Мировое сообщество всерьез озабочено безопасностью критической инфраструктуры своих государств, в том числе национального сегмента Сети. В России разработано два законопроекта в этой сфере и создана государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак. По мнению экспертов, эти законопроекты нуждаются в серьезной доработке.

Задача защиты Рунета от внешних угроз впервые была поставлена перед профильными госведомствами в 2014 году после проведения «цифровых учений», по результатам которых представители силовых ведомств, «Ростелекома» и «Координационного центра национального домена сети Интернет» пришли к выводу, что российский сегмент Сети плохо защищен от внешних воздействий.

Международный опыт

Проблема защиты критической информационной инфраструктуры (КИИ) актуальна не только для России, но и для других стран. И в каждой из них существует собственный подход к ее решению. Так, в США при определении КИИ четко разделяются понятия «интернет» и «доступ к интернету». Также в Соединенных Штатах выделены три уровня безопасности – федеральный, уровень штата и уровень бизнеса, который непосредственно работает в этой сфере. России не хватает «малого» – определить уровни, объекты и субъекты КИИ.

В Европейском Сообществе принята директива безопасности критических услуг – так там называют КИИ. В ней также прописаны три уровня безопасности – уровень ЕС, уровень стран-участников ЕС и уровень субъектов двух типов – операторов и провайдеров критических услуг. Список последних каждая европейская страна определяет самостоятельно. Подходы к обеспечению безопасности в каждой европейской стране имеют свою специфику. Так, в Германии разработана система критериев объектов КИИ и четкие показатели по каждому их них, которым надо соответствовать для того, чтобы попасть в список. А в Швеции с 2014 года существует план действий, нацеленный на сокращение уязвимостей сетей и сервисов ведущих телеком-операторов. Отвечает за его реализацию гражданское ведомство – Управление почты и телекоммуникаций. Государство выделяет средства на расширение сетей волоконно-оптических линий связи (ВОЛС), закупку узлового оборудования и обеспечение условий для их непрерывной работы, например организацию на базе специальных бункеров площадок для размещения ключевых DNS-серверов. Кроме того, трем национальным операторам государство предоставило 1600 малых резервных электрогенераторов и 10 мобильных GSM-станций.

Китай и Индия, как и Россия, имеют федеративную структуру, и государство регулирует все сферы деятельности. В Китае закон о кибербезопасности вступает в силу с 1 июня 2017 года. В нем также используется понятие КИИ, а основной его посыл: КИИ должна обеспечивать непрерывность бизнес-процессов. В законе вводится понятие оператора КИИ и поставщика сетевых продуктов, а также прописаны требования по лицензированию и сертификации их деятельности государством. Интересно, что закон о кибербезопасности действует только в материковом Китае и не распространяется на Макао и Гонконг. В Индии аналогичный закон рождается с большим трудом, однако национальный центр по компьютерным инцидентам существует в этой стране с 2014 года.

Инициативы Минкомсвязи и ФСБ

В мае 2016 года появилась информация о том, что Минкомсвязи работает над законопроектом «Об автономной системе интернет», в котором описывается, как будет работать российский сегмент в случае его отключения от глобальной Сети. Под инфраструктурой Рунета в этом законопроекте понимается совокупность расположенных в стране линий и узлов связи, центров обработки данных (ЦОД), которые обеспечивают работоспособность Сети. Под автономной системой – совокупность средств связи и других технических средств с уникальным номером, пропуск трафика между которыми осуществляется по единым правилам.

Все пользователи, имеющие IP-адрес в автономной сети, должны сообщить свои данные государству, а ее владельцы – использовать средства контроля трансграничного трафика. Право регулирования всех критических элементов инфраструктуры (национальные домены в зонах .ru и .рф, точки обмена трафиком и др.) передается государству в лице специального органа исполнительной власти. Также планируется создать единую федеральную информационную систему обеспечения целостности и устойчивости Рунета, в которую будут включены системы маршрутно-адресной информации, мониторинга трафика и корневых доменных имен.

В декабре 2016 года ФСБ представила законопроект «О безопасности критической информационной инфраструктуры РФ», который устанавливает основные принципы обеспечения безопасности критической информационной инфраструктуры, полномочия государственных органов в этой области, права, обязанности и ответственность лиц, владеющих объектами такой инфраструктуры, операторов связи и информационных систем, обеспечивающих взаимодействие этих объектов.

Также в 2016 году заработала государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА), концепция которой была утверждена в декабре 2014 года. ГосСОПКА объединяет ведомственные и территориальные центры обнаружения, предупреждения и ликвидации последствий компьютерных атак, а также созданный на базе ФСБ Национальный координационный центр по компьютерным инцидентам GOV-CERT (НКЦКИ), который организует обмен информацией о них с госведомствами и юрлицами, владеющими объектами критической ИТ-инфраструктуры РФ, операторами связи, иностранными госорганами и др. Система должна выявлять компьютерные атаки, определять их источники и оперативно реагировать на них. На сегодня к системе подключено уже 10 госорганов.

По мнению экспертов, оба законопроекта нуждаются в серьезной доработке. «Интернет – многоуровневая сущность, которую невозможно отключить с помощью одного рубильника, как бы этого ни хотело государство», – говорит Мадина Касенова, юрист по критической инфраструктуре Дипломатической Академии МИД РФ. Она рекомендует воспользоваться мировым опытом разделения понятий «интернет» и «доступ к интернету», поскольку их регулирование должно происходить по-разному.

Также в российском законодательстве очень сложные критерии отнесения объекта к КИИ и четко не определено, что такое воздействие на критическую инфраструктуру. По словам Олега Демидова, консультанта ПИР-Центра, в некоторых странах в понятие КИИ в сфере ИТ попадает все, что связано с DNS. В Европе отдельно выделяются точки ИТ-коммуникаций и обмена трафиком, а также сетевая инфраструктура крупнейших провайдеров – ВОЛС, сетевое оборудование и средства маршрутизации, системы обеспечения электроэнергией серверов и сетевого оборудования. «России не хватает такой четкости», – говорит эксперт. «В интернете нет централизованного управления и нет иерархический схемы, поэтому и возникает проблема с перечнем КИИ интернета, – говорит Михаил Медриш, директор по эксплуатации «Комкор». – Все это следствие зашоренности сознания людей, которые пытаются управлять тем, в чем они плохо разбираются».

Еще одна проблема, с которой столкнулись законодатели, – это трансграничность интернета. «Попытки суверенитезации производят к тому, что люди употребляют термин «национальный сегмент» всерьез, – продолжает Михаил Медриш. – Но при этом они забывают, что точки обмена трафиком и маршрутизации операторов находятся за пределами России. Интернет – трансграничен, и сказать, что где-то есть суверенный интернет – это логическая ошибка». По его мнению, критерием принадлежности сервера к той или иной «национальности» должно стать не то, где он находится, а то, кто им управляет. «Не надо прописывать в законе техническую сторону работы интернета – надо прописывать взаимоотношения субъектов, и тогда все встанет на свои места», – уверен эксперт.

Среди рекомендаций экспертов также разделение уровней ответственности за безопасность КИИ между федеральным центром и субъектами. Кроме того, закон должен затрагивать не только операторов связи, но и производителей оборудования, и провайдеров интернет-услуг. По мнению Ульяны Зининой, директора по корпоративным вопросам Microsoft в России, государство также должно четко прописать, о каких инцидентах в сфере ИБ и в какие сроки необходимо сообщать в ГосСОПКу. Например, директива ЕС предписывает уведомлять только о тех событиях, которые могут оказать влияние на доступность сервисов.

Дело за малым

По словам Алексея Лукацкого, независимого бизнес-консультанта по безопасности, для того чтобы ГосСОПКА заработала в полную силу, в ближайшее время необходимо принять целый ряд документов. Во-первых, Минкомсвязи должно определить, как будут присоединяться к системе операторы связи, каким образом к сетям связи будут подключаться владельцы критической инфраструктуры. Также необходимо  четко прописать, какие средства отражения атак и как должны использовать операторы связи.

ФСБ должна выпустить требования по сертификации средств защиты критической инфраструктуры, а также методические указания, как обнаруживать атаки и реагировать на них. Ведомству необходимо подробно описать, как присоединиться к ГосСОПКе, каковы требования к отдельным элементам системы, что представляют собой сенсоры, которые будут передавать данные и пр.

Также регулятор, который пока неизвестен, должен определить технические требования к защите критической инфраструктуры и правила надзора за субъектами, владеющими такими объектами.

По мнению Искeндера Нурбекова, заместителя директора Фонда развития интернет инициатив (ФРИИ) по правовым вопросам, сегодня в российском законодательстве хорошо проработана техническая сторона обеспечения информационной безопасности, но традиционно слабыми остаются вопросы расследования и доведения дела до суда. «Реальных приговоров мало. Если посмотреть на существующие компьютерные преступления, то все они преследуют цели, которые уже покрываются законодательством, – корысть, терроризм, экстремизм и прочее, – говорит он. – В США для возбуждения дела достаточно того, чтобы на вашем компьютере обнаружили порнографию. Если вы сможете доказать, что она попала туда случайно, вам удастся избежать ответственности». По мнению Нурбекова, эффективность борьбы с преступлениями зависит от качества работы правоохранительных органов, и это основная проблема России.