Госдума приняла в третьем, окончательном чтении пакет правительственных законопроектов, которые касаются безопасности критической информационной инфраструктуры (КИИ) РФ; максимальные санкции за создание вредоносных программ для кибератак на КИИ предусматривают до 10 лет лишения свободы.
Суть закона
Законопроектом устанавливаются основные принципы обеспечения безопасности КИИ, полномочия государственных органов РФ в области обеспечения ее безопасности. Устанавливаются права, обязанности и ответственность лиц, владеющих на праве собственности или ином законном основании объектами КИИ, операторов связи и информационных систем, обеспечивающих взаимодействие этих объектов.
Отмечается, что безопасность КИИ РФ и ее объектов обеспечивается за счет "определения федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры РФ, разработки критериев категорирования объектов критической информационной инфраструктуры, показателей этих критериев и порядка категорирования объектов критической информационной инфраструктуры",
Предусматривается, что каждый объект критической информационной инфраструктуры подлежит категорированию в соответствии с утвержденным правительством РФ порядком. Категорирование производится владельцами этих объектов самостоятельно либо с привлечением организаций, имеющих лицензии на осуществление деятельности по технической защите конфиденциальной информации.
Собственники КИИ
Как ранее рассказал глава комитета Госдумы по информационной политике Леонид Левин, закон устанавливает, что собственники и иные лица, пользующиеся на праве аренды или ином законном основании объектами КИИ, должны быть российскими юридическими лицами или индивидуальными предпринимателями.
Иностранные компании, являющиеся собственником объекта КИИ, осуществляющие свою деятельность на территории РФ и представляющие свои интересы через российские юридические лица, смогут продолжить свою работу без каких-либо ограничений.
Уточняется правовой статус национального координационного центра по компьютерным инцидентам. В частности, говорится, что это организация, создаваемая федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, участвующая в осуществлении координации деятельности субъектов КИИ, пояснил Левин.
Конкретизируется, что в части утверждения уполномоченным органом порядка технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты в банковской сфере и иных сферах финансового рынка, необходимо согласование с Центральным банком РФ, сообщил глава комитета ГД по информационной политике.
В интересах собственников, а также лиц, использующих объекты КИИ РФ на праве аренды или ином законном основании, уточняются сроки осуществления процедуры категорирования таких объектов, добавил парламентарий.
Кроме того, по словам Левина, устанавливается, что при несоблюдении правил категорирования уполномоченным органом субъекта КИИ направляется требование о необходимости соблюдения положения закона в части осуществления категорирования.
Вместе с тем уточняется перечень сведений, представляемых субъектами КИИ в реестр значимых объектов КИИ. В обязанности субъектов КИИ в банковской сфере и иных сферах финансового рынка вводится требование уведомления о компьютерном инциденте не только уполномоченного органа, но и ЦБ РФ.
Помимо этого, предполагается наделить правом утверждения дополнительных требований по обеспечению безопасности значимых КИИ государственные органы, государственные корпорации и ЦБ РФ.
Принятие законопроекта позволит создать правовую и организационную основу для эффективного функционирования системы безопасности КИИ РФ, направленной в первую очередь на предупреждение возникновения компьютерных инцидентов на ее объектах, а также существенно снизит общественно-политические, финансовые и иные негативные последствия для РФ в случае проведения против нее компьютерных атак, полагают в правительстве.
Санкции
В УК РФ вводится новая статья "Неправомерное воздействие на критическую информационную инфраструктуру РФ".
Предполагается, что создание и (или) распространение компьютерных программ, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру РФ, включая уничтожение, блокирование, модификацию, копирование информации, содержащейся в ней, или нейтрализацию средств защиты указанной информации будет наказываться принудительными работами на срок до пяти лет, либо лишением свободы на срок от двух до пяти лет со штрафом в размере от 500 тысяч до 1 миллиона рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет.
Неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре, в том числе с использованием вредоносных компьютерных программ, если он повлек причинение вреда критической информационной инфраструктуре или создал угрозу его наступления, будет наказываться принудительными работами на срок до пяти лет со штрафом в размере от 500 тысяч до 1 миллиона рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет и с ограничением свободы на срок до двух лет или без такового либо лишением свободы на срок от двух до шести лет.
Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре РФ, или информационных систем, либо правил доступа к указанной информации, если оно повлекло причинение вреда критической информационной инфраструктуре или создало угрозу его наступления предлагается наказывать принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового либо лишением свободы на срок до шести лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
Если какое-либо из вышеуказанных нарушений было совершено группой лиц по предварительному сговору или организованной группой лиц или лицом с использованием своего служебного положения, то в данном случае виновникам могут грозить принудительные работы на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового либо лишением свободы на срок от трех до восьми лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
В случае если деяния повлекли тяжкие последствия или создали угрозу их наступления предусмотрено лишение свободы на срок от пяти до десяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового.
Планируется, что документ должен вступить в силу с 1 января 2018 года.
Исследователи обнаружили критическую уязвимость в протоколе Google Fast Pair, которая позволяет злоумышленникам перехватывать управление Bluetooth-аудиоустройствами, подслушивать разговоры и даже отслеживать перемещения пользователей. Проблема получила идентификатор CVE-2025-36911 и название WhisperPair, она затрагивает сотни миллионов наушников, гарнитур и колонок по всему миру.
Уязвимость нашли специалисты из группы Computer Security and Industrial Cryptography при Католическом университете Лёвена (KU Leuven).
По их словам, проблема кроется не в смартфонах, а в самих аксессуарах, поддерживающих Fast Pair. Это означает, что под угрозой находятся не только владельцы Android-устройств, но и владельцы iPhone, если они используют уязвимые Bluetooth-наушники или колонки.
Суть проблемы довольно неприятная. По спецификации Fast Pair, аксессуар должен игнорировать запросы на сопряжение, если он не находится в режиме создания пары. Но на практике многие производители этот механизм попросту не реализовали. В результате любой посторонний девайс может начать процесс сопряжения без ведома пользователя — и успешно его завершить.
Как объясняют исследователи, злоумышленнику достаточно отправить аксессуару запрос Fast Pair. Если устройство отвечает, дальше можно оформить обычное Bluetooth-подключение — и всё это происходит без подтверждений, уведомлений и физического доступа к целевому пользователю.
Атаку можно провести с помощью практически любого Bluetooth-устройства — ноутбука, смартфона или даже Raspberry Pi — на расстоянии до 14 метров. Под удар попали аксессуары от Google, Jabra, JBL, Logitech, Marshall, Nothing, OnePlus, Sony, Soundcore, Xiaomi и других брендов.
После успешного подключения атакующий получает полный контроль над аудиоустройством. В худшем случае это позволяет подслушивать разговоры через микрофон наушников, а в более безобидном — внезапно включать звук на максимальной громкости.
Но и это ещё не всё. WhisperPair также позволяет использовать Google Find Hub для слежки за жертвой — если аксессуар ни разу не был сопряжён с Android-устройством. В таком случае злоумышленник может добавить его в свой Google-аккаунт и отслеживать перемещения владельца. Причём предупреждение о трекинге пользователь увидит лишь спустя часы или даже дни. Что особенно коварно, уведомление будет выглядеть так, будто устройство отслеживает сам владелец, из-за чего многие просто игнорируют его как баг.
Google признала проблему, выплатила исследователям $15 000 — максимальное вознаграждение по программе баг-баунти и совместно с производителями начала выпуск патчей. Однако, как подчёркивают исследователи, фиксы доступны пока не для всех уязвимых устройств.
Важно и то, что отключение Fast Pair на Android-смартфоне не защищает от атаки — протокол невозможно отключить на самих аксессуарах. Единственный надёжный способ защиты сейчас — установить обновление прошивки от производителя, если оно уже выпущено.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
