2024/11/27 14:02:03

Безопасность критической информационной инфраструктуры РФ

Статья посвящена нормативному регулированию и практическим аспектам обеспечения безопасности объектов критической информационной инфраструктуры в РФ.

Содержание

Основная статья: Критическая информационная инфраструктура России

Кибератаки на критическую информационную инфраструктуру

Основная статья: Кибератаки на критическую информационную инфраструктуру

2024

Разработка инновационного метода обнаружения кибератак на промышленные предприятия с помощью цифрового зрения

Ученые Санкт-Петербургского Федерального исследовательского центра РАН в декабре 2024 года представили новую технологию выявления кибератак на промышленную инфраструктуру. Система использует преобразование сетевого трафика в изображения для последующего анализа с помощью компьютерного зрения. Подробнее здесь

Российские производители ПО попросили ФСТЭК убрать ОС на базе Android из госсектора и ТЭКа

Ассоциация разработчиков программных продуктов «Отечественный софт» обратилась в Федеральную службу по техническому и экспортному контролю с предложением разработать критерии доверенности для мобильных операционных систем на базе Android. О направлении письма в ФСТЭК стало известно 27 ноября 2024 года.

Как передает РБК, инициатива касается операционных систем, разработанных на основе Android Open Source Project и предназначенных для использования на объектах критической информационной инфраструктуры и в госкорпорациях.

Российские производители ПО просят ФСТЭК убрать ОС на Android из госсектора и ТЭКа

Глава комитета АРПП по развитию экосистемы российских мобильных продуктов, генеральный директор НТЦ ИТ «РОСА» Олег Карпицкий указал на несколько ключевых рисков использования AOSP, включая отсутствие регулярных обновлений безопасности и сборку на зарубежных серверах.Чекап для искусственного интеллекта: зачем и как тестировать ИИ-решения?

По данным электронной площадки «Тендерплан», в 2024 году устройства с операционными системами на базе Android закупали Минцифры и Минсельхоз Красноярского края, Аналитический центр Пермского края и другие государственные структуры.

Исполнительный директор «Ред софта» Михаил Толпышкин заявил, что их система «РЕД ОС М» соответствует предложенным критериям, так как разрабатывается и собирается в России в закрытом контуре.

Сооснователь и заместитель генерального директора Postgres Professional Иван Панченко отметил, что основным риском использования AOSP в России является критически низкий уровень компетенции в этой системе.

В России разработкой операционных систем на базе AOSP занимаются компании Yadro с продуктом KvadraOS, «Ред софт» с «РЕД ОС М» и «Атол» с ATOL OS. В феврале 2024 года группа компаний «Аквариус» также начала разработку своей операционной системы.

AOSP управляется компанией Google, которая может в любой момент прекратить выкладывать новые версии в открытый доступ, что создает дополнительные риски для критической инфраструктуры России.[1]

Минпромторг выделил ₽1 млрд на исследования по переводу КИИ на российское ИТ-оборудование

В ноябре 2024 года министерство промышленности и торговли России объявило тендер на сумму ₽1 млрд для организации безопасного перехода объектов критической информационной инфраструктуры (КИИ) на доверенные программно-аппаратные комплексы российского производства.

Речь идет о проведении исследовательских работ, включающих проверку достоверности категорирования объектов и анализ планов перехода для определения ключевых направлений развития отечественной микроэлектроники. Исследования охватят объекты КИИ в оборонной, химической, металлургической и горнодобывающей промышленности.

Как передает CNews, подрядчик будет определен 2 декабря 2024 года путем проведения аукциона. Проект реализуется в рамках государственной программы «Научно-технологическое развитие России».

Минпромторг выделил ₽1 млрд на перевод КИИ на российское оборудование

Руководитель экспертно-аналитического отдела ALMI Partner Елена Куц указала на необходимость интеграции новых систем с существующими платформами. По ее оценкам, недостаточная защищенность информационных систем становится причиной более 30% инцидентов, связанных с утечками данных.

В соответствии с постановлением правительства от 14 ноября 2023 года №1912, с 1 сентября 2024 года субъектам КИИ запрещается приобретать и использовать программно-аппаратные комплексы, не являющиеся доверенными. Полный переход на преимущественное использование доверенных комплексов должен завершиться к 1 января 2030 года.

В 2025 и 2026 годах планируется провести не менее 1000 экспертных оценок достоверности сведений категорирования объектов КИИ ежегодно. По результатам проверок будут сформированы предложения по компенсирующим мерам безопасности на период реализации планов перехода.

Генеральный директор «Национального центра компетенций по информационным системам управления холдингом» Кирилл Семион отметил важность оптимизации конфигурации оборудования и программного обеспечения в программно-аппаратных комплексах, подчеркнув дефицит стандартизированных решений на рынке.[2]

Как отмечает газета «Ведомости», по состоянию на конец 2024-го у государства нет агрегированных данных о реальном положении дел в сфере импортозамещения. В этой связи Минпромторг планирует создать систему, которая позволит контролировать реализацию планов по переходу на отечественные решения всех субъектов КИИ. Речь идет о предприятиях оборонной, металлургической, химической и горнодобывающей промышленности. В рамках проекта предусмотрено выполнение следующих работ:

  • Формирование предложений по компенсирующим мерам, обеспечивающим безопасность значимых объектов КИИ на период реализации планов перехода на преимущественное применение доверенных ПАК;
  • Проведение анализа направляемых субъектами КИИ планов переходов с целью определения требований к защите информации;
  • Разработка требований к информационной системе, в которой обрабатываются поступающие планы перехода и ведутся соответствующие реестры;
  • Формирование предложений по актуализации постановления Правительства РФ от 14 ноября 2023 года №1912 «О порядке перехода субъектов критической информационной инфраструктуры на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах».

В целом, как отмечается, исполнителю предстоит разработать требования к информационной системе, которая будет содержать планы перехода субъектов КИИ на доверенные ПАК.<

Подавляющее большинство объектов КИИ не имеют минимального уровня защиты

По результатам мониторинга, проведённого ФСТЭК, выяснилось, что 89% объектов критической информационной инфраструктуры не имеют и минимального уровня защиты.

Ранее ФСТЭК России разработала методику оценки показателя состояния защиты информации на объектах критической информационной инфраструктуры (КИИ). Об этом 7 ноября 2024 года сообщила пресс-служба члена комитета ГосДумы РФ по информационной политике, информационным технологиям и связи Антона Немкина.

Цель методики – оценка степени достижения органами государственной власти и организациями минимально необходимого уровня защиты информации, не составляющей государственную тайну, и уровня обеспечения безопасности значимых объектов КИИ от самых распространённых угроз безопасности.

Из проведенного на основе методики мониторинга ИБ-архитектуры 100 отечественных организаций выяснилось, что подавляющее большинство из них не имеет и минимального уровня защиты. Как пояснил начальник управления ФСТЭК Сергей Бондаренко, незащищенность организаций означает, что объекты критической инфраструктуры могут стать легкой целью для злоумышленников.

В условиях информационного давления такие результаты – тревожный сигнал для всех участников рынка, отметил Антон Немкин.

«
В 2024 году увеличилась доля высококритичных атак – сразу на 66%. Речь идет об атаках, итогом которых стали реальное нарушение бизнес-процессов. При этом наибольшая доля – практически 70% – высококритичных атак пришлась на критическую информационную инфраструктуру. За аналогичный период 2023 года показатель составил порядка 46%, – рассказал депутат.
»

Объекты КИИ – это стратегически важные для страны информационные системы, автоматизированные системы управления, а также информационно-телекоммуникационные сети, от работоспособности которых зависит стабильное функционирование разных сфер жизни.

«
Сюда можно отнести, например, информсистемы в сфере здравоохранения. Успешная кибератака может привести к остановке систем жизнеобеспечения, некорректно поставленному диагнозу и, как следствие, причинению реального вреда здоровью граждан. Поэтому подобное положение дел просто недопустимо, – подчеркнул депутат. — Слабая защищенность характерна не только для объектов КИИ. По данным Роскомнадзора, 90% организаций не защищены от внешних атак. Думаю, эта проблема актуальна для всей отрасли.
»

Ранее ФСТЭК опубликовала проект приказа, предполагающий внесение правок в текущие требования безопасного хранения данных, не относящихся к гостайне и обрабатываемых госорганами, а также объектами КИИ. Основная цель предлагаемых поправок – повышение защищенности организаций от возможных DDoS-атак. Так, их хотят обязать хранить информацию об атаках злоумышленников в течение трех лет, а также расширить канал передачи данных для обеспечения пропуска двукратного объема трафика.

Ужесточение требований необходимо, считает Антон Немкин.

«
Объекты КИИ должны работать бесперебойно, от этого зависит устойчивость большинства отраслей экономики. Предлагаемые изменения дополнят существующие модели защиты инфраструктуры. Кроме того, введение требования по хранению информации об инцидентах позволит сформировать базу данных инцидентов и детально проанализировать действия злоумышленников, – заключил Немкин.
»

ФСТЭК разработала нормы времени на работы по обеспечению безопасности КИИ

В начале ноября 2024 года стало известно о том, что Федеральная служба по техническому и экспортному контролю (ФСТЭК) и Минтруд РФ определили нормы времени на работы по обеспечению безопасности объектов критической информационной инфраструктуры (КИИ).

Об инициативе рассказала начальник управления ФСТЭК России Елена Торбенко. Речь идет о приказе Минтруда №31ндсп — «Типовые межотраслевые нормы времени на работы по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации». Нормы требуются для обоснования необходимости увеличения кадров в области информационной безопасности в организациях.

ФСТЭК разработала нормы времени на обеспечение безопасности КИИ

Приказ имеет гриф «для служебного пользования», а поэтому для ознакомления с ним необходимо обращаться во ФСТЭК. Известно, что в нем определены следующие параметры:

  • Нормы времени на категорирование объектов КИИ;
  • Нормы времени на построение системы безопасности и реализация мероприятий по обеспечению безопасности ЗОКИИ (значимый объект КИИ);
  • Нормы времени на обеспечение безопасности ЗОКИИ в ходе их эксплуатации;
  • Нормы времени на планирование мероприятий по обеспечению безопасности ЗОКИИ;
  • Нормы времени на обеспечение безопасности ЗОКИИ при выводе их из эксплуатации;
  • Нормы времени на подготовку предложений по организации обучения и повышения уровня осведомленности работников, эксплуатирующих, обеспечивающих функционирование, и иных работников, участвующих в обеспечении безопасности ЗОКИИ, по вопросам обеспечения безопасности ЗОКИИ;
  • Нормы времени на контроль состояния безопасности ЗОКИИ;

В целом, как отмечается, приказ определяют нормы трудозатрат на все виды работ, предусмотренных законодательством в области обеспечения безопасности значимых объектов критической информационной инфраструктуры в России.[3]

ФСТЭК представила формулу, при помощи которой служба оценивает состояние защиты объектов КИИ

Федеральная служба по техническому и экспортному контролю (ФСТЭК) разработала формулу, на основе которой оценивается состояние защиты объектов критической информационной инфраструктуры (КИИ) в России. TAdviser ознакомился с предложенной методикой в начале ноября 2024 года.

В качестве значения, характеризующего текущее состояние защиты информации (обеспечения безопасности объектов КИИ) в организации, используется показатель Кзи. Он отражает степень достижения минимально необходимого уровня защиты информации от типовых актуальных угроз безопасности во временном интервале, выбранном для проведения оценки, при заданных условиях эксплуатации информационных систем, автоматизированных систем управления, информационно-телекоммуникационных сетей и иных объектов информатизации.

ФСТЭК разработала формулу, с помощью которой оценивается уровень защиты объектов КИИ

Для оценки показателя защищенности Кзи определяются значения частных показателей безопасности kji, где j — это номер группы частных показателей безопасности, i — номер частного показателя в соответствующей группе. Частные показатели kji характеризуют реализацию в организации отдельных мер по защите информации от актуальных угроз. Расчет показателя защищенности Кзи осуществляется по следующей формуле:

Кзи = (k11+k12+k13)R1+(k21+k22+…+k2i)R2+(k31+k32+…+k3i)R3+(k41+k42+…+k4i)R4, где Rj — весовой коэффициент j-й группы частных показателей безопасности.

Если Кзи равен 1, это означает, что обеспечивается минимальный уровень защиты от типовых актуальных угроз безопасности информации. При Кзи в диапазоне от 0,75 до 1 минимальный уровень защиты от актуальных угроз не обеспечивается, и имеются предпосылки реализации атак. Если же показатель меньше 0,75, то существует реальная возможность реализации актуальных угроз безопасности информации.[4]

В России появился первый орган по сертификации доверенных программно-аппаратных комплексов

В России в октябре 2024 года зарегистрирован первый орган по сертификации доверенных программно-аппаратных комплексов (ПАК) для критической информационной инфраструктуры (КИИ). Новая структура создана на базе АО Атомэнергопроект, входящего в состав госкорпорации Росатом, в рамках исполнения указа президента о мерах по обеспечению технологической независимости и безопасности КИИ России. Подробнее здесь

В России создали АНО «Цифровой горизонт» для внедрения ИТ-решений в критической инфраструктуре

1 октября 2024 года в Москве была официально представлена новая автономная некоммерческая организация (АНО) «Цифровой горизонт». Проект направлен на разработку и внедрение передовых технологий в ключевых секторах экономики страны, в частности, в области критической информационной инфраструктуры. Подробнее здесь

Минпромторгу выделяют 553 млн рублей на создание центра кибербезопасности в промышленности

Федеральный бюджет России выделит ₽553 млн на создание и обеспечение деятельности отраслевого центра компетенций по информационной безопасности в промышленности. Решение о финансировании принято в сентябре 2024 года в рамках федерального проекта «Информационная безопасность» национальной программы «Цифровая экономика».

Как передает CNews, куратором данного мероприятия выступает министерство промышленности и торговли РФ. Центр компетенций создан на базе подведомственного министерству научно-производственного предприятия «Гамма», которое является головной организацией по защите информации в структуре Минпромторга с 1991 года.

Программист

Основные задачи центра включают обнаружение, предупреждение и ликвидацию последствий компьютерных атак на информационные ресурсы промышленных предприятий России. Кроме того, центр будет проводить оценку степени защищенности объектов, анализировать причины компьютерных инцидентов и собирать данные о состоянии информационной безопасности в отрасли.

В ходе реализации проекта планируется разработка типового технологического решения для создания подсистем раннего предупреждения об угрозах информационной безопасности. Также будут подготовлены методические рекомендации по проведению ведомственного мониторинга состояния работ по категорированию объектов критической информационной инфраструктуры.

Актуальность создания такого центра обусловлена резким ростом количества кибератак на российские промышленные предприятия с 2022 года. По данным центра мониторинга и реагирования на кибератаки МТС RED SOC, в первом полугодии 2024 года было отражено более 22 тыс. атак на промышленные компании, из которых около 15% имели критический статус.

Руководитель отдела защиты информации InfoWatch Arma Роман Сафиуллин отмечает сложность обеспечения информационной безопасности на промышленных объектах из-за их уникальности и необходимости индивидуального подхода к каждому предприятию. Он также указывает на дефицит специалистов по безопасности автоматизированных систем управления технологическими процессами.[5]

Правительство изменило процедуру категорирования объектов КИИ, породив множество вопросов

Правительство РФ 19 сентября приняло постановление №1281 о внесении изменений в постановление правительства РФ от 8 февраля 2018 г. № 127. Последним ранее была определена процедура категорирования объектов критической информационной инфраструктуры (КИИ), которая действовала до сих пор. Нынешнее изменение этой процедуры состоит из трех пунктов:

  • Признать утратившим силу требование формирования перечня объектов, подлежащих категорированию (подпункт «г» пункта 5 постановления №127);
  • Изъять из полномочий комиссии по категорированию возможность формирования перечня объектов и оценки необходимости категорирования создаваемых объектов (исключение соответствующих полномочий из подпункта «в» пункта 14 постановления №127);
  • Убрано требование согласования перечня с регуляторами, а также все сроки, в том числе и такой: «Максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов» (убран весь пункт 15 постановления №127).

Принятые Правительством РФ изменения помещаются на одном листе

Фактически принятое постановление означает, что из процесса категорирования убирается целый этап – подготовка перечня объектов, которые подлежат категорированию. Однако именно от регистрации этого перечня ранее отсчитывался год, который отводился на категорирование объектов, а теперь сроки, похоже, становятся менее определенными. Так, по мнению Даниила Сокола, владельца проекта «Нота Купол», разработанного компанией «Нота» (Холдинг Т1):

«
Этап формирования перечня объектов для категорирования был критически важным в процессе исполнения постановления № 127, так как он служил стартом для дальнейшего проведения категорирования и защиты объектов, а также сигналом для регулятора, что работа на субъекте КИИ начата. Без формального перечня и требований его согласования со ФСТЭК России (направление перечня в течении 5 дней после утверждения) существуют риски упустить и неверно определить критичные объекты КИИ.
»

Однако эксперты считают, что перечень объектов КИИ, которые подлежат категорированию, составлять всё-таки нужно и после принятых правительством изменений.

«
Этап формирования перечня объектов КИИ никто не отменял как таковой, – пояснил TAdviser Олег Нестеровский, заместитель директора департамента по консалтингу и аудиту ARinteg. – Исключено дублирование. Подпункт «в» пункта 5 постановления №127 и так предполагает формирование указанного перечня, а именно: определение объектов критической информационной инфраструктуры, которые обрабатывают информацию, необходимую для обеспечения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов. Относительно отмены максимального срока на категорирование объектов КИИ – это большой вопрос. Ждем разъяснений регулятора.
»

Следует отметить, что процедура категорирования сейчас видеоизменяется. Правительство уже назначило ответственных регуляторов для каждой отрасли из перечисленных в законе №187-ФЗ «О безопасности КИИ РФ», для реализации которого и принято постановление №127. Сейчас все они подготовили списки типовых объектов КИИ в каждой конкретной отрасли, и они должны контролировать процесс категорирования своих подопечных в соответствии с этими отраслевыми перечнями.

«
Этап формирования перечня объектов КИИ для категорирования был важен до тех пор, пока в стране формировались перечни типовых отраслевых объектов критической информационной инфраструктуры, функционирующих в различных сферах, установленных пунктом 8 статьи 2 №187-ФЗ «О безопасности КИИ РФ», – поделился своим видением ситуации с TAdviser Максим Фокин, руководитель направления сертификации и безопасной разработки ОС «МСВСфера» (ГК Softline). – К настоящему моменту такие перечни сформированы в полном объеме, и нет никакого смысла формировать перечни объектов для категорирования силами субъектов КИИ, т.к. этот процесс был достаточно тяжелым и непонятным для таких организаций. При формировании перечней на местах многое зависело от компетенции специалистов, функционирующих в различных субъектах КИИ.
»

По словам эксперта, самостоятельное формирование перечня объектов организацией (субъектом КИИ) приводило к формированию избыточного списка объектов КИИ. В некоторых же случаях компании «забывали» добавлять в перечни реально важные для государства объекты. Именно поэтому правительство старалось привлечь регуляторов в соответствующих отраслях к формированию перечней.

Теперь же можно просто взять готовые перечни типовых отраслевых объектов КИИ и соотнести с объектами своей организации, что позволит однозначно идентифицировать все объекты КИИ в организациях. Это поможет на порядок сократить время работы по категорированию объектов КИИ, разгрузить регулятора, уменьшить расходы организаций на обеспечение безопасности избыточных объектов, а также обеспечить защиту ключевых для информационной безопасности государства объектов КИИ.

«
Для субъектов КИИ такие изменения облегчают процесс категорирования и согласования перечня объектов КИИ, особенно когда нужно исключить объект из базы ФСТЭК России, с другой стороны, дают больше возможностей ошибиться при определении объектов КИИ, – заявил Даниил Сокол. – Работа регулятора осложняется тем, что формирование перечня помогало государственным органам и регуляторам контролировать процесс начала категорирования и обеспечивать соблюдение норм и требований законодательства, а также определяло период, за который необходимо было выполнить категорирование. Без четкого этапа регистрации перечня регулятору может быть сложно установить конкретные сроки категорирования на субъекте КИИ. Для субъектов КИИ изменений никаких не будет, работа по определению перечня объектов останется прежней, при этом можно использовать рекомендации по типовым объектам КИИ, которые приняты в отраслевых регуляторах.
»

Об упрощении процедуры формирования перечней объектов КИИ аналогичное мнение высказал и Олег Нестеровский:

«
Перечни типовых отраслевых объектов КИИ используются для формирования перечня объектов КИИ, но не являются исчерпывающими. Они не исключают наличия и других ИС, ИТКС, АСУ ТП, реализующих и обеспечивающих критические процессы. Порядок формирования списка объектов, подлежащих категорированию, не меняется.
»

Остается только вопрос по согласованию перечня со ФСТЭК или другими регуляторами. Однако эксперты самостоятельно ответить на него не могут и ожидают разъяснений от регуляторов.

Минцифры оценило импортозамещение средств кибербезопасности на объектах КИИ в России

Министерство цифрового развития, связи и массовых коммуникаций России в сентябре 2024 года заявило, что готовность к полному импортозамещению средств защиты информации на объектах критической информационной инфраструктуры (КИИ) оценивается как высокая. Эти данные были озвучены в Москве директором департамента обеспечения кибербезопасности Минцифры Евгением Хасиным.

По словам Хасина, большинство средств кибербезопасности на объектах КИИ уже имеют отечественные аналоги. Тем не менее, существуют определённые технологические сложности с высокопроизводительными системами защиты, однако ведётся активная работа по совершенствованию их характеристик. Он также подтвердил, что перенос срока выполнения указов президента, касающихся запрета использования иностранного программного обеспечения (ПО) и сервисов кибербезопасности, не планируется.

Минцифры оценило импортозамещение средств кибербезопасности на объектах КИИ в России


Как передает ТАСС, дополнительно директор центра компетенций по импортозамещению в сфере ИКТ Илья Массух сообщил, что в некоторых сегментах замещение приблизилось к 100%. В частности, по файерволам и средствам резервного копирования этот показатель составляет 75-80%, а по базам данных и операционным системам — около 50%. Массух отметил, что большинство компаний, подпадающих под действие указов, серьёзно подходят к этому вопросу и выполнят все нормативные требования в срок.

В марте 2022 года президент России Владимир Путин подписал указ, направленный на обеспечение технологической независимости и кибербезопасности критической информационной инфраструктуры России. Согласно этому указу, с 31 марта 2022 года был введён запрет на приобретение иностранного ПО для объектов КИИ без согласования с уполномоченными органами. Запрет также распространился на закупки услуг, необходимых для использования такого ПО.

Кроме того, указ президента устанавливает, что с 1 января 2025 года органам государственной власти будет запрещено использовать иностранное программное обеспечение на объектах КИИ. Это решение принято в рамках стратегии повышения независимости России в сфере информационных технологий и кибербезопасности.[6]

Минпромторг решил ужесточить требования к ИБ для доверенных программно-аппаратных комплексов

Минпромторг в августе 2024 года на федеральном портале проектов НПА опубликовал предложение по внесению изменений[7] в ПП-1912 «О порядке перехода субъектов КИИ РФ ‎на преимущественное применение доверенных ПАК на принадлежащих им значимых объектах КИИ РФ». Основные изменения предполагается внести в приложения к утвержденным в ПП-1912 правилам перехода субъектов КИИ на преимущественное применение доверенных ПАК на принадлежащих им значимых объектах КИИ.

В частности, в приложении №1 к правилам указано, что доверенными являются ПАК, которые содержатся не только в реестре российской радиоэлектронной продукции, как было изначально, но и в реестре российской промышленной продукции. Оба реестра обслуживаются Минпромторгом, хотя в реестре отечественного ПО, который поддерживается Минцифры, уже появился раздел ПАКов[8]. В нём на начало августа содержится 296 записей.

«
Государственного реестра доверенных ПАКов на сегодняшний день не существует, – заявил TAdviser Валерий Андреев, к. ф.-м.н. и заместитель генерального директора по науке и развитию компании «ИВК». – Есть реестр ПАКов Минцифры РФ, но критерии доверенности включенных в него программно-аппаратных комплексов нигде не прописаны, в реестре нет даже отметок о том, является ли ПАК доверенным. Доверенной может быть программная часть ПАКа – это подтверждается сертификатом ФСТЭК России или ФСБ России. Она может быть внесена в Единый реестр программ Минцифры РФ, но сведений о наличии сертификатов на странице продукта не предусмотрено. То есть пользователь, просматривая в реестре интересующие его программные средства, не может сразу узнать, сертифицированы ли они.
»

Пример записи реестра ПАКов Минцифры. Видно, что устройство содержиться в реестре промышленной продукции, поэтому по старой персии ПП №1912 не было бы доверенным

Собственно, в ПП №1912 критерии доверенного ПАК есть (не для реестра ПАКов Минцифры) – они сформулированы как раз в приложении №1 и состоят из трех пунктов:

  1. Включение сведений об устройстве в реестр российской радиоэлектронной продукции[9] и, если будет принято изменение, в реестр российской промышленной продукции[10];
  2. ПО соответствует требованиям Постановления №1478 от 22 августа 2022 г.;
  3. Если в ПАК есть функции защиты, то он должен иметь соответствующие сертификаты ФСТЭК и ФСБ. Если все эти три пункта выполнены, то ПАК считается доверенным.
Пример записи из единого реестра радиоэлектронной продукции, где, действительно, отсутствуют сведения как о сертификации программного обеспечения, так и самого устройства

По третьему пункту в проекте также предусмотрены изменения. Если ПАК содержит функции безопасности, то требования ФСТЭК и ФСБ будут предъявляться не только к самим этим механизмам, но и к радиоэлектронной продукции, которая входит в состав этого ПАК. Причем информация о том, что сам ПАК и используемая в нем элементная база соответствует требованиям ФСТЭК и ФСБ, должна подтверждаться сертификатами. Сейчас нет не только сертифицированных этими ведомствами устройств, но и не утверждены требования этих регуляторов к доверенным ПАКам.

Единственное, что есть, – это предварительный стандарт на доверенные ПАК ПНСТ 905-2023, который утвержден техническим комитетом №167 Росстандарта под названием «Программно-аппаратные комплексы для критической информационной инфраструктуры и программное обеспечение для них». Этот ТК контролируется структурой «Росатома» под названием НПО «КИС». Поэтому вряд ли Минпромторг, ФСТЭК или ФСБ будет ссылаться на подготовленные им стандарты в своих документах.

«
Аппаратная часть ПАКа может быть внесена в Единый реестр радиоэлектронной продукции Минпромторга РФ, – пояснил Валерий Андреев. – Но сведений о сертификации изделия в его программной части здесь также не предусмотрено, как и самого упоминания о ПО, за исключением микрокода. Получается, что оператору или заказчику надо вести свой реестр доверенных ПАКов. Где добывать эту информацию, как отслеживать изменения? Есть ли смысл множественно дублировать эту работу? Очевидно, что нет. Необходим Единый государственный реестр доверенных ПАКов.
»

Причем в проекте постановления предлагается расширить список данных, которые субъекты КИИ должны сообщать контролирующим органам о предполагаемых к установке ПАКам. В частности, предлагается указывать количество центральных процессоров и их архитектуру, канальную емкость и количество портов, а также другие максимально подробные характеристики ПАК. В условиях риска санкций против цепочек поставок публикация подобных сведений чревата наложением санкций – подобные прецеденты уже были.

«
Вопрос о наличии достаточного объема отечественной элементной базы для производства ПАК остается открытым, однако при активных инвестициях и усилиях со стороны как государственных, так и частных структур можно рассчитывать на позитивную динамику в данном направлении, – поделилась своими мыслями с TAdviser Елена Куц, руководитель экспертно-аналитического отдела ALMI Partner. – Несмотря на то, что происходит активное развитие российской элементной базы для производства ПАК, многие предприятия по-прежнему зависят от импортных компонентов, что влечет за собой определенные риски и трудности. К тому же, компании, занимающиеся производством ПАК, столкнутся с необходимостью адаптировать свою продукцию под новые требования, что потребует дополнительных инвестиций и ресурсов.
»

Действительно, действие постановления № 1912 начинается уже с 1 сентября 2024 года, и изменение его в последний момент может оказать отрицательное воздействие на производителей ПАК: за месяц они вряд ли смогут оперативно перепроектировать свои устройства, чтобы удовлетворить требованиям законодателей, которых, как было сказано, еще и нет. Поэтому велика вероятность того, что к моменту вступления в действие постановления необходимых устройств с соответствующими сертификатами просто не будет на рынке.

«
Для производства ПАК необходима развитая элементная база, – отметил в разговоре с TAdviser Камиль Баймашкин, заместитель исполнительного директора R-Vision. – В России существует ряд предприятий, производящих электронные компоненты. Однако для полного удовлетворения потребностей в ПАК необходимо дальнейшее развитие отечественной электронной промышленности. В краткосрочной перспективе по некоторым видам продукции новая версия постановления может временно ограничить выбор доступных ПАК. В целом, предлагаемые изменения — это шаг в верном направлении, поскольку в текущих условиях недостаточная защищенность объектов критической информационной инфраструктуры, уязвимость их к внешним атакам представляет угрозу безопасности государства.
»

Требования проекта постановления являются важными для развития отечественной радиоэлектронной промышленности. Конкурировать ценами с китайскими налаженными производствами очень сложно, поэтому переход на преимущественное использование российских компонент нужно стимулировать законодательно.

«
В перспективе 2-3 лет спрос заказчиков на российскую РЭП должен быть удовлетворен, – заявил TAdviser Кирилл Семион, генеральный директор АНО НЦК ИСУ. – Производители элементной базы сейчас активно наращивают объемы производства. Главное, что им для данного процесса необходимо - это инвестиции и технические специалисты. В целом преимущественное использование доверенных ПАК удобно для заказчиков. Но важно, чтобы все характеристики ПАКов были детально описаны. Также необходимо сделать обязательным подтверждение внешней экспертизой. В этом случае заказчикам будет легко проектировать свою архитектуру.
»

Российский ГОСТ по кибербезопасности на АЭС стал международным

Российский ГОСТ, регламентирующий методы киберзащиты систем управления атомными электростанциями, получил статус международного стандарта. Об этом стало известно в конце июля 2024 года. Подробнее здесь.

Путин запретил использовать услуги кибербезопасности из недружественных стран

13 июня 2024 года президент России Владимир Путин своим указом №500[11] утвердил поправки к указу №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». В соответствии с документом с 1 января 2025 года запрещается использование средств защиты, а также услуг по кибербезопасности из недружественных стран. Кроме того, указ требует подключе6ние к системе ГосСОПКА только аккредитованных центров реагирования.

«
Принятые изменения содержат ряд ключевых донастроек и уточнений дополнительных мер по обеспечению информационной безопасности Российской Федерации и направлены на оптимизацию контроля и мониторинга за деятельностью центров ГосСОПКА, а также на расширение запретов по взаимодействию с лицами с иностранным участием в рамках обеспечения информационной безопасности, — заявил Андрей Медунов, руководитель группы по сопровождению GR-проектов ГК «Солар». — Следует отметить, что это своевременные и логичные уточнения, которые будут способствовать повышению киберустойчивости экономики государства и технологической независимости отрасли кибербезопасности.
»

Изначально указ №250 определяет требования для госструктур, госкорпораций и субъектов критической информационной инфраструктуры (КИИ) в плане реагирования на киберинциденты. Одна из поправок касается аккредитованных центров, которые будут привлекаться «в случае необходимости» для предупреждения кибератак и устранения их последствий.

«
Новый Указ №500 содержит предписания для ФСБ России, согласно которым, необходимо определить требования к центрам ГосСОПКА, установить порядок их аккредитации и приостановления этой аккредитации, — пояснил для TAdviser Александр Быков, руководитель направления сервисов защиты облачного провайдера «НУБЕС». — В этой части, корректировка предыдущего Указа №250 была необходима, поскольку это сделает более эффективным для КИИ процесс реагирования на атаки.
»

Для таких центров будет определен порядок их аккредитации, в том числе порядок приостановления процедуры аккредитации, приостановления действия аккредитации и отзыва аккредитации. То есть, ФСБ предстоит разработать, утвердить и контролировать правила аккредитации центров ГосСОПКА, которые обеспечивают мониторинг, ликвидацию последствий компьютерных атак, а также анализ защищенности.

Президент РФ Владимир Путин

Кроме того, организациям, на которые распространяется указ, с 2025 года запрещается пользоваться работами или услугами в области кибербезопасности, которые предоставляют компании из недружественных государств. Бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий говорит, что данные меры охватывают широкий перечень сервисов. Это могут быть, в частности, облачные сервисы для обеспечения информационной безопасности, службы консалтингового характера, работы по анализу защищенности, проведению тестирований на проникновение и пр.

«
Сейчас в России продолжают в минимальном объеме использовать иностранные сервисы WAF(межсетевые экраны для защиты веб-приложений) и NGFW (межсетевые экраны для фильтрации трафика), но это в большей степени касается больших зарубежных компаний, — прокомментировал текущую ситуацию для TAdviser Александр Хонин, руководитель отдела консалтинга и аудита Angara Security. — Они используются, так как установлены в инфраструктуре головных организаций за рубежом. В остальных случаях речь идет про использование таких сервисов посредством "обходных" путей. В части сервисов, скорее всего, будет переход на отдельные ИБ-продукты, чтобы сохранить необходимый функционал. Ряд организаций будет отказываться от таких сервисов и заменять их компенсирующими мерами
»

Быстрая цифровизация промышленности требует проактивной защиты для отражения кибератак

Последние два года в России и других странах СНГ активно растет количество кибератак, при этом мишенями для киберпреступников все чаще становятся госучреждения, крупные и средние компании из частного сектора, тогда как раньше основными жертвами хакеров становились частные лица. Основной причиной того, что злоумышленники все чаще атакуют учреждения и предприятия в странах СНГ, является геополитическая напряженность, которая создает мотивы и условия для кибершпионажа и других вредоносных операций, уверен эксперт в сфере информационной безопасности Орхан Гаджизаде, который занимает ключевые должности в крупнейших госкомпаниях Азербайджана SOCAR и AIH, где выстроил многоуровневую систему защиты данных и инфраструктуры. Подробнее здесь.

ФСТЭК разработала правила оценки защищенности госорганов и объектов КИИ

В первых числах мая 2024 года Федеральная служба по техническому и экспортному контролю (ФСТЭК) обнародовала методику оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры (КИИ) России. Правила распространяются на госорганы, организации в области связи, энергетики, банковской сферы и предприятия других значимых отраслей экономики.

В документе говорится, что методика определяет показатель, характеризующий текущее состояние технической защиты информации, не составляющей государственную тайну, и (или) обеспечения безопасности значимых объектов КИИ. Оценка должна осуществляться не реже одного раза в шесть месяцев. Внеочередную проверку защищенности организациям необходимо проводить в случае возникновения инцидента информационной безопасности с негативными последствиями или при изменении архитектуры информационных систем. Кроме того, такая проверка может быть инициирована по запросу ФСТЭК.

ФСТЭК обнародовала методику оценки показателя состояния технической защиты информации

Исходными данными, необходимыми для оценки показателя защищенности, могут быть: отчеты, протоколы или иные документы, составленные по результатам внутреннего контроля уровня безопасности; результаты проведения инвентаризации информационных систем; внутренние организационно-распорядительные документы, регламентирующие организацию защиты информации; отчеты, составленные по результатам внешней оценки. Кроме того, могут учитываться результаты опроса работников организации о выполнении ими функций с использованием информационных систем и (или) по обеспечению информационной безопасности.

Участники рынка, как отмечает газета «Коммерсантъ», полагают, что методика ФСТЭК поможет компаниям сфокусироваться на минимально необходимом уровне защиты. Так, заместитель технического директора Innostage Данияр Исхаков говорит, что требования «просты и понятны», а это «должно положительно сказаться на желании выполнять их реально, а не формально».[12]

Понятие технологической независимости КИИ стандартизировали. Пока временно

Росстандарт в начале февраля 2024 года опубликовал предварительный стандарт ПНСТ 905-2023[13] «Критическая информационная инфраструктура. Доверенные программно-аппаратные комплексы. Термины и определения», который определяет основные понятия в области доверенных программно-аппаратных комплексов (ДПАК) для критической информационной инфраструктуры РФ.

Стандарт предварительный и срок его действия ограничен – с 1 апреля 2024 года до 1 апреля 2027 года. Однако именно в этом время предполагается обеспечение технологической независимости КИИ РФ за счет импортозамещения, поэтому стандарт может оказаться важен для всего рынка отечественной информационной безопасности.

Обложка стандарта ПНСТ 905-2023

В стандарте указано, что термины, им установленные, рекомендуются для применения во всех видах документации и литературы в области проектирования, разработки и изготовления ДПАК и их компонентов, а также при разработке нормативных документов в указанной области. И если кто-то не будет использовать соответствующие термины, то к нему возникнут вопросы касательно его компетенции.

Ключевыми понятиями документа являются определения таких терминов как технологическая независимость КИИ и доверенный программно-аппаратный комплекс. Это «состояние критической информационной инфраструктуры, характеризующееся возможностью ее создания, устойчивым, надежным функционированием и развитием, в том числе в условиях ограничений в доступности технологий и компонентов» и «программно-аппаратный комплекс, соответствующий требованиям обеспечения технологической независимости критической информационной инфраструктуры, функциональности, надежности и защищенности», соответственно.

При этом к ДПАК выдвигается ряд требований: как раз по обеспечению технологической независимости КИИ, по функциональности, надежности и защищенности. Для этого у ДПАК должно быть ключевое техническое решение (КТП), которое является его неотъемлемой частью и существенным для удовлетворения перечисленных выше категорий требований на всех этапах жизненного цикла. Что такое КТП, не уточняется, но определение очень похоже на отечественные аналоги аппаратного модуля TPM, которые, видимо, нужно будет устанавливать в каждый ДПАК.

Кроме того, стандарт определяет для ДПАК испытательный полигон, радиоэлектронную продукцию (РЭП) и электронную компонентную базу (ЭКБ), которые используются для его проектирования, тестирования и эксплуатации.

Есть также определение и для программного обеспечения, которое разделено на четыре категории: встроенное, системное, прикладное и специальное. Все эти категории ПО должны храниться в репозитории кода, который обязан полностью находиться на территории России.

ПНСТ 905-2023 разработан «НПО «Критические информационные системы» (КИС) и экспертной организацией «Инженерная безопасность». Утвержден он техническим комитетом №167 Росстандарта под названием «Программно-аппаратные комплексы для критической информационной инфраструктуры и программное обеспечение для них» в конце прошлого года – 28 декабря 2023 года приказом Росстандарта №115-пнст.

Стандарт предварительный, поэтому Росстандарт принимает замечания и дополнения к нему, которые должны быть направлены в ведомство не позднее, чем за 4 месяца до завершения действия. На их базе уже будет разработан основной стандарт, но это уже совсем другая история.

Путин разрешил сотрудникам транспортной безопасности сбивать дроны

Президент России подписал закон, разрешающий сотрудникам транспортной безопасности сбивать беспилотные летательные аппараты. Соответствующий документ опубликован 30 января 2024 года. Подробнее здесь.

2023

Отражение 65 тысяч атак на объекты критической информационной инфраструктуры

Отечественные специалисты отразили более 65 тысяч атак на объекты критической информационной инфраструктуры (КИИ) в 2023 году. Такой информацией поделился вице-премьер РФ Дмитрий Чернышенко, о чем 9 февраля 2024 года сообщила пресс-служба депутата ГосДумы РФ Антона Немкина.

Объекты критической информационной инфраструктуры составляют основу экономической системы страны, пояснил Антон Немкин.

«
Фактически к ним относятся важнейшие инфраструктурные объекты: государственные компании, банки, предприятия промышленности и научные организации, объекты транспорта и здравоохранения. Допущение кибератаки в этом случае может привести не только к утечке корпоративной информации, но и сведений, относящихся к гостайне. Кроме того, киберинцидент на неопределенное время может вывести из строя производственные процессы организации, – пояснил депутат.

»

Именно из-за этих причин объекты КИИ находятся под пристальным вниманием со стороны злоумышленников, подчеркнул Немкин.


«
Напомню, что только за первое полугодие 2022 года общее количество кибератак на российские организации увеличилось в 15 раз, по сравнению с аналогичным периодом 2021 года. Конечно, здесь не мог не сказаться фактор международной нестабильности, – отметил он.
»

По словам Немкина, играет роль и переход российских организаций на отечественные ИТ-решения.

«
Переход с одних систем на другие иногда создает бреши в информбезопасности, которыми активно пользуются злоумышленники. Речь идет об уязвимостях как в прикладном программном обеспечении, так и в самой инфраструктуре. При этом оптимальный уровень защищенности, во многом, зависит от скорости интеграции новых решений, – рассказал депутат.
»

Почти треть российских компаний, обладающих КИИ, сталкивались с инцидентами безопасности

32% субъектов КИИ сталкивались с инцидентами безопасности разной степени серьезности. Минимум 35% из них влекут за собой ущерб, который можно оценить в финансовых потерях. Простои — наиболее частое последствие инцидентов, причиной которых называют в основном DDoS-атаки и взломы сайтов. Кроме этого, приводятся следующие негативные последствия: репутационный ущерб, потеря данных без восстановления и прямой финансовый ущерб. Эти данные были получены в ходе исследования, проведенного «К2 Тех». Об этом компания сообщила 26 декабря 2023 года.

К субъектам КИИ относятся организации, от которых зависит работа транспорта, сетей связи, функционирование финансовой системы и государственных, медицинских и прочих услуг. Поэтому остановка их деятельности может нанести серьезный ущерб жизни и здоровью людей. 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» должен защитить промышленность, банки, больницы и другие учреждения и компании от киберугроз.

Хотя закон был принят в 2018 году, значительное число компаний признались, что все еще не знают, какие решения им понадобятся для реализации требований 187-ФЗ. С планами не определились 24% респондентов. Четкое представление о предстоящих закупках имеют 68% опрошенных, 8% затруднились ответить. В связи со сложностью проектов и требованиями по импортозамещению компании вынуждены приобретать дополнительные решения и заменять уже существующие. Самым востребованным классом СЗИ на декабрь 2023 года являются межсетевые экраны. При этом с межсетевыми экранами связано много вопросов, потому что что пока нет российских аналогов, сравнимых по производительности с ушедшими зарубежными вендорами. На втором месте — средства защиты от вредоносного кода. За ними идут сетевое оборудование, средства криптографической защиты и SIEM.


«
Многие компании только в 2023 году начали плотно работать над выполнением требований 187-ФЗ. Это связано, во-первых, с появлением 250 Указа Президента, где прописаны конкретные практические задачи, которые необходимо выполнить, сроки и ответственные, а во-вторых, с тем, что в 2022 году бизнес был сфокусирован на борьбе с атаками и выполнении предписаний ФСТЭК. На декабрь 2023 года большинство компаний еще находятся на старте реализации. Самый важный этап для успешного завершения проекта — это качественное проведение категорирования и аудита объектов КИИ. Более половины (57%) компаний частично или полностью доверяют этот процесс внешним подрядчикам. Это значительно экономит время. Когда организация выполняет аудит своими силами, мы иногда сталкиваемся с тем, что объектов КИИ оказывается в 3 раза больше, чем изначально указывалось, — сказал Андрей Заикин, директор по развитию бизнеса «К2 Кибербезопасность».
»

«
С годами мы наблюдаем значительное повышение уровня зрелости наших промышленных заказчиков в области информационной безопасности. Те проблемы, с которыми мы сталкивались ранее, такие как отрицание необходимости защиты систем управления технологическим процессом (АСУ ТП) и критической информационной инфраструктуры (КИИ), отсутствие ответственных лиц за обеспечение информационной безопасности, использование корпоративных решений для защиты АСУ ТП, теперь уходят на второй план. Тем не менее, развитие рынка ИБ промышленных инфраструктур диктует необходимость перехода от защиты объектов КИИ, в первую очередь, систем промышленной автоматизации, с использованием пассивного мониторинга, к более плотной интеграции средств защиты в периметр таких систем и реализации активных действий по реагированию на возникающие инциденты и (или) их недопущению. Повышение готовности заказчиков к реализации такого подхода в промышленных сетях – это то, над чем еще предстоит работать, — отметил Андрей Бондюгин руководитель группы по сопровождению проектов защиты промышленных инфраструктур «Лаборатория Касперского».
»

«
В последнее время возросло количество кибератак на цепочки поставок, в результате реализации которых на стороне взломанной ИТ-компании хакеры внедряют вредоносный код в ПО, который затем незаметно попадает в инфраструктуру заказчиков, например, вместе с очередным обновлением. По уровню потенциального негативного воздействия такая кибератака действительно может сравниться со взломом значимого объекта КИИ, особенно ввиду того, что внедренный в ПО вредоносный модуль может попасть в инфраструктуры сразу множества субъектов КИИ. Одним из вариантов решения задачи могла бы стать организация государственного сервиса по проверке безопасности ПО и СЗИ, например, с использованием «песочниц», методов композиционного анализа и средств статического, динамического, интерактивного анализа; после такой проверки отсутствия «закладок» в дистрибутиве или пакете обновления значение хэш-суммы инсталлятора можно помещать в публично доступный реестр надежного софта, с которым субъекты КИИ будут сверяться в обязательном порядке», — рассказал Руслан Рахметов генеральный директор Security Vision.
»

Минцифры выделяет 25,2 млрд рублей на развитие ГИС в сфере кибербезопасности

28 ноября 2023 года стало известно о том, что Минцифры РФ намерено направить 25,2 млрд рублей на развитие государственных систем в области кибербезопасности. Инициатива призвана ускорить импортозамещение в данной области, а также повысить эффективность действующих систем защиты от хакерских вторжений, вредоносного ПО и пр.

Как сообщает газета «Коммерсантъ», об инициативе говорится в материалах национального проекта «Экономика данных». Указанную сумму Минцифры предлагает инвестировать в период до 2030 года. Планируется, что все зарубежные продукты в сфере информационной безопасности (ИБ) получат российские аналоги. Это поможет компаниям и госструктурам отказаться от импортных решений, что важно в условиях сформировавшейся геополитической обстановки.

Минцифры намерено направить 25,2 млрд рублей на развитие государственных систем в области кибербезопасности

Из общей суммы в 25,2 млрд рублей Минцифры выделит 7,1 млрд рублей на развитие новой системы противодействия компьютерным атакам «Мультисканер» на базе ГосСОПКА (госсистема обнаружения, предупреждения и ликвидации последствий компьютерных атак; контролируется ФСБ). Эта платформа сможет обрабатывать более 90 млн файлов в год. «Мультисканер» станет аналогом бесплатного американского сервиса VirusTotal, анализирующего объекты на предмет наличия вредоносного кода. Полноценное внедрение нового защитного комплекса намечено на 2025 год.

Еще 3,7 млрд рублей пойдет на развитие госсистем «Антифрод» (противодействие мошенническим звонкам; Роскомнадзор) и «Антифишинг» (блокировка мошеннических сайтов; Минцифры). Примерно 2,4 млрд рублей Минцифры намерено израсходовать на оценку защищенности ключевых государственных информационных систем (ГИС). Около 12 млрд рублей потребуется на другие системы обеспечения кибербезопасности, включая криптографические инструменты.

Однако участники рынка говорят, что заявленные по проекту инвестиции «выглядят несколько завышенными» даже с учетом инфляции. Вместе с тем коммерческий директор «Кода безопасности» Федор Дбар подчеркивает, что «финансирование само по себе не гарантирует какой-либо результат».[14]

ФСТЭК выявил сотни нарушений в защите информационной инфраструктуры России

Федеральная служба по техническому и экспортному контролю (ФСТЭК) по итогам оценки защищенности критической информационной инфраструктуры в отношении 900 субъектов выявил около 600 нарушений. Об этом заместитель начальника отдела управления ведомства Павел Зенкин рассказал в середине ноября 2023 года. По его словам, с точки зрения числе обнаруженных нарушений ситуация в сравнении с 2022 годом почти не изменилась.

«
Это все те же самые организационные меры: субъект не знает свои объекты критической информационной инфраструктуры, которая у него имеется, не знает их архитектуру, специалисты не знают, что они работают на объектах ИИ и обеспечивают их безопасность. Что касается технических мер, то здесь тоже ничего нового – стандартные пароли, подключение к внешним сетям, не проводится анализ уязвимости, не происходит блокировка угроз, - сообщил Зенкин в ходе ИТ-форума в Новосибирске (цитата по «РИА Новости»).
»

ФСТЭК выявил около 600 нарушений в защите КИИ

Представитель ФСТЭК отметил, что с момента начала специальной военной операции ФСТЭК России направил в адрес субъектов информационной инфраструктуры более 160 мер, направленных на повышение защищенности объектов, в том числе по анализу уязвимости и обновлению ПО в условиях санкционной политики. По словам Зенкина, сотни нарушений в защите информационной инфраструктуры России - это «просто колоссальная цифра».

«
Все недостатки о которых я сказал, приводят к инцидентам…, - добавил он.
»

Замдиректора ФСТЭК Виталий Лютиков в середине ноября 2023 года отметил, что основной причиной большого числа уязвимостей в ПО объектов КИИ Лютиков назвал уход иностранных вендоров, которые перестали поддерживать свои решения, установленные на инфраструктуре российских заказчиков.[15]

«Здесь необходимо выстраивать процессы управления уязвимостями, чтобы минимизировать хотя бы критичные», - считает он.

ИТ-господрядчиков в России заставят соблюдать требования к кибербезопасности

Федеральная служба по техническому и экспортному контролю (ФСТЭК) разрабатывает для ИТ-господрядчиков требования по обеспечению информационной безопасности ИТ-систем. Об этом замглавы ведомства Виталий Лютиков рассказал 14 ноября 2023 года.

По его словам, требования по кибербезопасности к господрядчикам, оказывающим услуги ИТ-разработки, необходимы потому, что большинство взломов и утечек данных из государственных информационных систем происходит через подрядчиков-разработчиков, к которым никаких обязательных требований не предъявляется.

ФСТЭК разрабатывает для ИТ-господрядчиков требования по обеспечению информационной безопасности ИТ-систем
«
Количество угроз растет, ущерб от них увеличивается. Остаются все старые [угрозы]. Решать эти проблемы приходится на законодательном уровне, - сообщил Лютиков (цитата по «Ведомостям»).
»

Он отметил, что ФСТЭК проверила 40 тыс. систем критической информационной инфраструктуры и треть из них были отправлены на доработку «с точки зрения переоценки возможного ущерба» в случае нарушения работы при взломе. Почти каждая вторая система, проверяемая Федеральной службой по техническому и экспортному контролю, содержит критические уязвимости, заявил Лютиков.

По данным ФСТЭК, к середине ноября 2023 года в реестр объектов КИИ включено около 19% проверенных информсистем. Еще для 50% информсистем категории не присвоены, а по 31% заявки о присвоении той или иной категории значимости возвращены. При этом владельцам объектов КИИ было направлено около 1,6 тыс. требований о выполнении законодательства в части обеспечения безопасности.

«
Количество систем растет, количество объектов, включаемых в реестр значимых объектов КИИ увеличивается. Проблема в том, что операторы или владельцы объектов КИИ пытаются занизить ущерб, минимизировать и показать при определении объекта, что никаких последствий, никакого ущерба не произойдет. Но те инциденты, которые происходили за последние два года, они свидетельствуют об обратном, - добавил заместитель директора ФСТЭК.[16]
»

ФСТЭК займется созданием централизованной базы данных для контроля объектов КИИ - указ Путина

Президент России Владимир Путин подписал указ, которым расширил полномочия Федеральной службы по техническому и экспортному контролю (ФСТЭК). Соответствующий документ опубликован в ноябре 2023 года. Подробнее здесь.

Минцифры РФ обяжет телеканалы и операторов связи создать ИБ-подразделения

В середине октября 2023 года стало известно о том, что Минцифры РФ разработало новые требования, в соответствии с которыми российские компании — владельцы средств массовой информации (СМИ), а также операторы сотой связи и спутникового телевидения обязаны создать подразделения информационной безопасности (ИБ). Новые правила вступят в силу с 1 января 2025 года.

Как сообщает газета «Ведомости», требования распространяются на все каналы первого и второго мультиплексов, на «Российскую газету», ИТАР-ТАСС и МИА «Россия сегодня». Указанные организации и операторы связи должны перейти на отечественные средства защиты информации, тогда как на использование соответствующих решений из недружественных стран накладывается запрет. Подразделение по ИБ станут своего рода «внутренним аудитором» ИТ-инфраструктуры, поскольку количество кибератак на российские компании в свете сложившейся геополитической обстановки растет.

Минцифры разработало новые требования по ИБ для владельцев российских СМИ

Новые требования частично дублируют положения указа № 250 (принят в мае 2022 года), который распространяется на субъекты критической информационной инфраструктуры (КИИ). Такие организации обязаны обеспечить определенный стандарт защиты от аварийных ситуаций и попыток и последствий намеренного деструктивного воздействия на них. Участники рынка говорят, что в случае распространения жестких требований КИИ на весь операторский бизнес и СМИ потребуются огромные финансовые затраты.

В целом, размер инвестиций в создание ИБ-подразделений зависит от ряда параметров, в том числе от количества сотрудников в организации, объема информационной инфраструктуры и пр. Минимальное внутреннее подразделение по ИБ будет состоять из руководителя, специалиста по информбезопасности и специалиста по персональным данным. Партнер Б1 Сергей Никитчук полагает, что в зависимости от размеров бизнеса соблюдение новых требований потребует вложений от 5 млн до 50 млн рублей в год. Кроме того, дополнительные затраты понадобятся в связи с необходимостью импортозамещения СЗИ.[17]

Правительство может смягчить требования к импортозамещению в критической информационной инфраструктуре

Требования указа президента Владимира Путина о переводе объектов критической информационной инфраструктуры (КИИ) на отечественные решения могут быть смягчены. В соответствии указом, подписанным 30 марта 2022 года, все программное обеспечение и программно-аппаратные комплексы (ПАК) на объектах КИИ должны быть замещены на отечественные до 1 января 2025 года.

Но для ПАКов возможно продление до окончания срока эксплуатации уже действующих решений. Такую поправку к указу разработал Минпромторг, рассказал «Ведомостям» федеральный чиновник и подтвердил топ-менеджер одной из нефтегазовых компаний. По их словам, документ был внесен в правительство.

Минцифры создаст реестр ПО для объектов критической информационной инфраструктуры

7 августа 2023 года стало известно о том, что Минцифры РФ разработало новый законопроект о безопасности критической информационной инфраструктуры (КИИ). Документ в перспективе приведет к формированию специального реестра программного обеспечения, разрешенного для использования в КИИ-системах.

Как сообщает газета «Коммерсантъ», документ «наделяет правительство полномочиями определять для каждой отрасли (а не только госкомпаний) типовые решения, которые будут отнесены к объектам КИИ, а также устанавливать для них сроки перехода на российские решения». Кроме того, планируется выбрать типовые ИТ-решения, которые будут отнесены к объектам КИИ. Иными словами, к объектам КИИ приравняют непосредственно информационные системы, используемые в тех или иных отраслях.

Минцифры разработало новый законопроект о безопасности критической информационной инфраструктуры

По состоянию на начало августа 2023 года к субъектам КИИ относятся госорганы, организации в области связи, здравоохранения, науки, транспорта, энергетики, банковской сферы, топливно-энергетического комплекса и других значимых отраслей экономики.

Категорирование самих информсистем значимых отраслей, по сути, расширит сферу действия закона путем включения объектов, которые ранее таковыми не были. А это приведет к появлению реестра софта, рекомендованного для использования на предприятиях и в организациях в различных отраслях экономики.

Участники рынка полагают, что новый законопроект поспособствует тому, что специалистам субъектов КИИ будет проще проводить категорирование на основе утвержденных правительством перечней. С другой стороны, это может «усилить регуляторные барьеры для отрасли». Принадлежность к КИИ накладывает на организации ряд условий работы, в том числе по обеспечению безопасности и импортозамещению. Согласно указу президента РФ от марта 2022 года, госорганам и госкомпаниям запрещается использовать иностранное программное обеспечение на объектах КИИ с 1 января 2025 года.[18]

Минцифры РФ попросило госорганы создать дополнительную ИТ-инфраструктуру с георезервированием

4 августа 2023 года стало известно о том, что Минцифры РФ направило ведомствам методические рекомендации по укреплению устойчивости информационной инфраструктуры. В частности, предлагается выполнить резервирование каналов связи и обеспечить географическое распределение центров обработки данных (ЦОД).

Как сообщает газета «Коммерсантъ», ИТ-системы федеральных ведомств относятся к критической информационной инфраструктуре (КИИ). В сложившейся геополитической обстановке количество кибератак на такие ресурсы значительно возросло, что приводит к необходимости усиления защиты. Резервирование каналов связи требуется, если, например, в ЦОД, где одно или несколько ведомств хранят данные, доступ организован по единственной линии. В случае кибератаки или физического повреждения сетевого канала доступ к информационной системе ведомства будет невозможен.

Минцифры направило ведомствам методические рекомендации по укреплению устойчивости информационной инфраструктуры

На фоне новых угроз в киберпространстве действенным защитным решением может быть создание геораспределенных виртуальных и физических дата-центров с резервными каналами связи. Если это невозможно, то необходимо как минимум подключить к информационной системе дополнительные каналы связи, которые будут построены по географически разным маршрутам.

Участники рынка говорят, что рекомендации Минцифры уже повлияли в том числе на рост спроса на размещение данных в региональных ЦОД. Так, некоторые российские компании переносят обработку и хранение информации из дата-центров в Московском регионе за Урал. Провайдеры отмечают рост спроса в сегменте облачных сервисов в Екатеринбурге и Новосибирске. Однако формирование ИТ-инфраструктуры с георезервированием и развертывание дополнительных каналов передачи информации повлечет рост расходов ведомств на информационную инфраструктуру. Затраты могут подняться на 10%, что связано с необходимостью аренды дополнительных серверов и созданием вспомогательных сетевых каналов.[19]

Данные о недвижимости в России защитят от кибератак

В конце июня 2023 года Госдума приняла в третьем (окончательном) чтении изменения в федеральный закон «О безопасности критической информационной инфраструктуры РФ» в части уточнения субъектов критической информационной инфраструктуры.

Документ относит к таким субъектам информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, функционирующие в сфере государственной регистрации недвижимости. Кроме того, субъектами КИИ также будут считаться лица, которым принадлежат такие системы и сети.

В КИИ включат информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, функционирующие в сфере государственной регистрации недвижимости

Данная инициатива, по словам ее авторов, позволит распространить на сферу недвижимости комплекс мероприятий, которые применяются государством для защиты критической информационной инфраструктуры. Новые нормы вводятся для обеспечения безопасности регистрационных данных в сфере недвижимости, «чтобы защитить их от хакерских атак и похищения», говорит председатель думского комитета по безопасности Василий Пискарев.

«
Можно только предполагать, к каким последствиям приведут попытки хакеров взломать базы данных и, например, изменить данные о собственниках недвижимого имущества или просто похитить эти сведения в мошеннических целях, - отметил он.
»

Принятие законопроекта позволит реализовать комплекс мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак, проводимых в отношении объектов указанной сферы, и создаст условия для противодействия преступлениям, отмечается в пояснении к документу.

Член Комитета по бюджету и налогам Никита Чаплин подчеркнул, что крайне важно уделять особое внимание защите от похищения регистрационных данных в сфере недвижимости, особенно, когда речь идет о критической информационной инфраструктуре РФ. При этом он заметил, что российские спецслужбы успешно отражают нападки.[20]

ФСБ утвердила порядок мониторинга защищённости сайтов субъектов КИИ

2 июня 2023 года Федеральная служба безопасности Российской Федерации (ФСБ) утвердила порядок мониторинга защищённости сайтов субъектов критической информационной инфраструктуры (КИИ).

Речь идёт о ресурсах, принадлежащих федеральным органам исполнительной власти, высшим исполнительным органам государственной власти субъектов РФ, государственным фондам, государственным корпорациям (компаниям) и иным организациям, созданным на основании федеральных законов. Кроме того, документ распространяется на стратегические предприятия и акционерные общества, системообразующие организации российской экономики, а также на юридические лица, являющиеся субъектами КИИ.

ФСБ РФ утвердила порядок мониторинга защищённости сайтов субъектов критической информационной инфраструктуры

Говорится, что мониторинг осуществляется в целях оценки способности информационных ресурсов организаций противостоять угрозам информационной безопасности. Соответствующие работы будут выполняться Центром защиты информации и специальной связи ФСБ и территориальными органами безопасности. Под мониторинг подпадают информационные системы (в том числе сайты в интернете), информационно-телекоммуникационные сети и автоматизированные системы управления.

Согласно приказу ФСБ, организации должны направить на адрес электронной почты monitoring@fsb.ru информацию о доменных именах и внешних сетевых адресах своих информационных ресурсов, а также об изменениях таких имён и адресов электронной почты. Мониторинг защищённости осуществляется непрерывно и включает в себя сбор и анализ сведений и документов об используемых информационных ресурсах; выявление функционирующих сервисов и обнаружение уязвимостей; оценку защищённости систем. Выявление работающих ресурсов и поиск потенциальных проблем осуществляются удалённо без предварительного уведомления организаций о начале проведения работ.[21]

ФСТЭК призывает госорганы и банки отключить доступ к корпоративной почте через зарубежные IP

21 марта 2023 года стало известно о рекомендациях в части информационной безопасности, которые Федеральная служба технического экспортного контроля (ФСТЭК) субъектам безопасности критической информационной инфраструктуры (КИИ — госорганы, связь, финансы, ТЭК, операторы связи и т. п.).

В частности, как пишет «Коммерсантъ» со ссылкой на презентацию ФСТЭК, ведомство призывает отключить удаленный доступ к критичным узлам и сетям, запретить open relay (серверы, позволяющие бесконтрольно пропускать через себя почту), а также взаимодействие через электронную почту с иностранными IP-адресами.

Объектам КИИ рекомендуется отключить удаленный доступ к критичным узлам, запретить open relay и взаимодействие через почту с иностранных IP

ФСТЭК пояснила, что эти меры позволят дополнительно защитить почтовые системы значимых компаний в РФ, относящихся к КИИ. Также ФСТЭК напомнила о необходимости записи действий всех привилегированных пользователей в ИТ-системах объектов КИИ для борьбы с возможными «внутренними нарушителями», включая тех, кто обеспечивает технологические процессы компаний в рамках аутсорса или привлечённых к работам сторонних сотрудников из других отделов.

В «Информзащите» назвали неплохой практикой отключение прямого удаленного доступа к управляющим интерфейсам и запрет open relay. Ограничение зарубежных адресов — мера, которую уже применили и госучреждения без особых негативных последствий для себя, но применять такую практику для субъектов КИИ не всегда возможно, поскольку компании могут взаимодействовать с контрагентами, которые используют зарубежные IP-адреса, отметили в компании.

Предложенные ограничения распространяются не на все компьютеры субъекта КИИ, а лишь на те, которые входят в критическую инфраструктуру, уточнил руководитель информационно-аналитической службы ОД «Информация для всех» Евгений Альтовский. Он считает чрезмерным запрет на взаимодействие с иностранными IP-адресами, так как их принадлежность регулярно меняется. Субъектам КИИ придется каждый раз проверять, кому принадлежит IP-адрес почтового сервера корреспондента, уточняет эксперт.[22]

ФСТЭК объяснила, что делать, если у владельца КИИ нет денег на ИБ-систему для обеспечения её защиты

По итогам проведённых мероприятий госконтроля ФСТЭК выявила типовые проблемы в области защиты значимых объектов критической информационной инфраструктуры. О них 15 марта 2023 года рассказала начальник управления ФСТЭК России Елена Торбенко на мероприятии, посвящённом информационной безопасности АСУ ТП критически важных объектов.

К значимым объектам КИИ, напомним, относятся такие объекты КИИ, которым присвоена одна из категорий значимости, и они включены в соответствующий реестр, который ведёт ФСТЭК.

Нехватка денег для создания системы безопасности значимых объектов КИИ - нередкая проблема

По словам Елены Торбенко, финансовая проблема по созданию системы безопасности значимых объектов КИИ – одна из основных. Вместе с тем, когда объекту присваивается категория значимости в 2019-2020 гг., а в 2023 году ФСТЭК видит, что создание подсистемы защиты информации запланировано лишь на 2024-2025 гг., – это халатность, сказала представитель регулятора.

Невыполнение требований законодательства – это ответственность. Хорошо, если административная. А если произойдёт инцидент по данному вопросу, то это будет уже уголовная ответственность.

«
Не нужно сейчас спихивать задачу – «это был не я, это было до меня, у нас нет финансирования». Если вы не можете реализовать технические меры, то нужно что-то компенсирующее – организационные меры. Они не требуют существенных затрат, - отметила Елена Торбенко.
»

Если, например, в организации в промышленной системе, у которой жизненный цикл 5-10 лет, не могут реализовать те или иные меры, к примеру, установить туда антивирус, то следует применить организационную меру: оставить какое-то промежуточное место, где будет проводиться соответствующая проверка носителей информации, которые работают в значимой системе, в промышленном объекте, пояснила представитель ФСТЭК.

Или, если в организации не могут поставить парольную политику и разделение ролей, это можно сделать организационно, классически – журналированием.

«
Большинство этих организационных, «нулевых», как мы называем, мер уже реализованы в рамках ваших мер по промышленной безопасности. Просто примените их в своём значимом объекте, задокументируйте и живите спокойно, - рекомендовала начальник управления ФСТЭК России. – Но, тем не менее, создать подсистему нужно, в том числе с учётом тех организационных мер, которые вы можете применять в своих значимых объектах.
»

Другая основная выявленная проблема в том, что фактический состав таких объектов не соответствует тому, что субъекты КИИ предоставили в ФСТЭК ранее. Сведения о них не обновляются. Это ведёт к тому, что ни ФСТЭК, ни НКЦКИ зачастую не могут вовремя предупредить субъекты КИИ о проблемах, угрозах и опасностях, которые возникают в нынешней ситуации.

Следующей распространённой проблемой является то, что технологические объекты подключаются к корпоративным системам, и формально в организации считают, что выхода в интернет нет, однако корпоративная система зачастую без применения дополнительных средств защиты информации взаимодействует с интернетом.

«
Минимальная защита на периметре вашего значимого объекта КИИ, минимальные средства защиты и меры на периметре вашей корпоративной системы приводят к тому, что нарушитель может спокойно действовать в ваших системах. Статистика показывает, что до проявления нарушителя в системе он может находиться там до нескольких месяцев, - отметила представитель ФСТЭК.
»

Что касается выполнения правил категорирования значимых объектов КИИ, тут ФСТЭК указывает на то, что при категорировании зачастую не учитывается взаимодействие таких объектов с другими объектами. В организациях часто забывают, что один объект может зависеть от другого в своём функционировании. В итоге в ФСТЭК сталкиваются с тем, что зависимые объекты имеют разную категорию, что также несёт в себе угрозы безопасности.

А в некоторых организациях поступают так: разбивают свои объекты КИИ на отдельные небольшие подсистемы, пытаясь исключиться из реестра значимых объектов КИИ. Но это не пройдёт, заверила Елена Торбенко. От тех, кто так поступает, регулятор требует обосновать взаимодействие этих объектов.

Кроме того, имеет место занижение ущерба, который может повлечь прекращение или нарушение функционирования значимых объектов КИИ. К данной проблеме в ФСТЭК привлекают экспертов из других министерств, чтобы они помогли разработать необходимые методики и рекомендации.

Владельцы критических для России ИТ-систем наступают на старые грабли. ФСТЭК назвала типовые ошибки в безопасности

В 2022 году представители ФСТЭК в рамках мероприятий по реализации субъектами КИИ мер защищённости своих объектов осуществили выезды к более чем 700 организациям. По итогам представители регулятора увидели «неутешительные результаты», заявила на отраслевой конференции 7 февраля 2023 года начальник управления ФСТЭК России Елена Торбенко.

Ряд проблемных вопросов, актуальных уже несколько лет, остаются нерешёнными. Среди организаций в различных сферах были выявлены типовые ошибки, создающие возможность реализации угроз безопасности объектов КИИ. Представитель ФСТЭК их озвучила.

По итогам контрольных мероприятий ФСТЭК выявила типовые ошибки в области защиты объектов КИИ (фото - securitylab.ru)

Прежде всего, на компонентах значимых объектов КИИ в периметре организации выявляется ПО, в котором присутствуют уязвимости критического уровня опасности, которые могут быть проэксплатированы в том числе за счёт уязвимостей архитектуры системы.

«
Анализ защищённости субъектами КИИ не проводится, - говорит Елена Торбенко. – Коллеги, если у вас нет своих специалистов и ресурсов, за счёт которых вы могли бы это произвести, допускается привлечение лицензиатов, т.к. анализ защищённости периметра – это анализ той системы, с которой сталкивается нарушитель в первую очередь. Если вы там оставляете «дыры», вы оставляете открытую дверь для захода нарушителя в вашу систему.
»

Кроме того, ФСТЭК всё ещё сталкивается с тем, что на значимых объектах, в том числе на используемых для них средствах защиты информации, стоят пароли по умолчанию. Т.е. софт закуплен, установлен, и в нём остались предустановленные пароли. Это также по сути является приглашением для нарушителя проэксплуатировать уязвимость.

Те меры, которые реализует субъект КИИ, в ряде случаев являются формальными: они недостаточны для того, чтобы обеспечить полноценную защиту значимых объектов. При этом в случае невозможности реализации тех или иных мер на значимых объектах не применяются компенсирующие меры, говорит представитель ФСТЭК. Регулятор сталкивается с тем, что антивирусная защита не устанавливается в информационных компонентах. И там, где в системах автоматизированного управления невозможно установить антивирус, не реализуются дополнительные меры проверки носителей, которые есть.

Ещё одна типовая ошибка – использование неучтённых носителей информации, которые могут являться разносчиками вредоносного ПО в системах организации. И случаи шифрования промышленных систем уже встречаются в практике.

Некоторые субъекты КИИ также не считают целесообразным делать разграничение прав доступа к системам, привела ещё один пример Елена Торбенко. Соответственно, рядовой оператор может сделать всё что угодно из-под своей учётной записи, например, вывести объекты КИИ во внештатный режим функционирования.

Остаётся проблемой и взаимодействие с цепочкой поставок – т.е. с теми, кто обслуживает системы субъектов КИИ как в плане обеспечения безопасности, так и их штатного функционирования. В некоторых случаях полностью отсутствует контроль за такой внешней организацией, в договорных отношениях не предусматриваются вопросы того, что поставщики должны выполнять требования законодательства и также обеспечивать безопасность объектов КИИ.

«
И я уже не говорю о таких классических нарушениях, как контроль машинных носителей, отключение неиспользованных USB-портов и т.д. – то есть тех мерах, которые с незапамятных времён применяются в информационных системах, - добавила Елена Торбенко.
»

Представитель ФСТЭК также сообщила, что в 2022 году субъекты КИИ продолжали деятельность по определению своих ИТ-объектов, как объектов КИИ, отнесению их к значимым и созданию для них систем обеспечения безопасности. За 2022 год количество объектов, отнесённых к значимым, увеличилось более чем в два раза по сравнению в 2021-м, по данным ФСТЭК.

2022

ФСТЭК разработала методику оценки кибербезопасности для госорганов

Федеральная служба технического экспортного контроля (ФСТЭК) разработала новую методику оценки степени информационной безопасности в госорганах и организациях с госучастием, а также в компаниях,обладающих критически важной информационной инфраструктурой (КИИ; это банки, операторы связи, представители ТЭК и т. п.). Об этом стало известно 23 ноября 2022 года. Подробнее здесь.

В Сбере заявили, что против России ведётся организованная кибервойна

В текущих реалиях особое значение приобретает софт в сфере кибербезопасности, «ведь прямо сейчас против России ведётся организованная кибервойна, целью которой является вывод из строя всей критической инфраструктуры страны», заявил в начале сентября 2022 года заместитель Председателя Правления Сбербанка Станислав Кузнецов.

Станислав Кузнецов: «На всех системах кибербезопасности в России должны использоваться исключительно отечественные разработки»
Иллюстрация: g2.dcdn.lt

По его мнению, на значимых объектах критической инфраструктуры страны уже к 2025 году должны применяться только российские решения. Что касается систем кибербезопасности, то в них необходимо использовать исключительно отечественные разработки, независимо от их масштаба.

По словам Станислава Кузнецова, в этом отношении сделано уже много, но две области требуют особого внимания и подключения государственных институтов — это защита облаков и защита высоконагруженных систем, потому что для крупных компаний российских конкурентоспособных решений здесь всё еще нет.

«
В основе противостояния киберпреступникам находятся центры киберзащиты, и как раз они должны в первую очередь иметь отечественный софт. В Сбере такой центр есть, и в нём на 90% — разработки Сбера. Однако в стране в целом пока таких центров немного — мы насчитали всего пять. Хотелось бы, чтобы их было значительно больше, — отметил топ-менеджер банка.
»

Как он добавил, Сбербанк ощущает на себе влияние кибервойны: за последний квартал Сбер выдержал около 450 DDoS-атак, и 350 отразили его дочерние компании. Это столько же, сколько за последние пять лет. Основная активность преступников сосредоточена на трёх направлениях: сетевые атаки, фишинг и телефонное мошенничество. Противостоять таким действиям позволяют технологические решения, включая создание библиотеки голосов преступников, что позволяет успешно бороться с телефонным мошенничеством.

Так, у Сбера есть несколько разработок в сфере кибербезопасности. Среди них система — антифрода, которая позволяет предотвращать 99% телефонного мошенничества, и система анализа киберугроз. И банк готов делиться такими системами, подчеркнул Станислав Кузнецов.

«
В области кибербезопасности нам остаётся всего два года, чтобы сделать ещё один рывок и обеспечить собственными разработками защиту всего периметра государства. Критическая инфраструктура используется крупнейшими компаниями страны, и очень важно иметь надёжную защиту, ведь в условиях кибервойны любые ошибки и неконкурентные решения могут привести к катастрофическим последствиям. И важно не просто объединять усилия — должна быть более активная роль государства, — убежден заместитель Председателя Правления Сбербанка.
»

По мнению Станислава Кузнецова, чтобы успешно решить задачу перехода на отечественное ПО, необходим единый орган управления, а также единые правила и требования, единые процессы, которые распространяются и на государство, и на бизнес. Ещё одна чувствительная тема — подготовка кадров. Здесь без государства не обойтись, поскольку именно в государстве формируется заказ на кадры. По состоянию на начало сентября 2022 года в стране работает порядка 5 тыс. специалистов в сфере кибербезопасности, а необходимо — в 20 раз больше.

Топ-менеджер Сбера также добавил, что недостаточно просто иметь реестр российских решений — нужно понимать, какие из них действительно можно использовать и в каких сегментах бизнеса. Требуется аудит этих решений, чтобы понять, на каком этапе мы находимся и что необходимо сделать. И подобная работа должна проводиться под зонтиком государственных институтов.

Представитель Сбера также обратил внимание на ситуацию с телефонным мошенничеством. С одной стороны, уровень киберграмотности населения растёт, и люди всё реже раскрывают аферистам конфиденциальную информацию о своих счетах. С другой стороны, важно противостоять этому в том числе законодательно. Прежде всего, необходимо пресекать всё ещё существующую практику предоставления подмены номеров без паспортных данных, которой по-прежнему грешат некоторые региональные телеком-компании, тем самым помогая преступникам обманывать граждан.

Минцифры создает реестр недопустимых кибернарушений

23 августа 2022 года стало известно о решении Минцифры РФ запустить реестра недопустимых событий в информационной безопасности для госструктур и объектов критической информационной инфраструктуры (КИИ).

В реестр сначала внесут опасные для ИТ-сферы сценарии, которые компаниям «нельзя допускать ни при каких условиях». Эти угрозы должны выявлять аудиторы вместе с главами оцениваемых организаций, рассказал «Коммерсанту» осведомленный источник.

Министерство цифрового развития, связи и массовых коммуникаций РФ создает реестр недопустимых кибернарушений

Компании также должны будут определить, какие из событий могут быть для них характерны и сообщат об этом правительству. По словам другого собеседника издания, после этого проведут мониторинг отсутствия появления таких нарушений кибербезопасности.

Информацию о создании реестра недопустимых событий в области кибербезопасности газете подтвердили в Минцифры. Там рассказали, что рамках указа президента ряд организаций и органов должны были провести анализ защищенности и представить отчет в правительство. Проделанная работа показала, что неприемлемые события нужно систематизировать. В Минцифры уточнили, что реестр будет готов до конца 2022 года.

Независимый эксперт по кибербезопасности Алексей Лукацкий рассказал, что сейчас компании направляют в Минцифры абстрактные формулировки о рисках безопасности, за которыми не стоит понимание проблемы. По его словам, в случае с реестром появится возможность «показать наглядно, от чего каждая компания должна защититься». Эксперт уверяет, что важен не просто список, а «верификация каждого события, его демонстрация».

По его словам, ответственные руководители компаний должны понимать, к примеру, что возможна остановка оборудования, какой убыток понесет предприятие и что ему нужно сделать, чтобы этого не произошло.

«
Тогда реестр станет точкой отсчета при оценке уязвимости компаний из всех сфер, — сказал Лукацкий. [23]
»

В России появился особый вид вредоносного ПО, угрожающий госучреждениям и промышленности

27 июля 2022 года специалисты компании Positive Technologies предупредили о появлении в России особого вида вредоносного ПО, которое угрожает госучреждениям и промышленности. Речь идет о так называемых буткитах, которые запускаются до загрузки операционной системы. Подробнее здесь.

Правительство РФ установило требования к топ-менеджерам, ответственным за кибербезопасность в госорганах и корпорациях

Как стало известно в конце июня 2022 года, Правительство РФ установило требования к топ-менеджерам, ответственным за кибербезопасность в государственных органах и корпорациях. Положения разработаны по указу президента РФ Владимира Путина, согласно которому ответственность за киберриски ложится на заместителей руководителей предприятий.

Как пишет «Коммерсантъ» со ссылкой на правительственный документ, ответственный за обеспечение информационной безопасности обязан иметь высшее профильное образование «не ниже специалитета или магистратуры» или пройти профпереподготовку. Кроме этого, он должен понимать «влияние информационных технологий на работу организации», способы построения информационных систем, включая ограничение доступа, обеспечение безопасности внутренних сетей компании. Специалист должен быть знаком с «основными угрозами кибербезопасности, предпосылками их возникновения и возможными путями их реализации», а также их последствиями.

Правительство РФ установило требования к топ-менеджерам, ответственным за кибербезопасность в госорганах и корпорациях

Представители Group-IB и InfoWatch в разговоре с газетой пояснили, что фактически в новых требованиях описаны ИБ-эксперты с практикой и экспертизой, наработанными годами, которых в стране сейчас не так и много, а обучение текущих руководителей займет много времени и средств финансирования, которые должны были быть заложены еще в прошлом году. Так как это сделано не было, то госструктурам придется изыскивать ресурсы на подготовку руководства в срочном порядке из других статей расходов. Но даже в этом случае процесс обучения может затянуться или прерваться, если сотрудник уволится, а компании придется искать новые кадры ему на замену.

Требования типового положения потребуют затрат, в частности, на мероприятия по анализу и оценке состояния информбезопасности организации, отметил директор центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита» Иван Мелехин. [24]

Мишустин утвердил список организаций, которым необходимо провести аудит защищённости своих ИТ-систем

В июне 2022 года премьер-министр Михаил Мишустин подписал распоряжение № 1661-р. Этим документом председатель Правительства РФ утвердил список организаций, которым необходимо провести аудит защищённости своих ИТ-систем.

В перечень вошли Минздрав, Минобрнауки, Минпромторг, Минтранс, Минфин, Минцифры, Минэнерго, МЧС, ФНС, Росреестр, казначейство, ФФОМС, правительство Москвы, правительство Санкт-Петербурга и ещё 58 ключевых организаций в различных сферах деятельности.

Мишустин утвердил список организаций, которым необходимо провести аудит защищённости своих ИТ-систем

Перечисленным ведоствам и компаниям необходимо осуществить мероприятия по оценке уровня защищённости своих информационных систем с привлечением организаций, имеющих соответствующие лицензии ФСБ России и ФСТЭК России. Результаты аудита направят в правительство, информация будет учитываться при разработке мер обеспечения безопасности информационных ресурсов РФ, поясняли в министерстве.

В июне 2022 года Минцифры РФ опубликовало типовое техническое задание на выполнение работ по оценке уровня защищённости информационной инфраструктуры. Ведомство указано на необходимость решить следующие задачи:

  • выявление и консолидация стратегических рисков (недопустимых событий) информационной безопасности;
  • выявление уязвимостей информационной инфраструктуры, которые могут быть использованы внешними и внутренними нарушителями для несанкционированных действий, направленных на нарушение свойств конфиденциальности, целостности, доступности обрабатываемой информации, а также технических средств обработки информации, в результате которых может быть нарушен их штатный режим функционирования, что приведёт к недопустимым событиям;
  • выявление недостатков применяемых средств защиты информации и программных продуктов, а также оценка возможности их использования нарушителем;
  • проверка практической возможности использования уязвимостей (на примере наиболее критических);
  • получение оценки текущего уровня защищённости на основе объективных свидетельств;
  • разработка маршрутной карты модернизации информационной инфраструктуры.

С перечнем ключевых органов (организаций), которым необходимо осуществить мероприятия по оценке уровня защищенности своих информационных систем, можно ознакомиться здесь.

Владимир Путин потребовал усилить меры в области ИБ и создать госсистему защиты информации

Президент РФ Владимир Путин во время трансляции совета безопасности РФ 20 мая 2022 года сказал, что страна находится под постоянными кибератаками, которые скоординированы и наносятся из разных стран. По его словам, это делают не хакеры-одиночки, а государственные структуры. Он напомнил, что в состав армий отельных стран входят кибервойска.

В связи с чем, Владимир Путин предложил усилить меры по защите цифрового пространства и создать в России государственную систему защиты информации.

Владимир Путин предложил создать государственную систему защиты информации. Фото - ТАСС
«
Считаю целесообразным рассмотреть вопрос о создании государственной системы защиты информации. Жду от вас также конкретных предложений о том, какие дополнительные шаги должны быть предприняты для обеспечения устойчивой работы информационной инфраструктуры в органах власти и госуправления, - сказал Владимир Путин на заседании Совбеза РФ.
»

По его словам, важно минимизировать риски утечек конфиденциальной информации и персональных данных граждан, а также усовершенствовать механизмы защиты критически важных объектов, от которых напрямую зависят обороноспособность страны, стабильное развитие экономической и социальной сферы. Действия госструктур в области ИБ должны координироваться на стратегическом уровне, а руководители организаций будут лично отвечать за исполнение предписанных мер.

Одним из главных шагов президент назвал переход на отечественные «железо» и ПО. Причем, по его словам, нужно не только копировать существующие западные решения, но и создавать собственные.

«
Сегодня можно сказать, что киберагрессия против нас, как и в целом санкционный наскок на Россию, провалились. В целом мы были готовы к этой атаке, и это результат той системной работы, которая велась все последние годы, - сказал Владимир Путин.
»

Владимир Путин отметил, что одним из инструментов санкционного давления на Россию стали ограничения на зарубежные информационные технологии, программы и продукты. Ряд западных поставщиков в одностороннем порядке прекратили техническую поддержку в России своего оборудования. Участились случаи ограничения работы или даже блокировки программ после их обновления. По его словам, это нужно учитывать при использовании российскими компаниями, органами власти и управления ранее установленных и внедрении новых иностранных информационных технологий и продуктов.

Задачи Комментарии президента РФ Владимира Путина
Усовершенствовать и донастраивать механизмы обеспечения информационной безопасности отраслевых критически важных объектов, от которых напрямую зависит обороноспособность страны, стабильное развитие экономики и социальной сферы До сих пор на трети подобных объектов нет структурных подразделений по защите информации. Между тем, такие подразделения должны быть созданы максимально оперативно, а в их состав включены профильные специалисты, которые хорошо знают отраслевую специфику. При этом координация действий всех структур обеспечения информационной безопасности критически важных объектов должна быть закреплена на стратегическом уровне, а персональная ответственность за решение данных вопросов согласно положению Указа № 250 возложена на руководителей организаций.
Повысить защищенность информационных систем и сетей связи в государственных органах. Проведенные в 2021 году проверки показали, что большинство действующих там ресурсов уязвимы для массированных атак, для деструктивного внешнего воздействия, тем более при использовании зарубежных технологий последнего поколения Нужно укреплять оборону отечественного цифрового пространства – здесь не должно быть слабых мест. Принципиально важно свести на нет риски утечек конфиденциальной информации и персональных данных граждан, в том числе за счет более строгого контроля правил использования служебной техники, коммуникаций, связи. Необходимо рассмотреть вопрос о создании государственной системы защиты информации. Президент ждет от участников совбеза конкретных предложений о том, какие дополнительные шаги должны быть предприняты для обеспечения устойчивой работы информационной инфраструктуры в органах власти и госуправления.
Кардинально снизить риски, связанные с использованием зарубежных программ, вычислительной техники и телекоммуникационного оборудования. Правительству необходимо за максимально короткое время создать современную российскую электронную компонентную базу. Нужно разработать и внедрить для этого отечественное технологическое оборудование, в том числе необходимое для производства программно-аппаратных комплексов. Часть работы уже выполнена: создан национальный кризисный штаб по предупреждению целевых компьютерных атак. В каждом федеральном округе образованы комиссии по информационной безопасности при полномочных представителях президента России.

Мишустин утвердил порядок проведения эксперимента по повышению уровня защиты ГИС

В середине мая 2022 года премьер-министр Михаил Мишустин подписал постановление, которым утвердил проведение эксперимента по повышению уровня защищенности государственных информационных систем (ГИС) федеральных органов исполнительной власти (ФОИВ) и подведомственных им учреждений.

Как следует из документа, эксперимент будет проводить Минцифры с 16 мая 2022 года по 30 марта 2023 года в рамках федерального проекта «Информационная безопасность» национальной программы «Цифровая экономика». Целью эксперимента будет являться оценка уровня защищенности ГИС, инвентаризация систем защиты, а также выявление недостатков в инфраструктурных, архитектурных и организационных решениях. В результате планируется разработать перечень мер по нейтрализации уязвимостей ГИС.

Мишустин утвердил порядок проведения эксперимента по повышению уровня защиты ГИС

Как рассказали ТАСС в пресс-службе Минцифры, в рамках эксперимента ФОИВ или их подведомственные учреждения смогут подать заявку на проведение работ по повышению защищенности ГИС.

«
Минцифры с привлечением ведущих коммерческих компаний в сфере информбезопасности проведет мероприятия, которые позволят оценить текущий уровень защищенности ГИС, проверить практическую возможность использования уязвимостей, выявить недостатки в системе защиты ГИС, - пояснили в пресс-службе ведомства.
»

По итогам эксперимента Минцифры, совместно с ФСБ России и Федеральной службой по техническому и экспортному контролю России, разработает и предоставит участникам эксперимента рекомендации по нейтрализации уязвимостей ГИС.

Кроме того, Минцифры должно будет:

  • обеспечить заключение соглашений о взаимодействии и организовать выполнение работ по повышению уровня защищенности ГИС участников эксперимента;
  • осуществить контроль за ходом устранения выявленных в рамках эксперимента недостатков (уязвимости). [25]

Путин подписал указ о создании отделов кибербезопасности в медорганизациях

В начале мая 2022 года президент России Владимир Путин подписал указ о создании отдельной кибербезопасности на объектах критической информационной инфраструктуры (КИИ), включая учреждения здравоохранения. Возглавить такие структуры должен один из заместителей руководителя организации. Его обязанности, а также функции отдела правительство утвердит в течение месяца.

Согласно документу, отделы кибербезопасности обязаны сотрудничать в ФСБ, обеспечить сотрудникам службы беспрепятственный доступ (в том числе удаленный) к информационным ресурсам для мониторинга, выполнять их указания, данные по итогам проверки.

Путин подписал указ о создании отделов кибербезопасности в медорганизациях

С 1 января 2025 года при обеспечении кибербезопасности учреждениям здравоохранения и другим объектам КИИ запрещено применять средства защиты данных, изготовленные в недружественных странах. Под запрет попадает также оборудование фирм, которые находятся под прямым или косвенным контролем недружественной страны, аффилированных с ним.

Разъяснения по вопросам применения указа дадут Минфин и Центробанк, следует из указа. Правительству поручено в течение 10 дней утвердить перечень лиц, находящихся под санкциями, и определить дополнительные критерии отнесения сделок к запрещенным.

Активность киберпреступников в отношении медицинских учреждений неуклонно растет. К 2022 году медицина входит в тройку лидеров по количеству разного рода кибератак, уступая только правительственным учреждениям и промышленности, вытеснив из топа банки и финансовые компании.

Разнообразие информационных систем в разных лечебно-профилактических учреждениях (ЛПУ), которые могут быть государственными, частными и ведомственными, ведет к тому, что применяются разные подходы к защите информации. Часто защита систем в ЛПУ фрагментирована, что осложняет их киберзащиту.[26]

Создана межведомственная комиссия Совета безопасности РФ по обеспечению технологического суверенитета страны в сфере развития КИИ

Указом президента в России создана межведомственная комиссия Совета безопасности по обеспечению технологического суверенитета страны]] в сфере развития критической информационной инфраструктуры (КИИ). Об этом 25 апреля 2022 года сообщила компания ИВК. Основной задачей комиссии станет выработка мер по обеспечению безопасности КИИ. Подробнее здесь.

ФСТЭК создает систему для безопасной разработки ПО за 0,5 млрд рублей

16 февраля 2022 года Федеральная служба по техническому и экспортному контролю (ФСТЭК) России объявил тендер на «создание унифицированной среды разработки безопасного отечественного программного обеспечения». Начальная (максимальная) цена контракта составляет 510 млн рублей. Подробнее здесь.

2021

Число уголовных дел из-за атак на госорганы и банки в России выросло втрое

В 2021 году в России завели 70 уголовных дел из-за кибератак и другого неправомерного воздействия на критическую информационную инфраструктуру (КИИ — ИТ-системы госорганов, банков, транспорта, топливной и атомной промышленности, энергетики и др.) против 22 годом ранее. Об этом свидетельствуют данные исследования InfoWatch, проведенного с использованием статистики МВД и данных ГАС «Правосудие». Подробнее здесь.

Минцифры проверит безопасность своих ГИС за почти 150 млн рублей

Минцифры готово заплатить за независимую проверку защищенности государственных информационных систем (ГИС), включая мобильные приложения, 149 681 625,9 рубля. Информация об этом появилась в конце октября на портале госзакупок. Победитель тендера будет определен в начале декабря 2021 года. Проверка ГИС должна завершиться 30 марта 2022 года.

В Министерстве на вопрос о цели проверки ГИС не ответили и не уточнили какие системы планируют проверять. Министерство само и через подведомственные структуры отвечает за более чем 30 ГИС, в том числе:

  • «Единый портал государственных и муниципальных услуг (функций)» (Портал Госуслуги);
  • «Единая система межведомственного электронного взаимодействия» (СМЭВ);
  • «Единая система идентификации и аутентификации» (ЕСИА);
  • «Государственная информационная система жилищно-коммунального хозяйства» (ГИС ЖКХ);
  • «Единая межведомственная информационно-статистическая система» (ЕМИСС);
  • «Федеральный портал государственной службы и управленческих кадров»;
  • «Единая система нормативной справочной информации» (ЕСНСИ);
  • «Официальный сайт Российской Федерации в информационно-телекоммуникационной сети «Интернет» для размещения информации о проведении торгов» (Портал Госпродаж)
  • «АИС «Управление ведомственной и региональной информатизацией»;
  • ИС «Независимый регистратор» и др.

Минцифры готово заплатить за независимую проверку защищенности ГИС. Фото - открытые источники

В России, в соответствии с положениями федерального закона №149-ФЗ от 27.07.2006 «Об информации, информационных технологиях и о защите информации» за проверку и аттестацию ГИС отвечает ФСТЭК (Федеральная служба по техническому и экспортному контролю). Соответственно все требования к ГИС прописаны в Приказе ФСТЭК от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Проведение собственных проверок ГИС органами государственной власти в законодательстве не регламентировано.

Бизнес-консультант по безопасности Cisco Systems Алексей Лукацкий, комментируя тендер отметил, что бизнес регулярно проводит проверки информационных систем на уязвимости. В крупных международных компаниях плановые проверки систем защиты информации проводятся раз в полугодие, а иногда и раз в квартал. Государственные структуры из-за недостатка ИБ-бюджетов такие проверки проводят значительно реже, или даже вообще не проводят.

Практика регулярно проверять ГИС, по словам эксперта, в России появилась всего несколько лет назад. При обнаружении уязвимостей они чаще всего устраняются с помощью «патчей» или перенастроек систем ИБ. Если же речь идет о дефектах архитектуры, то формируется ТЗ на доработку системы ИБ.

По словам Алексея Лукацкого, цена услуг по поиску уязвимостей систем ИБ зависит от масштаба проверяемых ГИС и глубины анализа.

Как защитить критическую инфраструктуру. Обзор большой экспертной дискуссии

В рамках прошедшего в июне цифрового форума ITSF-2021 состоялась дискуссионная панель, посвящённая информационной безопасности критической инфраструктуры. Эксперты обсуждали широкий спектр вопросов, в числе которых были: практика реализации ФЗ-187, категорирование КИИ, импортозамещение, оценка ущербов при различных угрозах и многое другое. Модератором сессии выступил независимый эксперт по информационной безопасности Алексей Лукацкий. Подробнее здесь.

Миссия невыполнима: банкам смягчат условия перехода на отечественное ПО и оборудование

16 июля 2021 года рабочая группа по переходу финансовых организаций на отечественное ПО и оборудование при Комитете Госдумы по финансовому рынку получила от регуляторов одобрение нескольких предложений к проектам актов в сфере импортозамещения в финсекторе. Об этом на онлайн-встрече с прессой сообщил Анатолий Аксаков, глава Комитета Госдумы по финансовому рынку.

Импортозамещение в финсекторе, напомним, проводится в связи с поручениями президента в области обеспечения безопасности критической информационной инфраструктуры (КИИ).

Одним из критических вопросов, поднятых на заседании рабочей группы с участием регуляторов, стали сроки перехода субъектов КИИ в финсекторе на отечественное ПО и оборудование. Текущий срок обозначен 2023 годом, но банки неоднократно критиковали такой дедлайн, как вряд ли достижимый, и несколько раз просили сдвинуть сроки перехода вплоть до 2028 года.

Анатолий Аксаков рассказал, что, несмотря на пожелание банкиров, сроки все же будут достаточно жесткими. Однако удалось согласовать компромисс: получилось договориться с регуляторами об отлагательной ситуации, когда импортозамещение можно будет оттянуть и на срок позже 2023 года, если к этому времени у организаций-субъектов КИИ финсектора еще не истечет срок лицензий на уже использующееся импортное ПО или еще не подойдут сроки амортизации импортного оборудования.

Переходить на отечественный софт и оборудование российским банкам придется в жесткие сроки, но на более гибких условиях (фото - eprussia.ru)
«
Переход на отечественное ПО и оборудование означает очень большие затраты, потому что надо старое списать и по сути платить за лицензии, несмотря на то, что вы переходите на российский аналог. А сейчас нам разрешили дождаться срока окончания действия лицензий ПО и сроков списания оборудования по амортизации и потом переходить на российские аналоги. Это значит, что существенно будут снижены расходы банковской отрасли, что является значимым критерием для устойчивости банковской сферы в нашей стране, - говорит председатель рабочей группы, член Ассоциации банков России, председатель совета директоров «Киви Банка» Мария Шевченко. – Это сняло, наверное, основные противоречия между участниками.
»

Таким образом, несмотря на то, что срок перехода на отечественное ПО и оборудование для субъектов КИИ в финсекторе останется жестким, у банков будет больше гибкости при планировании. Банки-субъекты КИИ должны будут разработать планы перехода с учетом сроков действия лицензий ПО и амортизации оборудования, выбрав российские аналоги по согласованным с Банком России спискам.

Включение Банка России в процедуру импортозамещения как профильного регулятора стало еще одним важным достижением рабочей группы по итогам дискуссии. По словам Анатолия Аксакова, Банк России будет участвовать, в том числе, в отборе отечественного программного обеспечения, оборудования для финансовых институтов, для их последующего внедрения на финансовом рынке. На эти списки будут ориентироваться банки при составлении своих планов импортозамещения.

При этом, учитывая, что Банк России сам является субъектом реализации закона о безопасности КИИ, то есть он тоже должен будет внедрять отечественные решения, он будет очень внимательно относиться к тому, что предлагается финсектору, отметил Аксаков.

«
Мы благодарны Банку России за содействие в этом процессе, а также Минцифры за поддержку предложения. Это нововведение позволит синхронизировать процесс перехода на преимущественное импортозамещение в финансовом секторе с текущими требованиями к субъектам этого рынка, учесть их особенности и минимизировать возможные риски для финансовой системы, – говорит Мария Шевченко.
»

Кроме того, говорят в рабочей группе, были достигнуты договоренности о распространении требований по импортозамещению только для значимых объектов КИИ. А для тех, кто не имеет категорий значимости, положения будут носить рекомендательный характер. Это позволит сосредоточиться на важнейших для государства объектах.

Теперь осталось дождаться выхода документов которые легализовали бы достигнутые с регуляторами договоренности. Речь идет о проекте указа президента, проекте постановления правительства, в котором утверждаются требования к ПО и оборудованию и порядок перехода на преимущественное импортозамещение. Отдельно также есть постановление правительства №1236 с требованиями к ПО, подлежащему внесению в реестр российского ПО, и к нему по состоянию на июль также разрабатываются изменения: в частности, о том, чтобы упростить процесс включения в реестр отечественного ПО решения, разработанные самими банками. В рабочей группе ожидают, что документы будут готовы к осени 2021 года, а в силу вступят с марта 2022 года.

8 промышленных предприятий России из 10 имеют проблемы с обслуживанием ИТ-инфраструктуры

24 июня 2021 года компания Group-IB сообщила, что в среднем, 8 промышленных предприятий России из 10 имеют проблемы с обслуживанием ИТ-инфраструктуры. В первой половине 2021 года, в России было зафиксировано почти в 3 раза больше атак на объекты критической инфраструктуры, чем за весь 2019 год.

К проблемам с обслуживанием ИТ-инфраструктуры организаций приводит недостаток ресурсов, устаревшее программное обеспечение и зачастую невыстроенный процесс патч-менеджмент (процесс закрытия уязвимостей, благодаря своевременным обновлениям программного обеспечения), а значит они являются потенциальной мишенью для киберпреступников, сообщили в Group-IB.

На июнь 2021 года, по данным Group-IB Threat Intelligence & Attribution, суммарно 137 групп, из которых 122 киберкриминальных групп и 15 прогосударственных групп, нацелены на объекты критической инфраструктуры. Основная мотивация киберкриминальных групп по-прежнему финансовая, большую часть от их числа составляют «вымогатели», то есть хакеры, атакующие организации с целью выкупа за расшифровку данных. Целями проправительственных хакерских групп являются шпионаж, саботаж и диверсии. Group-IB приводит статистику: количество атак на объекты критической инфраструктуры в мире с 2019 года выросло в 12 раз.

За первые 6 месяцев 2021 года, 40% атак на объекты КИИ в России, были совершены киберкриминалом, 60% — прогосударственными атакующими.

Рос­сия и США хо­тят соз­дать эк­сперт­ную груп­пу по ки­бер­бе­зопас­ности с целью защиты КИИ от кибератак

Пре­зиден­ты России и США хо­тят соз­дать эк­сперт­ную груп­пу по ки­бер­бе­зопас­ности. Од­на­ко обе сто­роны уве­рены, что оп­по­нент со­бирает данные о пред­прия­тиях кри­тичес­кой ин­фраст­рук­ту­ры и со­вер­шает про­тив кол­лег ха­кер­ские ата­ки.

США неоднократно просили Россию прекратить хакерскую деятельность в отношении американских компаний. Однако и Россия не остается в долгу: тут уверены, что большинство хакерских атак на объекты критической инфраструктуры (КИИ) совершаются из США.

В Женеве 16 июня 2021 года состоялась встреча лидеров двух государств. Российский президент Владимир Путин перед встречей с президентом США Джо Байденом заявил, что вопрос кибербезопасности является одним из самых важных в глобальном масштабе.

«
"Потому что всякие отключения целых систем ведут к очень тяжелым последствиям. А это, оказывается, возможно", - заявил Владимир Путин в интервью на телеканале "Россия 1".
»

По итогам переговоров лидеры обсудили создание экспертной группы по кибербезопасности. Джо Байден заявил, что кибератаки не должны совершаться на объекты критической инфраструктуры.

«
"Мы договорились поручить проработать, какие цели не должны подвергаться кибератакам". Но, пообещал Джо Байден, если договоренности будут нарушены, США будут реагировать.
»

В ходе саммита Путин и Байден договорились начать консультации по этому направлению и привлечь экспертов для обсуждения вопросов защиты от хакерских атак. Джо Байден предложил список из 16 секторов инфраструктуры, против которых будут запрещены кибератаки.[27]

Каждая десятая ИТ-инфраструктура госорганов, банков и ТЭК в РФ заражена вирусом

В начале июня 2021 года стало известно о том, что каждая десятая ИТ-инфраструктура госорганов, банков, ТЭК, транспортных и оборонных учреждений заражена вирусом. Такие данные привели в компании «Ростелеком-Солар».

По словам экспертов, совершить успешную атаку на критическую информационную инфраструктуру могут даже хакеры низкой квалификации, а большая часть уязвимостей в таких сетях существует уже больше 10 лет.

Такую ситуацию специалисты объясняют тем, что процесс обновления ПО отсутствует в более чем 90% организаций, а среднее время установки обновлений составляет более 42 дней.

В России каждая десятая организация – субъект КИИ заражена вредоносным ПО

Наиболее распространенные из уязвимостей в КИИ: появившаяся в 2011 году Heartbleed, EternalBlue (в 2017 году она стала причиной распространения шифровальщика WannaCry) и BlueKeep, обнаруженная в 2019 году. Все они активно используются хакерами для реализации кибератак.

В исследовании отмечается, что пандемия коронавируса COVID-19 значительно ослабила ИТ-периметры. За год к началу июня 2021 года более чем на 60% выросло число автоматизированных систем управления технологическими процессами (АСУ ТП), доступных из интернета.

Кроме того, почти в 2 раза увеличилось количество хостов с уязвимым протоколом SMB. Это сетевой протокол для общего доступа к файлам, принтерам и другим сетевым ресурсам, который применяется практически в каждой организации. Такие уязвимости особенно опасны, так как позволяют хакерам удаленно запускать произвольный код без прохождения аутентификации, заражая вредоносным ПО все компьютеры, подключенные к локальной сети.

Основной проблемой во внутренних сетях в компании «Ростелеком-Солар» назвали некорректное управление паролями. Крайне распространены слабые и словарные пароли, которые позволяют злоумышленнику проникнуть во внутреннюю сеть организации. Подбор пароля используют как хакеры-любители, так и профессиональные злоумышленники.[28]

Загадочная хакерская группировка три года «висела» в ИТ-инфраструктурах федеральных госорганов России

Национальный координационный центр по компьютерным инцидентам (НКЦКИ) ФСБ России и «Ростелеком-Солар» в мае 2021 года на встрече с журналистами рассказали о выявлении серии целенаправленных атак профессиональной кибергруппировки на российские федеральные органы исполнительной власти (ФОИВ).

«
Исходя из сложности использованных злоумышленниками средств и методов, а также скорости их работы и уровня подготовки мы имеем основания полагать, что данная группировка располагает ресурсами уровня иностранной спецслужбы, - отметил замдиректора НКЦКИ ФСБ России Николай Мурашов.
»

Николай Мурашов также назвал обнаруженные атаки прецедентом

Атаки были выявлены в 2020 году. А история с обнаружением началась в конце 2019 года, когда «Ростелеком-Солар» обеспечивала безопасность ИТ одного из госорганов, рассказали в компании. Тогда была обнаружена попытка прикосновения к одному из серверов защиты заказчика. Обычно атаки такого рода не детектируются стандартными средствами защиты и антивирусами: это были следы, быстро исчезнувшие, но давшие зацепку, чтобы понять, что происходит, откуда пришла группировка и какими методами пользуется.

В результате анализа выяснилось, что та же группировка присутствовала в системах и других ФОИВ. Причем первые признаки присутствия датировались еще 2017 годом. То есть более 3-х лет группировка работала и осуществляла свои действия в ИТ-инфраструктурах госорганизаций, говорит вице-президент по ИБ «Ростелекома» Игорь Ляпунов.

Названия атакованных госорганов специально не называются - из соображений безопасности. Число атакованных ФОИВ в НКЦКИ также предпочли не уточнять.

Во всех выявленных операциях главными целями злоумышленников были полная компрометация ИТ-инфраструктуры, а также кража конфиденциальной информации, такой как почтовая переписка, файлы общего и ограниченного доступа, инфраструктурные и логические схемы и т.д., согласно анализу, проведенному НКЦКИ ФСБ России и «Ростелеком-Солар».

«
Ущерб, с нашей точки зрения, скорее, носит репутационный характер, - отметил замдиректора НКЦКИ ФСБ России, отвечая на вопрос TAdviser о нанесенном группировкой ущербе.
»

Николай Мурашов добавил, что информация, составляющая гостайну, не могла быть похищена таким путем. Он также напомнил, что в России существует порядка 40 видов тайны, включая налоговую, медицинскую и многие др. Здесь определенные сведения, которые содержали частично персональные данные и им подобные, могли быть из системы вынесены, говорит представитель НКЦКИ.

«
Но, на мой взгляд, самое главное в функционировании этой системы – что она была рассчитана на длительную перспективу, - отметил представитель НКЦКИ ФСБ России, отвечая на вопросы TAdviser. – Это как система, которая на всякий случай существует. Они проникают, а потом очень аккуратно… Ведь коллеги рассказали о том, насколько аккуратно они действовали. То есть, все действия подобной атаки были рассчитаны на длительную перспективу.
»

Инструментарий, который использовали киберзлоумышленники, был профессиональный, очень сложный и позволял скрытое продвижение внутрь ИТ-инфраструктуры, говорит Игорь Ляпунов. И уровень закрепления в инфраструктуре был очень обширный: злоумышленники создавали до 10-15 разных каналов доступа.

Из презентации «Ростелеком-Солар»

Такого уровня атаки – это не результат деятельности обычных коммерческих группировок. Тут нет никакой возможности для монетизации, и стоимость такой атаки большая, поскольку для нее требуется очень специализированное ПО, отмечают в «Ростелекоме».

А для проникновения в инфраструктуры ФОИВ злоумышленники использовали три основных вектора атак: фишинг; эксплуатацию уязвимостей веб-приложений, опубликованных в интернете; взлом инфраструктуры подрядных организаций (Trusted Relationship).

Примечательно, что разработанное злоумышленниками вредоносное ПО для выгрузки собираемых данных использовало облачные хранилища российских компаний «Яндекс» и VK (ранее Mail.ru Group), а в своей сетевой активности маскировалось под легитимные утилиты «Яндекс.Диск» и Disk-O производства этих компаний, выяснили НКЦКИ ФСБ России и «Ростелеком-Солар».

Госдума одобрила штрафы за нарушение безопасности критической ИТ-инфраструктуры

18 мая 2021 года Государственная Дума РФ приняла в третьем (окончательном) чтении законопроект о штрафах за нарушение безопасности критической информационной инфраструктуры. Речь идет о системах в сферах здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и т. д.

Согласно новым нормам, которые должны вступить в силу 1 сентября 2021 года, за нарушения требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры, обеспечения их работы и безопасности будут грозить штрафы. Их сумма составит от 10 000 до 50 000 рублей для должностных лиц и от 50 000 до 100 000 рублей для юридических лиц.

Госдума одобрила штрафы за нарушение безопасности критической ИТ-инфраструктуры - в сферах здравоохранения, науки, транспорта, связи, энергетики, банковской сфере

За нарушение «порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак» будут наказывать еще серьезнее: штрафы составят от 10 000 до 50 000 рублей для должностных лиц, от 100 000 до 500 000 рублей для юрлиц.

За нарушения порядка обмена данными об инцидентах между субъектами такой инфраструктуры, иностранными уполномоченными органами, международными организациями и НПО, работающими в сфере реагирования на киберугрозы, предусмотрены штрафы: для должностных лиц – от 20 000 до 50 000 рублей, для юридических лиц – от 100 000 до 500 000 рублей.

Согласно пояснительной записке к законопроекту, «размеры предлагаемых штрафов учитывают размер средней заработной платы руководителей структурных подразделений по обеспечению информационной безопасности».

Как отмечает ТАСС Информационное агентство России, обосновывая необходимость принятия закона, авторы указывают на зафиксированную в 2017 году атаку с использованием вируса-шифровальщика WannaCry, который поразил большое количество вычислительной техники в ряде госкомпаний, на восстановление которой ушло до трех суток. Причиной ущерба стало невыполнение установленных требований, включая требование о своевременном обновлении программного обеспечения.[29]

Обнаружение более 6300 уязвимых камер видеонаблюдения на объектах критической инфраструктуры РФ

12 марта 2021 года стало известно об уязвимости более 6300 камер видеонаблюдений, установленных на объектах критической инфраструктуры и промышленных предприятиях России. Из-за недостатков в этом оборудовании его легко взломать.

Об уязвимости камер на электростанциях, промышленных предприятиях, АЗС и т. п. сообщили в компании Avast со ссылкой на данные поисковой системы по интернету вещей Shodan.io. IP-адреса этих камер открыты, и к ним могут получить доступ киберпреступники, рассказали «Коммерсанту» эксперты.

Доступ к ряду камер сегодня защищен самыми простыми паролями, которые легко можно подобрать, подтвердил изданию гендиректор компании «Интернет Розыск» Игорь Бедеров. Такие камеры, по его словам, могут быть размещены в том числе в банках, что потенциально грозит утечками данных кредитных карт и паспортов клиентов. На базе камер с открытым IP можно организовать нелегальную систему видеонаблюдения или аналитики, допустил Бедеров. Если дополнить такую систему модулями распознавания лиц, получится система тотальной слежки, сказал он.

На АЗС и предприятиях России нашли тысячи уязвимых камер

Эксперт лаборатории практического анализа защищенности Центра информационной безопасности компании «Инфосистемы Джет» Екатерина Рудая в разговоре с РБК отметила, что данные с камер, к примеру, могут послужить источником информации о передвижении человека.

«
При желании злоумышленник может составить карту перемещения человека по городу. В случае, конечно, если качество с камер позволит распознать определенного человека. Большинства граждан эта проблема вряд ли касается, так как сложно представить, что за простым программистом или учителем будет установлена слежка. Но в любом случае сам факт наличия возможности нельзя считать нормой, на которую можно спокойно закрыть глаза, — объяснила она.[30][31]
»

Эксперт Cisco: Пока не будет уголовных дел, бизнес не станет серьезно вкладываться в исполнение закона о критической инфраструктуре

В начале 2021 года ФСТЭК заявляла о намерениях усилить контроль за исполнением закона о безопасности критической информационной инфраструктуры (КИИ) в России (187-ФЗ). Ведомство планирует увеличить число проверок, в том числе с участием прокуратуры, вовлекать отраслевые ведомства в работу над приведением объектов КИИ в соответствие с требованиями закона. Кроме того, в дополнение к уже предусмотренной в Уголовном кодексе ответственности на подходе введение административной ответственности за неисполнение закона о безопасности КИИ, предусматривающей штрафы.

Эксперт по кибербезопасности Cisco Алексей Лукацкий считает, что ужесточение контроля со стороны ФСТЭК за исполнением этого закона подхлестнет интерес владельцев объектов КИИ к обеспечению их безопасности, но не раньше, чем через полтора года. Связано это с тем, что первые проверки у ФСТЭК начнутся со второй половины 2021 года, и пока запланировано небольшое их число, недостаточное, чтобы говорить о тенденции, пояснил он Tadviser.

«
И пока не будет реальных штрафов или возбужденных уголовных дел, доведенных до приговора, российский бизнес серьезно вкладываться именно в обеспечение законодательных требований, к сожалению, не будет. Потому что затрат очень много, а выгода совершенно неочевидная, - полагает Алексей Лукацкий.
»

По данным ФСТЭК, с момента вступления в силу в 2018 году 187-ФЗ, было определено более 50 тыс. объектов КИИ, из которых 10 тыс. отнесены к наиболее значимым системам и сетям (фото - pixabay.com)

Говоря об угрозах для объектов КИИ, эксперт отдельно остановился на АСУ ТП.

«
Мы видим внимание злоумышленников к АСУ ТП, мы видим, что они пробуют свои силы, разрабатывают вредоносный код, который осуществляет какую-то разведывательную деятельность – то есть собирает данные о внутренних активах промышленных площадок. Но пока в условиях невысокой информатизации промышленных площадок и непонимания, как эти атаки можно монетизировать, злоумышленники активно это не используют в своей деятельности, - отметил эксперт по кибербезопасности Cisco.
»

А остальные объекты КИИ – это преимущественно бизнес и офисные системы, которые ничем не отличаются от того, что ранее не называлось объектами КИИ. Лукацкий отметил, что атаки на банковские системы, которые теперь относятся к объектам КИИ, на офисные системы промышленных, транспортных, государственных предприятий как происходили ранее, так и происходят.

Что касается промышленных предприятий, в частности, то и здесь атаки чаще всего осуществляются не на АСУ ТП, а на офисные системы: например, на отвечающие за транспорт, управление поставками, работу цеха и т.д., после чего злоумышленники требуют выкуп за восстановление функций управления, но не взлом самих промышленных площадок.

Однако это не значит, что атак на АСУ ТП не будет становиться больше в будущем, когда злоумышленники научатся использовать взломы для монетизации своих действий, подчеркнул Алексей Лукацкий. И проблема для большинства промышленных предприятий в том, что их АСУ ТП используют устаревшие протоколы и компоненты, подверженные атакам.

По данным ФСТЭК, в общей сложности в 55% наиболее значимых систем и сетей, относящихся к КИИ, не применяются требуемые средства защиты от компьютерных атак (подробнее см. в блоке ниже).

55% систем самой значимой критической инфраструктуры плохо защищены от хакерских атак - ФСТЭК

Выступая в Госдуме в конце февраля 2021 года в защиту законопроекта, предполагающего введение административных штрафов за нарушение закона о безопасности критической информационной инфраструктуры (КИИ), замдиректора ФСТЭК России Виталий Лютиков привел показатели текущего уровня ее защиты.

С момента вступления в силу в 2018 году 187-ФЗ о безопасности КИИ было определено более 50 тыс. объектов КИИ, из которых 10 тыс. отнесены к наиболее значимым системам и сетям, подлежащим защите в соответствии с установленными требованиями. Анализ состояния их безопасности показал, что в 55% систем и сетей не применяются требуемые средства защиты от компьютерных атак, заявил Лютиков. А у 25% субъектов КИИ отсутствуют профильные специалисты.

По данным системы ГосСОПКА, в 2020 году было выявлено более 120 тыс. воздействий на информационную инфраструктуру РФ, добавил замдиректора ФСТЭК.

«
В этих условиях существует реальная угроза нарушения функционирования систем управления критически важных и потенциально опасных объектов наиболее значимых отраслей экономики, - отметил Лютиков.
»

Замдиректора ФСТЭК Виталий Лютиков рассказал о текущем состоянии защиты объектов КИИ

Виталий Лютиков отметил, что предусмотренное 187-ФЗ категорирование объектов КИИ является основанием для принятия необходимых защитных мер. По состоянию на февраль 2021 года более 700 субъектов КИИ не провели категорирование в сроки, установленные правительством, заявил Виталий Лютиков. Требования по обеспечению безопасности на их объектах не реализованы.

За 2020 год на объектах КИИ произошло 507 компьютерных инцидентов, из которых только по 3% были своевременно приведены данные в ГосСОПКА.

Законопроект об установления административной ответственности за нарушение законодательства в области обеспечения безопасности КИИ был подготовлен ФСТЭК совместно с ФСБ во исполнение указаний президента РФ, напомнил Лютиков. Предлагается внести две статьи в административный кодекс РФ: о нарушении требований в области обеспечения безопасности КИИ и о непредставлении сведений, предусмотренных законом в области обеспечения безопасности КИИ. За правонарушения по указанным статьям предлагается ввести наложение штрафов на должностных лиц до 50 тыс. рублей, на юрлиц – до 500 тыс. рублей.

«
Размеры штрафов определены на основании оценки последствий от компьютерных атак с использованием вируса-шифровальщика WannaCry, произошедших на отдельные госкомпании в 2017 году, - пояснил Виталий Лютиков, выступая в Госдуме.
»

В ФСТЭК рассчитывают, что принятие законопроекта побудит субъекты КИИ к своевременному принятию на принадлежащих им объектах КИИ мер защиты. Ранее представители ведомства отмечали низкий процент исполнения 187-ФЗ и говорили об усилении работы с целью ускорить его исполнение. Для этого ФСТЭК, в том числе, подключила прокуратуру и усиливает проверки.

Законопроект о введении административной ответственности, рассматриваемый в Госдуме и уже прошедший первое чтение, был подготовлен еще в 2019 году. В Госдуму он поступил в ноябре 2020-го. Ко второму чтению его еще предстоит доработать.

Ранее по итогам общественных обсуждений и публичных консультаций документ вызвал замечания у участников рынка и регуляторов. Так, Минэкономразвития ранее в своем заключении об оценке регулирующего воздействия на законопроект отмечало, что в Уголовном кодексе РФ (ч. 3 ст. 274.1) уже установлена уголовная ответственность, предусматривающая, в том числе, лишение свободы на срок до 6 лет за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ и связанных с ними системах и сетях, либо правил доступа к ним, если это повлекло причинение вреда КИИ.

В Минэкономразвития полагают, что дополнительное установление мер административной ответственности должно быть синхронизировано с одновременным снижением мер уголовной ответственности.

Кроме того, принятие законопроекта может быть сопряжено с риском возложения дополнительных расходов на бюджет, отмечали в Минэкономразвития. По информации, представленной органами исполнительной власти субъектов РФ, для исполнения требований 187-ФЗ требуются значительные расходы. Например, органам исполнительной власти Республики Хакасия для реализации установленных требований требуются финансовые затраты в размере более 200 млн рублей.

ФСТЭК нашла способ борьбы с уклонистами от исполнения закона о защите критической ИТ-инфраструктуры. Его обкатали на Минэнерго

Алексей Кубарев, заместитель начальника управления ФСТЭК, выступая на конференции по безопасности в феврале 2021 года, констатировал низкий уровень исполнения федерального закона о безопасности критической информационной инфраструктуры (КИИ) и заявил о планах развивать взаимодействие с ФОИВ как одну из мер для улучшения этой ситуации. Опыт такого взаимодействия у ФСТЭК уже есть с Минэнерго.

«
У нас есть замечательный опыт с Минэнерго России, который нам понравился. При помощи профильных органов госвласти нам работать удобнее, поэтому мы эту практику будем расширять на другие сферы, - сообщил Алексей Кубарев.
»

Евгений Новиков, начальник отдела обеспечения безопасности объектов ТЭК и КИИ департамента экономической безопасности ТЭК Минэнерго, на той же конференции отметил, что основные регуляторы в области закона о безопасности КИИ (187-ФЗ) – это правительство РФ, ФСТЭК и ФСБ. Но по согласованию с ФСТЭК Минэнерго в своей сфере тоже может вырабатывать дополнительные требования по обеспечению безопасности значимых объектов КИИ, учитывающие особенности их функционирования именно в области ТЭК.

Представитель Минэнерго напомнил, что есть три основных этапа реализации 187-ФЗ: категорирование объекта КИИ, обеспечение его безопасности и обеспечение взаимодействия с ГосСОПКА. Проблемы категорирования объектов КИИ в ТЭК имеют отраслевую специфику. Во-первых, это очень большой объем документов, которые надо подготовить и предоставить.

«
В свое время мы получили информацию от ФСТЭК, что автобусами привозят данные о категорировании объекта, - сказал Евгений Новиков.
»

Слайд из презентации Евгения Новикова

Второе – есть еще отраслевой закон о безопасности объектов топливно-энергетического комплекса (256-ФЗ) и закон о промышленной безопасности опасных производственных объектов (116-ФЗ), с которыми необходимо согласовывать результаты категорирования.

И, наконец, есть функциональная специфика предприятий ТЭК. Получается, что для каждого объекта в зависимости от сектора ТЭК должна быть своя методика, пояснил Новиков. При содействии со стороны Российского государственного университета нефти и газа им. И.М. Губкина. Минэнерго разработало общие методические рекомендации по определению и категорированию объектов КИИ ТЭК и согласовали их с ФСТЭК.

«
Методические указания, которые разработало Минэнерго России, на данный момент являются единственными, разработанными государственным органом власти, - заметил представитель Минэнерго.
»

Помимо этого ведомство проводит ряд других мероприятий по реализации 187-ФЗ и информационной безопасности в целом. Так, например, при Минэнерго была создана межведомственная комиссия по координации обеспечения безопасности КИИ ТЭК.

Слайд из презентации Евгения Новикова

Также в конце 2020 года при Минэнерго введен ведомственный центр информационной безопасности ГосСОПКА. В зону его ответственности входят подведомственные предприятия и информационные ресурсы самого министерства.

«
Сейчас мы рассматриваем вопрос, расширения этого функционала на область всего ТЭК: хотя бы попробовать обмениваться с какими-нибудь корпоративными центрами, подключить аналитические центры, - сказал Евгений Новиков.
»

Кроме того, на Минэнерго сейчас ложится обязанность организации командно-штабных тренировок и киберучений в ТЭК. Пробные мероприятия ведомство уже проводило, в них активно участвовали ФСТЭК и ФСБ.

По словам Новикова, уже практически все крупные организации ТЭК прокатегорировались, представили данные в ФСТЭК. Но субъектами КИИ являются и небольшие организации.

«
Месяца три назад на меня вышла организация из, по-моему, Ямало-Ненецкого округа, говоря, что от нас им поступило письмо про какой-то 187-ФЗ. Я, честно говоря, чуть не сел на месте. Вы в какой области работаете? То есть незнание закона не освобождает от его исполнения, - сказал Евгений Новиков.
»

Подробнее о проблемах с выполнением закона о безопасности КИИ и мерах усиления контроля, которые планирует предпринимать ФСТЭК, см. в блоке ниже.

ФСТЭК: закон о защите критической инфраструктуры выполняется плохо, подключена прокуратура, усиливаются проверки

Федеральный закон о безопасности критической информационной инфраструктуры (КИИ) РФ (187-ФЗ) действует уже три года. Алексей Кубарев, заместитель начальника управления ФСТЭК, в феврале 2021 года, выступая на конференции по безопасности, подвел некоторые итоги выполнения этого закона.

В соответствии с 187-ФЗ требовалось произвести категорирование объектов КИИ, создать и обеспечить функционирование систем безопасности значимых объектов КИИ, принять меры по обеспечению безопасности этих объектов и осуществить взаимодействие с ГосСОПКА.

Слайд из презентации Алексея Кубарева

А в 2019 году вышло постановление правительства, согласно которому субъекты КИИ должны были до 1 сентября того же года подготовить и представить в ФСТЭК России перечень объектов КИИ, подлежащих категорированию.

По оценкам ФСТЭК, процент реализации субъектами федерального закона вышел крайне низким. И ведомство планирует с этим бороться, отметил Алексей Кубарев.

В процессе организации работы по рассмотрению сведений об объектах КИИ ФСТЭК столкнулась с рядом явлений.

«
Во-первых, многие пытаются уклониться от реализации федерального закона, говоря «Мы не субъект КИИ», несмотря на то, что все прямые и косвенные признаки на это указывают. Другой способ уклонения от реализации – «У нас нет объектов КИИ, которые необходимо категорировать». С этим мы тоже будем бороться, и уже примерно знаем, что нужно сделать, - сказал Алексей Кубарев.
»

По словам представителя ФСТЭК, есть еще те, кто никуда не торопится, и нарушают сроки предоставления перечней объектов КИИ. Кроме того, есть наблюдение, что организации уведомляют регулятора не обо всех имеющихся у них объектах КИИ. Помимо проблем с составлением перечней объектов КИИ в сроки, установленные постановлениями правительства, возникают проблемы и на этапе категорирования объектов по составленным перечням. Это и нарушение сроков, и искусственное занижение категорий значимости имеющихся объектов КИИ.

«
Часто нам приходится настаивать, что АСУ ТП опасного производственного объекта не может быть без категории, тем более, что она управляет, обеспечивает безопасность этого объекта. Примерно в 30% поступающих сведений нам приходится поспорить с субъектом КИИ, - рассказал Кубарев.
»

Помимо этого, на этапе категорирования организации, бывает, предоставляют недостоверные сведения об объектах КИИ и учитывают не все показатели.

Представитель ФСТЭК напомнил, что в соответствии с постановлением правительства №127 от февраля 2018 года, необходимо предоставлять ФСТЭК и сведения о вновь создаваемых объектах КИИ. Это необходимо для того, чтобы заложить в ТЗ на создание значимого объекта меры и средства на обеспечение безопасности. Многие это тоже не выполняют.

Что касается следующего этапа по 187-ФЗ – создание и обеспечение функционирования систем безопасности значимых объектов КИИ – и здесь наблюдается немало проблем. Помимо медлительности в исполнении федерального закона, которая уже не раз упоминалась, зачастую субъекты КИИ недооценивают потенциал нарушителя и имеют проблемы с силами безопасности, констатировал представитель ФСТЭК.

«
У отдельных организаций безопасность значимых объектов обеспечивают подразделения по экономической безопасности, у некоторых – вообще юридические службы. Для меня это парадокс, - говорит Алексей Кубарев.
»

Также он отметил проблемы со средствами безопасности: на многих объектах, особенно это касается АСУ ТП, применяются только средства антивирусной защиты и штатные средства операционных систем. Этого недостаточно для противостояния серьезным угрозам.

Представитель ФСТЭК напомнил о постановлении правительства №743, действующего с января 2020 года. Согласно ему, при подключении объекта КИИ к сетям общего пользования такое подключение необходимо согласовывать с ФСТЭК. Сам ФСТЭК во исполнение этого постановления разработал и утвердил соответствующий приказ.

«
И сидим, ждем. И каков результат? Больше чем за год ни одного обращения о согласовании подключения к нам не поступило, – констатировал Алексей Кубарев. – У меня большие сомнения, что из тысяч значимых объектов ни один не инициировал подключение к сетям общего пользования. Мы с этим будем разбираться.
»

Слайд из презентации Алексея Кубарева

В 2021 году, говорит Кубарев, в ФСТЭК решили значительно повысить показатели выполнения федерального закона о безопасности КИИ. И для этого ведомство планирует проводить соответствующие мероприятия.

«
Напомню, что с прошлого года активно работают органы прокуратуры по субъектам критической информационной инфраструктуры, и более того – даже по потенциальным субъектам. Они проводят мероприятия, выездные проверки, мы в них участвуем. И мы со своей стороны будем подключать профильные федеральные органы власти, Банк России, госкорпорации в целях повышения процента реализации федерального закона, - говорит Алексей Кубарев.
»

Он добавил, что с 2021 года у ФСТЭК появились основания для плановых проверок, чем ведомство и планирует заняться для осуществления государственного контроля за исполнением федерального закона. Алексей Кубарев заверил, что цель такого контроля – не наказание, а оказание методической помощи субъектам КИИ, но при этом отметил, что «добро должно быть с кулаками», каковыми ФСТЭК себя в скором времени и снабдит.

«
Разработан и представлен в Госдуму федеральный закон о внесении изменений в КоАп в части введения административной ответственности за нарушение норм законодательства о безопасности КИИ. Первое чтение он благополучно прошел, и, думаю, через 2-4 месяца он будет утвержден, - пояснил представитель ФСТЭК.
»

ФСТЭК создаёт центр проверки ОС для госсектора

11 февраля 2021 года стало известно о планах Федеральной службы по техническому и экспортному контролю (ФСТЭК) создать центр исследований безопасности операционных систем на ядре Linux. На реализацию этого проекта выделено 300 млн рублей, победителя тендера выберут до 2 марта 2021 года. Подробнее здесь.

2020

КИИ и госорганизации стали главными мишенями продвинутых кибергруппировок

По статистике «Ростелекома», за 2020 год центр мониторинга и реагирования на кибератаки Solar JSOC зафиксировал более 200 хакерских атак со стороны профессиональных кибергруппировок, включая массовые попытки воздействия на целые отрасли и сектора экономики. Об этом 1 декабря 2020 года сообщил Солар (ранее Ростелеком-Солар). Примерно в 30 случаях за атаками стояли злоумышленники наиболее высокого уровня подготовки и квалификации – кибернаемники и кибергруппировки, преследующие интересы иностранных государств. В числе наиболее частых целей – объекты критической информационной инфраструктуры России.

Аналитический отчет «Ростелекома» основан на данных по более чем 140 крупным организациям – клиентам Solar JSOC в самых разных отраслях экономики (банки, энергетика и нефтегазовый сектор, органы государственной власти и др.), а также по компаниям-заказчикам центра расследования киберинцидентов JSOC CERT. Помимо этого, сводная статистика учитывает информацию об атаках и вредоносном ПО, собираемую так называемыми ловушками (honeypot) на сетях связи и центрах обработки данных на территории РФ и данные от других российских и международных CERT.

Как отмечают эксперты Solar JSOC, целью наиболее профессиональных хакерских группировок обычно являются деструктивные воздействия и кибершпионаж. Ущерб от атак такого класса измеряется не только финансовыми потерями, но и влиянием на экономику страны в целом, безопасность жизнедеятельности граждан и политическую ситуацию. Только сопутствующий ущерб от компрометации инфраструктуры, такой как кража персональных данных сотрудников и клиентов, регуляторные и репутационные риски, возможности развития новых атак, в случае успеха киберпреступников мог бы достичь десятков миллионов рублей. Совокупный же ущерб от полномасштабной реализации такого рода атаки составил бы несколько миллиардов рублей.

Слабый уровень защищенности веб-приложений на объектах критической информационной инфраструктуры (КИИ) и в органах государственной власти способствовал тому, что этот вектор атак стал наиболее популярным у злоумышленников в 2020 году. В 45% случаев хакеры атаковали именно веб-приложения, еще в 35% – использовали известные и незакрытые уязвимости периметра организаций.

После проникновения в инфраструктуру киберпреступники пытались получить доступ к конфиденциальной информации организации за счет доступа к почтовым серверам (85% случаев) и рабочим компьютерам первых лиц, их заместителей и секретарей (70% случаев). Параллельно киберпреступники стремились захватить максимальный контроль над инфраструктурой, атакуя рабочие станции ИТ-администраторов с высоким уровнем привилегий (80% случаев) и системы ИТ-управления инфраструктурой (75% случаев). При этом чаще всего использовалось ПО, направленное на сокрытие атаки от стандартных средств защиты, в 20% атак хакеры также применяли легитимные корпоративные или свободно распространяемые утилиты, маскируясь под действия администраторов и пользователей.

«
Следует отметить, что сейчас набирает силу тренд так называемых supple chain атак на органы госвласти и ключевые предприятия России. То есть злоумышленники все чаще атакуют не саму организацию напрямую, а действуют через ее подрядчика, который меньше заботится об информационной безопасности и при этом имеет доступ к инфраструктуре конечной цели атаки. Поэтому очень важно обращать внимание на уровень защищенности подрядных организаций и выстраивать безопасный способ их доступа в инфраструктуру, – рассказал Владимир Дрюков, директор центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Солар».
»

Атаки организованных группировок среднего уровня квалификации – киберкриминала – были направлены на прямую монетизацию: вывод финансовых средств или получение выкупа за расшифрование данных компании. Фокусом их внимания в 2020 году оставалась кредитно-финансовая сфера. В 85% случаев хакеры пытались вывести деньги с корреспондентских счетов и атаковали различные финансовые системы компаний. При этом в целом по рынку, отмечают аналитики Solar JSOC, наблюдается существенное снижение результативности и сокращение ущерба от проводимых атак, достигающее не более нескольких десятков миллионов рублей.

Основным оружием киберкриминала остается фишинг, реализуемый благодаря низкому уровню грамотности сотрудников компаний в области информационной безопасности. В 74% злоумышленники пользовались этим, применяя для проникновения в инфраструктуру социальную инженерию. Для заражения рабочих станций и дальнейшего развития атаки кибергруппировки использовали массово доступное в даркнете вредоносное ПО (40% случаев), а также ПО для ИТ-администрирования и проведения анализа защищенности (40% случаев).

ФСТЭК выпустила приказ об использовании отечественного ПО для защиты КИИ

Федеральная служба по техническому и экспортному контролю (ФСТЭК) обнародовала приказ об использовании отечественного программного обеспечения для защиты критической информационной инфраструктуры (КИИ). Документ опубликован на официальном интернет-портале правовой информации.

Изменения направлены на использование в КИИ преимущественно российского оборудования и софта для повышения технологической независимости и безопасности, а также с целью продвижения отечественной продукции.

Документ регламентирует уточнение условий выбора оборудования и софта для объектов КИИ, порядка его применения и эксплуатации, а также испытаний. При этом отдельно указано, что положение, регламентирующее испытания, вступает в силу с 1 января 2023 года, как и еще одно, о признании одной из устаревших норм утратившей силу.

Федеральная служба по техническому и экспортному контролю выпустила приказ об использовании отечественного ПО для защиты КИИ

В приказе ФСТЭК России нюансы, которыми недовольны эксперты. В частности, Алексей Лукацкий отметил:

«
Ситуация выглядит так, будто регулятору «наплевать на то, как будут выполняться требования. Эксперт обратил на требование по расширению запрета на использование элементов значимого объекта КИИ второй категории.
»

«
Прощай Zoom, облака и сервера обновлений, расположенные за пределами Российской Федерации, — пояснил Лукацкий.
»

Приказ Федеральной службы по техническому и экспортному контролю о внесении изменений в требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ разработан во исполнение поручений президента по итогам специальной программы «Прямая линия с Владимиром Путиным» 20 июня 2019 года.

Как напоминает издание D-Russia, во время «прямой линии» президент сказал, что власти должны обеспечить рынок для российских программистов в чувствительных отраслях для безопасности и суверенитета, а также заявил, что в целях импортозамещения российские корпорации нужно «заставить» закупать именно отечественные [программные] продукты.[32]

Минкомсвязи отменило регионам субсидии на безопасность объектов критической информационной инфраструктуры

В конце июля 2020 года стало известно о том, что Минкомсвязи отменило регионам субсидии на безопасность объектов критической информационной инфраструктуры (КИИ). В ведомстве объяснили это «перераспределением бюджетных средств».

«
В связи с оптимизацией (уменьшением) базовых бюджетных ассигнований при формировании проекта федерального закона о федеральном бюджете на 2021 год и на плановый период 2022 и 2023 годов конкурсный отбор проектов на 2021 год, направленных на цели предоставления субсидии бюджетам субъектов РФ на доведение уровня безопасности объектов критической информационной инфраструктуры до установленных законодательством РФ требований в рамках федерального проекта «Информационная безопасность» национальной программы «Цифровая экономика Российской Федерации», отменён, — сообщили изданию D-Russia.ru в Минкомсвязи.
»

Сообщение о субсидиях регионам на повышение уровня безопасности объектов КИИ отозвано

Уточняется, что в 2019 году конкурс на получение аналогичных субсидий в течение 2020 года состоялся. В нем приняли участие 36 регионов, было отобрано 12 победителей. В 2020-2021 годах планировалось потратить на такие субсидии 250 млн рублей, из них 150 млн рублей — в 2020 году для объектов КИИ 1 и 2 категории значимости, 100 млн рублей — в 2021 году для объектов КИИ 3 категории значимости.

В конце июля 2020 года Минкомсвязи начало сбор заявок от регионов на получение в 2021 году субсидий, направленных на повышение безопасности значимых объектов критической информационной инфраструктуры. Предполагалось, что субсидии будут предоставляться из федерального бюджета бюджетам регионов для софинансирования мероприятий по обеспечению устойчивой работы КИИ в случае компьютерных атак.

Однако министерство отменило сбор заявок, а бращение к адресу сообщения на сайте министерства выдаёт ошибку «Страница не существует или была удалена» (код 404).[33]

Минкомсвязи РФ утвердило порядок установки и эксплуатации средств поиска кибератак в сетях КИИ

Минкомсвязи РФ утвердило в июне порядок установки и эксплуатации средств поиска кибератак в сетях КИИ.

Приказ ведомства «Об утверждении Порядка и Технических условий установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации» 25 июня 2020 года опубликован[34] на официальном интернет-портале правовой информации.

В частности, в документе указано - из каких этапов состоит установка и эксплуатация средств поиска атак:

  • определение необходимости и мест установки средств поиска атак;
  • установку средств поиска атак, их подключение к сетям электросвязи и к каналам связи, необходимым для управления средствами поиска атак;
  • настройку и проверку работоспособности установленных средств поиска атак;
  • приём в эксплуатацию установленных средств поиска атак;
  • обеспечение непрерывной работы средств поиска атак;
  • проведение технического обслуживания, замену и демонтаж установленных средств поиска атак;
  • обеспечение сохранности установленных средств поиска атак; осуществление мониторинга за функционированием средств поиска атак.

Согласно приказу, ФСБ направляет оператору связи по почте заказным письмом с уведомлением о вручении следующей информации и документов:

  • сведения о необходимости установки средств поиска атак с указанием мест установки на сети электросвязи оператора связи;
  • эксплуатационные характеристики устанавливаемых средств поиска атак;
  • наименование организации (в случае привлечения);
  • фамилия, имя, отчество (при наличии), должность должностного лица уполномоченного органа ГосСОПКА или наименование структурного подразделения уполномоченного органа ГосСОПКА, ответственного за организацию работ;
  • инструкция по эксплуатации средства поиска атак, установка которого планируется на сети электросвязи.

Оператор связи не позднее 10 календарных дней с даты получения сведений определяет должностных лиц оператора связи, допущенных к данной информации.

Как поддержать работоспособность ЦОДа, если ключевые сотрудники заразились COVID-19 или сидят на карантине

В марте 2020 года Uptime Institute подготовил рекомендации о том, как реагировать на пандемию коронавируса COVID-19 индустрии ЦОД. Отчет был выпущен с целью помочь операторам объектов критической инфраструктуры подготовиться и ответить на влияние нового коронавируса. TAdviser ознакомился с документом. Подробнее здесь.

Минкомсвязи предлагает унифицировать порядок установки средств поиска кибератак на объекты КИИ

27 февраля 2020 года TAdviser стало известно, что Министерство цифрового развития, связи и массовых коммуникаций РФ подготовило проект приказа[35], регламентирующего установку и эксплуатацию средств для поиска признаков кибератак на объекты критической информационной инфраструктуры страны.

Минкомсвязи

Приказ описывает как порядок установки и эксплуатации таких средств, так и технические условия их использования.

Сами по себе средства поиска атак идентифицируются как «оборудование автоматизированных систем управления и мониторинга сетей электросвязи». Такие разработки подлежат обязательной государственной сертификации в соответствии с действующим законодательством.

Документ предусматривает трехстороннее взаимодействие между уполномоченным органом государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА), уполномоченного органа в области связи, и операторов связи.

Сами по себе средства поиска атак будут принадлежать Уполномоченному органу ГосСОПКА и устанавливаться на объекте критической информационной инфраструктуры за счет того же органа. Непрерывность функционирования средств поиска атак, с другой стороны, должен обеспечивать оператор связи за свой счет, в соответствии с техническими условиями, описанными в проекте приказа.

Согласно этим условиям, средства поиска атак должны устанавливаться в помещениях, где обеспечены все условия для их непрерывного функционирования, в том числе стабильное и бесперебойное электропитание (оговаривается, что выделяемая для подключения мощность элекросети «должна превышать не менее чем на 20 процентов мощность, требуемую в соответствии с инструкцией по эксплуатации средств поиска атак»), контроль физического доступа, контроль температуры и влажности, средства пожаротушения и, естественно, интернет-соединение и подключение к сети объекта КИИ.

«
Ключевым положением в данном документе является то, что сами средства поиска кибератак должны поставляться и находиться на балансе органов ГосСОПКА. То есть, государство на самом практическом уровне берет на себя защиту объектов КИИ, используя сертифицированное для этих целей оборудование, чтобы избежать неожиданностей,
говорит Олег Галушкин, генеральный директор компании SEQ (ранее SEC Consult Services)
»

2019

Взломавшим ИТ-системы РЖД и S7 хакерам дали 10-13 лет тюрьмы

В конце декабря 2019 года Басманный районный суд Москвы вынес приговоры трём хакерам, обвиняемым во взломе билетных систем РЖД и S7. Всего по делу проходило 29 человек. Подробнее здесь.

Минэкономразвития намерено запретить использование иностранного ПО и оборудования на объектах КИИ России

1 ноября 2019 года стало известно, что Минэкономразвития готовит поправки в закон «О безопасности критической информационной инфраструктуры (КИИ)», которые предполагают замену иностранного софта и оборудования на объектах КИИ на российские. Распоряжение подготовить поправки было дано несколько месяцев назад вице-премьером Юрием Борисовым, в ведении которого находится оборонная промышленность. Об этом сообщает РБК со ссылкой на письмо замминистра экономики Азера Талыбова.

Талыбов пишет, что в своем нынешнем виде российские законы не дают возможность правительству требовать использования на объектах КИИ только отечественного ПО и оборудования. Чтобы это стало возможно, данную норму необходимо прописать в законе «О безопасности КИИ». График замены иностранных продуктов отечественными для действующих объектов КИИ будет сформирован отдельно.

Кроме того, в законе следует запретить иностранным компаниям взаимодействовать с сетями и информационными системами КИИ. То есть, конечными бенефициарами юрлиц, которые этим занимаются, должны быть российские граждане, не имеющие двойного гражданства. Это же правило затронет индивидуальных предпринимателей, которые работают с КИИ. В результате доступ иностранных государств и их граждан к обслуживанию и развитию КИИ будет минимизирован, полагает Талыбов.

Получателями письма Талыбова являются коллегия Военно-промышленной комиссии России, которую возглавляет Борисов, Федеральная служба по техническому и экспортному контролю (ФСТЭК) и Минкомсвязи. В Минкомсвязи ответили, что ФСТЭК и Минпромторг прорабатывают вопросы импортозамещения зарубежного оборудования по поручению правительства, и что КИИ будет функционировать более безопасно и устойчиво с использованием российского ПО, а доля отечественных разработчиков на рынке госзакупок при этом вырастет[36].

Зафиксировано порядка 17 тыс. кибератак на КИИ в России

В августе 2019 года представитель Совбеза сообщил, что в 2018 г. было зафиксировано порядка 17 тыс. кибератак на КИИ в России. Еще на 7 тыс. объектов злоумышленники пытались установить вредоносное ПО. Около 38% атак пришлось на кредитно-финансовые организации[37].

АДЭ опубликовала методические рекомендации по категорированию объектов КИИ в соответствии с №187-ФЗ

9 июля 2019 года стало известно, что Ассоциация документальной электросвязи (АДЭ) опубликовала методические рекомендации по категорированию объектов критической информационной инфраструктуры (КИИ). Документ разработан на базе материалов от операторов связи и других организаций - членов АДЭ. Методические рекомендации направлены на детализацию и стандартизацию процедуры категорирования объектов КИИ, которая предусмотрена ФЗ "О безопасности критической информационной инфраструктуры РФ" от 26 июля 2017 г. №187-ФЗ.

Рекомендации содержат свод правил, на основе которых операторы должны относить объекты КИИ к различным типам. Опубликованная версия документа согласована ФСТЭК России и 8-м Центром ФСБ России и может использоваться операторскими компаниями связи. При изменении нормативной базы, получении замечаний и предложений по результатам применения методических рекомендаций ассоциация планирует вносить изменения в текст методологии.

Пожелавший остаться неизвестным федеральный чиновник сказал, что ассоциация, по сути - общественная организация, её рекомендации не имеют юридической силы.

«
При подготовке документа операторам необходимо было провести аналитическую работу по категорированию объектов. Рекомендации разработаны участниками рынка и в рабочем порядке согласованы с профильными органами. Категорирование является необходимым этапом реализации требований ФЗ-187. Цель методологии - определить критерии и унифицировать процедуру таким образом, чтобы результаты не вызывали вопросов у отраслевых регуляторов. Полагаем, что операторы начнут пользоваться документом, а практика покажет необходимость дальнейшего утверждения исполнительными органами,
сказал представитель пресс-службы Tele2
»

Представитель пресс-службы ПАО "МегаФон" сказал, что публикуемая версия документа согласована основными регуляторами по ФЗ-187 и может использоваться операторскими компаниями связи. Отраслевой документ необязателен к исполнению, но рекомендованный ФСТЭК и ФСБ к использованию в отрасли связи.

«
Прежде всего он призван помочь участникам рынка в исполнении ФЗ-187. Это консолидированное видение крупных игроков отрасли на реализацию требований НПА в области обеспечения безопасности КИИ. Рекомендации важны, так как ФЗ-187 и подзаконные акты формулируют общие принципы и меры по обеспечению безопасности КИИ, не вдаваясь в отраслевую специфику. Методика - это попытка применить сформулированные законодателем нормы к конкретной операторской инфраструктуре, она носит сугубо прикладной характер, и в этом ее ценность. Для операторов "большой четверки", безусловно, документ будет основным. Для остальных операторов, надеемся, тоже, так как применение методических рекомендаций будет способствовать единому и понятному информационному полю в процессе взаимодействия операторского сообщества и регуляторов,
прокомментировал представитель пресс-службы "МегаФона"
»

Представитель пресс-службы ПАО "МТС" сказал, что рекомендации будут использованы операторами связи при категорировании объектов критической информационной инфраструктуры (КИИ) и построения систем безопасности этих объектов.

«
Представляется, что было бы целесообразнее принять документ в виде нормативного правового акта регулятора. Пока это, по сути, рекомендации. Операторы связи будут сами решать вопрос о возможности применения методики. Работы уже частично проведены. МТС разработала и направила во ФСТЭК России перечень объектов собственной КИИ. В соответствии с планом, к концу 2019 г. мы проведем категорирование этих объектов. Методика позволяет внести определенность и единообразие в подходе к категорированию объектов КИИ операторами связи. Затраты МТС будут понятны после проведения категорирования объектов КИИ,
ответил представитель пресс-службы МТС
»

Представитель пресс-службы "Акадо Телеком" сказал, что инициатива разработать рекомендации правильная и своевременная.

«
Но, вероятнее всего, документ нужно будет корректировать в соответствии с изменениями нормативно-правовых актов в части КИИ. Кроме того, на наш взгляд, рекомендации ориентированы больше на операторов мобильных, чем фиксированных сетей связи. Поэтому в их разработке мы не участвовали. При категорировании объектов КИИ наша компания руководствуется постановлением правительства №127 и приказами ФСТЭК,
уточнил представитель пресс-службы "Акадо Телеком"
»

В Министерстве цифрового развития, связи и массовых коммуникаций про эту инициативу Ассоциации документальной электросвязи знают, но не согласовывали документ.

С 2020 г. ФСТЭК планирует ввести административную ответственность за несоблюдение требований к безопасности объектов КИИ[38].

Данные о кибератаках на критические объекты в РФ утекают за рубеж. Компании нарушают закон

Российские компании, в чьи обязанности входит управление объектами критической инфраструктуры, без ведома ФСБ делятся с зарубежными коллегами данными о кибератаках. Об этом в четверг, 27 июня, сообщает «РБК» со ссылкой на материалы Федеральной службы по техническому и экспортному контролю (ФСТЭК), которая в свою очередь ссылается на ФСБ

ФСБ: владельцы критической инфраструктуры передают данные о кибератаках за рубеж без ведома спецслужб РФ

Согласно действующему с прошлого года закону «О безопасности критической информационной инфраструктуры», компании, управляющие объектами критической инфраструктуры, обязаны предоставлять данные о них Федеральной службе по техническому и экспортному контролю (ФСТЭК) для присвоения им соответствующей категории (требования по безопасности для каждой категории разные). Кроме того, они обязаны подключиться к созданной ФСБ Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и сообщать о кибератаках на свои объекты в Национальный координационный центр по компьютерным инцидентам (НКЦКИ).

Однако далеко не все компании выполняют требования закона и сообщают НКЦКИ о кибератаках на свои системы. По этой причине центр не владеет полной информацией об инцидентах на объектах критической инфраструктуры, не может адекватно на них реагировать и делать прогнозы.

Как бы то ни было, компании обмениваются информацией о кибератаках с иностранными организациями. Этим они нарушают приказы ФСБ №367 и №368, согласно которым обмен данными с зарубежными организациями должен согласовываться с ФСТЭК. Однако ни одного обращения по данному вопросу служба не получала.

В ФСТЭК считают, что предоставляемая иностранным компаниям информация о кибератаках на объекты критической инфраструктуры РФ в итоге попадает в руки зарубежным спецслужбам, которые могут с ее помощью оценить состояние безопасности российской критической инфраструктуры.

Как пишет РБК, возможно, таким образом компании пытаются избежать имиджевых и финансовых потерь. Но практика отправки данных за рубеж ставит под угрозу прежде всего сами компании. Поскольку Национальный координационный центр по компьютерным инцидентам НКЦКИ, подконтрольный ФСБ, не обладает полной информацией об инцидентах, он не может адекватно реагировать на них и строить точные прогнозы по развитию ситуации, отмечают в ФСТЭК.

Закон «О безопасности критической информационной инфраструктуры» действует в России с 2018 года. Его основной целью является защита важнейших предприятий страны от кибератак.

По мнению ФСТЭК закон не работает в полную силу по нескольким причинам. Во-первых, в прошлом году ведомство уже отмечало отсутствие сведений о «критичности» своих объектов от банков и операторов связи. Во-вторых, часть подзаконных актов, которыми должны утвердить детали взаимодействия организаций в рамках данного закона, все еще не принята.[39] 

ФСБ сформулировала требования к средствам ГосСОПКА для защиты КИИ РФ

6 мая 2019 года Федеральная служба безопасности выпустила приказ "Об утверждении требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. Подробнее здесь.

ФСТЭК и ФСБ введут ответственность за нарушение требований к критической ИТ-инфраструктуре России

На Федеральном портале проектов нормативных правовых 26 марта 2019 года размещено уведомление о начале разработки проекта федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части установления ответственности за нарушение требований по обеспечению безопасности объектов КИИ)».

Пока это только уведомление о начале работы над соответствующим документом. Закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» предписывает структурам, в управлении которых находятся значимые объекты критической информационной инфраструктуры Российской Федерации, соблюдать определенные законом и нормативными актами требования по обеспечению безопасности таких объектов.

В частности, существует статья УК 274.1, предусматривающая уголовную ответственность за неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации.

Однако отсутствует закон, определяющий случаи, когда имело место несоблюдение указанных требований, но оно не повлекло неправомерного воздействия на КИИ.

«
В целях дифференциации наказания в зависимости от общественной опасности последствий от нарушения требований законодательства Российской Федерации о безопасности критической информационной инфраструктуры, представляется целесообразным введение административной ответственности за несоблюдение субъектами критической информационной инфраструктуры требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленных в соответствии с федеральным законом и принятыми в соответствии с ним иными нормативными правовыми актами, — говорится в описании проекта.
»

«
Критическая информационная инфраструктура нуждается в законодательстве, которое отвечало бы постоянно меняющимся реалиям информационной безопасности, — отметил Дмитрий Гвоздев, генеральный директор компании «Информационные технологии будущего». — Процесс формирования этого законодательства еще далек от завершения, остаются некоторые пробелы, которые необходимо устранять как можно скорее. Разработка мер административной ответственности в данном случае — не столько обещание новых кар ради самих кар, сколько заполнение пробелов и адекватное разграничение ответственности в соответствии с вероятной угрозой. В конечном счете, в сфере КИИ даже малозначительная халатность может обходиться непредсказуемо дорого.
»

Основным разработчиком проекта должен выступить ФСТЭК, однако в качестве соисполнителей указана Федеральная служба безопасности РФ.

Планируемый срок принятия законопроекта — январь 2020 года. Ознакомиться с документом можно здесь.

ФСТЭК предлагает запретить обработку за рубежом информации, относящейся к КИИ России

Федеральная служба по техническому и экспортному контролю РФ (ФСТЭК) 6 марта 2019 года опубликовала на Федеральном портале проектов нормативных правовых актов проект изменений в приказ №239 «О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

Проект содержит целый ряд разнообразных уточнений, среди которых особо выделяются требования, связанные с оборудованием, программным обеспечением и процедурами обработки информации объектов критической инфраструктуры.

В частности, предлагается дополнить пункт 31 приказа[40] следующим абзацем:

«
Входящие в состав значимого объекта 1 категории значимости программные и программно-аппаратные средства, осуществляющие хранение и обработку информации, должны размещаться на территории Российской Федерации (за исключением случаев, когда размещение указанных средств осуществляется в зарубежных обособленных подразделениях субъекта критической информационной инфраструктуры (филиалах, представительствах), а также случаев, установленных законодательством Российской Федерации и (или) международными договорами Российской Федерации).
»

Предыдущая версия приказа таких ограничений не накладывала.

«
Фактически это означает запрет на осуществление за пределами территории России обработку данных, относящихся к объектам критической инфраструктуры первой категории важности, за вычетом оговариваемых исключений, — отметил Дмитрий Гвоздев, генеральный директор компании «Информационные технологии будущего». — В целом этот документ носит уточняющий характер. Выработка нормативов и правил, по которым должна функционировать критическая инфраструктура России — это процесс, который еще очень далек от завершения: количество заинтересованных сторон велико, а риски — слишком высоки, поэтому регламентация должна быть максимально подробной. Соответственно, новые поправки, дополнения и уточнения будут вноситься и впредь, и довольно долго.
»

Кроме этого, документ предполагает обязать наиболее значимые предприятия критической инфраструктуры применять только маршрутизаторы, сертифицированные на соответствие требованиям по безопасности информации. Речь, правда, идет только о вновь создаваемых или модернизируемых объектах КИИ и только первой (максимальной) категории значимости.

Оговаривается, что в случае отсутствия технической возможности применять только сертифицированные устройства в качестве граничных маршрутизаторов (то есть, тех, через которые осуществляется доступ из локальной сети в интернет), защищенность реально используемых устройств должна будет оцениваться в рамках приемки или испытаний значимых объектов.

Полный текст проекта приказа доступен по этой ссылке.

2018

ФСБ подготовила порядок информирования о кибератаках на объекты КИИ

Федеральная служба безопасности Российской Федерации подготовила проект приказа об утверждении порядка информирования о кибератаках на значимые объекты критической информационной инфраструктуры (КИИ). Текст проекта доступен[41] на федеральном портале проектов нормативных правовых актов[42].

«Приказываю утвердить прилагаемый порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации», - следует из приказа.

Как отмечается в пояснительной записке, проект направлен на совершенствование правового регулирования в сфере координации деятельности субъектов критической информационной инфраструктуры Российской Федерации по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

Согласно приказу, в случае компьютерного инцидента субъекты критической информационной инфраструктуры РФ обязаны незамедлительно проинформировать об этом Национальный координационный центр по компьютерным инцидентам (НКЦКИ). Если подключение к данной технической инфраструктуре отсутствует, информация должна быть направлена посредством факсимильной, электронной и телефонной связи на адреса или телефонные номера НКЦКИ, указанные на сайте ведомства.

Помимо этого, в случае, если инцидент произошел на объекте КИИ, осуществляющем деятельность в банковской и других сферах финансового рынка, необходимо также проинформировать Центробанк РФ.

Субъекты КИИ также должны будут разработать план реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак и не реже одного раза в год проводить тренировки по отработке мероприятий плана.

Информацию о защищенности КИИ от кибератак отнесли к гостайне

Президент РФ Владимир Путин подписал в марте 2018 года указ, согласно которому информация о состоянии защищенности критической информационной инфраструктуры (КИИ) от кибератак теперь относится к государственной тайне. Соответствующий документ опубликован на портале правовой информации[43].

Указ дополняет перечень сведений, отнесенных к гостайне, утвержденный указом президента РФ от 30 ноября 1995 года № 1203 «Об утверждении перечня сведений, отнесенных к государственной тайне», новым пунктом. Согласно документу, к таким данным теперь относятся сведения, раскрывающие меры по обеспечению безопасности критической информационной инфраструктуры РФ и информация, раскрывающая состояние защищенности КИИ от компьютерных атак.

Полномочиями по распоряжению такими данными наделены ФСБ и Федеральная служба по техническому и экспортному контролю[44].

2017

Что грозит за неправомерное воздействие на критическую ИТ-инфраструктуру России

С 1 января 2018 года в России вступает в силу 187-ФЗ - закон «О безопасности критической информационной инфраструктуры Российской Федерации» и принятые одновременно с ним изменения в УК, описывающие наказание за нанесение ущерба критической инфраструктуре страны.

Изменения вносятся Федеральным законом № 194-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации». В частности, глава 28 УК РФ дополняется статьей 2741, описывающей кары за «неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации». [45]

Согласно нормативно-правовым актам 187-ФЗ, под новые требования подпадают финансовые, транспортные, энергетические, телекоммуникационные компании, а также организации в сфере здравоохранения, науки, ТЭК, атомной энергетики и промышленности.

До 20 февраля 2019 года компании, которые попадают в сферу действия закона, обязаны самостоятельно провести категорирование объектов КИИ и согласовать их со ФСТЭК.

При этом данный этап включает в себя создание комиссии по категорированию, определение процессов в рамках основных видов деятельности компании и выявление наиболее критичных из их числа. Следующий шаг – формирование перечня объектов КИИ и его согласование с отраслевым регулятором (например, для сферы здравоохранения таковым выступает Минздрав). После этого перечень объектов подается в виде уведомления во ФСТЭК России, а для каждого объекта из перечня субъектом КИИ определяется категория значимости, после чего результаты категорирования направляются на согласование во ФСТЭК. Исходя из определенных категорий, владельцу объектов КИИ в дальнейшем необходимо выстраивать защиту.

К неправомерному воздействию относится создание, распространение и/или использование компьютерных программ либо иной компьютерной информации, которая заведомо используется для уничтожения блокирования, модификации, копирования информации в критической инфраструктуре, или нейтрализации средств защиты указанной информации.

Установлены суровые наказания за преступления, направленные на нарушение безопасности критической информационной инфраструктуры РФ

Кроме этого, санкции повлечет за собой неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре РФ, если он повлек причинения вреда этой инфраструктуре.

Наказания предусмотрены так же за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной структуре, информационных систем, информационной-телекоммникационных сетей, автоматизированных систем управления и сетей электросвязи, относящихся к критической информационной инфраструктуре страны.

За создание вредоносных программ для воздействия на инфраструктуру нарушителей ждут принудительные работы на срок до пяти лет с возможным ограничением свободы на срок до двух лет либо лишение свободы на срок от двух до пяти лет со штрафом в размере от пятисот тысяч до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет. За неправомерный доступ к охраняемой компьютерной информации предполагаются принудительные работы на срок до пяти лет со штрафом от 500 тысяч до миллиона рублей, с возможным ограничением свободы на срок до двух лет либо лишение свободы на срок от двух до шести лет со штрафом в размере от пятисот тысяч до одного миллиона рублей.

За нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации последуют принудительные работы сроком до пяти лет с возможным лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет. Предусматривается также возможное лишение свободы на срок до шести лет.

Если указанные деяния совершены группой лиц по предварительном сговору, организованной группой или лицом с использованием своего служебного положения, тяжесть наказания значительно возрастает: закон предусматривает тюремный срок продолжительностью от трех до восьми лет с возможным лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

Если те же деяния, совершенные группой лиц по предварительному сговору или с использованием служебного положения, повлекли тяжкие последствия, виновные получат срок от пяти до десяти лет с лишением права занимать определенные должности или заниматься опредленной деятельностью на срок до пяти лет или без такового.

«
Появление такого закона более чем закономерно в текущих условиях, - считает Георгий Лагода, генеральный директор компании SEC Consult Services. - Атаки на критическую инфраструктуру перестали быть абстракцией, это гиперактуальная проблема для всех стран, включая Россию. Закон явно нацелен на предотвращение внутренних атак или нарушений, которые повышают уязвимость инфраструктуры. Эффективность этого закона может быть предметом дискуссий, но обнадеживает уже тот факт, что существование проблемы признано на законодательном уровне.
»

«
Закон, как и поправки к УК, сами по себе необходимы, - отметил Дмитрий Гвоздев, генеральный директор ООО «Технологии будущего», - Вопрос, однако, заключается в реальной правоприменительной практике. От нее зависит, будут ли эти законы работать в принципе.
»

Госдума одобрила пакет законопроектов с санкциями за атаки на критическую инфраструктуру

Госдума одобрила в январе 2017 в первом чтении пакет законопроектов, который предусматривает до 10 лет лишения свободы для хакеров, мишенью которых является критическая информационная инфраструктура (КИИ) РФ. В случае утверждения законопроекта, соответствующие поправки будут внесены в Уголовный кодекс РФ, сообщает информационное агентство ТАСС Информационное агентство России[46].

Под КИИ подразумеваются информационные и телекоммуникационные системы государственных органов. Сюда же относятся автоматизированные системы управления технологическими процессами в оборонной, топливной, ракетно-космической, атомной, химической, металлургической и горнодобывающей промышленности, а также в сферах здравоохранения, связи, транспорта, энергетики и финансов.

Наказания для хакеров

Например, за создание или распространение ПО, предназначенного для нанесения вреда КИИ, хакеры будут на 5 лет отправляться на принудительные работы или лишаться свободы на такой же срок. Как вариант, возможна выплата штрафа в размере от p500 тыс. до p1 млн. Штраф также может быть рассчитан исходя из дохода преступника – в размере зарплаты за период от 1 года до 3 лет.

Если же хакер не просто создал/распространил вредоносную для КИИ программу, но и нанес реальный ущерб инфраструктуре, он может провести в заключении от 5 до 10 лет. Кроме того, преступник на 5 лет потеряет возможность заниматься некоторыми видами деятельности и работать на соответствующих должностях.

Предусмотрено также наказание за неправомерный доступ к информации, которая содержится в КИИ, если этот доступ осуществлен с помощью вредоносной программы и создает угрозу для инфраструктуры. Штраф за это составляет от p1 млн до p2 млн, или равняется доходу преступника за период от 3 до 5 лет. Как вариант, возможно лишение свободы сроком до 6 лет и штраф на сумму от p500 тыс. до p1 млн, или в размере зарплаты за 1-3 года.

Другие наказания

Законопроект предлагает наказания не только за причинение умышленного вреда КИИ, но и за нарушение правил обращения с информацией, которая там содержится. Сюда относится неправильное обращение с оборудованием, на котором эта информация хранится, обрабатывается и передается. В этот же пункт входит нарушение правил доступа к данным и системам КИИ, если это создает угрозу для инфраструктуры.

За такие действия нарушители будут лишаться свободы на 6 лет. Другой вариант наказания: 5 лет принудительных работ и запрет заниматься некоторыми видами деятельности на 3 года. Если же действует не один человек, а группа лиц, которые сговорились заранее или используют служебное положение, то им грозит тюремное заключение на срок от 3 до 8 лет или 5 лет принудительных работ.

Обеспечение безопасности

Рассмотренный сегодня Госдумой законопроект также описывает принципы обеспечения безопасности КИИ, налагает на госорганы соответствующие полномочия и устанавливает обязанности и ответственность владельцев и операторов инфраструктуры. За безопасность КИИ должен отвечать специальный уполномоченный федеральный орган.

Все объекты КИИ должны быть разделены на категории, каждая категория получит свои нормы безопасности. Разделение будет проводиться на основании реестра значимых объектов, создание которого оговаривает законопроект. Кроме того, для КИИ будут созданы системы безопасности, которые будут кооперироваться с системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ. Эта система была создана указом президента от 15 января 2013 года.

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT




Примечания

  1. Бизнес предложил убрать операционки на базе Android из госсектора и ТЭКа
  2. Минпромторг выложил миллиард, чтобы узнать, как перевести опасные отрасли на доверенное российское «железо»
  3. ФСТЭК разработала нормы времени на работы по обеспечению безопасности КИИ
  4. ФСТЭК разработала методику определения состояния защиты объектов КИИ
  5. Власти потратят полмиллиарда на информационную безопасность промышленных предприятий
  6. Минцифры оценило импортозамещение средств защиты информации на объектах КИИ
  7. Проект «О внесении изменений в постановление Правительства Российской Федерации от 14 ноября 2023 г. № 1912»
  8. Реестр программного обеспечения Минцифры
  9. Единый реестр российской радиоэлектронной продукции (ПП РФ 878)
  10. Реестр российской промышленной продукции (ПП РФ 719 от 17.07.2015)
  11. [http://publication.pravo.gov.ru/document/0001202406130032?index=1 Указ Президента Российской Федерации от 13.06.2024 № 500 "О внесении изменений в Указ Президента Российской Федерации от 1 мая 2022 г. № 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации"]
  12. Безопасности добиваются методично
  13. ПНСТ 905-2023
  14. Данные рассчитывают на защиту денег
  15. ФСТЭК выявил сотни нарушений в защите информационной инфраструктуры России
  16. ФСТЭК предъявит требования по кибербезопасности к господрядчикам
  17. Телеканалы и операторов связи обяжут создать ИБ-подразделения
  18. Информсистемы оценят критически
  19. Серверы распределяют по стране
  20. Дума приняла закон о защите от кибератак регистрационных данных в сфере недвижимости
  21. Приказ Федеральной службы безопасности Российской Федерации от 11.05.2023 № 213
  22. Почта на замке
  23. Для госсектора открывается невозможное
  24. Киберспецназу присвоили квалификацию
  25. Кабмин запустил эксперимент по повышению защищенности информсистем органов власти
  26. Указ Президента Российской Федерации от 01.05.2022 № 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации"
  27. Россия и США в киберпространстве: держи друзей близко
  28. В России каждая десятая организация – субъект КИИ заражена вредоносным ПО
  29. Дума ввела штрафы до 500 тыс. рублей за нарушения при защите критической IT-инфраструктуры
  30. Видео без ограничений. В России обнаружились камеры наблюдения с общедоступными данными
  31. Эксперты нашли уязвимость в тысячах камер наблюдения в России
  32. Приказ Федеральной службы по техническому и экспортному контролю от 20.02.2020 № 35 "О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239"
  33. Сообщение о субсидиях регионам на повышение уровня безопасности объектов КИИ отозвано
  34. Приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 17.03.2020 № 114
  35. Проект приказа, регламентирующего установку и эксплуатацию средств для поиска признаков кибератак на объекты КИИ
  36. Власти хотят запретить заграничные ПО и «железо» в банках, медицине, транспорте, промышленности и науке
  37. Власти хотят запретить заграничные ПО и «железо» в банках, медицине, транспорте, промышленности и науке
  38. [https://www.comnews.ru/content/120693/2019-07-09/u-kii-poyavilis-pravila У КИИ появились правила]
  39. ФСБ заявила об утечке данных о кибератаках на российские объекты за рубеж
  40. Приказ от 25 декабря 2017 г. N 239 об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации
  41. Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации
  42. ФСБ подготовила порядок информирования о кибератаках на объекты КИИ
  43. Указ Президента Российской Федерации от 02.03.2018 № 98 "О внесении изменения в перечень сведений, отнесенных к государственной тайне, утвержденный Указом Президента Российской Федерации от 30 ноября 1995 г. № 1203"
  44. Информацию о защищенности КИИ от кибератак отнесли к гостайне
  45. Федеральный закон от 26.07.2017 № 194-ФЗ "О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" 
  46. CNews: Хакеров в России будут сажать на 10 лет