И в печатной версии журнала Connect, и на сайте мы не раз уже обращались к тематике объектов критической информационной инфраструктуры (КИИ) на территории России. В частности, об этом писал Валерий Коржов в своей статье «Приказы ФСТЭК. Обновление» (www.connect-wit.ru/prikazy-fstek-obnovlenie-br-br-zakanchivaetsya-publichnoe-obsuzhdenie-izmenenij-treh-prikazov-fstek-po-kii.html). Поэтому мы не будем в этой заметке подробно пересказывать предысторию событий, связанных с законодательными инициативами, а коснемся лишь того нового, что появилось по данной теме за последние дни.
Итак, в начале ноября в Интернете появилась информация о письме заместителя министра экономического развития РФ Азера Талыбова, направленного в возглавляемую Юрием Борисовым коллегию Военно-промышленной комиссии России, Федеральную службу по техническому и экспортному контролю (ФСТЭК) и Минкомсвязь. По утверждению РБК, получившего копию этого документа, его подлинность агентству подтвердил анонимный федеральный чиновник.
В этом письме говорилось о том, что вице-премьер Правительства РФ Юрий Борисов, курирующий оборонную промышленность, еще несколько месяцев назад дал поручение подготовить изменения в Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры (КИИ)» для поэтапного замещения используемого иностранного оборудования на объектах КИИ. Кроме того, в письме Азер Талыбов указал, что действующее законодательство не позволяет правительству России устанавливать требования об использовании российского программного обеспечения и оборудования на объектах КИИ. Он предложил дополнить закон «О безопасности КИИ» нормой, обязывающей владельцев использовать только российское оборудование и софт, а также запретить иностранным компаниям «обеспечивать взаимодействие» с сетями и информационными системами критической инфраструктуры. График перехода текущих объектов КИИ на использование российских разработок будет определен дополнительно.
Далее, в письме заместителя министра экономического развития РФ Азера Талыбова было предложено закрепить в законе положение, что у юридических лиц, обеспечивающих взаимодействие сетей и систем критической инфраструктуры, конечными бенефициарами должны быть граждане России без двойного гражданства.
Аналогичные требования будут касаться также и индивидуальных предпринимателей, взаимодействующих с объектами КИИ. «Такой подход позволит снизить уровень доступа со стороны иностранных государств и иностранных граждан при обслуживании и развитии объектов КИИ», – считает Азер Талыбов.
Представитель Минкомсвязи тогда же сообщил, что «вопросы замещения иностранного оборудования сейчас прорабатываются ФСТЭК и Минпромторгом России в рамках соответствующего поручения правительства» (здесь и далее речь цитируется по РБК). Использование преимущественно отечественного софта «позволит повысить безопасность и устойчивость функционирования КИИ и поможет российским разработчикам софта нарастить свою долю на рынке госзакупок и закупок компаний с госучастием».
Представитель Минэкономразвития подтвердил, что по поручению Правительства ведомство действительно участвует в подготовке таких предложений, направленных на повышение требований к безопасности объектов КИИ – критической информационной инфраструктуры России, однако данные требования предлагается распространить только на государственные объекты.
«Актуальность повышения отдельных требований к государственным объектам КИИ – критической информационной инфраструктуры обусловлена участившимися в последнее время попытками внешнего воздействия на эти объекты. Так, например, были случаи принудительного удаленного отключения импортного оборудования на объектах топливно-энергетического комплекса», – подчеркнули в Минэкономразвития.
Представитель министерства отметил, что функционирование государственных объектов критической информационной инфраструктуры «косвенно влияет на развитие отдельных высокотехнологичных отраслей экономики». «Поэтому целесообразно проработать вопрос о повышении устойчивости их работы с учетом возможностей российской промышленности. Например, к таким объектам относят отдельные объекты оборонной и атомной промышленности, энергетики, государственные информационные системы, содержащие различные персональные данные. При этом применение отечественных разработок должно осуществляться гибко с учетом имеющихся возможностей отечественной промышленности», – сообщили в Минэкономразвития.
Как мы знаем, Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры» вступил в силу 1 января 2018 года. К объектам КИИ в нем отнесены сети и информационные системы госорганов, предприятий оборонной промышленности, энергетики, топливной и атомной промышленности, транспорта, кредитно-финансовой сферы и др.
Владельцы критической инфраструктуры должны подключить свои объекты к ГосСОПКА – Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак, созданной ФСБ по поручению президента Владимира Путина, и передавать в нее информацию обо всех инцидентах на объектах.
Власти на основе информации от владельцев КИИ должны будут составить реестр таких объектов: в нем все системы КИИ будут разбиты на три категории – в зависимости от того, какой ущерб стране и людям будет нанесен, если эту информационную систему атакуют хакеры. Законом введена уголовная ответственность для сотрудников компаний, управляющих объектами КИИ, за нарушение правил эксплуатации, которое повлечет вред для критической инфраструктуры, а также ужесточено наказание для хакеров, которые решат атаковать объекты КИИ.
Позиция государственных чиновников по вопросам, связанным с переходом объектов КИИ на отечественный софт и оборудование, известна, так что мы не будем ее здесь пересказывать в очередной раз.
Обратимся к другой точке зрения, высказанной экспертами отрасли. Так, консультант по информационной безопасности Cisco Systems Алексей Лукацкий считает, что российские производители не имеют мощностей для замены иностранного ПО и оборудования на таком количестве объектов КИИ. Схожей точки зрения на проблему придерживается и Вадим Подольный, заместитель гендиректора завода «Физприбор», занимающийся разработкой ИТ-систем для управления технологическими процессами на промышленных предприятиях. Он считает, что останавливать действующий объект КИИ только ради того, чтобы поменять на нем, например, какие-то импортные контроллеры на российские, экономически невыгодно. Замена целесообразна, если, например, софт или оборудование уже было скомпрометировано. Вадим Подольный также полагает, что есть уникальные иностранные разработки, которые российские производители просто не смогут заменить на объектах КИИ.
От себя могут добавить, что на рабочих сессиях VIII Форума «Информационные технологии на службе оборонно-промышленного комплекса», тема перехода на отечественный софт и оборудование подымалась многими докладчиками и в ходе дискуссий с мест. Не претендуя на точность социологического исследования, все же берусь утверждать, что для большей части ИТ-менеджеров предприятий российской оборонки генеральным приоритетом является выполнение госзаказа, а не переход на отечественный софт и оборудование. И если такой переход хоть каким-то образом угрожает выполнению госзаказа, то предприятия не готовы к подобным рискам.
Как мне представляется, схожее отношение может иметь место и у «гражданских» предприятий и организаций, у которых имеются объекты КИИ, так что переход на отечественный софт и оборудование осуществить методом «в приказном порядке» будет не так просто – руководитель предприятия отвечает, прежде всего, за бесперебойную работу своих объектов – за ту самую критическую инфраструктуру (да и названа она «критической» не для «красного словца»), и если для такой работы будет необходимо сохранение в ИТ-системе иностранного оборудования, никто из них не станет искать приключений на свою голову.
В этом вопросе я скорее соглашусь с Вадимом Подольным: имеет смысл устанавливать российское оборудование и программное обеспечение на новых объектах КИИ, которые пока только проектируются, либо на этапе модернизации или при плановом ремонте действующих объектов КИИ.