Позаботься о себе ради страны: как и почему бизнес должен противостоять хакерам?

Позаботься о себе ради страны:
как и почему
бизнес должен противостоять хакерам

Спецпроект

В прошлом году вступил в силу базовый закон о кибербезопасности №187. Он касается не только госорганов и госкомпаний, но и частного бизнеса любого размера. И крупный завод, и индивидуальный предприниматель, если их продукция или деятельность является частью критической инфраструктуры, теперь обязан заботиться о вопросах IT-безопасности по новым, государственным стандартам. Это влечет не только дополнительные расходы, но и контроль со стороны ФСБ России и других органов. Например, нужно подключаться к информационной системе ГосСОПКА, через которую спецслужбы будут отслеживать состояние IT-инфраструктуры компаний. Вместе с Алексеем Киселевым, менеджером по развитию бизнеса «Лаборатории Касперского», мы разбирались, кто попадает под действие закона, чем новые правила государственной кибербезопасности грозят частным компаниям и главное — как им соответствовать?

А почему мы, собственно, обязаны

По закону новые правила кибербезопасности применяются к IT-инфраструктуре (информационные системы, телекоммуникационные сети, автоматизированные системы управления) в 14 сферах, критически важных для жизни государства. Речь об отраслях обороны, связи, финансов, транспорта, здравоохранения и т.п. Полный перечень приведен в законе.

Simone Hutsch/Unsplash

Все важные игроки в этих сферах, частного или государственного характера, должны быть защищены от киберугроз. Поэтому под новые стандарты попадают не только госорганы и госучреждения, но и любые значимые компании, а также юрлица, которые их обслуживают и взаимодействуют с ними. Они в законе называются субъектами КИИ — критической информационной инфраструктуры.

Совет

Что нужно охранять

Объекты КИИ


  • Информационные системы
  • Системы АСУ ТП
  • Информационные
    телекоммуникационные сети

Субъекты КИИ


  • Госорганы
  • Госучреждения
  • ИП
  • Юридические лица

Все они владеют, арендуют или работают с критически важной IT-инфраструктурой.

Что если хакеры выведут из строя доменную печь завода или поразят банк с миллионами вкладчиков? Даже если скромный ИП перепродает гайки, но они используются при строительстве подлодок, он все равно должен быть недоступен для хакеров, чтобы в случае чего не сорвать поставки и не пошатнуть выполнение гособоронзаказа. Исчерпывающего реестра компаний нет, каждый сам принимает решение, попадает ли в перечень критически важных. Компания должна проанализировать, как именно она соприкасается со стратегическими отраслями и какие сбои ее IT-ресурсов могут привести к коллапсам. Как это сделать?

Алексей Киселев

Менеджер по развитию инфраструктуры компаний


«Нужно смотреть ОКВЭД организации (классификацию экономических видов деятельности), попадает ли она в одну из перечисленных в законе отраслей. Если у организации есть лицензии на те или иные виды деятельности, то надо проверить и их. Исходя из этой информации, необходимо принимать решение. Дальше нужно оценить, какие в компании есть критические процессы, срывы которых приведут к негативным последствиям, и далее определить перечень объектов КИИ, которые задействованы в реализации таких процессов».

До сентября следующего года всем компаниям нужно провести внутренний аудит, решить, должны ли они переходить на новые правила IT-безопасности, и завершить первый этап — категорирование объектов КИИ. «Сроки рекомендательные, но тянуть не стоит, потому что ответственность возложена уже сегодня», — советует менеджер по развитию бизнеса «Лаборатории Касперского» Алексей Киселев. В случае успешной хакерской атаки спросят по полной даже тех, «кто не знал о новом законе», и в пиковом случае накажут по уголовной статье. Государственные органы обязаны были провести аудит уже к сентябрю этого года.

Совет

Не стоит относиться к выполнению закона формально. В случае нарушений ответственность заинтересованных лиц даже в частной компании может быть в том числе по уголовной статье.

Что именно мы должны

Для начала в контролирующий орган передается список критически важной IT-инфраструктуры вашей компании. Орган этот — Федеральная служба по техническому и экспортному контролю — структура, работающая еще со времен СССР и созданная для противодействия иностранным шпионским техникам (ФСТЭК России). Затем компания должна сформировать комиссию, которая распределит уровни потенциальных киберугроз. Исходя из этого, IT-ресурсам присваивается категория значимости от первой до третьей по убыванию. Таким образом, компания берет на себя ответственность перед государством охранять их. ФСТЭК в срок от месяца до года согласует оценки потенциальных угроз и занесет в реестр.

Если на предприятии нет компетенций или человеческих ресурсов провести аудит и анализ своими силами, то можно привлечь лицензированных специалистов со стороны. Но они будут выступать только в роли консультантов. «По закону процедуру категорирования компания должна провести сама и нести за это ответственность», — напоминает Алексей Киселев.

Совет

Основная нормативная база

«О безопасности критической информационной инфраструктуры (КИИ) РФ»

Федеральный закон от 26.07.2017 №187-ФЗ

«Неправомерное воздействие на КИИ РФ»

УК РФ, ст. 274.1

«Об утверждении Правил категорирования объектов КИИ РФ»

Постановление правительства РФ от 08.02.2018 №127

«Об утверждении Правил осуществления госконтроля в области обеспечения безопасности значимых объектов КИИ РФ»

Постановление правительства РФ от 17.02.2018 №162

«О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) на информационные ресурсы РФ»

Указ президента РФ от 15.01.2013 №31с

Приказы и другие ведомственные акты ФСБ России, ФСТЭК России и др.

Обеспечить IT-безопасность своих ресурсов — обязанность компании, все расходы она несет сама и определяет их объемы. Затраты разнятся в зависимости от профиля, масштабов и прежнего состояния систем IT-безопасности. Государство выступает в роли координатора, методиста и контролера. Среди основных требований — обеспечить киберзащиту предприятия и подключиться к ГосСОПКА. Это госсистема обнаружения, предупреждения и ликвидации последствий компьютерных атак. Она выявляет слабые места в IT-инфраструктуре и благодаря этому помогает предотвращать кибератаки, а также расследовать их последствия. Создана и контролируется ФСБ России. В компании должен быть фактически создан филиал ГосСОПКА, который обменивается информацией с головной структурой.

Simone Hutsch/Unsplash

Алексей Киселев

Менеджер по развитию инфраструктуры компаний


«Логика всей концепции государственной кибербезопасности такова, что если компания работает в стратегически важной отрасли, то должна уметь позаботиться о безопасности. Иначе ситуация напоминает коллизию: вы купили грузовик и посадили за руль школьника; а дальше, кто успел из прохожих спрятаться, тому повезло».

Если бизнес небольшой и не располагает достаточными объемами средств для организации собственной системы, оптимальный выход: купить готовое ПО. Эти программы автоматически собирают информацию о хакерской угрозе, затем специалист по IT-безопасности уже решает: реальна ли она и как противодействовать. Сотрудника также не обязательно нанимать в штат, а вполне можно привлечь со стороны. Крупные компании могут выбирать: отдать вопросы безопасности полностью на аутсорсинг или разрабатывать собственные решения.

Совет

Что должна сделать компания в рамках требований новых правил кибербезопасности:

  • Определить, что является объектами КИИ внутри компании.
  • По процедуре присвоить объектам КИИ категории от 1 до 3.
  • Внедрить систему IT-безопасности, исходя из нормативов ФСБ и ФСТЭК: установить программы, обучить персонал и нанять дополнительных специалистов.
  • Разработать под руководством ФСБ России сценарии отражения угроз.
  • Создать в компании корпоративный центр СОПКА и подключиться к ГосСОПКА.

А что нам за это будет

В Уголовном кодексе есть статья, которая предусматривает ответственность вплоть до лишения свободы на десять лет. Наказывают не за факт несоблюдения правил кибербезопасности, а за то, что в результате причинен вред компании, ее контрагентам, а значит, стране. Пока по закону персональную ответственность несут сотрудники. Возможно, скоро введут административные штрафы и для юрлиц. Об атаке и ее последствиях узнает ФСБ России, которая через ГосСОПКА контролирует компанию. В случае инцидента корпоративный центр ГосСОПКА первым фиксирует происходящее и дает рекомендации по противодействию. Информация не передается в головную структуру автоматически, решение об этом принимают люди на местах. Если они посчитают, что тревога ложная, то могут не сообщать, но в случае ошибки им придется отвечать. В штатном режиме соблюдение регламентов по IT-безопасности контролирует ФСТЭК России. Она следит, сертифицированы ли программы, компетентны ли сотрудники соответствующего отдела.

Алексей Киселев

Менеджер по развитию инфраструктуры компаний


«Если информация о киберинциденте не передается, это плохо, потому что ГосСОПКА не вырабатывает вовремя рекомендации для других потенциальных жертв. Если сообщить, то первым делом к вам приедут не с проверкой, а помогут погасить пожар, подключается вся мощь ГосСОПКА вплоть до конкретных экспертов ФСБ. Но потом может последовать внеплановая проверка».

Устранение последствий кибератак обходится гораздо дороже, чем хорошая система IT-безопасности. Лучше всех это понимают банки, потому что в России их атакуют чаще всех. Пытаясь предотвратить реальные финансовые потери, они годами инвестируют в системы IT-безопасности. Более того, еще до введения нового закона они уже отчитывались об этом перед ЦБ. Поэтому для банковского сектора текущие требования по кибербезопасности не стали большим открытием или обременением.

Scott Webb/Unsplash

Алексей Киселев

Менеджер по развитию инфраструктуры компаний


«Проведем аналогию с системой противопожарного тушения. Ее можно не делать, ведь сгорает не более 1% домов. Посчитаем: стоимость дома — 20 млн рублей, потенциальный ущерб — 1%, то есть 200 тысяч. Выгодно вложить 20 тыс. рублей в противопожарную систему и снять этот потенциальный ущерб».

Совет

Выбирайте программы с максимальной автоматизацией процессов, потому что в случае кибератаки нужно будет собрать и обработать много информации. В ручном режиме это сложно, медленно и дорого. Продвинутые программные решения все сделают сами и выдадут результат — карточку инцидента. Вмешательство человека потребуется на последнем этапе принятия решения о дальнейших действиях.

Что мне с этого

Соответствовать требованиям государства по кибербезопасности необходимо и все равно придется. Поэтому лучше позаботиться о себе и выбирать современные и комплексные решения от лидеров рынка.