Сохрани и поделись: как частные компании должны обеспечивать государственную кибербезопасность
Сохрани и поделись: как частные компании должны обеспечивать государственную кибербезопасность
Спецпроект
В 2018 году вступил в силу Федеральный закон 187 о безопасности критической информационной инфраструктуры. Его задача выявлять потенциально уязвимые места, предотвращать кибератаки, расследовать их и устранять последствия на стратегически важных (значимых) объектах. Тогда же в структуре ФСБ России был создан оператор программы государственной кибербезопасности.
При этом касается закон не только государственных учреждений, объектов или госкомпаний, но и частного бизнеса. Государство не берет на себя обязанность защитить от кибератак, а лишь будет контролировать и управлять. Сама работа по борьбе с киберпреступностью лежит на компаниях и предприятиях — неважно, частные они или государственные. У частных компаний и компаний госсобственности есть еще год для того, чтобы привести свою систему кибербезопасности в соответствие с требованиями закона и начать отчитываться. Однако еще далеко не все предприниматели в принципе знают, что попадают под действие 187-ФЗ.
Вместе с нашим партнером — «Лабораторией Касперского» — мы рассказываем, почему стратегическая кибербезопасность страны коснется почти всех компаний и даже ИП, а также дадим инструкцию, как безопасно и без лишних затрат встроиться в эту систему.
Что такое ГосСОПКА?
Это Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак. Официально проблемой кибербезопасности в России озадачились только в 2013 году, а в 2014-м начали тестировать ГосСОПКА. Это вынужденные шаги, потому что киберпреступность в России растет давно кратными темпами, а международные киберскандалы сгущают краски. Один из последних — эпидемия трояна WannaCry (программы — вымогателя денег), которая началась в мае 2017 года. За короткое время заражены оказались более 500 тыс. пользователей по всему миру, львиная доля которых в России.
Киберпреступность в России
346 000
новых вирусов фиксируется
ежедневно (данные
Лаборатории Касперского)
в 2 раза
увеличилась доля киберпреступлений в России в общем объеме зарегистрированных преступлений в 2018 году с 2017 по 2018 год
20%
киберпреступлений
расследуется
в 10 раз
увеличилось число киберпреступлений с 2013 по 2016 год
В России в основном атакам подвергаются банки
1–2 банка
успешно атакуют каждый месяц в России
₽140 млн
средний ущерб от одной атаки
₽2,9 млрд
составляет ежегодный ущерб
Источники: ФИНЦерт, Генпрокуратура
Какие компании подпадают под действие закона
Закон охраняет IT-инфраструктуру (информационные системы, сети, автоматизированные системы управления) в 14 сферах, важных для жизни государства, например, обороны, здравоохранения, транспорта и т.п. Цель — защитить от хакеров не только госорганы, но и юридические лица, принадлежащие государству или частному бизнесу, а также ИП, если они владеют или работают с этими важными IT-ресурсами. Эти ресурсы называются — объекты КИИ (критической информационной инфраструктуры). Сбоев не должны давать ни система воздушной обороны страны, ни электростанция, ни банк, ни компания-подрядчик, которая кого-то из них обслуживает. Поэтому под действие закона о кибербезопасности подпадает широкий перечень субъектов разного характера.
14 отраслей, на компании в которых распространяется действие ФЗ-187
- Здравоохранение
- Наука
- Транспорт
- Связь
- Энергетика
- Банковская сфера
- Сферы финансового рынка
- Топливно-энергетический комплекс
- Атомная энергетика
- Оборонная промышленность
- Ракетно-космическая промышленность
- Горнодобывающая промышленность
- Металлургическая промышленность
- Химическая промышленность
Что делать, если вы подпадаете под действие закона
Компания сама должна проанализировать, насколько ее работа важна для отрасли, и определить, сбои каких именно IT-ресурсов будут критичны. Определив масштабы потенциальных угроз, следующий шаг – распределить более и менее значимые из них по категориям объектов КИИ от первой до третьей в порядке убывания. Решает это комиссия внутри компании, и утверждает потом ФСТЭК России (Федеральная служба по техническому и экспортному контролю – структура, созданная давно для противодействия иностранным техническим разведкам). В комиссию можно привлекать экспертов со стороны или обойтись своими силами. Позаботиться об информационной безопасности — обязанность компании. Формально подойти не получится. Закон предусматривает определенные требования к этому вопросу, и просто возложить дополнительные обязанности на обычного сисадмина нельзя. Нужно также подключиться к ГосСОПКА. Расходы на аудит, консалтинг и прочее компания определяет самостоятельно.
Дорожная карта действий компаний
Кто контролирует и за что наказывают
Компания подключается к системе ГосСОПКА, которую контролирует ФСБ России. Она следит за устранением кибератак и их последствиями.
В компании создается корпоративный филиал ГосСОПКА, который первым фиксирует угрозу и предлагает варианты противодействий. Информация должна уходить в головную структуру, но не автоматически, а по решению сотрудников на местах. Если сотрудники компании ошибочно решат, что ничего страшного не произошло и передавать информацию нет смысла, то может последовать дисциплинарная или уголовная ответственность — до десяти лет лишения свободы.
Даже если IT-ресурсы самой компании не пострадали, через ее системы вредоносная программа может заразить контрагентов. Например, через сервис червь проберется в банк. В штатном режиме работу системы кибербезопасности компании через три года проверяет ФСТЭК. После киберинцидента могут нагрянуть с проверкой внепланово.
Взаимодействие органов и субъектов
В случаях, касающихся сетей электросвязи и банковской сферы, разрабатываемые ФСТЭК и ФСБ требования должны согласовываться с Минкомсвязью и ЦБ.
Кто может помочь
Для компаний, которым необходимо подключаться к ГосСОПКА, есть несколько вариантов соответствовать требованиям закона о кибербезопасности: разрабатывать свои программные решения, покупать готовые или отдать этот вопрос полностью на аутсорсинг. Первый и третий варианты не подходят для небольших и небогатых компаний и тех, кто не является экспертом в этой области. Лучше воспользоваться готовыми программными продуктами, но с сертификацией ФСТЭК. Это ПО автоматически собирает информацию об угрозе, а специалист по IT-безопасности уже решает: реальна ли она и что делать? В принципе таких специалистов тоже можно привлекать удаленно, а не держать внутри компании. В любом случае придется потратиться, особенно если раньше эти вопросы не были в приоритете.
Как выбрать программные решения по IT-безопасности
Отдавай предпочтение сертифицированным ФСТЭК продуктам. Это значительно упростит жизнь при проверках
Чем дольше компания работает на рынке, тем больше у нее предложений для защиты от максимального количества угроз
Чем лучше программа, тем больше процессов по сбору и анализу информации она автоматизирует, тем меньше «ручного труда» в случае атаки, а также легче устанавливать.