Алексей Лукацкий, бизнес-консультант по безопасности Cisco Systems
МОСКВА, 30 янв - ПРАЙМ. Госдума 24 января приняла в первом чтении законопроект "О безопасности критической информационной инфраструктуры Российской Федерации", включив ко второму чтению рассмотрение новой поправки о введении ограничений для владельцев и пользователей объектов критической информационной инфраструктуры. Ее автор - профильный комитет по информационной политике, информационным технологиям и связи. Согласно заключению комитета, ограничение может коснуться компаний с иностранным участием или аффилированных с иностранными государствами, международными и неправительственными организациями.
Я категорически против данной поправки, так как в современном мире, в условиях глобализации невозможно изолировать все критические инфраструктуры в рамках одной страны. Согласно исследованию центру компетенций НАТО в области кибербезопасности, самыми "безграничными" являются отрасли телекоммуникаций, финансов и энергетики. Можно ли в таких условиях запрещать иностранным компаниям владеть такими объектами? Например, введение такого запрета поставит под вопрос существование в России системы передачи финансовых сообщений SWIFT. В данном случае стоит говорить о контроле и, возможно, дополнительных требованиях, которые были сделаны, например, применительно к платежным системам Visa и MasterCard.
Принятый в первом чтении законопроект также обяжет владельцев "критических" объектов защищать их от кибератак. Другой законопроект предлагает ответственность за кибератаку на такие объекты - до 10 лет тюремного заключения. Если говорить о том, пропорциональна ли предусмотренная ответственность возможным нарушениям, то меня удивило отсутствие среди них наказания за нарушение функционирования критической инфраструктуры, что является гораздо более опасным событием, чем даже неправомерный доступ к такой инфраструктуре. Законопроект определяет несколько преступлений с дифференцированными сроками лишения свободы. В то же время нередко нарушение функционирования может и не сопровождаться доступом к критической инфраструктуре, что позволит преступникам лишиться положенного наказания, но при этом достичь своей цели, - на данный момент ответственность за подобные нарушения в законопроекте не прописана.
Законопроект не обязывает владельцев объектов КИИ защищаться самостоятельно - возможно привлечение и внешних компаний, которые в рамках услуг аутсорсинга будут обеспечивать безопасность критической инфраструктуры. В условиях нехватки персонала, а по существующим оценкам, в России не хватает ежегодно около 50-60 тысяч специалистов по ИБ, аутсорсинг остается единственной альтернативой во многих случаях. Кроме того, законопроект говорит о создании системы раннего оповещения об атаках - ГосСОПКЕ, находящейся в ведении ФСБ, которая и возьмет на себя часть функций по обнаружению и отражению атак на критические инфраструктуры, находящиеся в частной собственности или собственности государства.
Мнение автора может не совпадать с позицией редакции. Любые оценки и прогнозы, высказанные экспертом, являются его собственным мнением.
