ФСБ и Дума защитят государственные информационные ресурсы новым законом

Правительство внесло на рассмотрение Госдумы законопроект, устанавливающий уголовную ответственность за создание программ для кибертак на Россию. Документ уже зарегистрирован в базе законопроектов нижней палаты парламента и, по данным Лайфа, был разработан при участии ФСБ России. 

Ранее российские силовики официально предупредили о том, что иностранные спецслужбы готовят кибератаки на финансовую систему России сразу в нескольких десятках городов. Кибератаки будут сопровождаться рассылкой сообщений и публикаций в блогах с информацией провокационного характера о кризисе кредитно-финансовой системы России. 

По данным Лайфа, уже с начала нового года в России вступит в силу закон "О защите критической информационной инфраструктуры". В нём говорится о том, кто и как будет защищать госорганы от хакеров. Кроме того, в Уголовном кодексе появится новая статья о высокотехнологичной преступности против государственных информсистем.  

На прошлой неделе на своём официальном сайте ФСБ опубликовала предупреждение. 

— ФСБ России получена информация о подготовке иностранными спецслужбами в период с 5 декабря 2016 года масштабных кибератак с целью дестабилизации финансовой системы Российской Федерации, — отмечается в заявлении.

По данным Лайфа, российские спецслужбы готовы к защите Критической информационной инфраструктуре (КИИ) России.

— КИИ состоит из сотен информационных систем, связанных с госведомствами, банками и предприятиями. Это могут быть системы автоматического управления, например, на электростанциях. Некоторые имеют выход в Интернет, — сообщил Лайфу источник в спецслужбах. — Есть целый перечень объектов инфраструктуры, которые Совет безопасности считает важными для страны: заводы, электростанции, банки. В нём более ста страниц, и он засекречен.

По его словам, фактически это такие компьютерные системы, вмешательство в которые может повлечь серьёзные последствия в масштабах страны – нарушение процессов госуправления, ухудшение обороноспособности и национальной безопасности, крупный ущерб, утечка информации, человеческие жертвы. 

Положения закона разрабатывала ФСБ в соавторстве с Минкомсвязи, ФСО, МВД и ещё почти десятком ведомств. Авторы признают, что пока в сфере защиты своих "кибернетических рубежей" у России много проблем. И не в последнюю очередь благодаря тому, что госведомства вынуждены использовать иностранное оборудование и программы.

— Глобализация современных информационных систем, применение иностранного оборудования и заимствованного программного обеспечения формируют новые угрозы безопасности РФ, — пишут авторы в пояснительной записке. — Равную опасность могут представлять атаки, совершённые в преступных, террористических или разведывательных целях со стороны иностранных спецслужб. При наихудшем сценарии компьютерная атака способна <...> вызвать социальную, финансовую или экологическую катастрофу.

Согласно новому закону, централизованно обеспечивать безопасность будет ФСБ. В законе объекты инфраструктуры разбиты на категории в зависимости от важности (одно дело, когда взломали сайт администрации какого-нибудь города, другое — когда хакеры парализовали работу электростанции). Для оценки защищённости важных объектов будут привлекаться аккредитованные в установленном порядке организации.

Всю инфраструктуру подключат к системе ГосСОПКа. Это Государственная система анализа и предупреждения киберугроз и тоже является детищем ФСБ и ФСО. В законе установлены единые требования, как защищать и эксплуатировать КИИ. Нарушителям может грозить уголовное дело.

С января 2017 года в Уголовном кодексе появится новая статья — 274.1 про атаки на госресурсы. Она фактически повторяет позицию родственной статьи 274 УК за создание обычных компьютерных вирусов. Но если по ней грозит до 4 лет, то за атаку на госресурсы — уже 5. Плюс преступника могут оштрафовать вплоть до 1 млн. Если хакер или любой другой неправомерно получил доступ к управлению инфраструктурой или к данным, содержащимся на государственных серверах, ему грозит срок до 6 лет плюс штраф до 2 млн. Наконец, за нарушение правил эксплуатации КИИ, если они привели к информационной утечке, инженеров или сисадминов могут посадить тоже на 6 лет.

Если всё произошедшее повлекло тяжкие последствия, например гибель людей, то срок наказания возрастает до 10 лет.

По словам директора по методологии и стандартизации компании Positive Technologies Дмитрия Кузнецова, сейчас в уголовном законодательстве существуют аналогичные статьи за разработку вредоносного ПО, за получение доступа к охраняемой информации, но применяются они крайне редко.

— Сейчас по этим статьям не всегда получается привлечь к ответственности хакеров. Например, одно дело, когда он взламывает ресурс госведомства, где содержатся важные данные, и другое — когда он ворует сведения из "умного дома" с помощью интерфейса удалённого управления, — поясняет Кузнецов.

По новому закону, все данные о том, как именно и какими средствами защищены объекты критической информационной инфраструктуры, будут являться гостайной.

Работы у эфэсбэшников и IT-специалистов, которых привлекут для защиты объектов, будет немало. Одних только федеральных ведомств в нашей стране больше семи десятков, а ведь есть ещё региональные — каждая область и республика имеют свои базы данных, сайты, локальные ресурсы. В каждой республике у местных полицейских, пожарных, судов тоже есть свои ресурсы, работающие в поддомене "gov.ru"; их тоже следует защитить. К каждому онлайн-ресурсу "цепляются" локальные данные, базы, связи, сведения о пользователях. Всего сайтов, работающих в зоне gov.ru и поддоменах, больше сотни. При этом собственно сами сайты не самое важное — куда опасней, если хакер получит доступ к автоматическим системам автоматического управления, например, железной дорогой.

— Если хакер доберётся до серверов системы управления движением поездов или до контроллеров электрической подстанции, то даже не умышленные, а просто неосторожные его действия могут привести к аварии и даже гибели людей, — рассказал Лайфу директор по методологии и стандартизации компании Positive Technologies Дмитрий Кузнецов. — Москвичи ещё помнят, как авария на одной лишь подстанции Чагино привела к масштабному блэкауту в Центральном регионе России и едва не закончилась катастрофой на Московском НПЗ. А теперь представьте, что может целенаправленно натворить "боевой хакер" из спецподразделений, которые сейчас создаются в армиях крупнейших государств, получи он доступ к современной цифровой подстанции.

Эксперты из компании Zecurion, которая занимается кибербезопасностью и предотвращением утечек данных, поддерживают положения нового законопроекта.

— В киберпространстве предполагается выделить критические для функционирования государства элементы и защитить их более серьёзно на всех уровнях, начиная с законодательного, — сообщил Лайфу генеральный директор Zecurion Алексей Раевский. — Завеса государственной тайны — это тоже вполне нормально, ни одно государство не будет делать общедоступной информацию о том, как защищаются его критические объекты, такие как военные базы, аэропорты, атомные электростанции и т.д. И объекты информационной инфраструктуры не исключение.

Эксперты говорят, что менять законодательство в области безопасности жизненно необходимо. В качестве примера они приводят последние нашумевшие атаки на объекты критической инфраструктуры в других странах. Например, несколько лет назад хакеры остановили центрифуги иранской атомной станции с помощью вируса StuxNet, а в Южной Корее в 2013 году другая группировка парализовала работу нескольких финансовых учреждений.