1. Якщо об'єкт КВІ не відповідає критеріям значимості, йому не присвоюється категорія
2. Сформувалася нова для російського ринку концепція приватно-державного партнерства в області безпеки
3. У 2017 році половина російських компаній зіткнулася з різними кіберзагрозами

Власники об'єктів критичної інформаційної інфраструктури самі оцінять свої IT-системи

В останні роки компанії з різних галузей працюють в умовах підвищеного ризику кібератак. Хакери все частіше намагаються вивести з ладу підприємства промисловості, енергетики, транспорту. У Росії вступив в силу закон, який зобов'язав власників об'єктів критичної інформаційної інфраструктури (КВІ) захищатися і ввів механізми держконтролю. Однак практична реалізація документа почнеться після прийняття нормативних правових актів, які конкретизують його положення.

законні поняття

З 1 січня 2018 року в Росії вступив в силу Федеральний закон «Про безпеку критичної інформаційної інфраструктури Російської Федерації» № 187-ФЗ.

Експерти відзначають, що це перший випадок, коли документ в сфері інформаційної безпеки (ІБ) охоплює найширший спектр галузей.

Відповідно до закону, до об'єктів КВІ можуть бути віднесені інформаційні системи і мережі, а також автоматизовані системи управління, що функціонують в сферах:
• охорони здоров'я;
• науки;
• транспорту;
• зв'язку;
• енергетики;
• банківської та інших сегментах фінансового ринку;
• паливно-енергетичного комплексу;
• атомної енергії;
• оборонної та ракетно-космічної промисловості;
• гірничодобувної, металургійної та хімічної промисловості.

Об'єкти КВІ, а також мережі зв'язку, що використовуються для організації взаємодії між ними, і складають поняття критичної інформаційної інфраструктури.

Вимоги закону зачіпають організації (державні органи та установи, юридичні особи та індивідуальні підприємці), які володіють (на праві власності, оренди чи іншому законних підставах) об'єктами КВІ або забезпечують їх взаємодію (суб'єкти КВІ).

Закон є базовим. Він визначає основні поняття і принципи забезпечення безпеки КВІ для її стабільної роботи під час комп'ютерних атак. У законі прописані повноваження державних органів, а також права, обов'язки і відповідальність власників об'єктів КВІ та операторів зв'язку та інформаційних систем, що забезпечують їх взаємодію.

«Це перший прецедент, коли закон не просто дає регуляторні рекомендації, а зобов'язує реально захищатися від комп'ютерних атак, вводить оцінку вимог і механізми захищеності критичних інформаційних систем», - наголошується в звіті Positive Technologies «Кібербезпека 2017 - 2018: цифри, факти, прогнози» .

необхідні норми

Ухвалення закону зажадало розробки 18 нових нормативних правових актів, які конкретизують його положення.

Основні функції контролю в області забезпечення безпеки об'єктів КВІ, включаючи регулювання, покладені на Федеральну службу з технічного та експортного контролю (ФСТЕК) і ФСБ.

виступаючи на «Інфофоруме - 2018» , Заступник директора ФСТЕК Віталій Лютіков повідомив, що документи, які стосуються зоні відповідальності його служби, повинні бути прийняті до березня: «Ми сподіваємося, що в найближчий місяць, а може бути і менше, все підзаконні нормативні правові акти вступлять в силу і почнуть повністю працювати. Ми теж готуємося і готові обговорювати проблеми, які є при реалізації документа ».

За словами В. Лютикова, найбільш важливим документом є проект постанови уряду РФ, який стверджує критерії значимості об'єктів КВІ та порядок їх категорирования. «Це перше, з чого починає працювати закон», - підкреслив представник ФСТЕК. Проект внесений в уряд. В роботі за погодженням документа брало участь близько 20 органів виконавчої влади, а також держкорпорації і Центробанк.

«Сподіваюся, що найближчим часом проект стане постановою уряду, і ми приступимо першого кроку - до віднесення об'єктів до значних, щодо яких вже будуть встановлені всі необхідні вимоги і почне здійснюватися державний контроль», - сказав В. Лютіков.

Значимих об'єктів КВІ повинна бути присвоєна перша, друга або третя категорія. Вибір буде зроблений, виходячи з соціальної (збиток здоров'ю людей, вплив на роботу об'єктів життєзабезпечення, транспортної інфраструктури, мереж зв'язку і т.д.), політичної, економічної та екологічної значимості. Для кожної категорії будуть встановлені свої вимоги щодо забезпечення безпеки.

Якщо об'єкт КВІ не відповідає критеріям значимості, йому не присвоюється категорія

Кожен суб'єкт КВІ буде сам визначати, до якої категорії себе віднести. Для цього буде створена комісія з власних співробітників, чиє рішення повинно бути направлено у ФСТЕК Росії.

«Ніхто не знає свої системи краще, ніж власник підприємства. До комісії повинні входити не тільки фахівці з ІБ, а й ті, хто забезпечує функціонування об'єкта, безпосередньо займається його господарською діяльністю », - уточнила заступник начальника управління ФСТЕК Росії Олена Торбенко.

Порядок здійснення держконтролю у сфері забезпечення безпеки значущих об'єктів КВІ буде визначено іншою постановою, проект якого внесений в уряд.

Ще п'ять наказів ФСТЕК в даний час проходять процедуру державної експертизи в Міністерстві юстиції РФ.

В. Лютіков закликав власників об'єктів КВІ вже зараз приступати до вивчення документів і готуватися до застосування положень закону.

Нормативна база доповнюється

У повноваження ФСБ Росії входить оцінка реальної захищеності інформаційних систем, проведення розслідувань комп'ютерних атак (коли вони зачіпають інтереси держави), допомога в реагуванні на них.

Співробітник профільного центру ФСБ Росії Іван Мінаєв, виступаючи на «Інфофоруме-2018», зазначив, що одним із головних завдань є створення в Росії екосистеми для захисту від кібератак. За його словами, Державна система виявлення, попередження і ліквідації наслідків комп'ютерних атак ( ГосСОПКА ) Повинна стати технологічним аналогом «феромонів тривоги», що існують в тваринному світі.

Для реалізації закону про безпеку КВІ ФСБ підготувала шість наказів. Нормативна база повинна бути прийнята до кінця першого кварталу 2018 року. За словами І. Мінаєва, ФСБ розробляє такі НПА:

• положення про національний координаційний центр з комп'ютерних інцидентів (НКЦКІ) ;
• перелік інформації, що надається в ГосСОПКА і порядок її надання ;
• порядок обміну інформацією про комп'ютерні інциденти як між суб'єктами КВІ, так і між суб'єктами КВІ та зарубіжними міжнародними організаціями ;
• порядок інформування ФСБ про комп'ютерні інциденти та реагування на них;
• вимоги до засобів ГосСОПКА;
• порядок, технічні умови установки і експлуатації засобів ГосСОПКА .

Чотири проекти наказу ФСБ вже опубліковані на порталі regulation.gov.ru, ще два служба планує представити для громадського обговорення до середини лютого.

Як це буде працювати

ГосСОПКА - єдиний територіально розподілений комплекс, в яких входять сили і програмно-технічні засоби виявлення, попередження і ліквідації наслідків комп'ютерних атак (ОПЛ КА).

Тут повинна агрегуватися вся інформація про комп'ютерні атаки і інциденти, що отримується від суб'єктів КВІ. Як уже зазначалося, перелік відомостей, які будуть відправлятися в ГосСОПКА, визначить наказ. Його проект представлений на громадське обговорення. Згідно поточної версії документа, термін надання інформації про кібератаку становить 24 години з моменту виявлення.

Технічно ГосСОПКА являє собою розподілену систему з центрів, розгорнутих суб'єктами КВІ. Вони будуть об'єднані в ієрархічну структуру по установчо-територіальною ознакою. До них підключать технічні засоби (засоби ОПЛ КА), встановлені на конкретних об'єктах КВІ. Центри ГосСОПКА можуть бути відомчими і корпоративними (побудованими державними і приватними корпораціями, операторами зв'язку та іншими організаціями-ліцензіатами в області захисту інформації).

Інтеграція в ГосСОПКА вимагає від суб'єкта КВІ:
• інформувати про комп'ютерні інциденти ФСБ, а також Центробанк (якщо організація займається фінансами);
• сприяти ФСБ у виявленні, попередженні і ліквідації наслідків комп'ютерних атак, встановленні причин і умов виникнення комп'ютерних інцидентів.

Сформувалася нова для російського ринку концепція приватно-державного партнерства в області безпеки, вважають в Positive Technologies. На чолі схеми - держава (ФСБ Росії), яке відповідає за функціонування системи ГосСОПКА. Є як корпоративні, так і відомчі центри реагування на комп'ютерні атаки. В результаті виходить, що захист розподіляється між державою і комерційними компаніями. З'являється можливість реалізовувати аутсорсинг інформаційної безпеки. В кінцевому рахунку створюється система взаємопов'язаних суб'єктів: захищаються системи, ГосСОПКА, держава. «ГосСОПКА і вимоги закону № 187-ФЗ не гарантують, що систему неможливо буде зламати, але виконання цих вимог і створення центрів дозволить відсікти 90% примітивних атак, дозволивши сконцентруватися на високорівневих», - відзначають фахівці Positive Technologies.

Сформувалася нова для російського ринку концепція приватно-державного партнерства в області безпеки

Разом з прийняттям закону «Про безпеку критичної інформаційної інфраструктури» в КК РФ була додана нова стаття 274.1, яка встановлює кримінальну відповідальність:
• за створення, поширення і (або) використання комп'ютерних програм, свідомо призначених для неправомірного впливу на КІІ РФ,
• за неправомірний доступ до охоронюваної комп'ютерної інформації, що міститься в КВІ РФ;
• за порушення правил експлуатації засобів зберігання, обробки або передачі охороняється комп'ютерної інформації, що міститься в КВІ РФ.

напруга наростає

Якщо раніше метою кібератак ставали окремі державні та корпоративні портали, то зараз вони спрямовані на об'єкти життєво важливою критичної інфраструктури, провокування техногенних аварій, екологічних катастроф і соціальних потрясінь, розповів І. Мінаєв.

За його словами, кіберзлочинність сьогодні - це вже не романтичні одинаки, а організовані групи з набором новітніх технологій, добре налагодженими виробничими ланцюжками і каналами збуту своїх послуг.

Спільне використання інфраструктури операторами зв'язку та інтернет-провайдерами дозволяє проводити комплексні атаки. І вони завдають серйозної шкоди. І. Мінаєв нагадав про масові заражених вірусами WannaCry, Petya і численних безіменних DDos-нападах.

У 2017 році експерти компанії ESET прогнозували зростання збитку від кіберзагроз, включаючи програми-вимагачі, і нові атаки на критичну інфраструктуру. Прогнози збулися - масові епідемії шифраторів завдали значної шкоди компаніям і викликали широкий громадський резонанс.

Поінформованість приватних і корпоративних користувачів про цифрових загрози підвищується, але в той же час зростають число і складність кібератак. У 2018 році хакери використовуватимуть «класичні» інструменти компрометації і продовжать пошуки нових ефективних схем.

експерти ESET прогнозують нові атаки на об'єкти критичної інфраструктури. У 2017 році серйозною загрозою для промислових систем управління стала шкідлива програма Industroyer, імовірно послужила причиною збою енергопостачання в Києві. У 2018-му атаки можуть торкнутися не тільки енергетику - в числі потенційних цілей оборонний сектор, системи транспорту і водопостачання, охорона здоров'я і виробництво.

Глобальні корпорації намагаються захистити себе і інвестують в кіберзахист. Це стане причиною нападів хакерів на більш прості цілі - на малі і середні підприємства, які постачають товари і послуги великим компаніям. У 2017 році успішний злом сервера оновлення популярного бухгалтерського ПО MEDoc привів до масової епідемії шифратора Petya.

У 2017 році половина російських компаній зіткнулася з різними кіберзагрозами

Фінансові втрати

У 2017 році половина російських компаній зіткнулася з різними кіберзагрозами. 22% з них зазнали в результаті фінансові втрати. Середня сума збитків однієї організації - 300 тис. Рублів. В цілому по країні втрати від кібератак оцінюються в 116 млрд рублів. При цьому бізнесмени недооцінюють ризики. Такими є результати всеросійського опитування підприємців, проведеного аналітичним центром НАФД в листопаді 2017 рік (опитано 500 керівних співробітників підприємств в восьми федеральних округах Росії).
Виявилося, що великий бізнес був більш схильний до інформаційним атакам (62% проти 46-47% в малих і середніх підприємствах). Несанкціонований доступ до інформаційних ресурсів загрожує також великим компаніям (11% проти 1 - 2% серед інших підприємств), а інтернет-шахрайство частіше направлено на малий і середній бізнес (9% серед мікро-бізнесу і 2% серед великого).

Найбільш поширений спосіб забезпечення інформаційної безпеки підприємств - установка на всіх комп'ютерах оновлюваного антивірусного ПО, цей захід роблять в 88% компаній. Інші способи захисту застосовуються набагато рідше.

Керівник управління перспективних технологій компанії «Лабораторія Касперського» Андрій Духвалов:

Які заходи, крім формування законодавчої бази, необхідно вживати для захисту КВІ? На Ваш погляд, чи готові власники об'єктів КВІ до виконання закону?

Перше, що спадає на думку: навчання. Навчання операторів, персоналу, інженерів і керівників об'єктів КВІ.

Звичайно, необхідно ще мати достатню різноманітність технічних засобів захисту, але, на щастя, вони починають з'являтися. Більш того, існують і активно застосовуються рішення, розроблені російськими компаніями.

Однак, необхідно зазначити, що на сьогоднішній момент ще немає повного розуміння, які об'єкти можна віднести до КВІ. Це питання теж повинен регулюватися підзаконними актами, яких ще немає. Однак, є об'єкти, які без всяких сумнівів потраплять в список КВІ. Це об'єкти електрогенеруючій інфраструктури, електричні підстанції напругою 110 кВ, 220 кВ і вище, транспортна інфраструктура федерального значення, нафто-, газовидобувна і переробна промисловість і багато інших.

Власники і оператори цих об'єктів вже не перший рік активно беруть участь в обговореннях та конференціях на тему кіберзахисту і запускають проекти пілотування у себе. Накопичений до цього моменту досвід показує, що в першу чергу не вистачає фахівців. Вже з'явилися і активно застосовуються програмно-апаратні рішення для захисту, але немає достатньої кількості компетентних компаній-інтеграторів, здатних грамотно їх адаптувати до умов конкретного об'єкта і технологічної лінії.

Зображення: RSpectr, freepik.com