Закон об оборотных штрафах точно не является тайной на сегодняшний день - проект поправок кодекса административных правонарушений, которые увеличивают ответственность, направлен нами в Правительство. Насколько я осведомлён, подготовлен проект положительного отзыва на нашу инициативу. По сути наших предложений, напоминаю, что действующее административное законодательство устанавливает максимальную ответственность за такое деяние на уровне до 100.000 руб., без относительной повторности. Безусловно, такие смехотворные штрафы не способствуют активизации бизнеса и других организаций с точки зрения обеспечения своей информационной безопасности, не говоря о том, что сегодня сам механизм проведения проверок крайне затруднён, напомню, что нам пришлось потратить длительное время для того, чтобы правительство сняло мораторий на проверку по утечкам персональным данным, и то снятие это произошло не в полном составе. Поэтому позиция всех заинтересованных ведомств в том, что необходимо установить действительно серьёзную ответственность, которая по нашему предложению будет изменяться в зависимости от содеянного ущерба.
Для юридических лиц:
За утечку от 1 тыс. до 10 тыс. записей субъектов ПД — штраф 3- 5 млн рублей
За утечку от 10 тыс. до 100 тыс. ПД — штраф от 5 до 10 млн рублей
За утечку более 100 тыс. ПД — штраф от 10 до 15 млн рублей
В случае повторных нарушений оборотные штрафы в зависимости от масштаба, от 0, 1% совокупной выручки за предыдущий год, но не менее 15 млн и не более 500 млн. Уверены, что без введения серьезных санкций порядка не наведем.
Управленческие, финансово-экономические, производственные, технологические процессы, нарушение или прекращение функционирования, которых может повлечь потенциально наступление негативных последствий, определенных Перечнем показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127.
Например, если у вас добыча полезных ископаемых, то в процессе нарушения добычи могут возникнуть последствия в виде угрозы жизни, здоровью или экологической катастрофы, тогда этот процесс будет критическим. Если потенциально нарушение этого процесса может привести к реализации негативного события, которое определено критериями, то это процесс является критическим.
О спаде утечек – система безопасности адаптируется, люди становятся более вовлечены в вопросы безопасности. Обесцениваем утечек занимаются операторы персональных данных, которые заявляют о том, что ничего не произошло, они не видят для себя никаких рисков: штрафы малы, в суд никто не подает.
Нельзя относиться к утечке так, что данные утекли и можно их не защищать, более того, у нас в подведомственном предприятии проходит научно-технический совет, мы приглашаем туда различных специалистов, и они рассказывают довольно удивительные вещи, что есть конвергенция биометрических и обычных данных, можно на анализе сопоставления не биометрических данных улучшить качество биометрических шаблонов и степень идентификации, каждая новая утечка для нас – трагедия, и нужно принимать меры, чтобы такого не происходило.
Мы категорически не согласны, что утечки информации обесценились. По нашим наблюдениям, утекает информация идентификационная, иногда утекают транзакционные данные, но в любом случае, каждая новая информация обогащает уже имеющуюся базу знаний про человека и имеет ценность.
Что сделать тем, кто покупал зарубежные решение, наверное, встать перед зеркалом признаться, покаяться. Но мы много лет подряд всех предупреждали об огромных рисках использования того или иного импортного ПО, не в целом иностранного как класса, а по конкретным решениям, и безопасники в целом прекрасно понимали. Я знаю, что после 24.02, после того как соответственно большинство ИБ игроков покинуло российский рынок я встречаюсь с организациями и они говорят: «Да мы вот сейчас планируем купить тоже самое решение», но зачем, может быть оно хорошее, ещё что-то, но риски же колоссальные - параллельный импорт, как вы будете его обслуживать, облачные сервисы не работают, не отвечают, но у нас вся инфраструктура уже построена, нам так удобнее, нам не очень удобно перестраивать свою инфраструктуру под какие-то другие решения. Но это конечно неправильно, тут надо сначала признаться для самого себя, что похоже был определенный риск по информационной безопасности, в том числе санкционный риск, что лицензии перестанут работать, облачные сервисы отвалятся, и этот риск был неправильно оценен. Бежать и менять.
Планировать замену, а что делать. На сегодняшний момент у нас все сертификаты на зарубежные средства защиты, за исключением двух, они все аннулированы. Поддержка по всем средствам защиты с точки зрения безопасности на территории Российской Федерации прекращена. Почти по всем поддержка прекращена. Формально требованиям по безопасности ФСТЭК они не соответствуют, поэтому планировать поэтапный переход на отечественные СЗИ, выставлять требования к разработчикам, которые необходимы заказчику с точки зрения функциональности этих средств. Стандартная работа, которую мы должны были раньше начать. К тому же у нас президент поставил задачу двумя указами и 250-м, и 166 указом перейти на Отечественные программные аппаратные средства в одном случае, а в другом случае конкретизировать средства защиты информации.
Здесь конкретная проблема, во многих импортных средствах защиты начинают появляться уязвимости, они публикуются либо на одной, либо на другой базе данных, и это естественный процесс. Для нас специфика заключается в том, что мы практически по многим классам средств, особенно программно-аппаратным не имеем возможности эти обновления применить, проверить, установить и т.д., вот в чём проблема. И здесь если с практических шагов смотреть, мы конечно понимаем, что если инфраструктура у вас сетевая построена на зарубежном каком-то решении, щелчком пальцев перейти с этого решения на другое невозможно, поэтому мы проводим ряд мероприятий, разрабатываем некие методические документы, как риски использования таких средств минимизировать, например, вот ближайшее время мы выпустим оценки критичности уязвимости, для того чтобы ранжировать в своей инфраструктуре не по метрикам cvss, учитывать как бы наличие средств в инфраструктуре. Мы подготовили проект методики по тестированию обновлений, те, которые можно получить тем или иным способом, я сейчас это немножко за скобками оставлю способ получения обновлений, но по тем обновлениям, которые можно получить и определенные методики тестирования, и подходы к такому тестированию мы тоже в ближайшее время утвердим и предоставим возможность для применения. Ещё раз, это не будет означать, что мы его проверили это ПО на 100% там ничего нет, но минимизировать наиболее такие критичные риски будет возможно.
Я не возьмусь широко отвечать на вопрос за отрасль, за оборудование, я отвечу за средства безопасности. Если такое событие наступит в отношении средств безопасности, то я полагаю, что задача будет решена. Все классы средств имеются, можно говорить об удобстве, эффективности со стороны пользователя, и это, безусловно, обсуждаемая, серьёзная тема, но с точки зрения средств защиты, я думаю, что серьёзной проблемы это не принесёт, именно с точки зрения средств защиты. Есть определенные нюансы. Я сделаю исключение в части аппаратных средств, по понятной причине, потому что эта проблема носит более широкий характер. Но с точки зрение программных средств, все классы средств информационной безопасности сегодня представлены на рынке. И я думаю, что это ещё больше подстегнёт наших разработчиков, это приведёт к их развитию, совершенствованию и применению на объектах.
Я считаю, что по внедрению продуктов мы все время догоняем западных разработчиков. За исключением отдельных, исключительных вещей, где у нас очень высокая школа, допустим, это криптография. А в остальном, мы все время догоняем. А догоняем мы большие фирмы-гиганты, которые очень много денег вложили в разработку того, что они сегодня реализуют на рынке. Мы и наши разработчики – это, как правило, компании не с такими капитализациями, не с такими финансовыми средствами для того, чтобы делать сопоставимые средства и внедрения. Поэтому, я считаю, что на данном этапе, одним из возможных выходов из этой ситуации, является использование опенсорсных вещей в основе наших продуктов.
Что касается категорирования, я здесь дам общие процентные соотношения, без какой-то конкретики. Первое, что касается категорирования: из тех, кто начал эту процедуру, то есть приступили реализовывать закон в том или ином виде - это 50% из всех объектов. Проценты еженедельно растут хорошими темпами.