Наталья Касперская, главная сессия BIS Summit 2022, ч.3: «Нужны реальные меры по противодействию утечкам»

07.10.2022

23 сентября 2022 года, на BIS Summit-2022, ключевом мероприятии в сфере информационной безопасности, президент ГК InfoWatch, председатель правления ассоциации разработчиков программных продуктов «Отечественный софт» Наталья Ивановна Касперская выступила в роли модератора ключевой сессии этого мероприятия: «Новая старая модель угроз и предстоящие изменения».

Наталья Касперская_BIS Summit 2022.JPG

В сессии «Новая старая модель угроз и предстоящие изменения» прозвучали мнения: заместителя директора ФСТЭК России Виталия Сергеевича Лютикова; директора департамента обеспечения кибербезопасности Министерства цифрового развития РФ Владимира Николаевича Бенгина; директора департамента информационной безопасности Банка России Вадима Александровича Уварова; директора центра компетенций по импортозамещению в сфере ИКТ Илья Иссовича Массуха и заместителя руководителя проектного офиса по реализации нацпрограммы «Цифровая экономика РФ» Михаила Владимировича Корягина.

Предлагаем заключительную часть материала с этой стратегической сессии, посвященной тому, как должна меняться регуляторика в нынешних сложных условиях.

Наталья Касперская: Будут ли вноситься изменения в федеральные законы (ФЗ), если да, то какие?

Виталий Лютиков: Сегодняшние поручения связаны не с вопросами противодействия компьютерным атакам, а с той проблемой, которая потащила за собой указ № 166 ««О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры (КИИ) РФ» от 30.03. 2022. Я сейчас не готов анонсировать то, какие конкретно будут изменения, потому что пока еще ведется проработка поручения. Но очевидно, что вектор изменения по вопросам донесения категорирования и определения объектов КИИ до лета будет. И изменения будут в 187-ФЗ «О безопасности КИИ РФ».

Владимир Бенгин: По 187-ФЗ работа, действительно, идет. И у нас в стране реализовалось огромное количество угроз, связанных с утечками персональных данных (ПДн) – из-за внутренних злоумышленников, внешнего проникновения и историй этих очень много, все эти статьи мы видели. И системно подходя к этому вопросу, мы осознали, что формирование подробных требований, ни какие-то полумеры здесь не помогают, придется вводить очень жесткую регуляторику по повышению ответственности за утечку. Бизнес – крупные заказчики понимали, что необходимо вкладываться рублем в информационную безопасность, по защите именно ИСПДн (информационные системы персональных данных). Так как это то место, где мы, скорее, не справились. Если смотреть на угрозы и атаки типа DDoS, хотя они очень громкие, популярные, обсуждаемые, ИТ-сервисы сбоят и выпадают, но видя, как растет мощность атак, когда идет атака на те или иные сервисы в нашей стране, рынок ботнет-сетей в мире на этот момент времени в день атак практически останавливается. Ценник на заказ такой услуги как DDoS-атака, подпрыгивает или сервисы просто не предоставляются. Мы как будто бы всю мощность возможности DDoS-атак выкачиваем на себя. И с противодействием DDoS мы неплохо справляемся. А вот с утечками мы, скорее, не справились. Сейчас активно идет обсуждение штрафов – это та история, которая будет принята в ближайшее время.

Наталья Касперская: Мне это как бальзам на душу. Нужны реальные меры по противодействию утечкам. Владимир Николаевич, а это будет переписывание 152-ФЗ или дополнение?

Владимир Бенгин: Конечного ответа сейчас нет, но мы же здесь не формируем новый набор требований, который необходимо вложить в федеральный закон, чтобы он был обязательным к исполнению. Требования по соблюдению конфиденциальности в 152-ФЗ уже есть – утечка, нарушение конфиденциальности… Организация, допустившая утечку, нарушила целостность и конфиденциальность информации…

Наталья Касперская: Спасибо, что проливаете свет на эти вопросы. Думаю, многие с нетерпением ждут изменений в регуляторике на этот счет. Вчера, например, была очередная крупная утечка – утекло большое количество персональных данных людей… Хотелось бы, чтобы это безобразие прекратилось. Вадим Александрович, расскажите, пожалуйста, что с точки зрения регуляторики готовит Центральный банк, чего ждать финансовой сфере?

Вадим Уваров: Мы сосредоточили внимание на контроле, связанном с подготовкой планов перехода банков с иностранных решений на российские программные продукты. И при нашем участии был подготовлен законопроект, который внесен депутатом Госдумы. Мы надеемся, что эта инициатива будет поддержана и «Банк России» получит полномочия по контролю за такими планами и согласованием закупок. Это приведет к тому, что по отрасли, наверное, понимание по плану перехода на отечественное ПО мы сформируем. Чтобы было единое понимание у нас как у координатора всех этих действий в отрасли, мы поделимся с удовольствием информацией с коллегами из Минцифры и Минпромторга, чтобы было единое понимание. Тут прозвучала хорошая фраза: «Пора переходить от презентации к действиям». И я хотел бы сейчас обратить внимание на вопросы, связанные с организацией работы центров тестирования. В разных отраслях она организована по-разному, но в рамках нашего отраслевого комитета «Финансы», когда мы с коллегами обсуждали, как мы можем организовать эту работу – при том, что мы все прекрасно понимаем, что вопросы тестирования – это финансово затратная работа, то все участники нашего комитета единогласно предложили использовать свои площадки для тестирования тех или иных продуктов. По нашему мнению, это показывает сплоченность и готовность отрасли в целом предоставлять свои возможности для тестирования. И возможность масштабирования этих решений на другие отрасли, если они могут быть масштабируемыми и используемыми в других отраслях. Мы будем готовить свои предложения коллегам в Минцифры и Минпромторг, чтобы переход проходил бесшовно и на определенных продуктах можно было сосредоточить внимание.

Наталья Касперская: Илья, что нужно изменить в регуляторике, чтобы у нас и процент импортозамещения и ситуация с угрозами изменились в лучшую сторону?

Илья Массух: Те директивы для госорганов и госпредприятий, где ставится процент перехода на российское ПО, мы видим, как-то участвуем в этой работе, а методические рекомендации по переходу на отечественное вообще создаются нашим Центром компетенций, поэтому с точки зрения безопасности регулирование объектов КИИ раньше было возложено на самих собственников объектов. Мы столкнулись с тем, что крупные компании сформулировали объекты КИИ как им удобно. И в некоторых отраслях ключевая система – например, биллинг, оказывалась не объектом КИИ. Или системы проектирования, моделирования в строительных компаниях тоже оказывались не объектами КИИ. С точки зрения регуляторики в ближайшее время выйдет изменение на уровне закона о том, что обязанность собственников объектов категорировать объекты и говорить, какие объекты относятся у них к КИИ, а какие нет, может быть пересмотрена, причем, директивно. Конечно, участвуют Минцифры, ФСТЭК, другие органы, отраслевые в том числе. Это изменение подстегнет процесс перехода. По указу №166 к 2025 году нужно значимые объекты КИИ перевести на отечественное программное обеспечение.

Виталий Лютиков: Мы не имеем права поменять категорию объекта КИИ, согласно текущему закону. Мы смотрим на результаты, проверяем результаты категорирования, но делаем это документально. И тут есть проблема – экспертная пикировка. Владелец объекта КИИ говорит, что у них на предприятии ничего такого нет, мы говорим, что есть. Некоторые переписки идут по году, где мы категорически не соглашаемся, они тоже категорически не соглашаются. Да, такая проблема существует. Но пока в нашу стройную жизнь информационной безопасности не вмешалось импортозамещение ПО, определенная логика в этом была. Потому что это реализация риск-ориентированного подхода была – если ты неверно оценил риски на предприятии, то дальше идет уголовная ответственность и наказания. Но после того, как завернули всю эту тему на значимые объекты с точки зрения КИИ, высветилась эта проблема.

Проблема в том, что две системы на разных объектах могут быть в одном случае значимыми, а в другом нет с точки зрения информационной безопасности. Например, биллинг – он у всех компаний разный – с точки зрения количества людей, сколько он обсчитывает и т.д. Тут надо смотреть, о каких компаниях и системах речь. Дело в том, что мы этими изменениями и инициативами пытаемся побороть недобросовестных специалистов. И этот процесс бесконечен. И мы пытаемся в вопросе импортозамещения проблемы производства и разработки, которые есть в некоторых вещах, перетащить на владельца.

Наталья Касперская: Этот подход можно грубо охарактеризовать словами: «Надень себе веревку на шею сам». Понятно, что предприятия-владельцы объектов КИИ будут такому подходу сопротивляться и пытаться поставить себе как можно меньшую категорию. Иногда даже не признаются, что этот или иной процесс – критичный. Поэтому должно быть второе мнение. Может, индустриальное второе мнение – тех коллег, которые понимают, как это устроено.

Виталий Лютиков: На той стороне этой проблемы работа идет. Во что она выйдет, получится ли договориться со всеми, сделаем ли мы жизнь лучше, чем сейчас, это покажет правоприменение всего этого. Но в этом направлении работа идет.

Илья Массух: Мы смотрим со стороны здравого смысла – если прекращение работы данной системы приведет к деградации, к остановке предприятия, она относится к КИИ.

Виталий Лютиков: Но проблема в том, что эта деградация и потеря управления – всегда субъективный фактор. И этот субъективный фактор нужно минимизировать – вот над чем надо работать. Например, вы считаете, что остановка системы приедет к деградации/простою предприятия, а главный инженер, который отвечает за это, знает свои технологические процессы досконально, считает, что нет. И вот в этом споре нужно найти аргумент, убеждающий его согласиться с твоим мнением. А дальше включается то ярмо, которое за этим стоит - ответственность, вложение денежных средств и т.д. Вот о чем дискурс.


Количество показов: 302
Дата создания: 07.10.2022 14:24:51
Дата изменения: 07.10.2022 14:35:42
Автор:  Наталья Касперская
Время на чтение:  30 минут

Возврат к списку