В 2022 г. были опубликованы указы президента №166 и №250, регулирующие сферу ИБ. Если использование иностранных средств защиты ограничивалось и ранее, то теперь появился ряд новых требований, связанных с организацией и лицензированием ИБ. В частности, новые нормативные акты предписывают возложить на ФСБ аккредитацию центров, оказывающих госучреждениям и бизнесу сервисы ИБ в области противодействия атакам. Кроме того, системообразующим предприятиям и операторам КИИ нужно будет создать ИБ-отделы, если их еще нет, и назначить руководителей, несущих ответственность за организацию защиты. Согласно оценкам экспертов, нововведения коснутся большей части российской экономики. Где брать кадры для этих нужд, неясно, так как даже сейчас наблюдается острый дефицит специалистов в области киберзащиты.
Новые угрозы — новые указы о безопасности
Ответной реакцией на рост числа атак на информационную инфраструктуру в 2022 г. стало несколько новых нормативных актов, регулирующих отрасль и призванных повысить защищенность госсектора и бизнеса. Так, 30 марта 2022 г. вышел указ президента № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры (КИИ) РФ», который предписал запретить операторам объектов КИИ использовать средства защиты иностранного производства за исключением случаев отсутствия соответствующих отечественных аналогов, в этом случае требуется соответствующее обоснование и согласование с ФОИВ. А с 1 января 2025 г. будет введен полный запрет на применение инструментов ИБ, разработанных в недружественных государствах.
Далее, 1 мая 2022 г., вышел еще один президентский указ — № 250 — «О дополнительных мерах по обеспечению информационной безопасности РФ». Среди прочего он также вводит полный запрет на средства ИБ иностранной разработки с 2025 г., однако под действие этого документа подпадают не только органы государственной власти, госкомпании и операторы КИИ, но также стратегические предприятия и так называемые системообразующие организации — крупные компании, которые оказывают существенное влияние на экономику страны (на конец 2020 г. в России насчитывалось 1 392 таких организации, включая частные компании из сферы ритейла, ИТ, строительства и т.п., более свежие данные с тех пор не публиковались).
Кроме того, указ №250 предъявляет структурные требования к организации службы ИБ: во всех компаниях, подпадающих под требования документа, должны быть образованы специализированные подразделения, ответственные за ИБ (если их еще нет). Кроме того, руководство мерами защиты должно быть возложено на одного из заместителей руководителя организации, а личную ответственность за меры ИБ должен нести сам руководитель.
«Кадровая катастрофа»
В Минцифры CNews сообщили, что под действие указа подпадает около 100 тыс. органов и организаций, включая ФОИВы, РОИВы, стратегически важные и системообразующие предприятия.
Кроме того, под действие указа подпадают и компании, являющиеся субъектами критической информационной инфраструктуры. При этом существует неопределенность относительно того, какова численность таких компаний. Вопрос заключается в том, насколько широко трактовать понятие «критической информационной инфраструктуры» (КИИ). На данный момент сами собственники систем определяют, подпадают ли они под определение КИИ, однако, согласно правкам в закон о КИИ, подготовленным в Минцифры, эту обязанность планируется возложить на правительство.
В АНО «Цифровая экономика» считают, что в России насчитывается более 50 тыс. объектов КИИ, однако речь в данном случае идет в основном о так называемых «значимых» объектах, которые подлежат обязательному учету. По оценке проекта iTMan (группа компаний Softline), общее число операторов КИИ может насчитывать сотни тысяч хозяйственных субъектов, а действие указа затрагивает 90-95% экономики России.
«По некоторым оценкам, под действие указа подпадают до 500 тыс. государственных и коммерческих организаций, и если крупный бизнес в большей степени реализовал адекватные меры по защите своих активов, то для сегмента ниже, в том числе СМБ, где функции ИБ не были выделены, требования указа №250 наиболее актуальны», — рассказывали CNews в «Лаборатории Касперского».
При этом собственные ИБ-отделы сейчас отсутствуют даже на некоторых крупных предприятиях. «Если в банках или телеком-компаниях, где бизнес давно и глубоко завязан на цифровых технологиях, по умолчанию есть структурное подразделение, отвечающее за ИБ, то это не так для производственной и машиностроительной отрасли, а также для ряда коммунальных и муниципальных служб. При том, что по характеру деятельности данные отрасли попадают в разряд критичных», — рассказал CNews директор департамента сервисов киберзащиты группы компаний Innostage Алексей Воронцов.
Покрыть потребность большого количества экономических субъектов в кадрах для комплектования новых внутренних ИБ-отделов невозможно, так как уже сейчас на рынке отмечается острая нехватка специалистов. Например, заместитель председателя правления «Сбербанка» Станислав Кузнецов в декабре 2021 г. заявил, что индустрии не хватает по меньшей мере 20 тыс. специалистов по кибербезопасности, а сложившуюся ситуацию он характеризовал как «кадровую катастрофу». А в июле 2022 г. президент InfoWatch Наталья Касперская даже предложила заморозить программы по цифровизации, пока не удастся решить проблему с ИБ-кадрами. По словам директора центра ИБ «Инфосистемы Джет» Андрея Янкина, для отделов, формируемых в соответствии с указом, потребуются «десятки тысяч специалистов»: «Конечно, мы видим дефицит настоящих спецов, непосредственно занимающихся защитой. Это большая проблема — людей нет, зарплаты резко подскочили, что больно бьет по многим компаниям. При этом спрос на ИБ-специалистов стремительно растет: они нужны не только заказчикам, но и интеграторам, и сервисным компаниям. Сейчас на безопасников стали переучиваться разработчики, сетевики, инфраструктурщики, но число ИБ-специалистов все равно ограничено, да и новым ИБ-специалистам еще предстоит набраться опыта и знаний», — говорит он.
«Дефицит ИБ специалистов наблюдается в отрасли довольно давно, и, скорее всего, может усилиться еще, в том числе в связи с геополитической обстановкой», — констатирует Анатолий Сазонов, руководитель направления ИБ компании Infosecurity. По его словам, государство принимает шаги для преодоления кризиса — расширяются образовательные базы университетов и спектр профессиональных стандартов образования в сфере ИБ, актуализируются программы профессиональной переподготовки, однако «говорить о преодолении кадрового дефицита пока еще очень рано».
Провайдеры ИБ-услуг под опекой ФСБ
Если отталкиваться от текста указа №250, то решать проблему дефицита кадров для внутренних ИБ-отделов будут за счет сотрудничества с сервисными провайдерами. Согласно документу, к действиям «по предупреждению, обнаружению и ликвидации последствий атак» разрешено привлекать организации извне, однако только при условии, что они прошли соответствующую аккредитацию ФСБ.
При этом должен быть установлен переходный период, в течение которого вместо аккредитации достаточно будет соглашения о взаимодействии с Национальным координационным центром по компьютерным инцидентам ФСБ (НКЦКИ). Согласно проекту приказа ФСБ, переходный период составит 360 дней, однако на момент подготовки материала приказ еще не вступил в силу. На данный момент в России под эгидой НКЦКИ уже действует система противодействия кибератакам ГосСОПКА, подключение к которой обязательно для всех операторов КИИ — сейчас это несколько тысяч организаций. При этом на базе ГосСОПКА существует несколько десятков центров подключения и обмена информацией об инцидентах (включая межотраслевые центры, например система FinCERT для банковских организаций), а для развития нового отраслевого центра для защиты телекоммуникационных компаний будет выделено ₽900 млн.
Предполагается, что аккредитованным провайдерам ИБ нужно будет подключаться именно к системе ГосСОПКА. Однако в начале сентября стало известно, что ИБ-компании и Минцифры обсуждают возможность создания платформы для обмена информацией о киберинцидентах, которая смогла бы стать альтернативой для ГосСОПКА, которую обвиняют в излишней закрытости. В министерстве официально эту информацию не подтверждают.
Также необходимо отметить, что в указе № 250 не прописано, каким образом будет осуществляться аккредитация центров защиты, и кто сможет претендовать на такую лицензию. В Минцифры CNews сообщили, что разработкой механизма аккредитации занимаются в ФСБ. В ФСБ на запрос CNews не ответили.
«На данный момент уже существуют проекты соответствующих документов, положения об аккредитации и требования. Претендовать на получение аккредитации будут существующие коммерческие центры ГосСОПКА», — поясняет Артем Савчук, заместитель технического директора компании «Перспективный мониторинг» (входит в группу компаний «ИнфоТеКС».
В настоящее время чтобы заключить соглашение с НКЦКИ достаточно предоставить несколько бумаг (приказы, регламенты, положения) и подтвердить наличие трудовых договоров с работниками корпоративного SOC (Security Operation Center, центр реагирования на события ИБ), — объясняет Павел Гончаров, заместитель директора по развитию бизнеса Solar JSOC компании «РТК-Солар»: «При этом реально ли работники выполняют свои функции, и насколько качественно они это делают — подтвердить невозможно. Такой подход не устраивает НКЦКИ, и нам доподлинно известно, что для прохождения аккредитации центру ГосСОПКА нужно будет подтвердить свои практические навыки обнаружения, предупреждения и ликвидации последствий компьютерных атак в условиях, приближенных к реальным», — сообщил эксперт.
При этом необходимо подчеркнуть, что аккредитация ФСБ потребуется только в части сервисов, которые касаются «предупреждения, обнаружения и ликвидации последствий атак». «Согласно действующему законодательству о лицензируемых видах деятельности, предоставление других услуг по обеспечению ИБ лицензирует ФСТЭК России», — заявили в пресс-службе Минцифры.
Для оказания других ИБ-услуг лицензия ФСБ не потребуется, например, в случае, если речь идет о защите персональных данных или конфиденциальной информации, защите от несанкционированного доступа или об услугах по установке, монтажу, наладке, испытаниям или ремонту средств защиты информации, пояснили CNews в «Лаборатории Касперского».
Построение ИБ-вертикали
Указы президента продолжает тренд на усиление государственного регулирования отрасли ИБ. Опрошенные CNews эксперты полагают, что реализация новых требований положительно скажется на защищенности информационной инфраструктуры. В последние месяцы компании столкнулись с большим количеством киберрисков, которые могут привести к приостановке деятельности, это связано как с усложнением ландшафта киберугроз, так и с необходимостью оперативно заменять решения крупных международных вендоров.
Артем Савчук напоминает о том, что персональная ответственность предполагает соответствующие санкции: «Указ мотивирует руководителей организаций и, что важно, не только субъектов КИИ, заниматься информационной безопасностью, так как полномочия означают ответственность. А ответственность за нарушение ИБ у нас в стране предусмотрена и уголовная, и административная».
В целом, указ направлен на повышение уровня кибербезопасности организаций, в том числе за счет повышения уровня зрелости процессов ИБ, построения четкой вертикали управления ИБ-процессами (начиная от генерального директора), выделения отдельного структурного ИБ-подразделения и повышения уровня технологической независимости», — комментирует Анатолий Сазонов.
Таким образом, ключевой задачей на ближайшее время будет замена продукции иностранных вендоров, а в более длительной перспективе — подготовка квалифицированных кадров ИБ, которые смогут реализовать предусмотренные регулятором задачи.
Поделиться
