За полтора года до истечения предельного срока импортозамещения в ИБ для субъектов КИИ выяснилось, что 21 % из них не успеют перейти на российское ПО. Таковы результаты исследования, проведённого компанией «К2 Кибербезопасность» и Anti-Malware.ru.
- Введение
- Незнание не освобождает от ответственности
- Не «бумажная» безопасность
- Выполнят ли компании требования 187-ФЗ к 2025 году?
- Выводы
Введение
«К2 Кибербезопасность», самостоятельное подразделение российской компании «К2Тех», провело пресс-конференцию, где эксперты обсудили результаты совместного с Anti-Malware.ru исследования готовности субъектов КИИ к исполнению требований законодательства. Главной цифрой можно назвать следующую: 71 % опрошенных представителей российских компаний объявили, что столкнулись с различными сложностями при реализации требований 187-ФЗ. Ознакомиться с полным текстом можно здесь.
Уникальность проведённого исследования состоит в том, что оно позволяет получить достоверную оценку состояния ИБ в связанных с КИИ отраслях. Для её получения авторы выбрали формат глубинных интервью. В них приняли участие 108 руководителей ИТ- и ИБ-подразделений российских компаний и госкорпораций, относящихся в основном к сфере крупного бизнеса: больше половины из них (62 %) имеют годовую выручку в размере более 5 млрд рублей. Исследователи также опросили представителей российских вендоров, занимающихся разработкой аппаратного и программного обеспечения для ИБ. Их было около 10.
В пресс-конференции по итогам исследования приняли участие представители компании «К2 Кибербезопасность» — директор по развитию центра мониторинга кибербезопасности Анастасия Фёдорова и директор по развитию бизнеса Андрей Заикин, — а также директор по ИБ компании «Т Плюс» Татьяна Зайцева и архитектор решений по информационной безопасности Positive Technologies Михаил Кадер. Модератором дискуссии выступил Илья Шабанов, главный редактор Anti-Malware.ru.
Рисунок 1. Пресс-конференция по анонсу результатов исследования
Незнание не освобождает от ответственности
Согласно закону № 187-ФЗ, принадлежность к субъектам КИИ определяется следующими признаками: использование государственных информационных систем, телеком-сетей, АСУ ТП на правах собственности, аренды или ином законном основании, а также принадлежность компании хотя бы к одной из указанных отраслей экономики (рис. 2).
Рисунок 2. Отрасли, охватывающие субъектов КИИ
Несмотря на всю определённость формулировки, многие компании до сих пор не относят себя к субъектам КИИ. Это отмечают ФСТЭК России и представители ИБ-вендоров.
По мнению Анастасии Фёдоровой, организациям часто бывает трудно разобраться в юридическом языке закона. В практике бывали даже такие случаи, когда бизнесу приходилось доказывать, что он обладает объектами КИИ. Кроме того, расхождения в оценке часто возникают из-за масштабов компаний. Руководители многих предприятий малого бизнеса считают, что действие закона № 187-ФЗ распространяется только на крупные и средние компании, а также на государственные органы и учреждения. На самом же деле под его действие подпадают даже индивидуальные предприниматели.
Первый этап исполнения требований закона включает в себя категорирование объектов КИИ. И уже он вызывает множество вопросов, особенно когда затрагивает территориально распределённые компании. Как отметил Андрей Заикин, специалисты «К2 Кибербезопасности» при выполнении работ по категорированию и аудиту часто выясняют, что самостоятельно в компании «насчитали только три объекта КИИ, а по факту их оказалось двадцать три».
Подготовленный специально созданной комиссией документ с перечнем объектов КИИ (а затем и с результатами категорирования) направляется во ФСТЭК России. После этого компания должна разработать систему безопасности, отвечающую определённым требованиям, которая позволит защитить объекты КИИ от кибератак. При этом 24 % респондентов признались, что ещё не понимают, какие решения понадобятся им для реализации требований закона.
ФСТЭК России как надзорный орган в дальнейшем организовывает плановые (каждые три года) и внеплановые проверки на выполнение требований закона силами уполномоченных компаний. Соответствующий процесс уже запущен. Об этом рассказала Анна Христолюбова, эксперт отраслевого центра компетенций по ИБ в промышленности. Она сообщила, что их организация уже имеет список из более чем 1000 компаний, в которых планируется провести проверки на исполнение требований 187-ФЗ в ближайшее время.
Анна Христолюбова также перечислила наиболее распространённые проблемы, с которыми сталкивается проверочная комиссия при изучении отчётов о категорировании.
Рисунок 3. Проблемы отчётов по 187-ФЗ
Не «бумажная» безопасность
Трудность понимания закона стоит на втором месте в рейтинге проблем, с которыми сталкиваются компании при реализации его требований. Её отметили 13 % опрошенных. В два раза больше компаний (27 %) испытывают трудности с подбором, доступностью и зрелостью отечественного ПО и оборудования.
До начала 2022 года в кулуарах ИБ-конференций нередко слышалось, что требования 187-ФЗ можно исполнить «на бумаге»: в отчёте отразить наличие в инфраструктуре российских ИБ-продуктов, а реальную безопасность выстраивать исходя из тех принципов, которые исторически сложились в компании.
Первый квартал 2022 года качественно изменил ситуацию. Многие предприятия почувствовали на собственном опыте возросшее количество кибератак. Согласно усреднённым данным, их стало на 60 % больше по сравнению с предыдущим годом — порядка 290 тыс. за квартал.
Более трети субъектов КИИ столкнулись с киберинцидентами (рис. 4). При этом, по мнению участников пресс-конференции, эта цифра может быть даже занижена, т. к. не все компании готовы делиться такой информацией. Ещё совсем недавно большинство из них считали, что внимание киберпреступников могут привлечь только «самые крупные компании». Теперь они осознали, что требования по безопасности касаются каждого.
Рисунок 4. Инциденты в субъектах КИИ
Ключевое требование, которые все должны исполнить к 1 января 2025 года, — целиком перестроить свои ИБ-системы с учётом полного запрета на использование средств защиты информации, выпущенных в недружественных странах. Авторы исследования выделили наиболее востребованные решения, которые должны быть заменены к обозначенному сроку (рис. 5).
Рисунок 5. Самые популярные ИБ-продукты, замещаемые в субъектах КИИ
«Мы видим существенное изменение подходов регуляторов в направлении практической, результативной кибербезопасности, в том числе и с точки зрения реализации конкретных подходов на предприятиях: начиная от ответственности руководства и заканчивая процессами оценки и подтверждения уровня защищённости», — прокомментировал сложившуюся ситуацию архитектор решений по информационной безопасности Positive Technologies Михаил Кадер.
Об этом же говорят и результаты исследования: сейчас чуть более половины опрошенных (52 %) согласны, что заложенные в закон № 187-ФЗ нормативные требования по КИИ действительно релевантны существующим угрозам. Впрочем, оставшиеся 48 % до сих пор сомневаются (в той или иной степени). Как бы то ни было, возможность обойтись «построением ИБ только на бумаге» уже обратилась в фантом.
«Мы считаем, что в связи с постоянно увеличивающимся количеством атак требования закона выглядят обоснованными. Они направлены на создание не только “бумажной”, но и практической ИБ. Принятие закона и подзаконных актов (в частности, указов № 166 и № 250) позволило заказчикам требовать соблюдения предписаний по ИБ от поставщиков в предлагаемых решениях», — высказала мнение директор по информационной безопасности компании «Т Плюс» Татьяна Зайцева.
Рисунок 6. Нормативная документация по КИИ
Выполнят ли компании требования 187-ФЗ к 2025 году?
Как мы уже упоминали, более 20 % организаций (каждая пятая) фактически признали, что не успеют перейти на российские продукты на своих объектах КИИ к 2025 году. Это — неожиданный результат, если принять во внимание дату появления закона № 187-ФЗ — 26.07.2017. К тому же, необходимость соблюдения сроков была строго обозначена совсем недавно — в Указах Президента РФ № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» от 30.03.2022 и № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» от 01.05.2022.
«Начать системную работу над исполнением требований 187-ФЗ организации во многом побудил Указ Президента РФ № 250, в котором были указаны конкретные ответственные лица», — говорит начальник отдела управления ФСТЭК России по Центральному федеральному округу Валентин Данилушкин. Стоит добавить, что, по словам экспертов, в 2022 году все были заняты, борясь с атаками и выполняя предписания ФСТЭК России.
Трудоёмкость организационного и технологического процесса объясняет, почему на текущий момент только 7 % опрошенных компаний выполнили весь комплекс мероприятий по приведению своей деятельности в соответствие требованиям закона. У большинства этот процесс находится на промежуточной стадии реализации.
Более половины опрошенных утверждают, что не уверены в российских ИБ-решениях. Этот факт не может не огорчать. Причины, конечно, могут быть самыми разными, и хотя их выявление не входило в цели исследования, можно предположить, в чём они заключаются:
- неполный функциональный набор;
- недостаточная совместимость с другими продуктами;
- отсутствие готовой экосистемы решений;
- неполнота документации;
- неотработанная модель поиска и устранения неисправностей и др.
В то же время надо отметить, что российские разработчики ИБ получили сейчас возможность реализовать новые продукты, не оглядываясь на совместимость с историческими (legacy) функциями. По сути, ФСТЭК России сформировала для них рынок, а западные вендоры обозначили задачи и примеры их реализации. У российских ИБ-вендоров есть шанс быстро сделать шаг вперёд.
Выводы
«Несмотря на серьёзные трудности, с которыми сталкивается бизнес, ситуация с обеспечением безопасности КИИ — позитивная. По данным исследования, 90 % субъектов КИИ приступили к реализации требований закона. Речь идёт о десятках тысяч организаций. По нашему опыту, большое количество предприятий всё ещё используют в инфраструктурах значимых объектов зарубежные решения, в том числе средства защиты. При этом мы видим следующий тренд: российские вендоры сейчас получили большой стимул роста в связи с освободившимися продуктовыми нишами, а также поддержку от государства. Компании развивают свои продукты, при этом используют передовые технологии, доступные на рынке», — заявил директор по развитию бизнеса компании «К2 Кибербезопасность» Андрей Заикин.