В отношении криптографической защиты каналов связи (ГОСТ VPN) порой можно услышать различные возражения, почему компаниям не нужна такая защита. Формулировки могут различаться, но по сути все они сводятся к нескольким возражениям, которые можно пересчитать по пальцам одной руки. Почему очевидные аргументы против оказываются опасным заблуждением.
- Введение
- Миф 1. Не являемся КИИ или банком — значит, ГОСТ VPN нам не нужен
- Миф 2. Регуляторы не штрафуют за отсутствие криптографической защиты каналов связи
- Миф 3. ГОСТ VPN — слишком дорого, сэкономить не получится
- Миф 4. Сервисная модель ГОСТ VPN дороже on-premise в долгосрочной перспективе
- Миф 5. ГОСТ VPN в сервисной модели не гарантирует конфиденциальность данных
- Выводы
Введение
Сертифицированная криптографическая защита информации при передаче по каналам связи (ГОСТ VPN) — одно из тех направлений кибербезопасности, которые, на первый взгляд, ни в каких обоснованиях востребованности не нуждаются. Есть четкие предписания регуляторов — 149-ФЗ, 152-ФЗ, 187-ФЗ, отраслевые требования, приказы ФСТЭК и ФСБ России, которые компании обязаны соблюдать, если не хотят столкнуться с неприятностями.
Бизнес массово мигрирует в облака, обмен информацией с которыми нуждается в защите, не зависящей от изменчивых политических веяний. И тем не менее на практике мы периодически сталкиваемся с мнениями вроде «криптографическая защита каналов связи не в приоритете для нашей отрасли», «строгость законов компенсируется низкой неотвратимостью наказания», «это очень дорого, и здесь не удастся сэкономить» и т. п.
Поэтому мы собрали пять наиболее частых возражений, которые приходится слышать при обсуждении данной темы, и подробно — со ссылками на конкретные нормы законодательства и с финансовыми расчетами реальных кейсов использования ГОСТ VPN в сервисной и on premise моделях — ответили на них.
Миф 1. Не являемся КИИ или банком — значит, ГОСТ VPN нам не нужен
Поразительно, что о законодательных требованиях в области шифрования каналов связи написаны и разъяснения на сайте регуляторов, и методички, и статьи уважаемых экспертов. И все равно компании из отраслей, находящихся в зоне внимания регуляторов, продолжают утверждать, что вот на них уж точно эти требования не распространяются. Поэтому напомним, есть четкий перечень законодательных актов с разбивкой по отраслям. Рекомендуем их изучить, поскольку незнание законов, как известно, не освобождает от ответственности.
Государственные органы
- Указ Президента России № 334 — «Положение об Управлении Президента Российской Федерации по развитию информационно-коммуникационных технологий и инфраструктуры связи».
- Приказ ФСБ России № 416, ФСТЭК России № 489 от 31.08.2010 «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования».
- Приказ ФСТЭК России от 11.02.2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
Операторы персональных данных
- Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
- Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при обработке в информационных системах персональных данных».
Электроэнергетика
Приказ Минэнерго России от 06.11.2018 № 1015 «Об утверждении Требований в отношении базовых (обязательных) функций и информационной безопасности объектов электроэнергетики при создании и последующей эксплуатации на территории Российской Федерации систем удаленного мониторинга и диагностики энергетического оборудования».
Субъекты критической информационной инфраструктуры
Приказ ФСБ России от 06.05.2019 № 196 «Об утверждении требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты».
Финансовая отрасль
- «ГОСТ Р 57580.1-2017. Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер».
- «Базовый стандарт совершения страховыми организациями операций на финансовом рынке».
- Положение Банка России от 23 декабря 2020 г. N 747-П «О требованиях к защите информации в платежной системе Банка России».
- Указание Банка России № 4859-У, ПАО «Ростелеком» № 01/01/782-18 от 09.07.2018 «О перечне угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации в государственных органах, банках и иных организациях, указанных в абзаце первом части 1 статьи 14.1 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», в единой биометрической системе».
- Постановление Правительства РФ от 03.02.2012 № 79 (ред. от 15.06.2016) «Положение о лицензировании деятельности по технической защите конфиденциальной информации».
Медицина
- Приказ Минздрава России № 911н «Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций».
- «Регламент подключения к защищенной сети передачи данных Единой государственной информационной системы в сфере здравоохранения участников информационного взаимодействия».
Миф 2. Регуляторы не штрафуют за отсутствие криптографической защиты каналов связи
Конечно, криптографическая защита каналов связи — далеко не первый пункт в повестке проверяющих органов, контролирующих выполнение организациями требований законодательства в сфере кибербезопасности. В обычных обстоятельствах Роскомнадзор должен проводить плановые проверки, по которым предусматриваются различные санкции, в некоторых случаях (для объектов КИИ) вплоть до уголовной ответственности.
Подробнее перечень санкций, распространяющихся на организации любых отраслей, можно изучить в КоАП РФ Статье 13.12. Нарушение правил защиты информации и в КоАП РФ Статье 19.5. Отдельно более строгое наказание предусмотрено для компаний финансовой сферы (ст. 74 Федерального закона от 10.07.2002 г. № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)») и объектов КИИ (УК РФ Статья 274.1. Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации).
Однако с 2022 года действует мораторий на плановые проверки бизнеса, введенный Постановлением Правительства РФ от 10.03.22 №336, который был продлен до 2030 года. Этот мораторий ограничивает проведение плановых проверок за исключением случаев, связанных с угрозами жизни и здоровью граждан или безопасности государства. Соответственно, основной фокус регулятора сместился в сторону внеплановых проверок, которые проводятся при выявлении нарушений, жалоб граждан или требований прокуратуры. И вот здесь компании могут ждать сюрпризы.
В свете ужесточения штрафов за утечки персональных данных с 30 мая 2025 года организациям следует готовиться к внеплановым проверкам в случае утечек. При этом кратно возрастут штрафы за действия или бездействия, повлекшие неправомерную передачу или доступ к персональным данным.
Поскольку таких проверок пока не было, сложно со стопроцентной уверенностью утверждать, как будет действовать регулятор. Однако исходя из предшествующей практики видится логичным следующее: если в ходе проверки Роскомнадзора выяснится, что передача персональных данных осуществлялась по незащищенному каналу связи, это может быть квалифицировано как нарушение требований по технической защите персональных данных, даже если утечка произошла не через этот канал.
В результате организацию могут оштрафовать и за факт утечки (теперь минимум на 3 млн рублей), и за отсутствие криптографической защиты канала связи согласно санкциям, предусмотренным при плановых проверках, о которых речь шла выше. Если же утечка и незащищенный канал передачи данных рассматриваются как часть одного нарушения, штраф будет наложен только по одному основанию.
Миф 3. ГОСТ VPN — слишком дорого, сэкономить не получится
Часто приходится слышать: «Задача бизнеса — снять вопросы по поводу защиты информации в каналах связи со стороны регуляторов. В случае с ГОСТ VPN не удастся сэкономить, а бюджеты на ИБ ограничены». Действительно, самостоятельно строить криптографическую защиту каналов связи — затратное занятие. Предположим, бюджета на это у вас нет, а проблема есть: пришел регулятор и выдал предписание устранить нарушения при передаче конфиденциальной информации по каналам связи.
Далее надо показать, что вы работаете над решением этой задачи. В случае с ГОСТ VPN on premise это сделать сложно: вы либо покупаете оборудование для защиты, либо нет. А если к тому же у вас группа компаний, то вам дополнительно необходима лицензия ФСБ на выполнение работ и оказание услуг в области шифрования информации, которую быстро не получить.
В такой ситуации логичным стартовым решением может стать защита одного канал связи по модели подписки, когда вы делите платежи на определенный период, о котором договорились с поставщиком (подробнее о модели речь пойдет ниже). Если составить подробный план поэтапного развертывания защиты каналов с указанием сроков, ответственных лиц и необходимыми подписями, это позволит продемонстрировать регулятору волю к решению проблемы и одновременно сэкономить, двигаясь итерационно.
Миф 4. Сервисная модель ГОСТ VPN дороже on-premise в долгосрочной перспективе
На самом деле это не совсем так. Сервисная модель экономичнее, чем on-premise, почти на 40% в горизонте 3-х лет. Давайте покажем это на реальных расчетах, произведенных для промышленной компании среднего размера со штатом сотрудников порядка 300 человек.
Итак, для компании сделали расчет стоимости защиты двух каналов связи шириной 100 Мбит/с в двух вариантах реализации — сервисной и on-premise. Сервис-провайдер предложил компании криптографическую защиту обоих каналов связи по ГОСТ за ежемесячную плату чуть выше 80 тысяч рублей с учетом возможности использования минимум одного резервного криптошлюза на случай выхода из строя единицы оборудования. Плюс разовый платеж в 100 тысяч рублей за установку двух криптошлюзов в инфраструктуре заказчика. Таким образом, за 3 года оказания сервиса его стоимость для компании составила бы порядка 3 млн рублей, распределенных на ежемесячные весьма скромные платежи.
В случае, если бы компания решила разворачивать и поддерживать защиту самостоятельно в своей инфраструктуре, ее затраты выглядели бы примерно следующим образом. Во-первых, на каждый канал понадобилось бы по одному аппаратному комплексу ориентировочной стоимостью в 215 тыс. рублей каждый плюс минимум один резервный криптошлюз на случай выхода из строя единицы оборудования. Всего — 645 тыс. рублей. Еще в районе 50 тыс. рублей составили бы разовые расходы на мелкое дополнительное оборудование — приемо-передающие модули, патч-корды и т. п.
Во-вторых, крупной разовой статьей расхода на старте стали бы разработка проектной и рабочей документации, а также затраты собственно на внедрение криптозащиты. В перечень таких работ как минимум войдут:
- сбор и анализ данных для подбора решения (интервью с заказчиком, анализ полученной информации и т. п.),
- обследование площадок,
- разработка технического и частного технического заданий,
- технико-рабочее проектирование (пояснительная записка, структурные схемы и проч.),
- разработка схем и рабочей документации,
- подготовка руководства пользователя, инструкций и т. п.,
- разработка и прохождение программы и методики испытаний,
- строительно-монтажные работы,
- пусконаладочные работы.
Итого, на весь комплекс вышеуказанных работ придется потратить порядка 2,5 млн рублей.
В-третьих, в случае с on prem необходимо заложить ежегодные расходы на техническую поддержку СКЗИ от вендора (консультации по установке, настройке и использованию, гарантийный ремонт оборудования и проч.) — порядка 60 тыс. рублей в год (около 180 тыс. рублей на 3 года).
В-четвертых, кто-то должен осуществлять и администрирование оборудования. Возьмем самый минимум, о котором вообще можно вести речь: 1 специалист, который будет тратить 20% своего рабочего времени на обслуживание криптошлюзов, с зарплатой 200 тыс. рублей в месяц. Грубо говоря, на обслуживание криптошлюзов будет приходиться 40 тыс. рублей в месяц из его зарплаты. За 3 года набежит 1 млн 440 тыс. рублей, и это без учета налогов и страховых взносов, выплачиваемых работодателем за сотрудника.
Также стоит учесть, что если компания мультифилиальная (от 10 филиалов и больше), придется нанять уже несколько таких специалистов, которые сначала должны настроить, а потом постоянно обслуживать криптошлюзы на местах. Готовых на рынке почти нет, значит, их необходимо будет обучить. В рассмотренном нами выше случае обучение 1 специалиста, обслуживающего всего два канала, обойдется примерно в 150 тыс рублей на 3 года.
Суммируя все вышеописанные расходы, получаем почти 5 млн рублей.
Миф 5. ГОСТ VPN в сервисной модели не гарантирует конфиденциальность данных
Для обеспечения безопасности каналов связи сервис-провайдер строит систему защиты вокруг них, а не вокруг внутренних систем, к которым осуществляется доступ по этим каналам. Зачастую провайдер даже не знает, что это за системы, сколько их, как организовано разграничение доступа к ним. И никакой информации о внутренних процессах компании для защиты каналов не требуется.
Конечно, в любой технологии могут обнаружиться уязвимости, которые теоретически можно проэксплуатировать. Очевидно, администратору системы проще воспользоваться этими уязвимостями, чем внешнему злоумышленнику. Однако в огромных интересах сервис-провайдера сделать максимум для сведения этого риска к нулю, так как провайдер отвечает перед клиентом в том числе и в первую очередь за безопасность этого сервиса.
Передача любой конфиденциальной информации в любом случае осуществляется только между точками заказчика в защищенном виде без передачи провайдеру. При этом провайдер канала связи и сервиса ГОСТ VPN могут быть разными организациями. В таком случае сервис-провайдер осуществляет лишь защищенную передачу ключей шифрования заказчику и мониторинг здоровья криптошлюзов.
Выводы
Мы обобщили свой опыт и знания по наиболее частым возражениям, с которыми сталкиваемся на встречах с потенциальными пользователями ГОСТ VPN. Материал будет полезен в качестве справочного читателям, у которых возникают схожие вопросы в процессе принятия решения о необходимости использования криптографической защиты каналов связи. Конечно, таких возражений может быть больше, и не охваченным здесь вопросам стоит посвятить отдельную статью.
