Импортозамещение настигло критическую инфраструктуру
Вице-премьер Юрий Борисов, курирующий оборонную промышленность, несколько месяцев назад дал поручение подготовить изменения в закон «О безопасности критической информационной инфраструктуры (КИИ)» для поэтапного замещения используемого иностранного оборудования на таких объектах. Это следует из письма замминистра экономики Азера Талыбова, направленного в возглавляемую Борисовым коллегию Военно-промышленной комиссии России, Федеральную службу по техническому и экспортному контролю (ФСТЭК) и Минкомсвязь (копия письма есть у РБК, его подлинность подтвердил федеральный чиновник).
В письме Талыбов указал, что действующее законодательство не позволяет правительству России устанавливать требования об использовании российского программного обеспечения и оборудования на объектах КИИ. Он предложил дополнить закон «О безопасности КИИ» нормой, обязывающей владельцев использовать только российское оборудование и софт, а также запретить иностранным компаниям «обеспечивать взаимодействие» с сетями и информационными системами критической инфраструктуры. График перехода текущих объектов КИИ на использование отечественных разработок предлагается определить дополнительно.
Представитель Минкомсвязи сообщил, что «вопросы замещения иностранного оборудования сейчас прорабатываются ФСТЭК и Минпромторгом России в рамках соответствующего поручения правительства». Использование преимущественно отечественного софта «позволит повысить безопасность и устойчивость функционирования КИИ и поможет российским разработчикам софта нарастить свою долю на рынке госзакупок и закупок компаний с госучастием».
В пресс-службе Минэкономразвития отказались от комментариев, в аппарате Борисова не ответили на запрос к моменту публикации.
Насколько реально воплотить в жизнь предложения замминистра экономики, разбирался РБК.
Что предписывает закон
Закон «О безопасности критической информационной инфраструктуры» вступил в силу 1 января 2018 года. К объектам критической инфраструктуры в нем отнесены сети и информационные системы госорганов, предприятий оборонной промышленности, энергетики, топливной и атомной промышленности, транспорта, кредитно-финансовой сферы и др.
Владельцы критической инфраструктуры должны подключить свои объекты к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), созданной ФСБ по поручению президента, и передавать в нее информацию обо всех инцидентах на объектах. Власти на основе информации от владельцев КИИ должны составить реестр таких объектов: в нем все системы КИИ будут разбиты на три категории в зависимости от того, какой ущерб стране и людям будет нанесен, если эту информационную систему атакуют хакеры. Законом введена уголовная ответственность для сотрудников компаний, управляющих объектами КИИ, за нарушение правил эксплуатации, которое повлечет вред для критической инфраструктуры, а также ужесточено наказание для хакеров, которые решат атаковать объекты КИИ.
Зачем ограничивать доступ иностранцам
В письме Талыбов предложил закрепить в законе положение, что у юридических лиц, обеспечивающих взаимодействие сетей и систем критической инфраструктуры, конечными бенефициарами должны быть граждане России без двойного гражданства. Аналогичные требования будут касаться и индивидуальных предпринимателей, взаимодействующих с объектами КИИ.
«Такой подход позволит снизить уровень доступа со стороны иностранных государств и иностранных граждан при обслуживании и развитии объектов критической информационной инфраструктуры», — считает замминистра экономики.
Заместитель секретаря Совета безопасности России Олег Храмов ранее заявлял, что за 2018 год произошло около 17 тыс. кибератак на критическую инфраструктуру России, а на 7 тыс. объектов были попытки установить вредоносное ПО. Большая часть атак (38%), по его словам, затронула предприятия кредитно-финансовой сферы. Храмов предполагал, что за этими атаками могут стоять США: «Аналитические отчеты известных зарубежных компаний показывают, что основным источником распространения вредоносного программного обеспечения являются интернет-ресурсы на территории США».
Аналогичные тезисы выдвинул замначальника Центра защиты информации и специальной связи ФСБ Николай Мурашов. По его словам, общая доля атак на российские информресурсы с территории США составляет примерно 27%. «Прежде всего преступники нацелены на получение сведений о российских технологиях в оборонной и атомной промышленности, энергетике и ракетостроении, а также информации из госсистем управления. В среднем каждая третья атака приходится на кредитно-финансовую схему», — сообщил Мурашов.
ФСБ и ФСТЭК жаловались, что российские компании, управляющие объектами КИИ, обмениваются информацией о кибератаках на свои системы с иностранными организациями без ведома российских спецслужб, что является нарушением действующих нормативных актов.
Можно ли перевести всех на отечественное
Представители ФСБ и ФСТЭК заявляли, что в России работает около 1 млн объектов критической информационной инфраструктуры, при этом каждый объект состоит из десятков или сотен компьютеров или иных типов устройств, говорит консультант по информационной безопасности Cisco Systems Алексей Лукацкий. Он отмечает, что российские производители не имеют мощностей для замены иностранного ПО и оборудования на таком количестве объектов.
«Пару лет назад во время подготовки подзаконных актов к закону «О безопасности КИИ» власти уже предлагали включить в них норму об использовании на подобных объектах только того софта, который включен в реестр отечественного программного обеспечения Минкомсвязи. Владельцы КИИ высказались категорически против. Одна из причин — ничем не обоснованные затраты. Например, один из банков, входящий в топ-5 в России, оценивал переход на отечественное ПО в 400 млрд руб. Но еще важнее отсутствие российского ПО и оборудования, которое должно прийти на смену иностранному», — рассказывает Лукацкий. РБК направил запросы в топ-5 российских банков.
Похожей точки зрения придерживается Вадим Подольный, замгендиректора завода «Физприбор», который занимается разработкой ИТ-систем для управления технологическими процессами на промышленных предприятиях. «Инициатива, возможно, неплохая, если обязать устанавливать российское оборудование и программное обеспечение на новых объектах КИИ, которые пока только проектируются, либо на этапе модернизации или при планово-предупредительном ремонте действующих объектов КИИ. Но останавливать действующий объект КИИ только ради того, чтобы поменять на нем, например, какие-то импортные контроллеры на российские, экономически невыгодно. Замена целесообразна, если, например, софт или оборудование было скомпрометировано», — считает Подольный.
Он заметил, что есть уникальные иностранные разработки, которые российские производители просто не смогут заменить. «Например, программно-аппаратный комплекс Honeywell APC. Он экономит нефтяным предприятиям по 15–20% на эксплуатации за счет эффективности управления, благодаря чему Honeywell (американская корпорация, разрабатывающая системы автоматизации промышленных объектов. — РБК) занимает существенную долю нефтяного рынка», — рассказывает Подольный.
Алексей Лукацкий отмечает, что «организации, осуществляющие взаимодействие с системами критической инфраструктуры», — это довольно размытый термин из действующего законодательства, который вызывает большое количество вопросов с момента появления закона «О безопасности КИИ». «Под него попадают центры обработки данных, облачные провайдеры и, конечно же, интернет-компании, часть из которых сегодня — это публичные акционерные общества, бенефициарами которых могут являться иностранные граждане и юридические лица. Если трактовать этот термин так, то реализовать предложение по ограничению взаимодействия иностранных компаний с объектами критической инфраструктуры просто невозможно», — пояснил он.