Треть объектов информационной инфраструктуры не проходит проверку ФСТЭК

Москва. 16 ноября. INTERFAX.RU - Около 30% объектов критической информационной инфраструктуры (КИИ) не проходят проверку Федеральной службы по техническому и экспортному контролю (ФСТЭК) на соответствие той или иной категории значимости.

Об этом на SOC-Форуме (Security Operation Center - центры мониторинга информационной безопасности) заявил заместитель директора ведомства Виталий Лютиков.

"За конец 2022 года и 2023 год нами было проверено около 40 тысяч систем (объектов КИИ - ИФ), - сказал он. - Треть систем возвращается на доработку, с точки зрения переоценки ущерба при нарушении их функционирования в результате киберинцидентов".

По данным ФСТЭК, к настоящему времени в реестр объектов КИИ включено около 19% проверенных информсистем. Еще для 50% информсистем категории не присвоены, а по 31% заявки о присвоении той или иной категории значимости возвращены. При этом владельцам объектов КИИ было направлено около 1,6 тыс. требований о выполнении законодательства в части обеспечения безопасности.

"Количество систем растет, количество объектов, включаемых в реестр значимых объектов КИИ увеличивается, - отметил Лютиков. - Проблема в том, что операторы или владельцы объектов КИИ пытаются занизить ущерб, минимизировать и показать при определении объекта, что никаких последствий, никакого ущерба (при киберинцидентах - ИФ) не произойдет. Но те инциденты, которые происходили за последние два года, они свидетельствуют об обратном".

Так, по его словам, при категорировании объектов КИИ владельцы стараются разделить их на более мелкие фрагменты, показав тем самым более низкий уровень последствий от нарушения их функционирования. Также занижаются показатели возможных последствий, приводятся другие аргументы, согласно которым ничего существенного в случае киберинцидентов на объектах КИИ не произойдет.

Лютиков рассказал также, что выявляется немало нарушений при проверке соответствия систем ИБ объектов КИИ нормативным и техническим требованиям. Так, в текущем году было выявлено более 700 нарушений. Причем большая их часть - около 98% - типовые. К их числу ФСЭК относит отсутствие обновления антивирусных баз, отсутствие правильной настройки антивирусов, отсутствие мер обеспечения безопасности рабочих мест администраторов.

"Значимой проблемой остается большое число уязвимостей в информсистемах, - добавил Лютиков. - Почти каждая вторая проверяемая система имеет критические уязвимости".

При этом основной причиной большого числа уязвимостей в ПО объектов КИИ Лютиков назвал уход иностранных вендоров, которые перестали поддерживать свои решения, установленные на инфраструктуре российских заказчиков. "Здесь необходимо выстраивать процессы управления уязвимостями, чтобы минимизировать хотя бы критичные", - считает специалист.

Причем, по словам Лютикова, аналогичная ситуация наблюдается в том числе в компаниях-разработчиках ПО, продукты которых используются для замены решений иностранных разработчиков. "Уровень зрелости российских разработчиков в вопросах выявления и устранения уязвимостей в их продуктах мягко говоря недостаточный", - сказал он.

Еще одной проблемой, сказывающейся на уровне информбезопасности объектов КИИ, Лютиков назвал отсутствие ИБ-требований к поставщикам IT-услуг (так называемые атаки на "цепочку поставок" - ИФ).

"Ни на уровне законодательства, ни на уровне договорных отношений требования по обеспечению ИБ в системах подрядных организаций не установлены, - подчеркнул Лютиков. - Через эти слабозащищенные информсистемы злоумышленники получают доступ к объектам КИИ, которые защищены в соответствии с действующими нормативными и техническими требованиями. Эту проблему необходимо решать".

Согласно положениям 187-ФЗ ("О безопасности критической информационной инфраструктуры РФ"), к субъектам КИИ относятся госорганы, российские юрлица и индивидуальные предприниматели, которым принадлежат ИС, ИТС и АСУ в сфере здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, в финсекторе, топливно-энергетическом комплексе, атомной энергетике, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности. Установлено три категории значимости объектов КИИ. Для значимых объектов должны быть созданы СОИБ, удовлетворяющие определенным требованиям.

Помимо этого, в прошлом году были приняты указы президента №166 и №250, направленные на усиление уровня информбезопасности объектов КИИ. Так, например, последний из документов устанавливает запрет на использование импортных (из недружественных стран) СЗИ на объектах КИИ.

С марта 2023 года были снижены границы ущерба бюджету, расцениваемого как значимый (в случае кибер-инцидентов на объектах КИИ). Кроме того, в перечень субъектов КИИ экономической сферы помимо банков включены финансовые организации, а к социально-значимым негативным последствиям сейчас относятся не только нарушения функционирования транспортной инфраструктуры, но и транспортных средств.

Таким образом, число субъектов КИИ, для которых перечисленные требования стали обязательными, значительно выросло. По словам участников рынка информационной безопасности, в настоящее время точное количество подобных объектов пока не известно. Ранее, при "старой" версии закона (187-ФЗ), число объектов КИИ оценивалось приблизительно в 50 тыс. информационных систем.

Ранее Минпромторг отмечал, что существуют значительные сложности с категорированием объектов КИИ. В текущем году ведомство проводит их проверку.