Органы власти и предпринимателей начнут штрафовать, если они не будут надлежащим образом выявлять пробелы в своей информбезопасности и устранять их. Для поиска уязвимостей можно будет на законных основаниях привлекать независимых экспертов или так называемых белых хакеров. Их деятельность сейчас попадает под действие Уголовного кодекса, но именно они станут частью инфраструктуры, которую планируется создать для поиска и устранения уязвимостей информационных систем. Это следует из законопроекта, который разработан в Совете Федерации. Документ находится на этапе обсуждения с заинтересованными ведомствами и участниками рынка, после чего его направят в правительство и внесут на рассмотрение Госдумы, рассказали его разработчики.
Какие изменения нужны для эффективного отражения кибератак
Проект закона, направленный на поиск уязвимостей и оценку уровня защищенности объектов информационной инфраструктуры РФ, разработан в рамках деятельности по обеспечению технологического суверенитета страны, пояснил «Известиям» его автор — член комитета СФ по конституционному законодательству и госстроительству Артем Шейкин.
— В последние годы значительно увеличилось не только число инцидентов, связанных с информационной безопасностью, но и усложнилась их техническая структура, — сказал он, — Повысилась скоординированность атак, которые направлены на выведение полностью или частично из строя объектов критической информационной инфраструктуры, причинение ущерба государственному управлению, а также на нарушение устойчивости экономики в целом.
Справка «Известий»Субъекты критической инфраструктуры — это государственные органы и учреждения, юрлица и ИП, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере финансов, транспорта, здравоохранения, науки, связи, энергетики и т.д.
Также к субъектам критической информационной инфраструктуры относятся компании и ИП, которые обеспечивают взаимодействие указанных систем или сетей.
Поэтому, по словам сенатора, появилась необходимость ввести в правовое поле деятельность по поиску уязвимостей и оценке уровня защищенности. Сейчас у регуляторов, за исключением Центробанка, нет реальных механизмов, которые могли бы повлиять на организации и компании, которые не поддерживают защиту информбезопасности на должном уровне, рассказал «Известиям» эксперт по кибербезопасности, бывший глава ФинЦЕРТа ЦБ Артем Сычев. Поэтому, уверен он, очень важно предусмотреть ответственность, если госорган или компания не работает над выявлением и устранением слабых мест.
— Пока наказать возможно только в случае, если эти действия повлекут ущерб, но его сложно доказать, — отметил эксперт.
В законопроекте предусмотрена ответственность для субъектов критической инфраструктуры, которые не занимаются выявлением и устранением слабых мест своей информационной инфраструктуры. На должностных лиц предлагается ввести штраф от 20 до 50 тыс. рублей, на юрлиц — от 100 до 500 тыс.
— Но основная цель законопроекта — установить права и обязанности участников отношений по поиску уязвимостей и оценке защищенности объектов информационной инфраструктуры, определить основы государственного регулирования указанной деятельности, а так же определить положения по лицензированию данной деятельности Федеральной службой по техническому и экспортному контролю (ФСТЭК), — сообщил Артем Шейкин.
Проще говоря, документ призван упорядочить взаимоотношения между всеми участниками процесса. Компания или организация заключает договор с независимой платформой на исследование своей защищенности. Та, в свою очередь, оплачивает вознаграждение независимым экспертам, которые проводят тестирование. Это те самые «белые» хакеры, которые взламывают систему для проверки уязвимостей с разрешения владельца.
Далее платформа систематизирует выявленные уязвимости и сообщает о них заказчику, а также регулятору ФСТЭК. Он, с одной стороны, будет лицензировать деятельности участников процесса, с другой, получит право накладывать санкции на организации и компании, не уделяющие должного внимания выявлению и устранению уязвимостей.
Сейчас законопроект находится на этапе обсуждения с заинтересованными ведомствами и участниками рынка по информационной безопасности, сообщил Артем Шейкин.
В пресс-службе Минцифры «Известиям» заявили, что получили письмо от Шейкина по этому законопроекту.
— В настоящее время мы формируем по нему позицию, — указали в ведомстве.
Планируется, что законопроект будет внесен после получения отзыва правительства, куда его направят по результатам доработки и обсуждения с заинтересованными ведомствами и участниками рынка. Дата вступления в силу еще не утверждена, подчеркнул автор законопроекта.
Зачем для выявления уязвимостей привлекают «белых» хакеров
По оценкам Артема Сычева, несколько десятков тысяч российских «белых» хакеров, которые работали на зарубежные компании, в 2022 году остались не у дел.
— Это целая армия талантливых ребят, которые тестируют системы по собственной инициативе. Очень важно, кому они будут продавать плоды своих исследований. Есть опасность их ухода на «темную» сторону, например, работу на зарубежные разведки. Лучше призвать их на службу российскому государству, которое за счет их экспертизы может усилить защиту систем информационной безопасности, — отметил Сычев.
Изменения, заложенные в законопроекте актуальны, уверен замруководителя департамента аудита и консалтинга компании F.A.C.C.T. Евгений Янов. В контексте нынешней геополитической ситуации давление на Россию в части информационной безопасности кратно возросло, подчеркнул он.
И по мнению руководителя проектов консалтинговой компании O2Consulting Сергея Дранева, вопросы кибербезопасности российских компаний и организаций в настоящее время стоят остро как никогда.
— Помимо государственных, военных организаций, растет количество атак на промышленные предприятия, в первую очередь в топливно-энергетическом секторе. В настоящее время вполне можно сказать, что против России идет кибервойна, причем зачастую на государственном уровне. В связи с этим данный законопроект не только актуален — он уже запаздывает на полтора года, — полагает Сергей Дранев.
Как пояснил Евгений Янов, сейчас для выявления уязвимостей можно привлекать как лицензированные организации (речь про лицензию на ТЗКИ — техническую защиту конфиденциальной информации), проводящие технический аудит информбезопасности, так и независимых квалифицированных специалистов.
— Деятельность таких организаций более-менее регламентирована законодательством, работы проводятся по договору. А привлечение «белых» хакеров законом не определено. Договоров они не заключают, поэтому при каждом исследовании рискуют попасть под действие Уголовного кодекса, — прокомментировал Евгений Янов.
Соответственно, считает он, определение основных понятий и регламентация требований к платформам и специалистам, участвующим в поиске уязвимостей, поможет устранить правовую неопределенность данных действий сейчас и сделает это направление более привлекательным для независимых исследователей.
Руководитель направления «Разрешение It&Ip споров» юридической фирмы «Рустам Курмаев и партнеры» Ярослав Шицле добавляет, что привлечение независимых специалистов может способствовать проверке реальности выстроенной инфраструктуры безопасности, а не ее создание на бумаге.
— Кроме того, участие независимых экспертов позволит выявлять уязвимости, которые могут быть неочевидны для внутренних специалистов. Своего рода независимый аудит, который принято проводить при проверке крупного бизнеса, — подчеркнул он.
Единственным вариантом в нынешних реалиях является взаимодействие с официально действующих компаний по проверке защищенности информационной инфраструктуры, отметил замгендиректора ЭТП «ТЭК-Торг» Евгений Можаев.
— И при всем уважении к данным специалистам, они не всегда могут просчитать ход мысли реальных хакеров, что снижает эффективность осуществляемых ими имитаций хакерских атак, — подчеркнул он.
Это означает, что и в целом, не получится сделать полноценный вывод об уровне защищенности информационных систем проверяемой организации.