Критическая инфраструктура в критической зоне
Каждая пятая компания, владеющая критической информационной инфраструктурой (к ней относятся сети связи и информационные системы госорганов, финансовых, энергетических, транспортных, медицинских, телекоммуникационных и ряда других компаний), призналась, что не успеет полностью перейти на российское программное обеспечение к 2025 году, как того требует указ президента России от марта 2022-го.
Такой вывод приводится в исследовании «К2 Кибербезопасности» (подразделение компании «К2Тех») и издания Anti-Malware.ru, с которым ознакомился РБК. Авторы исследования в июне—августе этого года опросили 108 руководителей по IT и информационной безопасности российских компаний с выручкой более 5 млрд руб. и госкорпораций в электроэнергетике, медицине, фармацевтике, финансах, транспорте, логистике, металлургии и других отраслях, а также представителей разработчиков аппаратного и программного обеспечения для информационной безопасности.
В 2022 году указ президента России запретил закупать иностранный софт для использования на значимых объектах критической информационной инфраструктуры, а также услуг по его использованию без согласования с уполномоченным органом. Этот же документ запретил использование иностранного софта на подобных объектах с 2025 года. К значимым объектам критической информационной инфраструктуры относятся те, которым присвоена одна из трех категорий. Согласно принятому в 2017 году закону, все владельцы критической информационной инфраструктуры должны присвоить своим объектам одну из трех категорий (например, первая категория присваивается тем объектам, атаки на которые могут нанести наиболее существенный урон) и процесс «идентификации» еще продолжается. За нарушение требований по обеспечению информационной безопасности подобных объектов полагаются штрафы в размере от 10 тыс. до 500 тыс. руб., административная и уголовная ответственность.
Основные выводы исследования:
- к настоящему времени лишь 7% российских компаний завершили переход с иностранного на российское программное обеспечение. Еще 14% находятся на завершающей стадии. У остальных работа находится на начальной или чуть более продвинутой стадии. При этом 10% не приступали к переходу;
- 24% респондентов не понимают, какие решения нужны для выполнения указа, а 31% считает, что отечественные решения неспособны справиться с предъявляемыми требованиями;
- среди наиболее востребованного софта назывались межсетевые экраны (так ответили 54% респондентов), антивирусная защита (33%), сетевое оборудование (29%) и средства криптографической защиты (25%);
- главной проблемой в процессе реализации проектов 27% опрошенных назвали подбор и закупку отечественного софта и оборудования. 14% опрошенных были вынуждены увеличить бюджет на информационную безопасность в десять раз.
Тем не менее директор по развитию бизнеса «К2 Кибербезопасность» Андрей Заикин настаивает, что, несмотря на серьезные трудности, с которыми сталкивается бизнес, большинство опрошенных воспринимают сроки выполнения поставленных государством задач как оптимальные и выполнимые. «Но не стоит забывать, что в контексте критической инфраструктуры речь идет о сотнях тысяч организаций. По нашему опыту, большое количество предприятий для защиты таких учреждений все еще используют зарубежные решения и только часть за полтора года начала процесс импортозамещения», — сказал Заикин.
Выполнимы ли требования
Коммерческий директор «Кода безопасности» Федор Дбар согласен с выводами исследования. По его словам, те заказчики, которые имели довольно высокий уровень зрелости или начали заниматься импортозамещением намного раньше 2022 года, справятся с выполнением требований. Проблемы возникают у той части организаций, которая сильно затянула с решением вопроса. «Отчасти нежелание идти по пути импортозамещения оправдывалось тем, что в России нет идеального софта или оборудования, но из-за этого образовался замкнутый круг: отечественные заказчики не покупают российские продукты в нужных объемах, у вендоров не хватает денег на развитие решений, и эти решения не становятся лучше. С другой стороны, если бы процесс перехода на отечественные продукты начался хотя бы пять-шесть лет назад, то сейчас, к острой фазе противостояния в киберпространстве, вендоры успели бы пройти два-три цикла переработки своих решений по желаниям заказчиков, и те получили бы законченные, рабочие инструменты», — рассуждает Дбар.
Руководитель отдела консалтинга и аудита Angara Security Александр Хонин отметил, что проблемы с выполнением законодательства в области критической информационной инфраструктуры связаны с тем, что многие владельцы подобных объектов не знают о своем статусе и не занимаются присвоением категорий, что является нарушением требований законодательства. По его словам, проблема актуальна и для госорганизаций, и для крупного бизнеса, банковской сферы, ТЭК, атомной, металлургической, химической промышленности, и других отраслей — там, где используется важная информация, требующая защиты от кибератак.
Директор по развитию бизнеса центра противодействия кибератакам компании «Солар» Алексей Павлов среди основных проблем в выполнении требований назвал дефицит бюджетов и кадров, а также тот факт, что зрелость отечественных продуктов в некоторых классах (например, в сетевом оборудовании) пока отстает от иностранных аналогов и не всегда может решить задачи заказчиков. По его мнению, эти проблемы более актуальны для зрелых компаний, которым важен функционал, а малые компании в первую очередь сталкиваются с проблемой кадрового дефицита. «Рынок информационной безопасности перегрет зарплатами, поэтому небольшие организации не способны обеспечить достойный уровень зарплат и разнообразие задач для профильных специалистов», — пояснил Павлов.
По мнению главного архитектора решений по информационной безопасности Positive Technologies Михаила Кадера, основная проблема состоит в том, что многие организации подходят к соблюдению законодательства в области критической информационной инфраструктуры формально: не тестируют механизмы и подходы к безопасности, то есть не обеспечивают реальную защиту, тогда как изменения в законодательстве были направлены на обеспечение практической и результативной кибербезопасности.