Путин объявил в стране тотальную реформу кибербезопасности
Президент России Владимир Путин подписал указ о дополнительных мерах по обеспечению информационной безопасности страны. В госструктурах появятся специалисты, на которых возложат персональную ответственность за утечки данных и кибератаки. Также указ запрещает госорганам использовать средства защиты информации, выпущенные в «недружественных» странах.
ИБ-подразделения в каждую госструктуру
Президент России Владимир Путин подписал указ о дополнительных мерах информационной безопасности в стране. Документ появился на официальном интернет-портале правовой информации.
Согласно указу, в каждому ведомстве, учреждении и системообразующих организациях должны появиться подразделения по ИТ-безопасности. Также организации вправе возложить ИБ-функцию на существующие отделы. Речь идет о федеральных и региональных органах исполнительной власти, государственных корпорациях и фондах и стратегических предприятиях, среди которых «юридические лица, являющиеся субъектами критической информационной инфраструктуры» России.
Руководители госорганов и организаций будут нести личную ответственность за информационную безопасность и должны назначить заместителя, который будет отвечать за ее обеспечение. Среди ключевых задач — обнаружение, предупреждение и ликвидация последствий кибератак.
Кроме того, госструктуры должны предоставлять органам ФСБ беспрепятственный доступ, в том числе удаленный, к принадлежащим или используемым ими ресурсам для мониторинга и выполнять их указания по его результатам.
В течение месяца Правительство России выпустит типовое положение о заместителе руководителя, ответственного за ИБ, а также положение об ИБ-подразделении. Также в течение 30 дней появится перечень ключевых госорганов, которые должны будут оценить свой уровень защищенности. Помогут им в этом организации с лицензиями ФСТЭК и ФСБ. Представителям госорганов дадут время до 1 июля 2022 г., чтобы направить отчет об уровне своей защиты в Правительство России.
Никаких «недружественных» антивирусов
Привлекать к работе над защитой информации в госструктурах можно только организации, имеющие лицензии на осуществление деятельности по технической защите конфиденциальной информации. «Котируются» также услуги организаций, которые являются аккредитованными центрами госсистемы обнаружения, предупреждения и ликвидации последствий компьютерных атак. Аккредитацию таких центров в указе предписывается провести ФСБ.
Также, согласно указу, госорганы с 1 января 2025 г. не могут использовать средства защиты информации, произведенные в «недружественных» странах. На переход на «суверенные» программы-антивирусы дается два с половиной года.
Ограничение распространяется и на производителей, которые находятся под юрисдикцией «недружественных» государств, «прямо или косвенно подконтрольны им либо аффилированы с ними».
Напомним, на данный момент в списке недружественных стран 48 государств, среди которых США, Канада, Великобритания, Сингапур, Тайвань, Германия, Франция, Швейцария, Япония и другие.
Больше уязвимостей, больше атак
Ранее эксперты Group-IB сообщили о том, что в России в 2021 г. были обнаружены 5493 незащищенных баз данных, которыми могут воспользоваться киберпреступники. А в середине апреля 2022 г. стало известно, что в сеть утекли электронные письма российского министерства и губернаторской администрации Тверской области.
В конце марта 2022 г. с масштабным взломом столкнулась Росавиация, потерявшая 65 ТБ информации. Хакеры удалили всю почту и документооборот, а резервных копий у ведомства не оказалось. Организации пришлось перейти на бумажный документооборот.
О лавинообразном росте числа компьютерных атак на российские госструктуры и финансовые организации сообщали также в МИД России. Среди жертв кибератак оказались производители энергоресурсов и сельхозпродукции, транспортные компании, органы исполнительной и судебной власти. Антон Кузьмин, руководитель центра мониторинга и реагирования CyberART (группа Innostage) сообщил CNews о том, что «родина» большинства кибератак за последние два месяца – это Украина, США и Германия.