Реализация закона № 187-ФЗ: защита различных отраслей от кибератак

Федеральный закон № 187-ФЗ был принят достаточно давно и стал основой для обеспечения устойчивой работы критической информационной инфраструктуры при кибератаках. Громкие инциденты последнего времени показывают, что, несмотря на определенный успех, о полной, надежной защите данных от злоумышленников говорить пока рано. В этой статье расскажем, что поможет ее достичь, какова отраслевая специфика и почему бизнес и государство должны действовать сообща.

С чего начинается реализация закона № 187-ФЗ для компаний?

Основные трудности

Когда встает вопрос о соблюдении предписаний закона № 187-ФЗ, основная трудность для компаний – понять, есть ли у них в принципе объект критической информационной инфраструктуры (КИИ). На первом этапе организации начинают анализировать свои активы и нередко предполагают, что тот или иной управляемый ими объект не относится к КИИ. Отсутствие опыта категоризации приводит к тому, что при последующей проверке выясняется обратное: объект все же подпадает под закон, но не был классифицирован, или же был выявлен и классифицирован, но не по правильной категории.

Если категоризация была произведена выше уровнем, это влечет за собой перерасход бюджета вследствие избыточных мер защиты. Если ниже, тогда есть реальный риск получить штрафные санкции от регулирующих органов.

Вторая серьезная проблема возникает, когда компания осознает наличие объекта критической информационной инфраструктуры, но изза сложной архитектуры, распределенной сети и большого количества систем не может корректно учесть все части КИИ. Некоторые объекты КИИ, в особенности в энергетической сфере, могут быть расположены на достаточно большой территории, например если речь идет о месторождениях газа или нефти. Элементы КИИ в этом случае могут находиться на расстоянии более ста километров друг от друга, и в результате какая-то часть из них может остаться без защиты. Поскольку в будущем на объект КИИ придут уполномоченные органы, ошибки и пробелы на данном этапе влекут за собой серьезные последствия.

В приоритете – выполнение требований ИБ

Обе эти трудности решаются внимательным отношением к объектам защиты. Если у организации не хватает соответствующих знаний или возможностей, дешевле и эффективнее привлечь стороннюю компанию с богатым опытом и обширной практикой категоризации и проведения предпроектных обследований. Если привлекать подрядчика не планируется, можно обратиться к опыту соседних организаций с аналогичными объектами и посмотреть, как они подходили к процессу категоризации. Да, это не универсальное решение, но оно может служить ориентиром, некой отправной точкой для проведения работ.

Отдельный вопрос: как выстраивать взаимодействие между службой информационной безопасности (ИБ), ИТ и бизнесом при реализации требований упомянутого закона? Здесь многое зависит от специфики компании и человеческого фактора. В части компаний ИБ главенствует над ИТ и диктует свои условия для ведения бизнеса. У некоторых компаний бизнес диктует свои условия для ИТ и ИБ. В РФ очень много разных моделей делегирования полномочий, среди них нет однозначно плохих или хороших.

Обычно все они опираются на историю развития компании. При обеспечении безопасности КИИ важно принять базовый постулат: исполнение закона обязательно, а его нарушение влечет за собой уголовную ответственность. Следовательно, выполнение требований ИБ должно быть в приоритете.

Работать сообща

Важно понимать, что каких-то универсальных рецептов здесь нет и каждая компания решает задачу по-своему. Но при этом есть один общий принцип: необходимо работать сообща. Служба ИБ отвечает за безопасные настройки операционных систем (ОС), сетевого оборудования и приложений, формирование пакета документов, взаимодействие с регулирующими органами. Служба ИТ или автоматизации – за стабильное функционирование инфраструктуры и систем автоматизации. Бизнес больше всего интересует надежность процессов. В этой точке происходит пересечение интересов всех сторон, и важно научиться идти на временные уступки и находить компромиссы ради общей цели – защищенности компании при соблюдении непрерывности бизнес-процессов.

Прежде чем приступать к выполнению прописанных в законе требований, самым логичным шагом будет полный и тщательный внутренний аудит информационных систем: какие именно используются, какие меры безопасности уже реализованы, а что планируется внедрить в ближайшее время. Ключевой момент – понять взаимосвязь между бизнес-процессами и информационными системами (ИС), то есть определить, какие именно процессы обеспечиваются конкретными ИС. На основании этого можно сделать обоснованные выводы о наличии критической информационной инфраструктуры и определить, какие дополнительные меры нужно предпринять для выполнения требований законодательства в полном объеме.

Практика реализации в ключевых отраслях – энергетике, транспорте, здравоохранении

Требования закона № 187-ФЗ едины для всех отраслей, но специфика проявляется в критических бизнес-процессах. В энергетике это добыча, передача и поставка энергии конечным потребителям. В транспорте – перевозка пассажиров и выполнение обязательств по доставке.

В здравоохранении – оказание медицинских услуг, проведение операций, хранение и защита данных пациентов. Различия заключаются не в подходах к безопасности, а в объектах и информационных системах, которые необходимо классифицировать и защищать. В энергетике не встретятся медицинские устройства, а в здравоохранении – турбины или компрессорные станции. Но если объекты сопоставимы по значимости возможных последствий атаки на них, то и требования к их защите будут одинаковы.

Что касается типовых уязвимостей, то их как класса не существует. Даже в пределах одной отрасли инфраструктуры сильно различаются в зависимости от времени развертывания, регулярности обновлений и качества эксплуатации. Две одинаковые на старте системы через несколько лет могут оказаться совершенно разными из-за внесенных изменений и доработок.

Поэтому уязвимости у каждого объекта индивидуальны. Например, в энергетике маловероятны уязвимости, связанные с некорректной работой веб-сайтов, так как такие элементы обычно выносятся во внешний контур и, как правило, не пересекаются с системами автоматизации. А для медицины есть вероятность того, что веб-сайт, через который идет запись пациентов, может иметь доступ к внутренним медицинским базам данных. Взлом такого веб-сайта может привести к выводу из строя работы медицинского объекта и краже персональных данных.

Уровень технологического суверенитета в данных отраслях также неодинаков. Часть компаний начала движение в этом направлении еще в 2014 г. и за это время многого достигла. Другие включились позже – после 2019-го или даже 2022 г., и результаты у них скромнее.

Небольшие организации с ограниченной инфраструктурой смогли адаптироваться быстрее. Крупные компании с устоявшимися технологическими процессами, завязанными на иностранное оборудование, объективно не могут провести его замену на локальные решения в короткие сроки – для этого требуется полное обновление производственных цепочек. Но в целом за последние годы уровень готовности вырос: сформировались компетенции, появились планы и механизмы перехода, чего еще два года назад во многих компаниях не существовало.

Поэтому говорить о типовых уязвимостях – это все равно что гадать на кофейной гуще. Где-то действительно будут не закрыты уязвимости пятилетней давности, а где-то, к примеру, обновлены объекты инфраструктуры, но при этом содержатся ошибки в настройках, которые могут привести к взлому. Каждый объект, каждую компанию стоит оценивать сугубо индивидуально.

Что касается взаимодействия с регуляторами и профильными ведомствами, наиболее эффективна практика создания централизованной команды. Такая группа отвечает за коммуникацию с контролирующими органами, аккуратно классифицирует все объекты и доносит решения регуляторов до исполнителей в структурированном виде. Централизованный подход исключает ситуацию, когда разные подразделения или отдельные объекты самостоятельно вступают в контакт с ведомствами и начинают интерпретировать требования по-разному. Таким образом, единый канал взаимодействия повышает эффективность и снижает риски ошибок.

Киберустойчивость как новая норма: что делать бизнесу и государству

Переход от формального выполнения требований к реальной киберустойчивости требует последовательных практических шагов. Нормативная база лишь задает рамки, но сама по себе не гарантирует защищенности. Важно, чтобы компания видела конечную цель – устойчивую инфраструктуру, способную противостоять реальным угрозам.

Аудит активов

Первое, с чего стоит начинать, – аудит имеющихся активов. Ассет-менеджмент позволяет собрать полную картину: какие информационные системы и сервисы используются, кому они принадлежат, какие бизнес-процессы поддерживают. На этом этапе выявляются устаревшие или дублирующие решения, "теневые" ИТ-сервисы, которые увеличивают поверхность атаки.

Задача – сократить число лишних или устаревших информационных систем, чтобы злоумышленнику было сложнее проникнуть во внутренний контур.

Управление уязвимостями

Второй шаг – выстроить процесс управления уязвимостями. Необходимо наладить процесс регулярного обновления программного обеспечения, операционных систем, гипервизоров и прошивок для серверов, сетевого оборудования. Многие успешные атаки происходят из-за того, что компании своевременно не устранили известные бреши в защите. Проведение регулярного сканирования активов на наличие уязвимостей и отлаженный процесс обновления этих активов значительно снижают риски киберинцидентов.

Права доступа

Третий важный элемент – аудит прав доступа. Нужно контролировать, кто и к каким системам имеет доступ, регулярно проверять актуальность учетных записей и матриц доступа. Частая проблема – задержка блокировки учетных записей после увольнения сотрудников, чреватая утечками данных. Упорядоченные процессы предоставления и отзыва прав значительно усиливают защиту.

Резервное копирование данных и навыки их восстановления

Наконец, нельзя забывать про резервное копирование данных и практические навыки восстановления. Само наличие копий не гарантирует безопасности, если компания не умеет оперативно восстанавливать инфраструктуру. Регулярные учения помогают проверить готовность, выявить технические и организационные узкие места, скорректировать процессы восстановления после сбоев. Необходимо помнить, что сбои могут быть вызваны не только кибератаками, но и внешними факторами – от перебоев с электроснабжением до технических неисправностей оборудования.

Заключение

В качестве завершения хотелось бы сказать, что государство, со своей стороны, также способствует росту технологического суверенитета, обеспечивая нормативную базу и создавая инфраструктуру реагирования. Через Национальный союз кооператоров и предпринимателей (НСКИ) России аккумулируются сведения об инцидентах, им разработаны документы, определяющие порядок защиты объектов критической информационной инфраструктуры. На следующем этапе важно оптимизировать процессы и сделать их более прозрачными. Речь идет не о раскрытии деталей, а о распространении обобщенной информации о произошедших инцидентах, чтобы отраслевые специалисты понимали, каким образом реализуются недопустимые события и какие меры помогают избежать подобных ситуаций.

Отдельный вызов – новые типы атак, включая массовые. С технической точки зрения инструменты понятны, но организационно важно усилить доверие между государством, компаниями и участниками рынка. Необходимо создавать условия для безопасного обмена информацией: в частности, компании должны иметь возможность делиться данными о новых атаках и индикаторах компрометации (IP-адресах, доменах, хешах файлов), не опасаясь репутационных рисков. Такая модель позволит быстрее реагировать на угрозы и повышать защищенность не только отдельных организаций, но и отраслей в целом.

Закон № 187-ФЗ действует уже много лет, компании научились с ним работать и накопили практический опыт. Рынок адаптировался, а участники отрасли понимают требования и умеют их выполнять. Главная задача – продолжать развитие, обмениваться опытом и укреплять взаимодействие, чтобы киберустойчивость стала естественной нормой работы бизнеса и государства.

Иллюстрация к статье сгенерирована нейросетью Kandinsky