Представители IT-отрасли: "Рынок информационной безопасности может схлопнуться"

Термин "критическая информационная инфраструктура" (КИИ), предложенный одноименным законопроектом¹, слишком широкий, считает бизнес-консультант по безопасности компании Cisco Systems Алексей Лукацкий. Под объектами КИИ законопроект понимает совокупность информационных систем и информационно-телекоммуникационных сетей госорганов, а также тех систем и сетей, которые функционируют в области здравоохранения, транспорта, связи, энергетики, кредитно-финансовой сфере, оборонной, топливной, атомной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.

То есть, уточнил эксперт, речь идет об объекте, влияние на который может негативно отразиться на национальной безопасности, обороноспособности, социальной составляющей и экономике. А это значит, что войти в число объектов КИИ может подавляющее большинство предприятий. "Рынок IT-безопасности и так замкнутый, а теперь его положение может еще больше ухудшиться, поскольку с принятием законопроекта будут "закручены гайки". Моя оценка этого документа на текущий момент времени, скорее, отрицательная, но исключительно в этой части – сама задача защиты КИИ очень важная и нужная", – признался эксперт на конференции "Код безопасности. Защита от киберугроз в бизнес-пространстве", организованной позавчера ИД "Коммерсантъ".

Нынешняя редакция документа может помешать применению этого закона на практике, согласилась заместитель председателя Комитета Совета Федерации по конституционному законодательству и государственному строительству, председатель временной Комиссии Совета Федерации по развитию информационного общества Людмила Бокова. Она сообщила, что верхняя палата парламента уже подготовила поправки, которые коснутся, в частности, понятия КИИ – предлагается сделать его более конкретным.

Особое опасение представителей IT-отрасли вызывает также тот факт, что сведения о мерах, предпринимаемых для обеспечения безопасности значимых объектов КИИ, в текущей редакции законопроекта отнесены к гостайне.

"Мало того, что разработчики, которые должны разрабатывать средства защиты, должны будут иметь соответствующую лицензию на гостайну, ее должны будут иметь и интеграторы, поставляющие решения и услуги для защиты объекта КИИ. Следовательно, число таких специалистов сразу уменьшится. Более того, все объекты, которые обладают КИИ, должны будут создавать либо "первые отделы" [обеспечивающие режим секретности, – Ред.], либо передавать их на аутсорсинг тем организациям, у которых такие "первые отделы" есть", – поделился Лукацкий.

Напомним, что правительственный законопроект о безопасности КИИ был внесен в Госдуму в декабре 2016 года, а 27 января этого года – принят в первом чтении. Документ устанавливает права и обязанности субъектов указанной инфраструктуры, а также полномочия органов власти в сфере обеспечения ее безопасности и определяет основные термины. За неправомерное воздействие на эту инфраструктуру предлагается также привлекать к уголовной ответственности² в виде лишения свободы на срок до десяти лет.

Подобные законодательные инициативы, включая утвержденную Президентом РФ в декабре минувшего года Доктрину информационной безопасности, убежден Алексей Лукацкий, ведут к падению рынка IT-безопасности. Он напомнил, что в свое время Советом Федерации был подготовлен проект Стратегии кибербезопасности, в котором были продуманы методы стимулирования российских разработчиков, в частности, предоставление им налоговых льгот. Но данный документ так и не вышел на законодательный уровень. А в утвержденной Доктрине предоставление каких-либо преференций для представителей отрасли не предусмотрено.

Документ, напомним, носит общий характер и определяет границы обеспечения информационной безопасности и направления взаимодействия всех структур, в том числе представителей IT-отрасли, в мероприятиях, связанных с обеспечением информационной безопасности.

По словам Людмилы Боковой, на площадке Совета Федерации уже запланировано обсуждение реализации Доктрины, включая выработку предложений по разработке подзаконных нормативных правовых актов во исполнение предусмотренных в документе положений. Не исключено, что один из них как раз может быть связан с развитием отрасли и ее поддержкой, призналась она.

Стоит отметить, что проблема информационной защиты действительно актуальна. По данным президента группы компаний InfoWatch Натальи Касперской, количество утечек персональных данных в 2016 году выросло на 300% – в прошлом году было "потеряно" свыше 3,1 млрд записей. При этом было зафиксировано 44 мегаутечки, при каждой из которых было утрачено свыше 10 млн записей. Для сравнения – в 2015 году их было всего 21. "Это говорит о том, что становится популярнее воровать и использовать огромные базы данных для того, чтобы потом их монетизировать. И бороться с этим довольно сложно", – поделилась эксперт. При этом, по ее словам, доля внешних интернет-атак только растет.

В качестве одной из угроз Алексей Лукацкий назвал также "интернет вещей", когда различные приборы повседневного обихода получают возможность взаимодействовать с пользователями посредством Интернета: "В минувшем году произошел рост числа банальных атак, с которыми сталкивается бизнес и которым не может противодействовать, несмотря на наличие тех или иных технических решений. "Интернет вещей" не оказался готов к пристальному вниманию со стороны злоумышленников – недавно сайт Росгвардии "завалили" как раз такого рода "умные холодильники", атакующие из интернета [речь идет о DdoS-атаках, вызывающих перегрузку на сервере или сайте с помощью большого числа входящих запросов. – Ред.]".