— 1 мая был подписан указ президента о дополнительных мерах по обеспечению информационной безопасности Российской Федерации. Почему безопасники считают подписание этого указа уникальным событием?
— Потому что именно этот указ заставляет всех, кто попадает под его действие (а это существенная часть российских организаций), отойти от формальной безопасности и прийти к защите наших персональных данных, информационных систем и объектов критической инфраструктуры по-настоящему.
— Что же здесь является узловым моментом, который невозможно обойти, как и раньше, обозначив меры безопасности на бумаге?
— Ключевой момент – персональная ответственность первого лица компании, — что и прописано в указе. То есть первое лицо нашего государства говорит первым лицам крупнейших органов власти, государственных и других компаний: «Вы лично отвечаете инциденты, которые могут у вас произойти». И этот момент теперь нельзя будет «спустить на тормозах».
Конечно же, дается инструкция, как действовать, чтобы избежать этих инцидентов. В ней как раз и говорится о необходимости создания специализированных подразделений в организациях, которые должны обнаруживать, предупреждать хакерские атаки и противодействовать им, об обязательности постоянного анализа защищенности. А также о том, что при необходимости организации могут привлекать внешние компании для работы над своей защищенностью, ну и конечно об импортозамещении, которое в области информационной безопасности превращается из идеи или концепции в повседневную реальность.
— В ваше министерство звонят первые лица компаний, возмущенные новой ответственностью?
— Да. Уже в праздники, сразу после подписания указа, министру позвонило несколько первых лиц с вопросом: «Неужели это я теперь лично отвечаю за информационную безопасность?» Ответ на это: «Да, это действительно так». Что любопытно, есть и другие звонки.
Указ касается системозначимых предприятий. И если раньше компании хотели попасть в этот список ради набора льгот (например, в области кредитования), то теперь они хотят, наоборот, из этого списка выйти. Так что была и некоторая доля звонков в стиле: «Можно нас убрать из перечня? Мы теперь не хотим в нем быть, потому что мы же теперь должны будем нести ответственность». Однако отмечу – таких звонков были единицы.
— Получается, действительно, информационная безопасность была полностью бумажной, раз такой вал звонков?
— Ну не совсем так. Многие организации как раз профессионально занимаются безопасностью. Вот они остались равнодушными к указу, поскольку занимаются информационной безопасностью на постоянной основе и все его пункты уже исполнены ранее. Если приводить прямо отраслевые примеры, то нельзя не упомянуть банковские организации — у них ничего не поменялось. Да, вопрос импортозамещения, конечно, и перед ними сейчас стоит — но Центробанк давно эту историю контролирует. Или, скажем, отдельные организации в сфере энергетики и топливно-энергетического комплекса тоже весьма серьезно озабочены своей реальной защищенностью.
— Так скольких компаний коснулся этот указ?
— Это сотни тысяч компаний. Конечно же, в этом списке федеральные органы исполнительной власти — там наиболее объемные ГИСы (государственные информационные системы), наибольшее количество персональных данных граждан, процессы, которые используются в управлении страной. Второй большой блок организаций, на которые распространяется действие указа — компании из списка 91-Р (акционерные общества с государственным участием, включенные в специальный перечень) — то есть все крупнейшие госкорпорации и госкомпании.
Ну и третья составляющая общего списка, которую нельзя не отметить — юридические лица с объектами критической инфраструктуры (КИИ). Что важно — в указе применительно к ним нет слова «значимые», а это значит, что даже «незначимые» объекты КИИ должны быть защищены в соответствии с теми ожиданиями, которые формирует указ.
— Например?
— Да даже ломбарды на самом деле сегодня попадают под это. Но подробный ответ на этот вопрос конечно нужно адресовать ФОИВам (Федеральным органам исполнительной власти), отвечающим за свои сегменты отрасли. Каждый из них будет смотреть, что конкретно из того, что находится в его ведении, относится к КИИ.
— Это совсем разные компании. Каким образом понять, что для каждой из них является нарушением?
— Мы стремимся использовать выражение: «недопустимое событие». То есть руководители подразделений должны понимать, что именно для их организации является недопустимым. Например, если ты стратегическое предприятие, то твой специалист по информационной безопасности может вдруг осознать, что, скажем, используемый сотрудниками публичный видеохостинг, а вернее его недоступность, несет опасность или является для компании «недопустимым событием» (потому что атака на него может привести к прекращению работы). Что это значит? Что его надо либо закрыть, либо обезопасить — других вариантов, по сути, нет.
— Каждый оператор персональных данных сейчас является КИИ?
— Нет, не каждый. Например, электронные университеты, которые обрабатывают у себя персональные данные учащихся, сегодня не являются КИИ.
— Руководителей, которые в страхе вам звонили, теперь могут посадить, если вдруг на их «вотчине» случится инцидент?
— Нет. Сажают у нас по статьям, предусмотренных Уголовным кодексом, а в него новых статей не вносилось. Точно такая же история с административной ответственностью. И КоАП, и УК привязаны к нарушению федерального закона. Указ же президента — это как бы шаг «до».
Само подписание говорит о том, что государство теперь очень внимательно следит за информационной безопасностью. Мы со своей стороны также будем особое внимание обращать на тех, кто не озаботится кибербезопасностью на должном уровне, так как такое попустительство чревато нарушением работоспособности компаний, которое может задеть широкий круг граждан.
— Согласитесь, ведь существуют указы президента, которые не исполняются годами?
— Да, существуют. Но здесь вопрос в контроле исполнения и в постоянном внимании к этой задаче. Минцифры обещает это внимание в полной мере.
— В указе сказано про «беспрепятственный доступ должностным лицам, органам Федеральной службы безопасности к информационным ресурсам компании»? Как он будет осуществляться?
— В данном случае необходимо дождаться соответствующего нормативного акта, который в ближайшее время выпустит Федеральная служба безопасности. В нем будут все необходимые пояснения.
— Указ предполагает доклад в правительство Российской Федерации по итогам оценки уровня защищенности. Что он должен содержать? Когда он планируется?
— Уже совсем скоро —1 июля.
В ближайшее время мы определим первичный список компаний, которые должны будут до 1 июля провести работы по оценке уровня защищенности и доложить о результатах в правительство.
Также, в связи с этим, наше министерство в ближайшие дни выпустит рекомендации по проведению оценки уровня защищенности, который будет по факту содержать типовое техническое задание — это должно осязаемо облегчить задачу компаниям, которые должны будут провести такую оценку.
— И что будет в этих рекомендациях?
— Некий алгоритм проверки, который похож на классический пентест (метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника). То есть история, которая в целом для отрасли не нова. В правительство нужно будет предоставить заполненный итоговый отчет (executive summary). В нем описано, когда и кем проводился анализ защищенности, оценка защищенности периметра, список реализованных «плохих» событий.
— То есть сейчас «запентестится» вся страна?
— К сожалению она пентестится и «багбаунтится» (нахождение уязвимостей за вознаграждение «белыми хакерами») всем миром уже 3 месяца, при этом совершенно неуправляемо нами. Сейчас же мы хотим запустить процесс, который будет давать, во-первых, более качественный результат, во-вторых — его можно будет направить в созидательное русло, повышая в конечном счете защищенность наших организаций. И для этого мы хотим привлечь всех специалистов внутри страны.
— Привлекаться к пентестам могут только лицензированные компании или действительно все?
— Перечень организаций, которые могут проводить эту работу, будет выбирать сама организация. Мы не даем список. Но лицензия, конечно, должна быть. Как минимум лицензия ТЗКИ (техническая защита конфиденциальной информации). Ее имеет практически любая компания в сфере информационной безопасности.
— И сколько компаний должны будут отчитаться в Минцифры до 1 июля?
— Перечень будет небольшой. Он не состоит из тысяч. Мы понимаем, что времени немного. И сосредоточимся на ключевых объектах информатизации. Однако всем остальным мы настойчиво рекомендуем запустить аналогичные программы на постоянной основе самостоятельно.
— Будут ли как-то проверяться эти отчеты? Вдруг там можно описать несуществующий пентест?
— Чем крупнее организация, тем меньше шансов, что нам будут врать. Это невыгодно, ведь в какой-то момент случится утечка. Это — инцидент. Сложно представить, что, скажем, условный «Яндекс» скажет: «У меня не утекали никакие данные из «Яндекс.Еды» (справедливости ради, коллеги из «Яндекса» очень оперативно отреагировали и активно вкладываются в свою ИБ). Ведь все это попадает в публичный доступ. И в том числе, отчет злоумышленников о том, каким образом «ломали» тот или иной ресурс — истории такого типа сейчас уже не редкость: злоумышленники стали не просто «брать на себя ответственность за взлом», но и публиковать подробности, подтверждающие успешность их действий.
— Понадобится очень много пентестеров. У нас хватит?
— Это действительно проблема.
В стране мало безопасников, они нужны. Сейчас мы видим это, например, по радикальному росту зарплат. С 24 февраля по некоторым сегментам в информационной безопасности они выросли сразу в 2 раза.
— В указе сказано, что с 2025 года российские компании не должны использовать средства защиты, разработанные в недружественных странах. Но как понять, какая страна будет дружественной или наоборот в будущем?
— Это сложный вопрос. Нас спрашивают: «Можем ли мы точно вот этот конкретный продукт использовать после 2025 года?» Мы говорим: «К сожалению, нет». И мы не просто так это делаем, а потому что прекрасно понимаем, что завтра какая-то страна станет нам недружественной, а организация, которая владеет этими продуктами, и являющаяся резидентом этой страны, за одну секунду превратит хороший продукт практически в «кирпич». С точки зрения вопросов технологической независимости, замена продуктов недружественных стран стоит на первом месте.
— То есть в самое ближайшее время будет выпущено несколько разъяснений указа президента, подписанного 1 мая?
— Да. Правительство до 1 июня выпустит типовые положения: о заместителе руководителя и структурном подразделении. Второе — будет опубликован перечень организаций, которым необходимо до 1 июля провести оценку уровня защищенности. ФСБ определит порядок, в рамках которого они будут осуществлять мониторинг организаций. И четвертое — Минцифры выпустит рекомендации по исполнению 4 пункта указа, и по тому, как отчитываться о выполнении оценки уровня защищенности. Это самые ближайшие планы.