Компания «К2 Кибербезопасность» обнародовала результаты исследования, в ходе которого оценивался уровень защищённости субъектов критической информационной инфраструктуры (КИИ) в России. Речь идёт об организациях и предприятиях, от которых зависит работа транспорта, сетей связи, функционирование финансовой системы, а также государственных, медицинских и прочих служб.

Данные получены на основе опроса 108 представителей российских компаний из ключевых сегментов экономики с выручкой более 5 млрд руб. В исследовании участвовали субъекты нефтегазовой промышленности, металлургии, электроэнергетики, сферы здравоохранения и пр. Опрос проведён в июне–августе 2023 года.

Источник изображения: pixabay.com

Установлено, что практически каждый третий (32 %) субъект КИИ в России сталкивался с киберинцидентами разной степени серьёзности. Как минимум 35 % из них сопряжены с ущербом, который можно оценить в деньгах. Чаще всего атаки на КИИ оборачиваются простоем сервисов: основными причинами таких инцидентов называются DDoS-атаки и взломы сайтов. Другие негативные последствия — репутационный ущерб, потеря данных без возможности восстановления и непосредственные финансовые убытки.

Авторы исследования выяснили, насколько респонденты готовы к исполнению требований закона «О безопасности критической информационной инфраструктуры Российской Федерации» (187-ФЗ), принятого ещё в 2018 году. Значительное число компаний ещё не знают, какие решения им понадобятся для реализации требований — с планами не определились 24 % опрошенных. Чёткое представление о предстоящих закупках имеют 68 % субъектов.

Изображение: «К2 Кибербезопасность»

Оказалось, что большинство компаний скептически относятся к возможности реализации проектов защиты КИИ на базе отечественных решений. Так, 31 % категорически не удовлетворены тем, что предлагает рынок. С другой стороны, 48 % респондентов уверены в том, что российские продукты справятся с требованиями закона.

Среди компаний, которые уже приступили к работам, только 7 % полностью завершили проекты по созданию системы обеспечения информационной безопасности, удовлетворяющей требованиям 187-ФЗ. Около 14 % находятся на завершающих этапах, ещё 34 % занимаются организационной работой и 35 % только начинают или планируют начать эту деятельность. При этом только 29 % опрошенных заявляют, что ещё не столкнулись с серьёзными сложностями на различных этапах реализации проекта.

Президент РФ подписал указ, увеличивающий штат работников Федеральной службы по техническому и экспортному контролю и расширяющий её полномочия по управлению безопасностью значимых объектов критической информационной инфраструктуры (КИИ). Об этом сообщает издание D-Russia.ru со ссылкой на официальный портал правовой информации.

Согласно документу, предельная штатная численность центрального аппарата ведомства будет увеличена с 260 до 289 сотрудников, территориальных органов — с 1012 до 1101 работника (без учёта персонала для охраны и обслуживания зданий). Также указ наделяет ФСТЭК России полномочиями по созданию информационной автоматизированной системы для управления деятельностью по технической защите информации и обеспечению безопасности значимых объектов КИИ.

В рамках своей компетенции ФСТЭК России будет вести централизованный учёт информационных систем и иных объектов КИИ по отраслям экономики, а также мониторинг и оценку текущего состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры. Также в числе обязанностей ведомства значится оперативное информирование органов власти, местного самоуправления и организаций об угрозах безопасности информации и уязвимостях информационных систем и иных объектов КИИ, а также о мерах по технической защите от этих угроз и уязвимостей.

Список объектов критической информационной инфраструктуры страны включает телекоммуникационные и IT-системы, а также АСУ ТП, которые используются в государственных органах, здравоохранении, на транспорте и в связи, кредитно-финансовой сфере, топливно-энергетическом комплексе и различных отраслях промышленности: атомной, оборонной, ракетно-космической, химической и других.

Каждая пятая компания, владеющая критической инфраструктурой (КИИ), не успеет перейти на российскоге ПО к 2025 году из-за отсутствия подходящего аналога зарубежным продуктам. Такие данные представлены в совместном исследовании «К2 кибербезопасности» (подразделение компании «К2Тех») и Anti-Malware.ru.

Авторы исследования в июне–августе 2023 года опросили 108 руководителей по ИТ и ИБ российских компаний с выручкой более 5 млрд руб. и госкорпораций в разных отраслях, а также представителей разработчиков аппаратного и программного обеспечения для кибербезопасности. Напомним, что согласно указу президента от 30 марта 2022 года, с 1 января 2025 года госкомпаниям запрещено использовать иностранное ПО и оборудование для обеспечения работы КИИ.

Источник: «К2Тех»

58 % опрошенных компаний уверены в том, что успеют уложиться в сроке и реализовать все требования закон, тогда как 21 % компаний полагают, что не успеют вовремя реализовать необходимые проекты. Основным препятствием последние называют сложности с заменой иностранных решений на отечественные, связанные как с высокой стоимостью, так и с нехваткой оборудования. При этом 2 % компаний сказали, что у них в принципе нет средства на реализацию требований 187-ФЗ, ещё 44 % были вынуждены кратно увеличить расходы на ИБ, причём у 14 % компаний бюджеты выросли сразу на порядок.

Источник: «К2Тех»

Как показало исследование, лишь 8 % российских компаний завершили переход с иностранного на российское ПО. Еще 14 % находятся на завершающей стадии, а 10 % не приступали к переходу. При этом 24 % респондентов не понимают, какие решения нужны для выполнения указа, а 31 % уверены, что отечественные решения неспособны справиться с предъявляемыми требованиями. Среди наиболее востребованного ПО опрошенные называли межсетевые экраны (54 % респондентов), антивирусную защиту (33 %), сетевое оборудование (29 %) и средства криптографической защиты (25 %).

Источник: «К2Тех»

Участники рынка отмечают, что проблемы с выполнением законодательства в области КИИ связаны с тем, что многие владельцы подобных объектов не занимаются присвоением категорий, что является нарушением требований законодательства. К КИИ относятся сети связи и информационные системы госорганов, финансовых, энергетических, транспортных, медицинских, телекоммуникационных и ряда других компаний.

Минцифры, по информации газеты «Ведомости», намерено включить локализацию производства оборудования в перечень критериев для оценки технологической независимости критической информационной инфраструктуры (КИИ). Это, в частности, необходимо в свете сложившейся геополитической обстановки.

В соответствии с утверждёнными требованиями, с 1 января 2025 года на значимых объектах КИИ могут использоваться только программные продукты, включённые в реестр российского или евразийского ПО. Кроме того, госорганам и организациям запрещается применять средства защиты информации из недружественных стран.

Источник изображения: Delta Computers

В июне 2023-го премьер-министр Михаил Мишустин поручил Минцифры «проработать вопрос формирования системы оценки уровня соответствия КИИ требованиям по технологической независимости». В ответ в ведомстве предлагают оценивать наличие отечественных разработок, производственных линий высокотехнологичной продукции, а также наличие необходимых кадровых ресурсов и научных и технологических заделов у владельцев КИИ.

Разрабатываемая система оценки необходима для понимания того, насколько владельцы объектов КИИ готовы к переходу на отечественные программные и аппаратные решения, а также к их разработке и производству к 2025 году. Наработки Минцифры лягут в основу системы показателей технологического суверенитета, о которой говорится в Концепции технологического развития до 2030-го. В соответствии с этим документом к концу десятилетия Россия «должна обладать собственной научной, кадровой и технологической базой критических и сквозных технологий». Речь идёт об организации производства высокотехнологичной продукции — чипов и другой микроэлектроники, высокоточных станков и робототехники, авиакосмической техники, беспилотников, медицинского оборудования, телекоммуникационной техники и ПО.

Согласно исследованию «Нормативные правовые акты в сфере информационной безопасности (ИБ) и цифровой экономики по итогам 2021–2022 года» компании InfoWatch, в 2022 году в России было принято 257 нормативных правовых актов, касающихся регулирования сфер ИБ, ИТ и цифровой экономики в целом.

Это в количественном отношении на 11,6 % меньше по сравнению с предыдущим периодом. Однако распределение неравномерно. Так, доля актов в области цифровой экономики, ИБ и безопасности КИИ выросла. В сфере цифровой экономики нормативная база которой менялась более чем в половине случаев (51,8 %). Информационная безопасность по активности законодателей оказалась на втором месте (20,6 %), на третьем — категория «Биометрия и персональные данные» (10,9 %). Затем идут безопасность КИИ (5,8 %) и импортозамещение (4,7 %).

Источник: InfoWatch

Такие данные в компании связывают со значительным обострением геополитической обстановки, так как в прошлом году множество объектов КИИ, принадлежащих российским организациям, стали подвергаться массированным кибератакам. При этом многие новые документы принимались в ускоренном порядке и в условиях близких к экстремальным.

Большинство (67,7 %) законодательных актов в 2022 году приняло Правительство РФ, на долю Президента России и Минцифры приходятся 10,5 % и 8,6 % документов соответственно. Согласно исследованию, больше всего инициатив в 2022 году было предложено на тему регулирования цифровой экономики (34 %), на втором месте — биометрия и персональные данные (21,1 %), на третьем — законодательные акты в сфере импортозамещения (15 % от общего количества).