Что будет с информбезопасностью после президентского указа о создании антихакерских подразделений на предприятиях
В начале мая Владимир Путин подписал «революционный», по словам экспертов, документ, согласно которому в каждом ведомстве, учреждении и системообразующих организациях будут организованы подразделения и назначены ответственные за защиту от хакерских атак. Каков масштаб предстоящих изменений, какие карьерные горизонты открываются перед специалистами информбезопасности (ИБ) и возможно ли в России создание национального агентства киберразведки, RSpectr рассказали эксперты.
ЧТО ИЗМЕНИТСЯ
Заместитель председателя правительства Дмитрий Чернышенко призвал активнее выполнять указ № 250. По его словам, он направлен на обеспечение технологического суверенитета страны.
Документ распространяется на органы государственной власти, в том числе высшие, госкорпорации и фонды, стратегические акционерные общества, системообразующие организации экономики и субъекты критической информационной инфраструктуры (КИИ).
Заместитель главы предприятия (попавшего под действие указа) назначается ответственным за ИБ, а руководитель несет персональную ответственность. При этом в организациях должны быть созданы самостоятельные подразделения, специализирующиеся на внедрении и обслуживании подобных систем. Такие структуры должны незамедлительно выполнять все требования Федеральной службы по техническому и экспортному контролю (ФСТЭК) и ФСБ. Для организации ИБ можно привлекать внешние компании, но только с лицензией ФСТЭК на деятельность по технической защите конфиденциальной информации (ТЗКИ).
В отслеживании угроз будут участвовать аккредитованные в ФСБ Центры мониторинга информационной безопасности (Security Operations Center, SOC). Сама федеральная служба получает беспрепятственный доступ (в том числе удаленный) ко всей инфраструктуре предприятий.
С 1 января 2025 года все попавшие под указ предприятия не смогут использовать продукцию из недружественных стран.
По оценке бизнес-консультанта по безопасности Cisco Алексея Лукацкого, в России насчитывается до 100 тыс. организаций, попадающих под данное решение. На этом фоне перед ИБ-специалистами открываются заманчивые перспективы — новый указ президента может сделать их заместителями генеральных директоров, обращает внимание он. По его мнению, скорее всего, возникнет вопрос о необходимости [экстренного] обучения новых замов, если не по программе на 512 часов, то хотя бы на 100.
«Правительство РФ должно утвердить положение о самостоятельном ИБ-подразделении, но как оно это сделает — я пока представляю с трудом, поскольку под действие указа попали и "Газпром" с "Почтой России", и ломбард с микрофинансовой организацией. Очевидно, что у них не может быть одинаковой структуры и обязанностей. Возможно, правительство спустит все на ФСТЭК, которой придется снова отдуваться за всех», — говорит Алексей Лукацкий.
Некоторые предлагают распространить запрет средств защиты из недружественных стран на всю зарубежную продукцию, отметил эксперт. В таком случае многие заказчики, несмотря на призыв президента дать иностранным компаниям, не ушедшим с российского рынка, «спокойно работать», последуют стратегии «лучше перебдеть», сетует он.
КАДРОВЫЙ ВОПРОС
И БОЛЬШАЯ ПЕРЕЗАГРУЗКА
Прописанное в указе условие о наличии лицензии ФСТЭК у подрядных организаций означает, что либерализации ИБ-рынка и возможности выйти на него небольшим компаниям в ближайшем будущем не предвидится, отметил Алексей Лукацкий.
Он опасается, что указ «ни к чему не приведет», а в госорганах будут возведены «потемкинские деревни». Эксперт подчеркивает, что нельзя навязать информбезопасность сверху, да еще и без переходного периода, не выделив на нее бюджет и не имея кадров для реализации.
Вероятнее всего, процесс усиления киберзащиты предприятий пойдет по тому же сценарию, что и в банковской сфере, прокомментировал RSpectr аналитик ФГ «Финам» Леонид Делицын. По его мнению, объем затрат предприятий на обеспечение ИБ можно оценить в 25 млрд руб.
«Профильные министерства разработают требования, которым предприятия должны будут удовлетворять. В крупных организациях их будет обеспечивать штат собственных сотрудников. Остальные будут пользоваться услугами аккредитованных компаний, что позволит снизить издержки. В таком случае кадровый вопрос ограничится назначением заместителя руководителя, ответственного за ИБ. Достаточное количество замдиректоров по инфобезопасности страна обеспечить сможет, а компаниям из этой сферы будет гарантирован спрос», — уверен Леонид Делицын.
Глава и соучредитель АНО «Информационная культура» Иван Бегтин, напротив, убежден в предстоящем дефиците управленцев, который придется восполнять за счет спешного обучения менеджеров на специальных курсах.
Также стоит ожидать перестройки бюджетов всех уровней, начиная с федерального из-за расширения расходов на кибербезопасность за счет средств, выделенных на автоматизацию и цифровизацию, полагает он.
Эксперт предсказывает, что в нынешнем году начнется тотальная инвентаризация государственных и муниципальных систем с точки зрения ИБ.
Но проблема в том, что делать это некому: ни ФСТЭК, ни ФСБ, ни их подведомственные организации это «не потянут», полагает Иван Бегтин.
«Более вероятен сценарий в виде поручения правительства или президента РФ. На федеральном уровне [этим займется] Минцифры с розыгрышем крупного контракта, на региональном — областные и республиканские администрации. Скорость процесса будет напрямую зависеть от количества публичных взломов государственных систем», — говорит Иван Бегтин.
Кроме того, подчеркивает эксперт, ожидается большая административная реорганизация в области ИБ, так как критическая масса запроса на внутригосударственную реформу назревает
«Я бы осторожно предположил появление в России новой спецслужбы по аналогии с NSA*, в которую перейдут многие полномочия», — написал Иван Бегтин в своем Telegram-канале.
СРОКИ ГОРЯТ
Критических изменений вследствие указа для большинства предприятий в настоящее время не произойдет, прокомментировал RSpectr заместитель гендиректора Crosstech Solutions Group Айк Татевосян. Только те организации, которые добавлены в перечень ключевых органов, должны будут до 1 июля направить доклад в правительство РФ об оценке уровня защищенности своих систем, отметил он.
Коммерческий директор компании «Аванпост» Александр Санин в беседе с RSpectr назвал этот срок «малореалистичным», так как за месяц сделать полноценный аудит «практически невозможно». Поэтому, вероятно, его придется сдвинуть, предположил он.
«Однако переход на отечественный софт в части кибербезопасности до конца 2024 года — вполне реалистично, и российский ИБ-рынок к такому развитию уже готов. При этом предприятиям предстоит не только замена необходимых решений, но и в целом пересмотр всей защитной инфраструктуры, которая сложилась до 24 февраля этого года», — говорит эксперт.
Около 70% коммерческих компаний внедряют программное обеспечение для ИБ в соответствии с реальными потребностями бизнеса, рассказал RSpectr директор по продуктам и технологиям Группы Т1 Александр Рожков. В государственном секторе ситуация прямо противоположная — 71% организаций применяют средства защиты для соблюдения нормативов. За последние три года только четверть российских компаний увеличили расходы на ИБ, отметил эксперт.
«Грамотно организованный подход к созданию позиции "директор по ИБ" должен означать вхождение руководителя по информбезопасности в состав членов правления, а также необходимость формирования регулярной отчетности о деятельности в сфере ИБ внутри организации и реализацию бизнес-тактики в соответствии с целями предприятия.
Увеличение бюджетов, несомненно, потребуется в том числе в рамках задачи по полному переходу средств защиты на альтернативные решения до конца 2024 года», — уверен эксперт.
*The National Security Agency — Агентство национальной безопасности, подразделение Минобороны США, занимающееся радиоэлектронной, технической и киберразведкой.