Гос­ду­ма при­няла в пер­вом чте­нии за­коноп­ро­ект, ко­торый ус­та­нав­ли­вает ад­ми­нис­тра­тив­ную от­ветс­твен­ность за на­руше­ние за­коно­датель­ства в об­ласти обес­пе­чения бе­зопас­ности кри­тичес­кой ин­форма­ци­он­ной ин­фраст­рук­ту­ры (КИИ). Из­ме­нения в КоАП пред­по­лагают за на­руше­ние тре­бова­ний бе­зопас­ности та­ких объ­ек­тов штраф: для дол­жност­ных лиц — от 10 тыс. до 50 тыс. руб., а для юр­лиц — от 50 тыс. до 100 тыс. руб.

Согласно законопроекту (№1048574-7), за непредставление или представление с нарушениями данных в госсистему обнаружения владельцам КИИ также придется уплатить штраф. Сумма взысканий для чиновников составит от 10 тыс. до 50 тыс. руб., для юрлиц — от 100 тыс. до полумиллиона рублей.

«Размеры предлагаемых штрафов учитывают размер средней заработной платы руководителей структурных подразделений по обеспечению информационной безопасности в Российской Федерации, который составляет 80-100 тыс. руб. (по результатам анализа вакансий, представленных на сайте hh.ru), и стоимость возможных затрат субъектов критической информационной инфраструктуры на устранение последствий компьютерных атак», — говорится в пояснительной записке к законопроекту.

Пока, согласно закону, ответственность за несоблюдение требований по безопасности важнейших информационных систем не установлена. Законопроектом предусматривается установить срок давности привлечения к административной ответственности по проектируемым статьям — один год.

«Сейчас, безусловно, проблема с защитой КИИ стоит не так остро, как было еще два года назад, — говорит генеральный директор «Доктор Веб» Борис Шаров. — В основном хозяйствующие субъекты пришли к пониманию необходимости мер защиты, многие столкнулись с серьезными атаками на информационную инфраструктуру». По словам эксперта, ужесточение наказания — неизбежный процесс, поскольку это фактически единственный инструмент государства, которое пытается достичь определенного уровня защищенности стратегически важных информационных систем. Шаров считает, что главная проблема, которую надо решать по части КИИ, — это отсутствие на российском рынке большого выбора средств защиты, которые бы дали предприятиям свободу для маневра.

По меркам КоАП РФ, размер штрафа довольно велик, оценивает старший партнер юридической фирмы «Катков и партнеры» Павел Катков. Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации, за исключением гостайны, влечет наложение административного штрафа на граждан в размере от 1000 до 1500 руб.; на должностных лиц — от 1500 до 2500 руб.; на юрлиц — от 15 тыс. до 20 тыс. руб. (ч.1 ст.13.12 КоАП РФ). «В целом размер административных штрафов редко достигает отметки в 500 тыс. руб., как в проектируемой статье, — говорит Катков. — На этом фоне штрафы, конечно же, кажутся существенными. Однако существенность эту необходимо сопоставлять с масштабом компании. Twitter, Facebook или другой интернет-гигант без труда выплатят штраф и в 3 млн руб., а небольшую российскую компанию такая сумма может и разорить».

По мнению руководителя департамента системных решений Group-IB Станислава Фесенко, технологически организации — владельцы КИИ нередко отстают от банков, ретейла в части используемых средств защиты от киберугроз. Бюджетные учреждения и компании с госучастием не всегда могут выделить на это необходимый объем инвестиций. «Нельзя также сбрасывать со счетов долгие процедуры бюджетирования, проведение сложных отборов конкретных решений и длинных конкурсов. В результате при крайне динамичном развитии киберпреступности объекты КИИ зачастую не могут использовать актуальные технологии защиты от нее, — объясняет Станислав Фесенко. — К процессу реагирования на инциденты и их расследованиям КИИ тоже бывают не готовы. Это связано с отсутствием опыта работы с кибератаками, которая в других сферах и коммерции давно понятна и отработана. Другая проблема — разрыв между службами ИБ и ИТ, каждая из которых отвечает за свои секторы компьютерной сети: их действия далеко не всегда согласованы, часто не хватает регламентов и выстроенных процессов».

Кроме того, качественные кадры для ИБ-подразделения стоят дорого, эксплуатанты КИИ не всегда могут себе это позволить. Опрошенные специалисты по информационной безопасности наблюдают отток высококлассных специалистов в другие сферы и зарубежные компании.

«Объекты КИИ должны сменить устаревшую парадигму кибербезопасности, взяв вектор на построение умных технологических экосистем, способных полностью автоматизировано останавливать целевые атаки на организацию, давая команде безопасности инструменты соединения разрозненных событий вокруг атаки, атрибуции угроз, анализа вредоносного кода и немедленного реагирования на инцидент», — сказал представитель Group-IB. При этом, добавил специалист, важно выявлять угрозы и зараженные узлы, анализируя сетевой трафик, и обеспечивать защиту не только традиционным ИТ-сетям, но и промышленным.