Государство закручивает гайки
Для защиты критической информационной инфраструктуры от участившихся атак приходится ужесточать правовое регулирование и принимать меры, увеличивающие расходы компаний
В ближайшие два-три года рост числа утечек данных в России составит 50-150% в год, считает управляющий компании RTM Group Евгений Царев. Такой прогноз он дал в ходе мероприятия, организованного Ассоциацией пользователей стандартов по информационной безопасности АБИСС. Со своей стороны, в компании InfoWatch отмечают, что только за 2017-2021 годы количество записей персональных данных, раскрытых в результате утечек, превысило население России в пять раз.
По мнению Евгения Царева, рост числа утечек связан одновременно как с затягиванием процесса импортозамещения программного обеспечения, так и с ускоренным движением к цифровому суверенитету. Часть компаний не спешит замещать иностранное оборудование и ПО, поддерживая работоспособность своей IT-инфраструктуры при помощи различных «костылей». Это приводит к всевозможным ошибкам и росту количества уязвимостей. Другие компании, напротив, в ускоренном порядке избавляются от всего иностранного. Однако новые программные продукты порой выпускаются без достаточного тестирования, поэтому в них остаются уязвимости, которыми могут воспользоваться злоумышленники. Перед специалистами по информационной безопасности встает вопрос, как в таких условиях защитить граждан и критически важную информационную инфраструктуру.
Сжатые сроки
Критическая информационная инфраструктура (КИИ) — это ПО, системы управления и средства связи, которые используются в ключевых сферах жизнедеятельности государства и общества: здравоохранении, промышленности, топливно-энергетическом комплексе, транспорте, финансовом секторе, городском хозяйстве. Субъектами КИИ являются как государственные органы и учреждения, так и частные компании и индивидуальные предприниматели, работающие в этих отраслях. Для объектов КИИ установлены три категории значимости: самая высокая — первая, самая низкая — третья. Категории присваиваются исходя из масштаба возможных последствий в случае нарушения работы такой инфраструктуры.
В прошлом году президент Владимир Путин подписал указ, запрещающий приобретать иностранное ПО для значимых объектов КИИ. Кроме того, с 1 января 2025 года нельзя будет эксплуатировать ранее приобретенное иностранное программное обеспечение на значимых объектах критической информационной инфраструктуры.
«Откровенно говоря, все заменить в такие сроки невозможно. Не у всех продуктов есть российские аналоги, нужно время на их разработку, — рассказала “Эксперту” председатель АБИСС Анастасия Харыбина. — Государство сейчас реально помогает в разработке, выделяет дополнительные инвестиции. Но недостаточно просто создать информационный продукт — он должен быть безопасным. И это, к сожалению, отодвигает возможные сроки импортозамещения».
Анастасия Харыбина обратила внимание на то, что резкий уход иностранных вендоров способствовал росту количества уязвимостей: «Ряд вендоров просто отключили информационные системы от обслуживания. Естественно, организациям нужно было быстро что-то придумать. Справедливости ради, очень много было сделано, но обеспечить функционирование не равно обеспечить безопасное функционирование. Многие компании были вынуждены в сжатые сроки и, вероятно, без должного анализа перейти на альтернативное ПО или самостоятельно собирать что-то из открытого кода».
По ее словам, это противоречит концепции security by design, в соответствии с которой информационная безопасность должна с самого начала стать неотъемлемой частью программного продукта и быть интегрирована во все его компоненты. «У нас не было такой возможности — замещали все быстро, потому что иначе бы все встало. А потом уже вернулись к вопросу обеспечения информационной безопасности», — добавляет председатель АБИСС.
Другим важным обстоятельством стал рост числа субъектов КИИ. В марте вступило в силу постановление правительства, согласно которому в перечень субъектов КИИ экономической сферы теперь помимо банков входят и другие финансовые организации: негосударственные пенсионные фонды, страховые организации, центральные депозитарии и контрагенты, операторы услуг информационного обмена. К социально значимым последствиям нарушения функционирования КИИ теперь также причисляют сбои в работе не только транспортной инфраструктуры, но и транспортных средств. Эти изменения привели к тому, что число субъектов КИИ значительно выросло и всем им придется выполнять требования законодательства об использовании преимущественно российского ПО с 2025 года. Одновременно для них повышаются требования по информационной безопасности.
В будущем к КИИ могут быть отнесены и другие сферы жизни, считает Александр Иванцов, старший инженер по защите информации Deiteriy Compliance. Эксперт напомнил о недавних атаках на российские системы оповещения, когда в ряде регионов в теле- и радиоэфире вышли ложные предупреждения о ракетной угрозе. «Если такое еще повторится, это попадет в зону внимания государства и может привести к тому, что системы оповещения или средства массовой информации станут одной из сфер, которая будет включена закон о безопасности критической информационной инфраструктуры», — полагает Александр Иванцов.
С одной стороны, новые требования дадут толчок к развитию информационной безопасности компаниям, ранее не занимавшимся этими вопросами. Это повысит их устойчивость к различным атакам. С другой стороны, потребуется реализовать больше защитных мер, что приведет к дополнительным затратам. По подсчетам Евгения Царева, для субъектов КИИ с первой категорией значимости (нарушения в их работе затронут наибольшее количество граждан) и числом сотрудников более 1000 человек стоимость внедрения систем информационной безопасности может достигать сотен миллионов рублей. Эксперт привел данные, согласно которым для компаний с числом сотрудников 1009500 человек и размером уплаченных налогов от 2 млн до 19 млн рублей стоимость внедрения систем информационной безопасности составляет от 10 до 60 млн рублей соответственно.
Многие специалисты по информационной безопасности обращают внимание на еще одну проблему — дефицит кадров в своей сфере. С учетом роста числа объектов КИИ она становится особенно актуальной. Сейчас для специалистов по ИБ, обслуживающих КИИ, требуется наличие высшего профессионального образования. Недавно стало известно, что Федеральная служба по техническому и экспортному контролю (ФСТЭК) готова разрешить специалистам со средним специальным образованием работать на объектах критической информационной инфраструктуры.
«Эта мера частично поможет компенсировать нехватку специалистов, — отметила Анастасия Харыбина. — Вход в профессиональную сферу ИБ упрощается. Другое дело, что это будет нижний уровень специалистов — джуниоры, если проводить аналогию с разработкой. Конечно, они смогут взять на себя часть функционала и процессов, но этого недостаточно. Специалисты среднего и высокого уровня тоже необходимы, но нужно время, чтобы они появились».
Новые меры
Эксперты отмечают, что власти уже принимают меры для повышения информационной безопасности. По данным InfoWatch, в целом за 2022 год было принято 257 нормативных правовых актов, касающихся регулирования сфер ИБ, ИТ и цифровой экономики в целом.
Александр Моисеев, ведущий консультант по информационной безопасности Aktiv.Consulting, рассказал о некоторых инструментах. Так, создано более 30 центров компетенций, которые изучают, в какой приоритетности осуществлять поддержку тех или иных программных продуктов, по каким критериям оценивать эффективность программных средств. В 2021 году на базе Института системного программирования им. В. П. Иванникова РАН под эгидой ФСТЭК России был основан технологический центр исследования безопасности ядра Linux, где коллективы разработчиков могут проверять безопасность ПО.
Кроме того, сейчас разрабатываются перечни и каталоги импортозамещенного ПО. В прошлом году правительство приняло постановление о создании национального репозитория ПО с открытым кодом к апрелю 2024 года. В нем будет размещаться программное обеспечение, созданное в том числе на бюджетные средства. И в дальнейшем разработчики смогут использовать готовые решения в своих проектах, что ускорит создание нового отечественного ПО. Что касается обеспечения безопасности КИИ, то ФСТЭК разработала методику, позволяющую проверять как зарубежные, так и российские обновления для иностранного ПО.
«Есть множество государственных ресурсов, где содержатся сведения об актуальных угрозах и уязвимостях. Специалисты могут использовать их, чтобы понимать, есть ли слабые места в их инфраструктуре», — рассказал Александр Моисеев. Кроме того, ФСБ получила право проводить тесты на проникновение без информирования субъекта КИИ с целью проверки безопасности используемых информационных систем.
В прошлом году были также внесены изменения в Федеральный закон «О персональных данных». Руководитель отдела консалтинга и аудита Angara Security Александр Хонин назвал это самым большим обновлением за все время существования закона. «Одна из целей, которую эти изменения несут, — нормализовать объем сбора персональных данных компаниями», — говорит эксперт.
Ранее многие персональные данные собирались без четкой необходимости, на всякий случай. Теперь же компании обязаны отчитываться перед Роскомнадзором, сообщая, для каких целей они собирают и обрабатывают конкретную информацию. Кроме того, усложнилась передача персональных данных в зарубежные страны. Теперь оператор должен уведомлять Роскомнадзор о намерении передать информацию за рубеж, а ведомство может ответить отказом.
Еще одним важным нововведением последнего времени стала обязанность сообщать в Роскомнадзор об утечках данных. Сначала в течение суток необходимо уведомить о произошедшем инциденте, а затем в течение 72 часов — о результатах внутреннего расследования происшествия. С учетом большого количества утечек, которые происходят в последнее время, эта мера оправданна, считают эксперты.
«Что будет дальше? Из ближайшего — оборотные штрафы, о которых мы с вами слышим очень давно. Скорее всего, их введут», — добавил Александр Хонин. Сейчас КоАП предусматривает штрафы за утечку данных для юрлиц в размере 60100 тыс. рублей при первом нарушении и до 500 тыс. рублей — при повторном. Минцифры же предлагает штрафовать организации, где произошла утечка, на 1% от годового оборота или на 3%, если компания пыталась скрыть проблему. Владимир Путин поручил правительству до 1 июля 2023 года рассмотреть вопрос о введении оборотных штрафов.
Эксперты также ожидают дальнейшего ужесточения регуляторики в области критической информационной инфраструктуры и персональных данных. «Это менталитет нашей страны: если не заставлять принимать меры и не закручивать гайки, к сожалению, никто ничего делать не будет», — говорит Александр Хонин.
Как cохранить выгоды от цифровизации
В России, по оценке Сбера, количество кибератак в 2022 году увеличилось почти в 15 раз по сравнению с 2021 годом.
Лидером стал финансовый сектор — 45% от общего количества атак. Второе место занял онлайн-ретейл — 21%, на третьем месте оказалась телеком-сфера — 18%, на сектор развлечений пришлось 9%, на образование — 4%.
Ущерб мировому бизнесу от киберпреступников в 2022 году достиг 6 трлн долларов, подсчитали в Enterprise Apps Today. Так, в 2022 году Росавиация пережила колоссальный взлом своей сети и утратила 65 ТБ информации. Хакеры удалили всю почту и документооборот, а резервных копий у ведомства не было. Это вынудило Росавиацию вернуться к бумажному документообороту, а все письма отправлять по почте.
Вредоносное ПО, взломы, кража и утечка персональных данных — это далеко не полный список угроз, от которых можно защититься с помощью страхования.
В Mordor Intelligence подсчитали, что мировой рынок страхования кибербезопасности оценивался в 9,29 млрд долларов в 2021 году, и ожидают, что к 2027 году он достигнет 28,25 млрд долларов при среднегодовом темпе роста порядка 20%.
Что касается России, то, по данным Всероссийского союза страховщиков, в 2021 году страховые сборы в этом сегменте составили около 380 млн рублей. По оценке Страхового Дома ВСК, в 2022-м сборы составят порядка 750 млн рублей.
Конечно, в сравнении с мировыми объемами это незначительная сумма. Реальный спрос на подобные услуги в нашей стране пока не сформирован. Рост объемов страхования киберрисков за последний год в основном связан с сопутствующими продажами в банковском канале при оформлении кредитных продуктов. Зачастую такие программы страхования имеют существенные ограничения и не представляют реальной ценности для клиентов.
Сегодня развитие рынка страхования киберрисков в РФ тормозит и ряд других факторов. В их числе отсутствие специалистов по оценке рисков и пока еще недостаточно проработанная законодательная база: средний штраф за утечку персональных данных составляет всего лишь 60 тыс. рублей. СМИ рассказывают о кибератаках только на самые крупные и известные компаний. Поэтому многие еще не осознали опасность, не знают о таком виде страхования или не верят в его эффективность.
В то же время можно выделить три потенциальных вектора развития российского рынка страхования от киберугроз. Первый — это страхование компаний с иностранным участием, которые до последнего времени страховали эти риски в рамках зонтичных договоров защиты, покрывающих киберриски на территории всего мира. Сейчас такой возможности у них нет, и они стали искать аналогичное страховое покрытие на отечественном рынке.
Второй вектор — страхование киберрисков крупного российского бизнеса, который осознает реальную угрозу и уделяет должное внимание информационной безопасности. Третий вектор — МСБ, который такой угрозы пока не осознает, но все чаще сталкивается с кибератаками в силу низкого уровня защищенности.
Для защиты своих интересов российский бизнес может воспользоваться комплексными сервисно-страховыми продуктами. Сегодня подобную услугу на рынке, по оценке Страхового Дома ВСК, предлагают пять страховых компаний. Как правило, такие программы состоят из нескольких компонентов. Первый — программная часть, выполняющая функцию выявления атак и вредоносных действий. Второй компонент — сервисный: проводится удаленный мониторинг системы, реагирование на инциденты информационной безопасности. И наконец, страховая часть — договор страхования остаточных киберрисков.
«Сегодня необходимо выстраивать эффективную модель страхования киберрисков. Важно учитывать кадровый голод в отрасли, недостаточную осведомленность бизнеса о последствиях кибератак и несовершенную законодательную базу, — говорит гендиректор Страхового Дома ВСК Александр Тарновский. — Работу нужно вести по всем этим направлениям. Развивать компетенции сотрудников, которые будут разбираться в информационной безопасности, проводить аудит киберрисков и модернизировать законодательную базу, учитывая растущие риски».
Анна Королева
Хочешь стать одним из более 100 000 пользователей, кто регулярно использует kiozk для получения новых знаний?
Не упусти главного с нашим telegram-каналом: https://kiozk.ru/s/voyrl