Регулятором по подрядчику
Начальник департамента проблем безопасности в информационной сфере аппарата Совета безопасности РФ Алексей Петров на 26-м Национальном форуме информационной безопасности "Инфофорум-2024″ призвал распространить единые правила на всех, кто работает с ГИС, а также обслуживает предприятия, которые относятся к сфере КИИ, прежде всего ТЭК, транспорта, энергетики, оборонно-промышленного комплекса.
"Требуется определить единый правовой режим для защиты информации для всех систем, в которых обрабатывается информация государственных органов и организаций вне зависимости от того, носят ли они статус государственных или нет. Необходимо осуществить совершенствование противодействия компьютерным правонарушениям и преступлениям, включая установление дополнительных уголовно-правовых механизмов противодействия компьютерным атакам, а также усилить ответственность за их совершение", - заявил представитель Совбеза. Соответствующую работу, как отметил Алексей Петров, аппарат Совета безопасности уже ведет.
Руководитель отдела реагирования на угрозы ИБ PT ESC Денис Гойденко на итоговой пресс-конференции "Кибербезопасность в 2023-2024 гг.: тренды и прогнозы" спрогнозировал на 2024 г. значительный рост попыток таких атак, причем на ИТ- и телеком-компании, поскольку успешное проникновение открывает злоумышленникам возможность получить доступ в инфраструктуры их партнеров.
https://www.comnews.ru/content/230655/2023-12-13/2023-w50/1008/mart-buduschego-goda-obeschaet-byt-goryachim
Заместитель директора Национального центра по противодействию компьютерным инцидентам (НКЦКИ) Алексей Иванов обратил внимание, что сотрудники интеграторов и подрядчиков имеют привилегированный доступ к системам заказчиков, которых обслуживают. При этом он посетовал, что эти компании скрывают информацию об инцидентах, что позволяет злоумышленникам продолжать находиться в инфраструктуре как самих ИТ-компаний, так и их клиентов. Алексей Иванов призвал найти системное решение данной проблемы общими усилиями.
Директор по консалтингу центра компетенции Positive Technologies ПАО "Группа Позитив" Юлия Воронова назвала в качестве успешного примера регулирования взаимоотношений с ИТ-подрядчиками требования Банка России, которые успешно применяют компании финансового сектора. По ее мнению, этот опыт могут перенять и другие отраслевые регуляторы.
Начальник Управления Федеральной службы по техническому и экспортному контролю (ФСТЭК) Елена Торбенко напомнила, что ФСТЭК еще в 2022 г. разработала методические рекомендации по работе с подрядчиками для субъектов критической информационной инфраструктуры. Однако, по ее мнению, необходимо внесение изменений в законодательство и ведомственные нормативно-правовые акты, которые помогали бы бороться с нарушениями требований законодательства по защите КИИ, носящими массовый характер (сотрудники ФСТЭК выявили 800 нарушений в ходе 350 плановых проверок по итогам 2023 г., в результате возбуждено 150 административных дел). Также Елена Торбенко проинформировала, что готовы 12 из 14 отраслевых методик и регламентов по категорированию объектов КИИ.
Заместитель директора ведомства Виталий Лютиков, выступая на SOC-Forum 2023, также назвал отсутствие нормативных требований по отношению к подрядчикам серьезной сложностью. По его оценке, успешная атака одного интегратора или подрядчика влечет проникновение в инфраструктуру как минимум 10 его клиентов.
https://www.comnews.ru/content/230166/2023-11-15/2023-w46/1008/regulyatory-vynuzhdeny-reshat-starye-problemy
Заместитель министра цифрового развития, связи и массовых коммуникаций, президент Академии криптографии Российской Федерации Александр Шойтов проинформировал о мерах, которые будут реализованы в национальном проекте "Экономика данных" - прямом продолжении программы "Цифровая экономика". В области ИБ, по его словам, ставка будет делаться на бесшовное встраивание соответствующих функций на стадии проектирования. Ближайшими задачами заместитель профильного министра назвал создание среды безопасной разработки, расширение практики bug bounty, а также создание непрерывной системы проверки защищенности. На 2024 г., как подчеркнул Александр Шойтов, запланировано завершение работы над проектом российского антивирусного мультисканера, и уже закончен ее первый этап: "В итоге должна появиться единая национальная система противодействия вредоносному программному обеспечению, которая будет использоваться и в государственных информационных системах, и будет доступна всем гражданам. Если мы будем иметь свою систему, то сможем качественно выявлять вирусы, а также не будем супостату предоставлять соответствующую информацию".
Советник генерального директора Positive Technologies Артем Сычев предостерег от поспешного внедрения сложных систем, к которым относятся средства непрерывного анализа защищенности: при низком уровне зрелости такие системы работать или не будут вовсе, или, что хуже, будут работать плохо, создавая лишь иллюзию защищенности. Хотя он назвал внедрение таких средств все же полезным, однако их внедрение потребует серьезной и сложной работы от ИТ и ИБ.