Алексей Лукацкий: Указ Президента (№ 250 от 01.05.2022) помогает переключиться на реальную защиту

Лавина атак, захлестнувшая отечественные компании начиная с 24 февраля 2022 года, поставила российский бизнес и государственные организации перед жёсткой необходимостью перейти от «бумажной» защиты информации к реально действующей. Указ Президента РФ от 1 мая 2022 года облегчил эту задачу, чётко обозначив направления и сроки перехода. Как повлияет этот Указ на рынок труда и законодательство в сфере ИБ и кто станет его прямым бенефициаром? На эти и другие вопросы в своём интервью ответил Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies.

Как мы знаем, 1 мая 2022 года вышел Указ Президента РФ № 250. Этот Указ взбудоражил всё сообщество ИБ. Чем вызвана столь бурная реакция?

А. Л.: Начну с того, что хотя в этом указе практически не содержится технических требований, он «подсветил», насколько возросла важность сферы ИБ при том количестве атак, которым подверглись российские компании начиная с 24 февраля. У многих из них не было чёткого плана действий. Указ Президента как раз и обеспечил их ключевыми направлениями для работы.

В Указе содержатся три важных момента. Первый — это, безусловно, тема импортозамещения. Она далеко не новая. Однако если не принимать во внимание предыдущий Указ № 166 о запрете использования иностранного ПО у госзаказчиков и на значимых объектах КИИ, то здесь мы впервые увидели официальный запрет на использование средств защиты из недружественных государств.

Второй момент — это дата, к которой должны быть завершены процессы импортозамещения: 1 января 2025 года. Таким образом, организациям дано 2,5 года для того, чтобы его совершить. Это очень небольшой срок для крупных территориально распределённых структур, которые должны выбрать один или несколько продуктов, протестировать, сделать пилотный проект, а затем внедрить СЗИ в промышленную эксплуатацию.

Также надо признать, что по ряду направлений некоторые российские решения уступают своим иностранным аналогам. Перед компаниями на ближайшие два года поставлена достаточно серьёзная задача: на отечественном рынке пока не так много различных игроков.

При этом существуют решения с более ограниченной функциональностью, чем их зарубежные аналоги. Тут можно упомянуть и о производительности, масштабируемости и внедрении в корпоративную инфраструктуру.

Сложнее всего приходится тем вендорам, которые создавали продукты исключительно лишь под требования регуляторов, а не для решения конкретных задач клиентов. В этом плане Positive Technologies имеет преимущество, так как её продукты создавались до появления этих требований и развиваются в соответствии с актуальными угрозами и превентивным решением, в связи с этим, задач заказчиков. Это несколько облегчает работу, хотя здесь тоже есть свои нюансы.

Итак, два важных момента в Указе — это полный переход на импортозамещение и его сроки. Каков третий?

А. Л.: Появляется лицо, на которое возлагается обязанность заниматься вопросами информационной безопасности. В зависимости от типа организации это может быть заместитель генерального директора или иного первого лица, вице-губернатор, вице-мэр, зампред правления.

Раньше такого не было. Генеральный директор всегда формально отвечал за кибербезопасность, как и за всё то, что происходит в компании. Тем не менее Указ впервые чётко потребовал, чтобы департамент информационной безопасности подчинялся непосредственно руководителю организации.

Кроме того, в Указе прописано требование назначить отдельную должность или присвоить функцию управления кибербезопасностью существующему заместителю: вице-президенту по ИТ или директору по безопасности.

Для многих это представляет сложность, тем более что под Указ № 250, согласно статистике ФСТЭК России, подпадают около полумиллиона организаций.

У нас сейчас насчитывается 500 тысяч только субъектов КИИ. К этому нужно прибавить государственные, системообразующие и прочие организации. Таким образом, мы получаем 550–600 тысяч. Действительно, непросто назначить в каждой из них отдельного «зама» и создать отдельное подразделение по информбезопасности.

Если назначить ответственного ещё несложно, то создать подразделение — это уже труднее.

А. Л.: Безусловно, особенно для таких организаций, как, например, районная больница или поликлиника. Руководят ими, условно говоря, главврач и старшая медсестра, и кого-то из этих двух людей нужно назначить на должность заместителя по информационной безопасности.

Скорее всего, это будет именно старшая медсестра, которая, очевидно, не имеет высшего образования в сфере ИБ. По требованиям Минздрава ей и не разрешено иметь это дополнительное образование. Поэтому вряд ли она будет проходить профпереподготовку в объёме 500 часов.

Таким образом, существует множество нюансов в части того, как выполнить эти требования. В связи с этим при Минцифры сейчас создана рабочая группа, которая планирует внесение изменений в Постановление Правительства РФ № 1272, в котором утверждены требования по квалификации и образованию руководителей организаций в области ИБ.

Я надеюсь, что таким образом удастся разделить роли заместителя и сотрудника действительно отвечающего за информбезопасность в организации. Первому достаточно лишь пройти курс повышения квалификации в объёме 40 часов, в то время как лицу действительно ответственному за сферу ИБ необходимо иметь профильное высшее образование либо профессиональную переподготовку в объёме 500 часов.

При таком разделении кто в компании, согласно Указу, несёт реальную ответственность за сферу ИБ?

А. Л.: В любом случае персональная ответственность лежит на руководителе организации, и в Указе прямо об этом говорится. За вопросы ИБ будет отвечать заместитель, и ему нужно понимать, как эта сфера влияет на бизнес-процессы, ИТ и цифровую трансформацию.

Именно поэтому следующая новация — фокус внимания Минцифры на таком понятии, как недопустимые события. Об этом не говорится прямо в Указе, но это следует из подзаконных актов.

Возможно, в будущем терминология изменится, но пока в Постановлении Правительства № 860 в типовом техническом задании на анализ защищённости в рамках Указа № 250 говорится, что организация на уровне топ-менеджмента сама должна определить, какие события являются недопустимыми.

Обычно это три, пять, гораздо реже — семь событий, которые в случае их реализации катастрофически повлияют на бизнес. Например, кража 20 % от оборота компании, экологическая катастрофа или появление в федеральном СМИ политических лозунгов. Другим примером может быть срыв контрактных обязательств, который повлёк за собой колоссальные штрафы.

У каждой организации свои недопустимые события, и она обязана их определить самостоятельно. Для облегчения этой задачи Минцифры сейчас готовит реестр и методику определения недопустимых событий.

Примеры подобных событий можно будет взять оттуда, чтобы руководству компаний не пришлось определять их «с нуля». Если нужной информации не будет в реестре, специальная методика позволит их оформить.

Службы ИБ в организациях должны определить, как эти события могут быть реализованы через инфраструктуру ИТ, будь то кибератаки или киберугрозы, и принять меры, чтобы этого не произошло.

В самом Указе напрямую ничего не говорится о недопустимых событиях, есть лишь указание провести анализ защищённости до определённого срока с последующей оценкой рисков. Таким образом, требование определить недопустимые события — это уже Постановление Правительства?

А. Л.: Совершенно верно. В самом Указе также нет ни слова о высшем образовании или профпереподготовке заместителя по информбезопасности. Это написано в подзаконных актах, и там же содержится информация о недопустимых событиях.

Концепция недопустимых событий призвана помочь организациям не «распыляться» на все задачи и системы, которые у них есть, а сфокусироваться именно на том, что может повлечь за собой негативные последствия. Тем самым, появляется возможность более оптимально использовать существующие ресурсы и направить внимание на самое важное.

Это коррелирует с теми требованиями, которые всегда выдвигались регуляторами. Если взять для примера нормативный акт Банка России, в нём говорится только о ключевых рисках. У ФСТЭК России говорится о том, что необходимо начинать с определения негативных последствий.

Только после того как выделены ключевые риски, можно переходить либо к нейтрализации причин, приводящих к недопустимым событиям, либо к выстраиванию процесса реагирования, если это недопустимое событие будет всё-таки реализовано.

Указ — это не федеральный закон. Возникает вопрос: почему его должны исполнять, например, публичные коммерческие компании? Можно ли сказать, на кого именно распространяются требования, изложенные в Указе?

А. Л.: Действие Указа распространяется на все субъекты КИИ, а это — все системообразующие и государственные организации, а также стратегические предприятия, необходимые для обороноспособности страны.

Если с категорией «госорганы и системообразующие предприятия» вопросов не возникает, то появление субъектов КИИ, конечно, наделало много шума.

Если проследить этапы изменения Указа, то можно прийти к выводу, что изначально была идея распространить его на организации, которые по сути своей непосредственно влияют на экономику страны и имеют важный стратегический статус. Это — те же госорганы, обрабатывающие информацию, владельцем которой является государство. Субъекты же КИИ в него вносить не планировалось, но на какой-то стадии это произошло, а затем Указ был подписан.

Если оставить КИИ за скобками, то наиболее важным новым элементом является список системообразующих организаций. Этот список постоянно растёт. Каково их количество на данный момент?

А. Л.: Есть несколько перечней системообразующих организаций. Например, один из них ведёт Минпромторг. Это около 1200 организаций федерального масштаба. Но, по большому счёту, все эти организации так или иначе попали и в перечень субъектов КИИ.

Исключения составляют компании в сфере розничной торговли. Они не входят в список КИИ, но входят в перечень системообразующих предприятий.

Отдельные списки составляются на уровне субъектов федерации. У каждого губернатора есть свой список организаций, которые значимы для обеспечения жизнедеятельности региона.

Эти перечни могут быть как открытыми, так и закрытыми. Каждое предприятие должно знать, является ли оно системообразующим. Обычно это не вызывает вопросов у самих организаций. Но вот составить такой список «со стороны» — задача непростая.

Получают ли сами предприятия оповещения о том, что они попали в список региональных системообразующих организаций? Если список Минпромторга можно найти на сайте, то как узнать, например, о том, что правительство Московской области включило твою компанию в этот перечень?

А. Л.: Существует известная поговорка о том, что незнание законов не освобождает от их исполнения. Мы должны сами следить за законодательством и оценивать то, насколько оно применимо к нам.

Например, как было в своё время с законом о персональных данных? Его приняли в 2006 году, а узнали все про него только в 2008-м, когда ФСТЭК России приняла требование по защите персональных данных.

До сих пор есть организации, которые не считают себя субъектами КИИ просто потому, что они не читали, что написано в законе.

При этом они таковыми являются.

Так же и с Указом № 250: он есть и он является обязательным, как любой нормативно-правовой акт, тем более подписанный Президентом. По своей юридической силе он равен федеральному закону.

Здесь возникает лишь вопрос о надзоре. Когда в документе не говорится ясно, кто именно осуществляет надзор за его выполнением, то получается, что какие-то требования выглядят необязательными для выполнения.

Но у нас есть прокуратура, ФСТЭК и ФСБ России, Минцифры и другие регуляторы, которые выпускали требования. Так, если мы прочитаем Указ, то там написано, что организации должны незамедлительно выполнять требования ФСТЭК и ФСБ России.

Невыполнение этих требований предполагает ряд видов наказания. Это может быть административная ответственность — статья 13.12 КОАП РФ, либо статья 13.12.1, если речь идёт о субъектах КИИ.

Если невыполнение требований по защите повлекло за собой, например, нарушение тайны переписки, или утечку банковской, налоговой или коммерческой тайны, применяются отдельные статьи Уголовного кодекса. Так, в случае нарушения правил эксплуатации критической информационной инфраструктуры применяется уже статья 274.1 УК РФ.

Таким образом, при кажущемся неочевидном статусе Указа и отсутствии явного регулятора в этой сфере мы понимаем, что к нарушителям могут быть применены существующие нормы административного и уголовного законодательства, если такая задача будет поставлена.

Можно говорить о том, что массовых проверок не будет, как это произошло в случаях и с КИИ, и с персональными данными, и с национальной платёжной системой. Скорее всего, проверки будут носить некий плановый характер и измеряться сотнями в год, не больше.

Но сказать, что кто-то застрахован от такой проверки, нельзя.

При этом не нужно забывать о том, что крупные системообразующие организации, госкорпорации, госкомпании и министерства рапортуют о выполнении Указа № 250 вице-премьеру. Таким образом, на уровне правительства есть чёткое понимание того, исполняют ли крупные организации требования Указа.

В случае их невыполнения первое лицо государства имеет право принять определённое управленческое решение в отношении руководства организации. Для руководителей это гораздо опаснее, чем штраф со стороны ФСТЭК или ФСБ России.

Можно ли сказать, что главное отличие этого законодательного акта от того же ФЗ-187 или ФЗ-152 — в том, что ответственность выражается не в штрафах или возможном уголовном преследовании, а в мерах дисциплинарного воздействия?

А. Л.: Да, для чиновников существенным является то, что глава государства подвергнет их наказанию за неисполнение указа.

Как обстоит ситуация с коммерческими предприятиями, которые попали в список системообразующих? Возможно ли такое, что кто-то из них вообще не попал в списки? Есть ли компании, которые могут быть уверены, что их этот Указ не коснётся?

А. Л.: В Указе нет ничего «сверхъестественного». Да, есть требование о роли заместителя по информационной безопасности, но оно решаемо.

Если же говорить об импортозамещении, то данный курс был взят уже давно. Самое главное, что сейчас, с уходом иностранных компаний, их оборудование и купить-то уже нельзя. Поэтому альтернатив нет. Даже если бы не было официального запрета, приобрести что-либо кроме отечественных решений невозможно.

Что касается требований регуляторов, опять же, они существуют не первый год. Их нужно выполнять, и за их неисполнение предусмотрена ответственность.

Поэтому Указ всего лишь «подсветил» проблему и указал, что безопасностью должны заниматься первые лица компании.

Если в нём и есть что-то новое, то это смещение фокуса внимания на недопустимые события: вместо того чтобы делать всё, нужно сфокусироваться на главном.

Ещё один важный вывод, который следует уже не из самого Указа, а из «подзаконников», — это то, что безопасность должна быть результативной и практически ориентированной. Другими словами, нужно не просто выполнять требования регуляторов, чтобы в случае проверки избежать наказания. Нужно ещё регулярно проверять, насколько система действительно безопасна.

Там говорится и о необходимости проведения киберучений, и о проверке возможностей нарушителей, и о практической проверке и непрерывности, связанной с выявлением уязвимостей и угроз, и о Threat Intelligence, и об обучении персонала.

Всё это прописано в подзаконных актах и лишний раз напоминает нам о том, что безопасность «на бумаге» — это хорошо, но она должна работать. Если нас «хакнули» — нас накажут, независимо от того, правильно мы всё сделали или нет.

Поэтому так важно заниматься киберучениями, пентестами и редтимингом, а также использовать программу Bug Bounty. Сейчас Минцифры говорит о своих планах распространить такую программу на «Госуслуги», а в перспективе — и на другие государственные информационные системы, субъекты КИИ.

Иначе говоря, растёт понимание того, что время «бумажной» ИБ прошло. Заниматься нужно именно практической ИБ, чтобы злоумышленники не могли реализовать недопустимые события. Хакеры могут взломать практически всё. Организации же нужно защитить то, что критически важно для неё.

Возможно, данный Указ вызвал столь большой резонанс ещё и потому, что немногие законодательные акты имеют такое прямое конкретное действие. Большинство предприятий, которые раньше не подпадали под определение КИИ, этим указом, по сути, подгоняются под те же самые требования по защите. Корректно ли говорить о том, что с выходом этого Указа у нас происходит своеобразная «КИИфикация» российской экономики?

А. Л.: Здесь надо отметить, что принятие Указа стало следствием многочисленных и, к сожалению, результативных атак.

Представим себе ситуацию, что на одном из закрытых совещаний прозвучал бы доклад о том, что происходит в данный момент в сфере кибербезопасности. Президент поинтересовался, в чём причина, а в ответ услышал бы про соответствие всем требованиям регуляторов. Президент мог на это сказать, что раз так, то вот вам конкретные требования, которые вы должны реализовать практически. И назначил ответственных.

И поскольку глава государства может сам принять данный Указ, его не нужно троекратно проводить через Думу и через Совет Федерации. Поэтому документ был быстро и написан, и принят.

Да, у Указа есть определённые шероховатости в формулировках и толкованиях, но в целом он действительно направлен на то, чтобы перефокусироваться именно на реальную безопасность. В этом — его основной посыл и отличие от всего того, что делалось раньше.

Говоря о непосредственном влиянии Указа на российский рынок ИБ: какие сегменты рынка получат дополнительный стимул роста и можно ли назвать кого-то прямым бенефициаром этого документа?

А. Л.: Если не фокусироваться на общих словах о том, что бенефициаром станет каждая компания, которая повысит уровень своей безопасности, то явного субъекта у документа нет. Там нет прямого призыва использовать антивирусы или SIEM, сканеры безопасности и пентесты, удовлетворяющие конкретным условиям.

Поэтому с точки зрения российских компаний в сфере ИБ бенефициарами являются все. В условиях запрета применения иностранных решений выиграть от такого требования должны все российские игроки, которые предлагают решения и готовы удовлетворять требования заказчиков.

С другой стороны, там в явном виде выдвигаются требования к лицензированию услуг, например, по анализу защищённости и аккредитации центров ГосСОПКА. Можно ли здесь говорить о каком-то — возможно, ожидаемом — переделе?

А. Л.: Оценка уровня защищённости всегда была лицензируемым видом деятельности. Эти лицензии выдаёт ФСТЭК России. Передела не будет: в России немного игроков, которые занимаются практическим анализом, а не «бумажным». У них есть квалифицированные команды, которые взламывают сети и показывают, как это могут сделать реальные злоумышленники.

Что касается аккредитации центров ГосСОПКА, здесь тоже ничего не меняется, потому что аккредитация от НКЦКИ существовала и раньше. Так, какой-либо коммерческий или ведомственный центр, не подписав соглашения с НКЦКИ, не мог передавать данные в ГосСОПКА.

Сейчас эта форма подписания соглашения становится более публичной и официальной. Хотя многие компании, более 20 центров ГосСОПКА и коммерческих SOC, уже заявляли о том, что у них есть соглашения с НКЦКИ и ФСБ России.

Возможно, назрела необходимость разработать процедуру и нормативный акт, в котором будет публично написано, что должны сделать центры ГосСОПКА, если они хотят получить этот статус.

ФСБ России должна будет сделать более доступными свои непубличные «методички» и требования к центрам ГосСОПКА. Должен быть опубликован приказ ФСБ России, после чего те же самые центры, которые сейчас имеют с ней соглашения, переподпишут их по новой процедуре.

Другой важный момент — влияние на рынок труда. Ответственность повышена, должны быть назначены заместители генерального директора, отвечающие за безопасность. Их нужно где-то взять и обучить. Как это отразится на рынке труда именно в сфере кибербезопасности? Были такие оценки, что этот Указ значительно повлияет на уровень зарплат специалистов и менеджеров по информационной безопасности. Так ли это?

А. Л.: В Указе есть требования по безопасности, но новых почти нет. Поэтому и рассчитывать на изменение оплаты труда, на мой взгляд, не стоит.

Рассчитывать, скорее, можно на официальную отсрочку от мобилизации для специалистов по информационной защите. Именно специалистов, работающих в компаниях в ИБ-подразделениях.

В данном случае рынок труда не вырос. Потребность осталась прежней, так как не увеличилось число субъектов. КИИ, системообразующие предприятия, госорганизации и так были под требованиями о защите информации.

Гораздо большее влияние на рынок может оказать закон «О защите персональных данных» с поправками об обязательном уведомлении об инцидентах с персональными данными, требующий обязательного подключения к ГосСОПКА.

Если по закону о КИИ подключиться должны были 500 тысяч организаций, то по закону о персональных данных это должна будет сделать каждая организация, то есть 7 миллионов юрлиц и индивидуальных предпринимателей. Это, конечно, колоссальная нагрузка на НКЦКИ.

Все происходящие изменения, такие как уход в сторону непрерывного мониторинга и анализа защищённости, ставят перед организациями дилемму.

Они не смогут нанять специалистов, даже если и хотели бы. Причина — в нехватке кадров. Остаётся обращаться к услугам сервисных компаний, т. е. к аутсорсингу. Здесь будет расти роль именно сервисной модели в области ИБ. И зарплаты аутсорсинговых специалистов в этой сфере как раз могут возрасти, потому что за них на рынке будет конкуренция.

Даже если вузы оперативно начнут готовить ИБ-специалистов, то первые выпускники появятся только через пять лет, а по программе «бакалавриат и магистратура» — через шесть. Острая нехватка квалифицированных специалистов будет восполняться за счёт аутсорсинга или с внедрением новых технологий.

Неудивительно, что сейчас многие компании переключились на полную автоматизацию деятельности специалистов по информационной безопасности. Если раньше было мнение, что это невозможно, то сейчас, например, компания Google в начале года анонсировала концепт автономного SOC. Не просто автоматизированного, а автономного, который работает без человека.

Есть и другие примеры. Компания Palo Alto анонсировала новый продукт SIAM, который осуществляет полностью автоматическое обнаружение и реагирование. Positive Technologies выпустила решение MaxPatrol О2, которое, в сущности, делает то же самое.

Итак, там, где не хватает людей — а их катастрофически не хватает, — мы будем вынуждены либо уходить в сервисную модель, либо заменять человека роботом в области ИБ. Компании будут выбирать, по какому из двух путей им идти. Скорее всего, придётся совмещать. Но другого решения нет, не получится так быстро найти столько ИБ-специалистов.

В этом контексте возрастает роль института виртуального CISO, когда роль руководителя департамента ИБ передаётся на аутсорсинг и в компании появляется внешний дорогостоящий консультант для управления ИБ-процессами. Многие компании не смогут иметь отдельный департамент и специалиста по информационной безопасности. Для них услуги аутсорсинга — это единственный выход.

У нас в ходе разговора определились бенефициары. Это — сервисные компании, то есть те, кто занимается инвестициями в область автоматизации. Они в перспективе и должны получить преимущество. Трудно поверить, что всего лишь год назад отрицалась сама идея автоматизации процессов ИБ.

А. Л.: Мы не всегда задумываемся о том, на каком уровне находятся эти процессы в данный момент. Если взять антивирус, это — яркий пример того, как программа полностью автоматически принимает решение о вредоносности и сама же блокирует угрозу. Так же функционируют IDS. Сканеры и SIEM делают то же самое по заранее описанной цепочке событий.

Со времён антивируса от Dr. Solomon, когда он только появился в 1988 году, уже стало ясно, что всё идёт в сторону полной автоматизации. Сейчас мы воочию наблюдаем тому подтверждение.

После выхода Указа ожидалось, что он даст импульс дальнейшему развитию законодательства, в том числе принятию новых федеральных законов. Есть ли у вас прогнозы в этом отношении на ближайшие полгода-год?

А. Л.: Прежде всего, уже есть ряд документов с ограниченным распространением, причём достаточно высокого уровня.

Как уже говорилось, Минцифры сейчас готовит реестр недопустимых событий и разрабатывает методику их определения.

К этому стоит добавить новую методику оценки угроз от ФСТЭК России, которая должна быть синхронизирована с недопустимыми событиями, а также документы ФСБ России в части аккредитации центров ГосСОПКА. Не стоит забывать и об оборотных штрафах за утечки персональных данных.

Кроме того, сейчас появляются отраслевые центры по кибербезопасности. Например, центр при Минпромторге. Новое подразделение было создано также в МВД, в Минцифры и при ФСИН.

Соответственно, будут появляться и свои нормативные документы, «преломляющие» общие требования ФСТЭК и ФСБ России на сферу конкретной отрасли.

Это — то, что лежит на поверхности.

На самом же деле, очень быстрое изменение ландшафта ИБ сейчас всех заставляет пересмотреть свою нормативную базу.

На одном из летних форумов ФСТЭК России инициировала обсуждение того, что планируется принять концепцию государственной системы защиты информации, которая должна учесть все уроки за этот год.

Поэтому, я считаю, 2023 год станет для нас очень насыщенным с точки зрения новых нормативных актов в области ИБ.

Большое спасибо за интервью! Оно получилось содержательным и интересным. Пожелаем вам успехов, а нашим читателям — всего самого безопасного!