификаты и почему российские компании недооценивают облачные сервисы, обсудили на Петербургском международном экономическом форуме (ПМЭФ-2023).

АТАКИ В ТРЕНДЕ

Количество кибератак на индустриальные объекты в России в 2022 году удвоилось, в нынешнем году снижения их числа ожидать не стоит, сообщил на ПМЭФ-2023 глава «Лаборатории Касперского» Евгений Касперский. По его словам, хакеры становятся все более профессиональными.

Вместе с тем отрасль защищена от кибернападений достаточно хорошо, уверен эксперт. Несмотря на большое количество атак, серьезного урона они не нанесли.

Евгений Касперский, «Лаборатория Касперского»:

– Был случай, когда «хакнули» подрядчика, у которого был прямой доступ к нефтяному оборудованию. После этого злоумышленники смогли управлять насосами. Причиной взлома стало то, что компания использовала зарубежное ПО. После этого случая подрядчик перешел на российский софт.

Заместитель председателя правления «Газпромбанка» Дмитрий Зауэрс также считает, что атаки на объекты КИИ продолжатся. Однако, полагает он,

маловероятно, что кибернападения смогут нанести серьезный ущерб

РЖД вовремя смогла усилить свою информационную безопасность, поэтому огромное количество хакерских атак не нанесло большого ущерба ИТ-системам организации, отметил в своем выступлении на форуме заместитель главы компании по вопросам цифровой трансформации Евгений Чаркин. Уход западных вендоров не повлиял на качество оказания услуг РЖД, заверил он.

ВСЕ НА TLS

По словам старшего вице-президента, СТО-руководителя блока «Технологии» «Сбербанка» Андрея Белевцева, российские компании недооценивают перспективы облачных сервисов и слишком редко их используют.

Андрей Белевцев, «Сбербанк»:

– У многих есть иллюзия: если мы видим сервер своими глазами, значит, он в безопасности. Пришло время задуматься, не пора ли отказаться от небольших, неподдерживаемых серверов с неизвестным ПО в пользу облачных инструментов. Это позволит не только защитить инфраструктуру компании, но и соответствовать всем директивам КИИ.

Во взаимодействии с информсистемами есть и пользовательская сторона, отметил он на ПМЭФ-2023. Для предоставления безопасных услуг обязательно нужны TLS-сертификаты, использующиеся для создания зашифрованного соединения между сайтом и его пользователями. По словам Андрей Белевцева,

сейчас они установлены только на 25-30% устройств, что является большой проблемой

Эксперт считает, что с этим нужно бороться, прежде всего, просветительским способом.

Выпуском сертификатов занимается Национальный удостоверяющий центр (НУЦ). В марте 2022 года на «Госуслугах» был запущен сервис их выдачи, после чего российские компании начали переводить на них свои сайты.

Замглавы Минцифры Александр Шойтов отметил, что вопрос перехода компаний на российские сертификаты будет проще решить после принятия законопроекта, который сделает обязательной поддержку таких сертификатов разработчиками ПО.

ТРЕБОВАТЕЛЬНАЯ КИИ

При нынешнем и будущем уровне развития технологий практически все объекты в России станут относиться к КИИ, обратил внимание замглавы Минпромторга Василий Шпак. На этом фоне

требования отнесения объектов к КИИ будут пересмотрены

При этом любое решение в области информационно-телекоммуникационных технологий должно быть доверенным, подчеркнул он в своем выступлении на форуме. Поэтому принцип построения технологических продуктов также будет пересмотрен.

По мнению Василия Шпака, принцип конструктивной безопасности нужно внедрять повсеместно, он должен быть главным при создании любого решения. Представитель Минпромторга уверен, что любая система должна создаваться по модели угроз таким образом, чтобы она могла противостоять даже тем атакам, которые не закладываются в этой модели. Василий Шпак рассказал, что

для решения этого вопроса создается национальный стандарт, где будет прописано, что такое аппаратура для КИИ, как она должна выглядеть и по каким принципам создаваться

Также разрабатываются основы госполитики в области технологической безопасности критической информационной инфраструктуры. В ближайшее время должно быть принято постановление правительства, которое даст определение программно-аппаратным комплексам (ПАК) для КИИ. Но движение в данном направлении идет «преступно медленно», считает Василий Шпак. По его мнению, для ускорения деятельности необходима отраслевая и межотраслевая консолидация.

Кроме того, Василий Шпак сообщил, что

Минпромторг и Минцифры разрабатывают меры поддержки по переходу субъектов КИИ на отечественные решения

Василий Шпак, Минпромторг:

Любой ответственный бизнес должен понимать, что главный риск сейчас связан с информационной безопасностью. Поэтому мы будем предлагать меры поддержки. Для этого есть бюджетные возможности как с точки зрения создания ПО, так и с точки зрения создания решений в части железа. Это не затраты, а высокоэффективные инвестиции.

Основной фокус деятельности «Гринатома» сейчас нацелен на создание доверенных ПАК, рассказал на ПМЭФ-2023 гендиректор компании Михаил Ермолаев. В головной компании «Росатом» создана рабочая группа, которая анализирует, какие меры для этого дополнительно нужно предпринять. Также формулируются предложения по стимулированию производителей российской электронной компонентной базы.

Кроме того, будут подготовлены отдельные предложения по созданию требований к рынку КИИ и доверенных программно-аппаратных комплексов. Инициативы представят через несколько месяцев, сообщил Михаил Ермолаев.

Екатерина Шокурова

Изображение: AdobeStock, RSpectr

Еще по теме

Почему расследованием инцидентов с персональными данными должны заняться цифровые криминалисты

При каких условиях в организации может начаться проверка защиты персданных

Помогут ли механизмы самоконтроля операторов в защите личной информации граждан

Нужен ли ИТ-рынку национальный стандарт доверенной среды исполнения

Почему ограничения в размещении базовых станций угрожают развитию сетей связи

Поможет ли риск-ориентированная модель безопасному обороту персональных данных

Нужна ли правосубъектность искусственному интеллекту

Поможет ли «специальный оператор» защите персональной информации

Персданные должников по алиментам объединят в общедоступной базе: чего опасаться

Приведет ли новый налог на прибыль к росту цен на ИТ-продукты

Каковы риски и угрозы накопления больших объемов данных

Металлурги взялись за разработку отечественных аналогов SAP

Что показал опыт сертификации профессионалов в области приватности

Почему откладывается принятие закона об ужесточении наказания за утечки персданных

Что нужно знать российским организациям об использовании зарубежных мессенджеров