За кибератаки на госорганы может грозить до 10 лет
В Госдуме намерены поддержать в первом чтении пакет правительственных инициатив, направленных на обеспечение безопасности информационной инфраструктуры России. Ключевым с точки зрения информационной инфраструктуры для государства компаниям придется оплатить систему защиты от хакерских атак, а самим организаторам кибератак может грозить до 10 лет лишения свободы.
Думские
комитеты по информационной политике и
по безопасности рассмотрят сегодня законопроект правительства
«О безопасности критической
информационной инфраструктуры РФ»,
который разработан в рамках утвержденной
в декабре прошлого года Доктрины информационной
безопасности. Сразу несколько собеседников «Известий» в комитетах заявили, что проект будет рекомендован к принятию в первом чтении.
К критической информационной структуре предлагается отнести информационные системы госорганов, а также автоматизированные системы управления технологическими процессами в оборонной промышленности, в сфере здравоохранения, транспорта, связи, кредитно-финансовой сфере, энергетике, топливной, атомной, ракетно-космической, металлургической, химической, горнодобывающей промышленности.
Первый зампредседателя комитета по безопасности Эрнест Валеев («Единая Россия») заявил «Известиям», что под действие закона подпадают как госструктуры, так и частные предприятия. Законопроект правительства, по словам Валеева, отвечает вызовам времени.
— Мы уже сегодня испытываем компьютерные
атаки на структуры Центробанка, есть
попытки атаковать сайт президента. Но
сейчас законодательно эти проблемы не
урегулированы, — говорит депутат.
Предполагается, что к началу 2018 году будет создан специальный реестр с перечислением объектов критической инфраструктуры. Они будут поделены на три категории по степени значимости для страны: высокую, среднюю и низкую. Правила ранжирования по категориям установит правительство, а ведением реестра займется федеральный орган, который будет определен позднее. В комитете по информполитике не исключают, что им станет Федеральная служба безопасности РФ.
Предприятия, информационную структуру которых сочтут критически важной, смогут по согласованию с
уполномоченным федеральным органом
«за свой счет приобретать и устанавливать
средства государственной системы
обнаружения, предупреждения и ликвидации
последствий компьютерных атак на
информационные ресурсы РФ». Такая
система создана по указу президента от
15 января 2013 года. Кроме того, компании
смогут получать от уполномоченного
органа данные о методах обнаружения и
предупреждения кибератак. Им придется
отчитываться о произошедших атаках,
оказывать содействие уполномоченным
органам в установлении причин «компьютерных
инцидентов», ликвидации их последствий.
Разработчики
проекта считают, что нововведения «существенно
снизят общественно-политические,
финансовые и иные негативные последствия
для РФ в случае проведения против нее
компьютерных атак».
Старший системный аналитик «Лаборатории Касперского» Татьяна Рудина говорит, что это первый детальный обязательный проект в области защиты критической инфраструктуры. Она отмечает практический характер документа.
— До этого в России не
было каких-то законов, обязательных к
исполнению, только рекомендации. Минус — это обратная сторона плюса. Поскольку
это первый документ подобного рода, то
в нем есть, например, очень много
расхождений в формулировках, — говорит
она.
Из
минусов, по словам Рудиной, — неясность
порядка установки на
значимых объектах технических средств
системы обнаружения, предупреждения
и ликвидации последствий компьютерных
атак.
Затраты
компаний и государства
В
финансово-экономическом обосновании к проекту
говорится, что затрат на реализацию проекта из федерального бюджета не
потребуется. Эрнест Валеев объясняет
это тем, что ряд мероприятий, направленных
на информационную безопасность страны,
реализуется и сейчас. Поэтому дополнительных
затрат, например, на создание реестра
объектов критической информационной
инфраструктуры, не нужно.
Однако потратиться предприятиям всё же придется, однако, по мнению Валеева, безопасность важнее затрат.
— На одних весах затраты государственных и коммерческих структур на обеспечение безопасности, а на вторых — жизнь и безопасность граждан и государства. В целом обеспечение безопасности никогда дешевым мероприятием не было. С учетом усложнения технологических процессов, безусловно, решение этих проблем становится всё дороже и дороже, — говорит он, добавляя, что хакерские атаки теоретически могут даже разрушить систему управления атомными реакторами.
— К чему это может привести? К нескольким десяткам Чернобылей? Какая будет цена вопроса? В любом случае, какая бы ни была сумма затрат, это несопоставимо с теми последствиями, которые могут наступить, — полагает Валеев.
Татьяна Рудина также говорит о неизбежности дополнительных затрат на для участников рынка.
— Затрат потребует не только приобретение,
но и интеграция этих средств в систему
критической информационной инфраструктуры,
обеспечение технической возможности
передачи им данных для анализа, а также
эксплуатация и техническое обслуживание, — говорит она.
Компаниям могут
потребоваться дополнительные
квалифицированные сотрудники либо им
придется оплачивать услуги сторонних
организаций для анализа информации,
предоставляемой техническими средствами
и информировании о компьютерных
инцидентах, добавляет эксперт.
Наказание
для хакеров
Правительство намерено ужесточить и ответственность для хакеров, которые
атакуют объекты критической
инфраструктуры. В Уголовном кодексе РФ
появится специальная статья 274.1,
предусматривающая наказание за создание,
распространение вредоносных программ,
заведомо предназначенных для неправомерного
воздействия на критическую информационную
инфраструктуру РФ, а также за неправомерный
доступ к сведениям в ней. Максимальное
наказание по этой статье — до 10 лет лишения свободы, если хакерские атаки, к примеру, привели к тяжким
последствиям или же была угроза их
наступления.
Ранее думский комитет по госстроительству и законодательству рекомендовал депутатам принять в первом чтении соответствующие поправки в УК.
