Источник:
Кибератака на АЭС, банк или предприятие химпрома закончится для её организатора несколькими годами тюрьмы и миллионным штрафом
В российское законодательство вводится понятие критической информационной инфраструктуры (КИИ) и ответственность за покушение на эту инфраструктуру. Внесённый Правительством пакет из трёх законопроектов Государственная Дума приняла в третьем чтении на заседании 12 июля. Эти документы особенно актуальны в контексте последних крупных хакерских атак, считает председатель Комитета Государственной Думы по информационной политике, информационным технологиям и связи Леонид Левин.
В конце июня вирус-вымогатель Petya поразил компьютеры предприятий, портовых операторов и правительственных структур Европы, США и Азии. Он начал распространяться с территории Украины, которая больше всего пострадала от кибератаки. В России ей подверглись серверы «Роснефти» и «Башнефти», металлургической компании Evraz. Месяцем ранее схожий вирус WannaCry вывел из строя тысячи серверов по всему миру. По разным оценкам, ущерб от вредоносных программ составляет от 300 миллиардов до 1 триллиона долларов, то есть до 1,4 процента от общемирового ежегодного ВВП, и неуклонно растёт.
За последний год практически каждая российская компания в той или иной мере пострадала от киберинцидентов. Каждый месяц специалисты обнаруживают миллионы новых вариантов вредоносного программного обеспечения.
ФОТО ТАСС
«Необходимо понимать, что нам становятся известны только те случаи, которые придаются огласке благодаря СМИ, — пояснил Леонид Левин. — Согласно экспертным данным, за последний год практически каждая российская компания в той или иной мере пострадала от киберинцидентов. Каждый месяц специалисты обнаруживают миллионы новых вариантов вредоносного программного обеспечения».
Вслед за тем как системы управления технологическими процессами на предприятиях будут активнее интегрироваться в глобальную сеть, усилятся и хакерские угрозы для них. «В этой ситуации необходимо предусмотреть эффективные заслоны для злоумышленников, чтобы пресечь любые попытки получения удалённого доступа к компонентам автоматизированных систем, особенно на объектах, связанных с энергетикой, финансами и другими ключевыми отраслями», — добавил Левин.
Глава думского комитета уверен, что власти не должны стоять в стороне, когда урон от кибератак для российской экономики исчисляется сотнями миллионов долларов. По его мнению, в условиях, когда на рынке не хватает специалистов по кибербезопасности, а компании снижают расходы на эти цели из-за экономических трудностей, именно государству следует обеспечить определённые гарантии в сфере информационной безопасности.
Растущая киберугроза — это реальность сегодняшнего и завтрашнего дня, поэтому очень важно появление термина «критическая информационная инфраструктура», сказал «Парламентской газете» председатель правления Института развития Интернета, советник Президента РФ Герман Клименко. «Это тот редкий случай, когда мы не «бьём по хвостам», потому что уже произошло нечто очень нехорошее, а в спокойном режиме, с возможностью обсудить с индустрией, разрабатываем превентивные меры против киберпреступников», — отметил эксперт.
К объектам критической IT-инфраструктуры законом отнесены информационные системы и телекоммуникационные сети госорганов, автоматизированные системы управления технологическими процессами в оборонной промышленности, в области здравоохранения, транспорта, связи, в кредитно-финансовой сфере, энергетике, а также топливной, атомной, ракетно-космической, горнодобывающей промышленности, металлургии и химпроме.
Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы России (ГосСОПКА) обеспечит сбор и обмен информацией о компьютерных атаках. Система создана Федеральной службой безопасности по поручению Владимира Путина и уже работает, но нормы об обязательном подключении к ней до сих пор не было.
На всех конференциях тема инфобезопасности — ключевая, потому что сегодня тот, кто имеет доступ к данным, обладает серьёзным информационным оружием.
В Уголовный кодекс вносятся поправки об усилении наказания за причинение вреда объектам КИИ. Создателям вирусов, которые заведомо предназначены для неправомерного доступа к ним, будут грозить принудительные работы на срок до пяти лет с ограничением свободы на срок до двух лет либо лишение свободы на срок от двух до пяти лет со штрафом в размере от 600 тысяч до 1 миллиона рублей. А нарушения правил эксплуатации средств хранения, обработки и передачи информации из объектов КИИ или отнесённым к ним автоматизированных сетей управления и сетей связи будут наказываться принудительными работами на срок до пяти лет, либо лишением свободы на срок до шести лет. Если такие деяния повлекли тяжкие последствия или создали угрозу их наступления, то за них накажут лишением свободы на срок до десяти лет.
В результате правок при рассмотрении законопроектов в Госдуме были учтены интересы индустрии и общественных организаций. Например, при нарушении владельцами объектов КИИ правил категорирования их не подвергнут сразу же санкциям, как это было в тексте при первом чтении, а сначала направят требование о необходимости соблюдения положений закона. Собственники или арендаторы подобных объектов должны быть российскими юридическими лицами или индивидуальными предпринимателями. В тех случаях когда обеспечение информационной безопасности будет касаться банковской сферы, к этому процессу привлекут Центробанк.
Глобальная информационная безопасность — задача не отдельных государств, а всего международного сообщества, констатирует директор региональной общественной организации «Центр интернет-технологий» (РОЦИТ) Сергей Гребенников. Он обращает внимание на то, что за регулирование критической информационной инфраструктуры уже взялись в США, Евросоюзе, странах Азии, так что Россия идёт в мировом тренде.
«На всех конференциях тема инфобезопасности — ключевая, потому что сегодня тот, кто имеет доступ к данным, обладает серьёзным информационным оружием, — добавил Гребенников. — Следующим шагом должен стать документ, в котором будет говориться о международной информационной безопасности».
