ФСТЭК России предложила ужесточить наказание за нарушение требований к защите информации, содержащейся в государственных информационных системах и других базах данных, в которых хранятся сведения ограниченного доступа. Соответствующий законопроект внесен в Госдуму РФ.
Атака как результат невыполнения требований
Из пояснительной записки следует, что «с начала специальной военной операции возросло количество компьютерных инцидентов, связанных с несанкционированным доступом к информации ограниченного доступа, а также с нарушением функционирования информационных систем государственных органов и организаций. Анализ причин возникновения компьютерных инцидентов показал, что реализация компьютерных атак нарушителями стала возможной вследствие невыполнения требований о защите информации, установленных нормативными правовыми актами Российской Федерации, в том числе неприменения (нарушения правил применения) средств защиты информации».
Согласно внесенному законопроекту, штрафы могут увеличиться кратно, в некоторых случаях до 25 раз. Тем не менее, речь идет о назначении штрафов от 50 тысяч до 100 тыс. рублей.
Рост числа инцидентов
Число атак на отечественные информресурсы в последнее время стало беспрецедентным.
По словам члена комитета Госдумы по информационной политике, информационным технологиям и связи Антона Немкина, «с началом периода геополитической конфронтации отечественные ресурсы столкнулись с многократным ростом кибератак. Например, по данным «Информзащиты», только в 2022 году количество кибератак на госсектор в России увеличилось в 2–3 раза по сравнению с показателем 2021 года. Более того – целью злоумышленников становятся не только государственные учреждения, но и объекты критической информационной инфраструктуры в целом, которые в 2023 году столкнулись с 65 тыс. попыток несанкционированного доступа».
Реакция ФСТЭК на антирекорды
За такими атаками в большинстве случаев могут стоять хактивисты, которые преследуют даже не коммерческие цели.
«Например, в 2022 году практически каждое событие на геополитической арене сопровождалось усилением давления на российские компании. Как правило, цель таких атак – выведение из строя значимого для страны ресурса. По данным Национального координационного центра по компьютерным инцидентам, ежедневно фиксируется более 170 компьютерных атак на отечественные ресурсы. Думаю, что ждать снижения давления не стоит. В этом году, по данным экспертов, попытки несанкционированного вмешательства только возрастут, нас могут ждать новые анти-рекорды», – считает депутат.
Предложение ФСТЭК – закономерный ответ на сложившуюся ситуацию, отметил парламентарий: «Уже не раз говорилось о том, что мы сами создаем все условия для успешной реализации атак. Далеко не все организации, например, на систематической основе выполняют требования по обновлению программного обеспечения, где-то до сих пор используются несертифицированные средства защиты. Это, конечно, нужно исправлять».