Позаботься о себе ради страны: как и почему бизнес должен противостоять хакерам?

Спецпроект

В прошлом году вступил в силу базовый закон о кибербезопасности №187. Он касается не только госорганов и госкомпаний, но и частного бизнеса любого размера. И крупный завод, и индивидуальный предприниматель, если их продукция или деятельность является частью критической инфраструктуры, теперь обязан заботиться о вопросах IT-безопасности по новым, государственным стандартам. Это влечет не только дополнительные расходы, но и контроль со стороны ФСБ России и других органов. Например, нужно подключаться к информационной системе ГосСОПКА, через которую спецслужбы будут отслеживать состояние IT-инфраструктуры компаний. Вместе с Алексеем Киселевым, менеджером по развитию бизнеса «Лаборатории Касперского», мы разбирались, кто попадает под действие закона, чем новые правила государственной кибербезопасности грозят частным компаниям и главное — как им соответствовать?

А почему мы, собственно, обязаны

По закону новые правила кибербезопасности применяются к IT-инфраструктуре (информационные системы, телекоммуникационные сети, автоматизированные системы управления) в 14 сферах, критически важных для жизни государства. Речь об отраслях обороны, связи, финансов, транспорта, здравоохранения и т.п. Полный перечень приведен в законе.

Все важные игроки в этих сферах, частного или государственного характера, должны быть защищены от киберугроз. Поэтому под новые стандарты попадают не только госорганы и госучреждения, но и любые значимые компании, а также юрлица, которые их обслуживают и взаимодействуют с ними. Они в законе называются субъектами КИИ — критической информационной инфраструктуры.

Все они владеют, арендуют или работают с критически важной IT-инфраструктурой.

Что если хакеры выведут из строя доменную печь завода или поразят банк с миллионами вкладчиков? Даже если скромный ИП перепродает гайки, но они используются при строительстве подлодок, он все равно должен быть недоступен для хакеров, чтобы в случае чего не сорвать поставки и не пошатнуть выполнение гособоронзаказа. Исчерпывающего реестра компаний нет, каждый сам принимает решение, попадает ли в перечень критически важных. Компания должна проанализировать, как именно она соприкасается со стратегическими отраслями и какие сбои ее IT-ресурсов могут привести к коллапсам. Как это сделать?

«Нужно смотреть ОКВЭД организации (классификацию экономических видов деятельности), попадает ли она в одну из перечисленных в законе отраслей. Если у организации есть лицензии на те или иные виды деятельности, то надо проверить и их. Исходя из этой информации, необходимо принимать решение. Дальше нужно оценить, какие в компании есть критические процессы, срывы которых приведут к негативным последствиям, и далее определить перечень объектов КИИ, которые задействованы в реализации таких процессов».

До сентября следующего года всем компаниям нужно провести внутренний аудит, решить, должны ли они переходить на новые правила IT-безопасности, и завершить первый этап — категорирование объектов КИИ. «Сроки рекомендательные, но тянуть не стоит, потому что ответственность возложена уже сегодня», — советует менеджер по развитию бизнеса «Лаборатории Касперского» Алексей Киселев. В случае успешной хакерской атаки спросят по полной даже тех, «кто не знал о новом законе», и в пиковом случае накажут по уголовной статье. Государственные органы обязаны были провести аудит уже к сентябрю этого года.

Что именно мы должны

Для начала в контролирующий орган передается список критически важной IT-инфраструктуры вашей компании. Орган этот — Федеральная служба по техническому и экспортному контролю — структура, работающая еще со времен СССР и созданная для противодействия иностранным шпионским техникам (ФСТЭК России). Затем компания должна сформировать комиссию, которая распределит уровни потенциальных киберугроз. Исходя из этого, IT-ресурсам присваивается категория значимости от первой до третьей по убыванию. Таким образом, компания берет на себя ответственность перед государством охранять их. ФСТЭК в срок от месяца до года согласует оценки потенциальных угроз и занесет в реестр.

Обеспечить IT-безопасность своих ресурсов — обязанность компании, все расходы она несет сама и определяет их объемы. Затраты разнятся в зависимости от профиля, масштабов и прежнего состояния систем IT-безопасности. Государство выступает в роли координатора, методиста и контролера. Среди основных требований — обеспечить киберзащиту предприятия и подключиться к ГосСОПКА. Это госсистема обнаружения, предупреждения и ликвидации последствий компьютерных атак. Она выявляет слабые места в IT-инфраструктуре и благодаря этому помогает предотвращать кибератаки, а также расследовать их последствия. Создана и контролируется ФСБ России. В компании должен быть фактически создан филиал ГосСОПКА, который обменивается информацией с головной структурой.

«Логика всей концепции государственной кибербезопасности такова, что если компания работает в стратегически важной отрасли, то должна уметь позаботиться о безопасности. Иначе ситуация напоминает коллизию: вы купили грузовик и посадили за руль школьника; а дальше, кто успел из прохожих спрятаться, тому повезло».

А что нам за это будет

В Уголовном кодексе есть статья, которая предусматривает ответственность вплоть до лишения свободы на десять лет. Наказывают не за факт несоблюдения правил кибербезопасности, а за то, что в результате причинен вред компании, ее контрагентам, а значит, стране. Пока по закону персональную ответственность несут сотрудники. Возможно, скоро введут административные штрафы и для юрлиц. Об атаке и ее последствиях узнает ФСБ России, которая через ГосСОПКА контролирует компанию. В случае инцидента корпоративный центр ГосСОПКА первым фиксирует происходящее и дает рекомендации по противодействию. Информация не передается в головную структуру автоматически, решение об этом принимают люди на местах. Если они посчитают, что тревога ложная, то могут не сообщать, но в случае ошибки им придется отвечать. В штатном режиме соблюдение регламентов по IT-безопасности контролирует ФСТЭК России. Она следит, сертифицированы ли программы, компетентны ли сотрудники соответствующего отдела.

«Если информация о киберинциденте не передается, это плохо, потому что ГосСОПКА не вырабатывает вовремя рекомендации для других потенциальных жертв. Если сообщить, то первым делом к вам приедут не с проверкой, а помогут погасить пожар, подключается вся мощь ГосСОПКА вплоть до конкретных экспертов ФСБ. Но потом может последовать внеплановая проверка».

Устранение последствий кибератак обходится гораздо дороже, чем хорошая система IT-безопасности. Лучше всех это понимают банки, потому что в России их атакуют чаще всех. Пытаясь предотвратить реальные финансовые потери, они годами инвестируют в системы IT-безопасности. Более того, еще до введения нового закона они уже отчитывались об этом перед ЦБ. Поэтому для банковского сектора текущие требования по кибербезопасности не стали большим открытием или обременением.

«Проведем аналогию с системой противопожарного тушения. Ее можно не делать, ведь сгорает не более 1% домов. Посчитаем: стоимость дома — 20 млн рублей, потенциальный ущерб — 1%, то есть 200 тысяч. Выгодно вложить 20 тыс. рублей в противопожарную систему и снять этот потенциальный ущерб».