Проверка на зрелость
Материалы выпуска
Технологическая разборчивость Решения Полезное регулирование Экспертиза Цифровизация – не самоцель Экспертиза Инновации могут снизить процент по ипотеке Экспертиза Сцилла и Харибда роботизации Решения Когда инновации встречаются с бизнесом Экспертиза Не хайпом единым Экспертиза От теории к практике цифровизации Экспертиза На линии огня Рынок Логистика на цифровом поле Инструменты Проверка на зрелость Инструменты
Инструменты Санкт-Петербург и область,
0
Материалы подготовлены редакцией партнерских проектов РБК+.
Материалы выпуска
Проверка на зрелость
Серьезных трат на исполнение 187-ФЗ смогут избежать только продвинутые в сфере информационной безопасности предприятия. Остальных ждут тяжелые времена.
Фото: pixabay.com

«Закон о безопасности критической информационной инфраструктуры РФ» (187-ФЗ) вступил в силу еще в начале года, однако до сих пор даже у специалистов по информационной безопасности есть множество вопросов по его исполнению. Ситуацию осложняет тот факт, что несоблюдение закона приведет не к традиционным штрафам, а к уголовному наказанию. Несмотря на это и эксперты в области ИБ, и сами субъекты КИИ считают данную инициативу регулятора полезной – об этом представители компаний рассказали в рамках специализированной сессии IV Digital City Forum РБК.

Terra incognita

Регулятор либерален в отношении потенциальных субъектов КИИ – тех предприятий, чья инфраструктура подходит под определение критической. Предприятиям предлагается самостоятельно пройти процедуру категорирования, определив, относится ли их инфраструктура к объектам КИИ.

Некоторые так и поступили – например, энергетики и медики. Кирилл Васильев, начальник отдела информационных технологий ФГБУ «НМИЦ онкологии им. Н. Н. Петрова» Минздрава России, рассказал, что в медицине существует две категории ИС, которые можно рассматривать с точки зрения объектов КИИ. Есть более критичные, которые тесно связаны со здоровьем реальных пациентов. Как правило, это технологические системы, которые никак с интернетом не связаны за исключением тех случаев, когда оборудование мониторится производителями удаленно. Безусловно, это КИИ, но в отношении них достаточно просто соблюдать существующие инструкции и правила.

«Вторая категория не может напрямую повлиять на здоровье граждан, зато может повлиять на социальную составляющую. Это раскрытие врачебной тайны, утечка персональной информации. Безусловно, это тоже КИИ, но ее защита требует больших усилий. Здесь работает и 152-ФЗ, который и так уже заставил поднапрячься и действовать», – пояснил Кирилл Васильев.

Кирилл Васильев (ФГБУ «НМИЦ онкологии им. Н. Н. Петрова» Минздрава России) (Фото: РБК Петербург)

Сергей Александров, начальник отдела информационной безопасности ЛОЭСК, рассказал, что для электросетевой компании процесс прошел довольно просто: «ЛОЭСК – электросетевая компания, поэтому точно является субъектом КИИ. И коды ОКВЭД подходят, и отрасль, и АСУ ТП у нас есть. Формализация любого процесса всегда полезна, а особенно в случае с информационной безопасностью, где необходим строгий порядок. Другим компаниям, у которых меньше формализованы процессы, возможно, будет сложнее».

Сергей Александров (ЛОЭСК) (Фото: РБК Петербург)

И действительно: в список двенадцати областей деятельности, в которых функционируют объекты КИИ, кроме атомной энергетики, оборонной промышленности и других сфер «критический» статус которых не вызывает сомнения, попали связь, наука, финансы. И вот здесь начинается terra incognita – даже специалисты в области информационной безопасности и сами представители этих отраслей путаются в том, кто действительно является субъектом КИИ.

Сам себе регулятор

«Основные сложности сейчас связаны с отнесением организаций к субъектам КИИ и категорированием объектов КИИ, – объясняет Николай Белобров, руководитель отдела compliance и аттестации департамента комплексных проектов компании Ростелеком-Solar. –Опираться можно на устав, коды ОКВЭД, но формализованного списка критериев, по которым можно было бы определить, является ли юрлицо субъектом КИИ, пока нет».

Николай Белобров (Ростелеком-Solar) (Фото: РБК Петербург)

Дополнительные сложности возникают и в связи с распространением облачных сервисов и аутсорсинга. Как быть, если предприятие работает в области критических процессов, но информационную инфраструктуру арендует у другого юрлица, никто не знает. «Жалко, что уголовная ответственность не передается вместе с договором аренды», – иронизируют участники дискуссии.

Николай Белобров уверен, что такой подход использован регулятором намеренно, чтобы не сузить область применения: «Как только в нашей стране выходит какой-то законодательный акт, компании ищут лазейки, которые позволили бы избежать ответственности».

С другой стороны, если бы регулятор пошел более традиционным путем, установил жесткие рамки и четко прописал критерии принадлежности к субъектам КИИ, вполне вероятно, что список предприятий, удовлетворяющих этим критериям, оказался бы достаточно широким. Это опять-таки привело бы к недовольству и, возможно, к нецелевым тратам. Таким образом, предположили участники дискуссии, регулятор изначально рассчитывает на осознанный подход потенциальных субъектов КИИ к поставленной задаче. На это же ориентировано и введение столь серьезного наказания за нарушение закона.

Сергей Кузнецов, коммерческий директор Центра Защиты Информации ГК «Конфидент», считает, что что политически регулятор поступил абсолютно правильно. «На первом этапе внедрения в массы этого закона было необходимо «обкатать» методики категорирования, и регулятором на это было дано время участникам процесса – больше года, – говорит он. – Сейчас я наблюдаю ситуацию и понимаю, что по закону к настоящему времени в основном субъекты уже должны были категорироваться, подать сведения и закончить эту процедуру. А это значит, что уже нет никакого временного интервала на усовершенствование этого закона и нормативов в части категорирования. В части же реализации защитных мер ничего глобально нового в законе о КИИ нет – все тот же «традиционный» базовый набор мероприятий и технических инструментов по защите информации, напоминающий правила личной гигиены – контроль пользователей, защита от несанкционированного доступа, контроль утечек информации, антивирусная защита, защита периметра сети и т.д.»

Сергей Кузнецов (Центр Защиты Информации ГК «Конфидент») (Фото: РБК Петербург)

Министерство пентестов

Эксперты рассмотрели и другие варианты регулирования обеспечения безопасности критических информационных систем, которые могли бы быть эффективными для России.

Один из рассматриваемых вариантов – положиться на ответственный подход самих предприятий к защите КИИ. Дмитрий Петров, генеральный директор «Комфортел», считает, что государственное регулирование информационной инфраструктуры 187-ФЗ неэффективно и избыточно: те предприятия, которые ответственно подходят к вопросам обеспечения безопасности, и так делают все необходимое. «Регулирование должно идти от ответственности конкретного лица за выполнение своих обязанностей и предусматривать не ужесточение наказания, а его неотвратимость. Когда россияне пересекают границу Финляндии, они сразу становятся законопослушными водителями, хотя на территории нашей страны обгоняли по встречке и обочинам, подрезали и гудели. В чем причина? Магия и эльфы? Вовсе нет: наказание за нарушения в Финляндии неотвратимо, а у нас – увы. Я думаю, неотвратимость наказания сработала бы и в отношении защиты КИИ».

Дмитрий Петров («Комфортел») (Фото: РБК Петербург)

Об этом же говорил и Павел Погребинский, директор департамента информационных технологий и инфраструктуры АНО «Оргкомитет «Россия-2018». «Вопросам информационной безопасности во время Чемпионата мира по футболу мы уделяли самое серьезное внимание, так как и мы, и FIFA понимали, что это важно и что во время чемпионата будет немало попыток испортить всем праздник. Попытки были, но все они были предотвращены. В нашем случае со стороны регулятора специальная помощь не требовалась, все вопросы информационной безопасности решались силами Оргкомитета, FIFA и компаний «МегаФон» и НЦИ (группа компаний Ростех). Да, регулятор требовал установить то или иное оборудование, однако наличие этого оборудования, как мы с FIFA считали, не являлось гарантией того, что сеть будет защищена. Поэтому и задачи ИБ мы решали, как я говорил ранее, своими силами в соответствии с утвержденным планом FIFA», – рассказал Павел Погребинский.

Павел Погребинский (АНО «Оргкомитет «Россия-2018») (Фото: РБК Петербург)

А контроль можно осуществлять путем тестов на проникновение (penetration-тестов или пентестов). «Логичное и эффективное регулирование может быть в том случае, если бизнес можно проверять. Пусть это будут выездные проверки, плановые, внеплановые или даже по заявлению граждан, – говорит Дмитрий Петров. – Нужна система удаленного контроля компетентными сотрудниками, нужен государственный пентест».

Правда, перспектива проведения пентеста КИИ условного химзавода испугала экспертов – видимо, слишком велика угроза того, что он окажется успешным. Впрочем, не менее пугающей оказалась и перспектива создания для таких процедур государственного органа по защите информации. «В результате мы получим «министерство пентестов», в которое необходимо будет набрать не менее 10 тысяч человек – меньшим количеством сотрудников мы не сможем проверять все КИИ на просторах нашей необъятной родины, – говорит Вартан Хачатуров, генеральный директор НПК «Криптонит». – А граждане будут писать в интернете, что «приходится кормить нахлебников» и «лучше бы отдали деньги бабушкам».

Вартан Хачатуров (НПК «Криптонит») (Фото: РБК Петербург)

При этом некоторые эксперты не слишком оптимистичны и в отношении текущего варианта закона: их опасения связаны с высокой вероятностью замены реальной безопасности «бумажной», т.е. предоставлением документов и сертификатов. И многие компании, как и раньше, будут формально выполнять требования, которые чаще всего сводятся к покупке того или иного решения.

В ходе дискуссии были и другие предложения по модернизации регулирования защиты КИИ. Сразу несколько экспертов высказали предположение, что «Закон о КИИ» нужен в первую очередь для тех структур, где акционером с пакетом более 51 % является государство, а также для силовиков. Остальные же позаботятся о безопасности сами. С этим предположением согласились не все. Например, Александр Погребной, заместитель генерального директора компании «Газинформсервис», в качестве контраргумента предложил представить, что было бы, если бы правила дорожного движения соблюдали лишь спецслужбы. В случае с КИИ ситуация аналогична: если с уже упомянутым химзаводом, расположенным в 10 километрах от города, что-то случится, пострадают все.

Александр Погребной («Газинформсервис») (Фото: РБК Петербург)

Испуганные кадры

Главное препятствие для реализации закона эксперты видят в отсутствии нужных кадров. Ситуация усугубляется тем, что в регионах наблюдается тренд массового увольнения специалистов по ИБ из-за угрозы уголовной ответственности за нарушения 187-ФЗ.

Павел Салмин, руководитель направления отдела по работе с заказчиками компании «Код Безопасности», подчеркивает, что кадровый голод даже более значим, чем вопрос финансирования. «Это самый болезненный вопрос и для отрасли ИБ, и для субъектов КИИ. Квалифицированных специалистов не хватает даже в столицах – что уж говорить про регионы, – отмечает Павел Салмин. – И из воздуха специалисты не появятся, поэтому многим предприятиям придется решаться эту проблему за счет использования услуг консалтеров, которые могут себе позволить платить высококвалифицированным специалистам. На текущий момент информацию о КИИ многие клиенты получают от вендоров. Мы каждый день отвечаем на такие запросы и всегда готовы помочь».

Павел Салмин («Код Безопасности») (Фото: РБК Петербург)

Закон, по мнению Кирилла Васильева, может помочь решить кадровый вопрос – в том числе в регионах. «Дополнительное финансирование можно будет направить на консалтинг, потому что специалистов в регионах мало и вряд ли в короткие сроки их можно взрастить – это ведь должен быть не просто специалист в области ИБ, он должен разбираться во внутренних процессах учреждений».

Кадровая проблема стоит остро, так что рассчитывать в вопросе подготовки специалистов на Минобразования или на профильные кафедры вузов в ближайшее время бизнес не сможет, уверены эксперты. Сергей Кузнецов рассказал, что его компания пыталась получить у министерства список профильных кафедр, которым можно было бы бесплатно предоставить современное программное обеспечение средств защиты информации для целей обеспечения образовательного процесса. «Нам предложили самим разбираться и искать в интернете. И мы, и наши заказчики понимаем, что ценность сертифицированных специалистов, разбирающихся в представленном сегодня на рынке оборудовании, высока, что их возьмут на работу, но из центра данный вопрос никак не решается – это нужно только нам», - рассказал Кузнецов.

Николай Белобров добавил, что в программе курса по ИБ одного из крупнейших профильных вузов треть времени отводится на изучение правил оформления гостайны, что весьма показательно. Он добавил, что один из вузов нефтегазовой отрасли долго и безрезультатно боролся за открытие кафедры ИБ АСУ – сделать это удалось ровно через два дня после принятия закона о КИИ. Однако ждать выпуска достаточного количества специалистов придется долго, а потребность в таких кадрах уже существует.

Дополнительной сложностью является и тот факт, что в комиссии по категорированию помимо ИТ-специалистов должны включаться и представители основного бизнеса предприятия – главные энергетики, главные врачи, руководители административно-технических служб и т.д. в зависимости от профиля работы организации. «Плюс создания комиссии по категорированию объектов в том, что они включают сотрудников, представляющих и инженерные службы, и финансовые, которые могут просчитать отличные от ИБ риски, – объясняет Алексей Буров, начальник отдела информационных технологий ГУП «Ленсвет». – Заваривается такая каша, благодаря которой вопрос безопасности из мало кому интересной серверной выходит на новый уровень. Но это означает изменения в менталитете, что редко когда проходит безболезненно».

Алексей Буров (ГУП «Ленсвет») (Фото: РБК Петербург)

Пожалуй, единственные, кто не жалуется на проблему с кадрами, это банки. Причина такого оптимизма, по мнению экспертов, в том, что ИБ в банковской отрасли зарегулирована уже давно и гораздо серьезнее, чем в большинстве других сфер. Сами же банки видят причину и в другом. «Мы работаем с крупными иностранными клиентами, которым «бумажного» соблюдения законов недостаточно – мы вынуждены проводить внешний аудит, – рассказывает Евгения Климова, начальник отдела депозитарного обслуживания Райффайзенбанка. – Так что при внедрении любой новой системы мы ждем согласования в том числе и от ИБ. Поэтому для каждого направления бизнеса в банке есть свой специалист по ИБ – ему нужны не только общие знания, но и понимание нюансов данного бизнеса».

Евгения Климова (Райффайзенбанк) (Фото: РБК Петербург)

Помеха цифровизации

Что касается возможного роста расходов в связи с необходимостью исполнять новый закон, то затраты, как отметили участники дискуссии, вырастут лишь у тех компаний, где информационная безопасность не поставлена на должный уровень. «Зрелым в отношении ИБ компаниям, у которых и так почти все сделано, надо лишь немного скорректировать свой курс, – убежден Александр Погребной. – Кому-то придется провести оргмероприятия, и этого будет достаточно. Именно поэтому многие сами проводят категорирование, воспринимая этот процесс как средство для структурирования сведений о собственной ИТ-инфраструктуре, и лишь консультируются у интеграторов. Иные, понимая последствия ошибок на этапе категорирования, наоборот стремятся максимально опереться на экспертизу профильных подрядчиков и закладывают при этом поддержку процессов взаимодействия с регулятором на всем жизненном цикле значимых объектов КИИ. Если же до сих пор предприятие – субъект КИИ не занималось ИБ, у него будет масса работы, и как следствие достаточно большой объем затрат».

Помехой цифровизации повышенное внимание к информационной безопасности и 187-ФЗ вряд ли станет, уверены эксперты. Кирилл Васильев называет ИБ дисциплинирующим фактором, заставляющим осознать, что у идеи, основанной на технологиях, может быть оборотная сторона, которой воспользуются злоумышленники. Алексей Буров считает, что закон – необходимое сито, через которое надо пропускать все инновационные проекты и решения в контексте того, как они будут затрагивать КИИ. Николай Белобров подчеркивает, что 187-ФЗ – первый закон, которые ориентирован на процессы и именно этим ценен в первую очередь.

Павел Салмин считает, что закон о КИИ улучшит состояние защиты информационной безопасности в стране в целом. И эта тема КИИ коснется не только государственных, но и всех социально значимых организаций. «Госструктуры и так зарегулированные, да и системы ИБ у них аттестованы. Но многие другие организации ранее не акцентировали внимание на защите информации, этих игроков никто до этого момента не контролировал. Теперь же они будут под контролем, они попали под регулирование. И в этом нет ничего плохого – именно в этом и есть смысл закона. Его принимали для того, чтобы минимизировать риски техногенных катастроф, крупных сбоев и экономического ущерба для страны в целом», – подчеркнул Павел Салмин.

Вартан Хачатуров полагает, что закон о КИИ не остановит цифровизацию, потому что не влияет на нее. «Цифровизация идет вне зависимости от того, безопасно вокруг или нет. Но инфобезопасность, как и любая другая безопасность, изучается тяжелым опытом».

Павел Погребинский убежден, что у цифровизации есть более серьезные препятствия, чем ИБ и любой закон. «Мы пока даже от регулятора не услышали, каким он видит процесс цифровизации, поэтому и судить о том, станет ли что-то драйвером для него или сдерживающим фактором, довольно-таки сложно. Когда ставишь задачу, надо объяснить исполнителям, какого результат ждешь от них. Пока же мы слышим лишь много слов и разных мнений о том, с чего надо начинать и чего надо достичь. Пройдет какое-то время, правила игры будут определены – только тогда можно будет определить, что мешало, а что помогало на начальном этапе процессу реализации проекта», – резюмирует эксперт.

Александр Рыбаков, руководитель диджитал департамента Банка «Санкт-Петербург»:

Фото: РБК Петербург

«На мой взгляд, обеспечение безопасности является одним из драйверов развития цифровой трансформации. Например, если на улице нет фонарей, то в вечернее и ночное время по ней ходить небезопасно, а следовательно, в это время там не будет людей. То же самое происходит и в цифровой среде: если клиентский опыт небезопасен, то не будет и траффика, и клиентской активности. При этом жесткое регулирование, скорее всего, должно быть в базовых сценариях, а также в работе с персональной информацией клиентов. Клиенты, зная, что их данные защищены, будут чаще доверять цифровым сервисам – для бизнеса это позитивный фактор».