Оценим готовность субъектов КИИ и АСУ ТП к исполнению законодательства 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» на базе совместного исследования, проведенного компанией «К2 Кибербезопасность» и Anti-Malware.ru.
- Введение
- Выполнение требований 187-ФЗ
- Реализация требований 187-ФЗ и что беспокоит бизнес
- 3.1. Текущий прогресс компаний в реализации 187-ФЗ
- 3.2. Оценка сроков
- 3.3. Трудности при реализации
- 3.4. Услуги аутсорсинга
- 3.5. Расходы
- 3.6. Наиболее востребованные ИБ-продукты
- 3.7. Оценка рисков
- 3.8. Отношение к требованиям 187-ФЗ
- Преодоление барьеров и поиск баланса с позиции вендоров
- 4.1. Сертификация
- 4.2. Размытость трактовки ФЗ и нормативной документации
- 4.3. Короткие сроки и оборудование
- 4.4. Коммуникации между бизнесом и поставщиком ИБ
- 4.5. Компетенции и кадровый дефицит
- 4.6. Дефицит оборудования и проблемы совместимости
- 4.7. Актуальные проблемы кибербезопасности
- 4.8. Ожидаемые изменения в законодательстве
- Выводы
Введение
Последние несколько лет киберпространство вырабатывает естественный иммунитет в ответ на самые различные кризисы. Основными триггерами эволюции подхода к процессу обеспечения ИБ, безусловно, послужили пандемия COVID-19 и геополитическая поляризация. Самоизоляция и резкий уход западных вендоров с рынка РФ обнажили ряд проблем и в то же время создали ряд преимуществ для российского сегмента ИБ.
В текущих геополитических реалиях на первый план выходит защита критически важных объектов. Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» № 187-ФЗ вступил в действие 1 января 2018 г.
Прошлогодние указы Президента РФ № 166 и № 250 усиливают, дополняют и расширяют необходимые меры по защите КИИ, а также определяют сроки и ответственность. Всё это заставляет компании и госструктуры фокусировать свои усилия на оперативном исполнении целого ряда законодательных требований.
На базе комплексного исследования «K2 Кибербезопасности» и Anti-Malware.ru соберём целостную картину происходящего сейчас в сфере защиты КИИ. Отметим, какие именно препятствия на пути к цели возникают у компаний, как организации и ведомства реагируют на изменения и ужесточения, выделим компетенции вендоров и сотрудников, затронем вопросы импортозамещения, сертификации, контроля и ответственности за нарушение законодательства.
Исследование проводилось среди 108 представителей 97 российских компаний из ключевых сегментов экономики с выручкой 5 млрд рублей. В исследовании участвовали представители нефтегазовой промышленности, металлургии, электроэнергетики, медицины и др.
Рисунок 1. Вендоры, участвовавшие в исследовании «K2 Кибербезопасности» и Anti-Malware.ru
Первым делом кратко обозначим ключевые шаги для выполнения 187-ФЗ без погружения в детали, чтобы понимать, какой груз ложится на плечи каждой компании.
Выполнение требований 187-ФЗ
Первым делом необходимо понять, является ли организация субъектом КИИ.
Объекты и субъекты КИИ
К объектам КИИ относятся информационные системы (ИС), информационно-телекоммуникационные сети (ИТС), автоматизированные системы управления (АСУ) субъектов КИИ. Сети электропитания подобных объектов — тоже КИИ.
К субъектам КИИ относятся госструктуры — органы, учреждения, ведомства, — а также юридические лица и индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат ИС, ИТС, АСУ, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, ТЭК и т. д.
Перечень субъектов обширен. Для того чтобы понять, является ли организация субъектом КИИ, необходимо проанализировать следующие учредительные документы:
- устав организации,
- выписку из ЕГРЮЛ, содержащую коды ОКВЭД,
- лицензии и сертификаты,
- иные положения и разрешительные документы, где прописаны основные и вспомогательные виды деятельности,
- проектную документацию на ИС, ИТС, АСУ, принадлежащие организации на законном основании (ТЗ, паспорт и т. д.).
Зачастую компаниям требуется профессиональная юридическая поддержка уже на этапе определения: подпадает компания под 187-ФЗ или нет. Специалисты «К2 Кибербезопасности» отмечают, что иногда сталкиваются с обратной ситуацией: компаниям приходится доказывать, что они — субъекты КИИ.
Первые и последующие шаги на пути к выполнению требований 187-ФЗ
Если компания подпадает под действие 187-ФЗ, необходимо составить перечень объектов КИИ и направить его во ФСТЭК России.
Далее, после утверждения перечня объектов КИИ, в течение одного года проводится их категорирование; в дело вступает соответствующая комиссия. Данные о результатах категорирования также отправляются во ФСТЭК России, которая вносит сведения об объекте КИИ в соответствующий реестр.
При наличии значимых объектов КИИ (ЗОКИИ) компании необходимо создать систему безопасности таких объектов и выполнить требования по обеспечению надлежащей защищённости в соответствии с категорией значимости.
Следующий шаг — все субъекты КИИ должны организовать взаимодействие (своими силами или через ведомственный / корпоративный центр) с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА).
Взаимодействие между КИИ и ГосСОПКА преследует цель обмена информацией о кибератаках между субъектами КИИ, а также между уполномоченными органами иностранных государств и другими иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты.
Важно отметить, что срок передачи информации об инцидентах для значимых объектов КИИ в ГосСОПКА — не позднее трёх часов с момента обнаружения, для иных объектов КИИ — не позднее 24 часов. После ликвидации последствий кибератаки субъект отправляет в Национальный координационный центр по компьютерным инцидентам (НКЦКИ) отчёт о результатах проделанной работы в срок не позднее 48 часов после завершения всех мероприятий.
Кроме того, приближается время, когда вступят в силу дополнительные требования.
Дополнительные меры для обеспечения безопасности
В соответствии с указом Президента № 250, с 1 января 2025 года субъектам КИИ запрещается использовать средства защиты информации, странами происхождения которых являются иностранные государства, совершающие недружественные действия в отношении Российской Федерации, российских юридических и физических лиц.
Из дополнительных мер также можно выделить следующее: с 1 января 2025 г. субъектам КИИ, подпадающим под действие закона 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц», запрещается использовать иностранное программное обеспечение на принадлежащих им значимых объектах КИИ.
Получается, что обеспечить защиту критической инфраструктуры — это не финальная точка, до начала 2025 года организациям необходимо перейти строго на российское ПО.
Контроль и ответственность
ФСТЭК России осуществляет контроль за реализацией требований по обеспечению безопасности объектов КИИ путём проведения плановых проверок каждые три года с момента внесения сведений в реестр.
Основанием для внеплановой проверки может послужить выявленное нарушение защиты КИИ, возникновение инцидента в безопасности КИИ или приказ (распоряжение) руководителя ФСТЭК России.
За нарушение требований законодательства в сфере обеспечения безопасности КИИ предусмотрены уголовная ответственность с наказанием в виде лишения свободы на срок до 10 лет или административная ответственность в виде штрафа до 500 тыс. рублей.
Реализация требований 187-ФЗ и что беспокоит бизнес
Обзорный взгляд на 187-ФЗ демонстрирует сложность и запутанность трактовки. В отдельных случаях специфика бизнеса занимает пограничное положение и компаниям никак не определить, являются они субъектами КИИ или нет.
Препятствия возникают уже на старте, когда руководителям подразделений ИБ необходимо обосновать начальству важность проведения огромного комплекса дорогостоящих работ на дистанции от нескольких месяцев до нескольких лет.
Рисунок 2. Доля компаний, приступивших к реализации требований 187-ФЗ
После вступления закона в силу в 2018 году подавляющее большинство компаний приступили к выполнению его требований. Каждая десятая компания, впрочем, ещё только готовится к запуску работ.
Текущий прогресс компаний в реализации 187-ФЗ
Рисунок 3. Распределение прогресса компаний в реализации 187-ФЗ
Только 7 % компаний полностью завершили проекты по созданию системы обеспечения информационной безопасности (СОИБ), удовлетворяющей требованиям 187-ФЗ, более двух третей находятся на стадии старта или на этапе организационной подготовки.
Оценка сроков
Рисунок 4. Оценки компаниями сроков согласно указу № 166
Более половины организаций считают, что обозначенные в указах № 166 и № 250 временные рамки достаточны для того, чтобы реализовать все требования.
В то же время каждая пятая компания признаётся, что не успеет реализовать необходимые меры в срок. Основным препятствием они называют трудности в замене иностранных продуктов на отечественные, что связано как с высокой стоимостью, так и с нехваткой оборудования.
Трудности при реализации
Рисунок 5. Оценка компаниями барьеров при реализации требований
Более 70 % компаний столкнулись с различными сложностями при приведении своей деятельности в соответствие требованиям 187-ФЗ. Основная проблема — подбор и закупка отечественного аппаратного и программного обеспечения, в частности замена инфраструктурного оборудования. Вендоры часто сталкиваются с ситуациями, где заказчик не понимает, с чего именно начинать и какую последовательность шагов осуществить.
В этой ситуации специалисты формируют для заказчика индивидуальный план действий, который может включать в себя обследование и категорирование объектов КИИ, подготовку документов для ФСТЭК России, проектирование и внедрение системы защиты. Это подводит нас к услугам сторонних организаций и проблемам аутсорсинга.
Услуги аутсорсинга
Чаще всего компании самостоятельно занимаются обследованием инфраструктуры и категорированием объектов КИИ. Это связано с тем, что при категорировании подрядчику необходимо передать не только информацию об объектах АСУ ТП, но и экономические показатели, данные о критически важных процессах и т. п., которыми далеко не все компании готовы делиться.
Рисунок 6. Обследование и категорирование объектов в компании
Только каждая пятая компания полностью передала свои задачи по категорированию объектов и подготовке документации на аутсорсинг, остальные разделили ответственность с подрядчиком.
Рисунок 7. Оценка компетенции компаний по категорированию
По мнению респондентов, сторонним специалистам часто не хватает отраслевой компетенции и понимания специфики того, как работает инфраструктура заказчика.
Расходы
Рисунок 8. Бюджеты компаний и расходы на реализацию 187-ФЗ
Сжатые сроки обязательного исполнения закона вынудили компании увеличивать расходы на безопасность. Только каждая пятая из них остаётся в рамках бюджета за счёт того, что заблаговременно озаботилась планированием затрат на реализацию требований.
Почти половина компаний давали общую оценку увеличения расходов, не называя конкретных объёмов.
Недостаточно глубокий аудит приводит к тому, что объём работ оказывается недооценённым и может увеличиваться в силу технических особенностей инфраструктуры, когда невозможно разделить системы с разной категорией значимости. В некоторых компаниях в начале проекта нет полного понимания требований законодательства, что в дальнейшем приводит к росту числа необходимых СЗИ.
Большинство компаний понимают, какие ИБ-продукты им необходимы для реализации 187-ФЗ, и считают, что все продукты представлены на рынке. В то же время более трети не согласны с тезисом о наличии всех необходимых инструментов ИБ на рынке.
Наиболее востребованные ИБ-продукты
Рисунок 9. Наиболее востребованные ИБ-продукты в контексте 187-ФЗ
Заказчики выделили восемь классов продуктов. Наиболее востребованные — межсетевые экраны, сетевое оборудование (базовое инфраструктурное) и системы управления событиями (SIEM).
Почти половина (48 %) доверяют отечественным ИБ-продуктам, но каждая третья компания считает, что российские вендоры не справятся с перечнем предъявляемых требований.
Основными проблемами специалисты считают скудную функциональность по сравнению с импортными продуктами, а также отсутствие отечественных аналогов на рынке в принципе. С другой стороны, рынок российских ИБ-продуктов активно развивается и заполняет освободившиеся ниши, а вендоры всегда отвечают на потребности заказчиков оптимизацией и обогащением функциональных возможностей.
Оценка рисков
Каждый третий из опрошенных субъектов КИИ сталкивался с инцидентами разной степени серьёзности. При этом минимум 35 % инцидентов влекут за собой ущерб, который можно оценить в финансовых потерях.
Простои — наиболее частое последствие киберинцидентов, причиной которых называют в основном перегрузочные атаки (DDoS) и взломы сайтов. Также из последствий отмечаются репутационный ущерб, потеря данных без возможности восстановления и прямой финансовый убыток.
Отношение к требованиям 187-ФЗ
Рисунок 10. Оценка справедливости требований по защите КИИ
Чуть более половины организаций считают, что требования по защите КИИ соответствуют реальным угрозам, а 21 % — что те завышены и только для небольшого количества компаний справедливы.
8 % считают, что требования направлены скорее на «бумажную» безопасность, чем на отработку реальных угроз. Только 1 % компаний отмечает, что требования 187-ФЗ недостаточны.
При этом половина опрошенных сходятся во мнении, что расходы на защиту ниже размеров потенциального ущерба, а четверть — что риски переоценены и защита обходится дороже возможных последствий.
Преодоление барьеров и поиск баланса с позиции вендоров
Для достижения поставленных государством целей необходимо сбалансированное сотрудничество между всеми сторонами: регуляторами, бизнесом и поставщиками ИБ-продуктов. Под действие 187-ФЗ подпадает большой сегмент компаний с пёстрым разнообразием потребностей, поэтому субъекты КИИ формируют собой отдельный рынок.
Для вендоров 187-ФЗ оказался настоящим стимулом роста, так как увеличил спрос на их инструменты. Более того, многие вендоры понимали важность защиты КИИ на этапе утверждения закона и начали разработку дополнительных продуктов с уклоном в организационные задачи: автоматизацию процессов ИБ, взаимодействие с ГосСОПКА, управление средствами ИБ и адаптацию привычных корпоративных инструментов безопасности под специфику промышленных систем.
Отметим, какие именно препятствия видят вендоры на пути к цели и дальнейшему росту.
Сертификация
Предоставленные ФСТЭК России послабления не ускорили процесс сертификации. Проверка продуктов на соответствие требованиям занимает значительное время, потому что испытательные лаборатории физически не справляются с количеством желающих пройти сертификацию.
Размытость трактовки ФЗ и нормативной документации
Область информационной безопасности на сегодняшний день имеет весьма объёмную базу регламентирующих документов и связей между ними. Необходимо погружаться в это и разбираться во всём, требуются высокая квалификация и профильный опыт, чтобы понять, как именно соотносить ФЗ со спецификой конкретного бизнеса. Поэтому компаниям, которые сталкиваются с этим впервые, трудно интерпретировать закон.
С другой стороны, вендоры отмечают гибкость, которая заложена в ФЗ для снижения рисков монополизации. При профессиональном толковании требований можно эффективно сбалансировать количество средств защиты.
В целом, тот аудитор, в портфеле которого собраны проекты по защите КИИ, не испытывает трудностей с проецированием требований на инфраструктуру заказчика.
Короткие сроки и оборудование
Большинство вендоров сходятся в том, что времени до 2025 года достаточно, чтобы обеспечить надлежащий уровень ИБ согласно большинству требований ФЗ.
У многих заказчиков существуют ожидания от отечественных продуктов, сформированные зарубежными вендорами за много лет, но если сконцентрировать внимание на конкретных технических задачах и определить фактические потребности, то львиную долю требований можно закрыть тем, что уже представлено на российском рынке.
Многие поставщики уже перешли на отечественные ОС, но основная проблема заключается в аппаратных платформах. Полностью отказаться от импортной аппаратной части будет крайне трудно, и к 2025 году ситуация, скорее всего, не претерпит изменений. Вендоры ожидают дополнительных действий от регуляторов в этом вопросе.
Коммуникации между бизнесом и поставщиком ИБ
Вендоры отмечают и препятствия в коммуникациях, особенно при работе с промышленными организациями. Зачастую ответственным за реализацию проекта по защите назначается отдел ИТ, у которого осведомлённость об инженерно-промышленной части инфраструктуры низка. Аудит также осложняется тем, что фактическая реализация инфраструктуры отличается от задокументированной.
Решение — привлечение профильных специалистов по АСУ ТП для более эффективного аудита и проектирования. В целом, уровень зрелости промышленных заказчиков в области информационной безопасности значительно вырос за последние годы.
Компетенции и кадровый дефицит
Вендоры последние несколько лет всё чаще отмечают нехватку специалистов в сфере ИБ. Более того, это ощущают вообще все участники рынка.
Заказчик не всегда может предоставить компетентного сотрудника для проведения качественного аудита, а в других случаях часть необходимой информации не предоставляет бизнес, защищая свои ценные данные. Завышенные ожидания в адрес подрядчиков ведут к неудовлетворённости оказанными услугами.
Решить эту проблему вендоры предлагают деликатной открытостью всех участников процесса, а также обменом опытом между исполнителями. Нащупать баланс здесь может помочь регулятор.
Дефицит оборудования и проблемы совместимости
Снижение объёмов поставок в результате санкций и экстренное ускорение импортозамещения привели к тому, что все вендоры сталкиваются с нехваткой оборудования для организаций даже на этапе пилотных внедрений. Актуальная проблема для клиента — необходимо найти оборудование в нужном количестве и по оптимальной стоимости.
Далее организации сталкиваются с трудностями в процессе миграции: инфраструктуры долгие годы выстраивались на импортных продуктах, поэтому возникают проблемы с переносом конфигураций и совместимостью. Оптимизация, миграция, перенос политик и адаптация занимают определённое время у всех участников рынка.
С другой стороны, сейчас производители адаптировали свои продукты к отечественным операционным системам — РЕД ОС, Astra Linux, AlterOS, «ОСнова» и т. д. Среды разработки под системы с открытым исходным кодом полностью решают многие задачи, и вендоры отзываются позитивно об отечественных разработках в области аппаратных платформ.
Актуальные проблемы кибербезопасности
Вендоры также отметили некоторые специфические трудности и возрастающие риски, требующие внимания регуляторов:
- Сопряжение СЗИ разных вендоров. Например, узкоспециализированные промышленные протоколы требуют выпуска отдельных СЗИ, ранее не представленных на рынке. Решение может состоять в развитии единого комплекса средств безопасности взамен точечных средств защиты КИИ.
- Рост кибератак на цепочки поставок. Последствия компрометации КИИ этим видом киберудара могут быть самыми плачевными и иметь каскадный эффект. Среди вариантов решения — организация государственного сервиса по проверке безопасности ПО и СЗИ, а также создание публичного реестра надёжного софта на базе значений хеш-сумм инсталляторов, с которым субъекты КИИ будут сверяться в строгом порядке.
Ожидаемые изменения в законодательстве
Более всего индустрия ИБ ожидает появления единых требований к СЗИ, которые до сих пор не стандартизированы. Не исключено, что такое событие приведёт к серьёзной доработке или полной переработке некоторых ИБ-продуктов, но так или иначе это затронет всех вендоров.
Также беспокойство у поставщиков вызывают законодательные акты по защите персональных данных, требующие оптимизации и доработки в свете многочисленных фактов громких утечек.
Разработчики средств обеспечения ИБ в ближайшее время ожидают финализации перечня типовых объектов КИИ со стороны отраслевых комитетов и индустриальных центров компетенций. Другой предмет ожиданий — разработка проекта прозрачной системы по оценке технологической независимости объектов КИИ со стороны Минцифры. Также надежды возлагаются на существенное расширение перечня организаций, которые подпадают под требования законодательства о безопасности КИИ.
Вендоры предвидят дальнейшее развитие нормативной и методической базы по разработке безопасного программного обеспечения, а также постепенную смену курса в сторону конструктивной информационной безопасности, реализовываемой в том числе на уровне архитектуры и замысла в средствах защиты и других программно-аппаратных комплексах, что отражает концепцию кибериммунных ИБ-продуктов.
Вендоры единогласно подчёркивают важность диалога и обратной связи между всеми участниками, а также значимость обмена информацией для формирования лучших практик в ответ на новые вызовы ближайшего будущего.
Выводы
Результаты исследования «K2 Кибербезопасности» и Anti-Malware.ru отражают положительные тенденции в обеспечении надлежащей защиты КИИ согласно требованиям 187-ФЗ.
Каждая организация, которая подпадает под действие 187-ФЗ, сталкивается с целым комплексом предстоящих работ на разных уровнях: обследование инфраструктуры, взаимодействие со ФСТЭК России, разработка большого количества документации и организационных мер, закупка средств защиты и оборудования, их внедрение и создание СОИБ.
Для успешного достижения цели на первый план выходит взаимопонимание между всеми участниками, так как во множестве процессов задействовано большое количество сторон с различными, зачастую противоречивыми интересами.
После выхода указа № 250 спрос на услуги со стороны субъектов КИИ повысился на 70 % по отношению к аналогичному периоду 2021–2022 годов. «K2 Кибербезопасность» также фиксирует большой спрос на проектирование систем защиты.
Компании мобилизовали ресурсы, чтобы успеть к сроку, примерно представляя себе, к какой категории будут отнесены объекты в их инфраструктурных системах.
В целом, вендоры и заказчики позитивно оценивают установленные регулятором сроки по импортозамещению согласно указам № 166 и № 250, а обострение геополитической поляризации обеспечило импульс для качественного и количественного роста, обнажив как сильные, так и слабые стороны и проблемы, которые последовательно преодолеваются всеми участниками как на рынке КИИ, так и далеко за его пределами.