В Музее криптографии в Москве 12 октября 2023 года прошла презентация совместного исследования подразделения «К2 Кибербезопасность» и портала Anti‑Malware.ru, посвящённого реализации 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (КИИ). По этому исследованию, 71% опрошенных российских компаний сталкивались с различными сложностями при реализации требований 187-ФЗ. Кроме того, 44% респондентов планируют кратно увеличить расходы на безопасность из‑за требований закона, узнала информационная служба Хабра на презентации исследования. (материал был дополнен)

Представляли исследование директор по развитию «К2 Безопасность» Андрей Заикин, директор по информационной безопасности «Т Плюс» Татьяна Зайцева, архитектор решений по информационной безопасности Positive Technologies Михаил Кадер, директор по развитию SOC «К2 Безопасность» Анастасия Фёдорова и главный редактор портала Anti‑Malware.ru Илья Шабанов, он же был модератором дискуссии.

Началось представление исследования с предпосылок к его проведению. По указу Президента РФ, с 1 января 2025 субъектам КИИ запрещается использовать средства защиты информации производства недружественных стран. В связи с этим решено было провести исследование, готовы ли субъекты КИИ к замене оборудования.

Исследование проводилось в июне — августе 2023 года среди IT‑руководителей и ИБ‑руководителей крупных российских компаний и госкорпораций. 62% опрошенных были представителями крупных компаний с выручкой более ₽5 млрд в следующих отраслях: электроэнергетика, металлообработка, медицина и фармацевтика, металлургия, транспорт и логистика, горная добыча, химическая промышленность, финансы, нефтегазовая промышленность. Остальные респонденты были представителями компаний, занимающихся разработкой аппаратного и программного обеспечения для ИБ или оказывают услуги обследования инфраструктуры и категорирования объектов. Всего выборка составила 108 руководителей. Метод сбора информации представлял собой глубинные интервью с последующей нормализацией для статистического анализа.

Татьяна Зайцева

Директор по информационной безопасности «Т Плюс»

«В соответствии с утвержденным графиком мы переводим наши объекты на российские решения, в отношении объектов КИИ реализованы требования ФЗ 187. Считаем, что, в связи с постоянно увеличивающимся количеством атак, требования закона выглядят обоснованными. Они направлены на создание не только бумажной, но и практической ИБ. Принятие закона и подзаконных актов (в частности Указов 166 и 250) позволило Заказчикам требовать соблюдения требований ИБ от поставщиков в предлагаемых решениях» .

По словам авторов исследования, к категории субъектов КИИ относятся предприятия, нарушение работы которых может привести к выходу из строя транспортной инфраструктуры, сетей связи, государственных услуг, нанесению ущерба жизни и здоровью людей. Основная цель 187-ФЗ — защитить IT‑системы госорганов, банков, промышленности, медицинских учреждений и других компаний от кибератак. Закон был принят в 2018 году, но 35% респондентов ещё находятся на старте реализации проекта. Только 7% компаний полностью завершили проекты по реализации его требований. 27% респондентов назвали главной проблемой при реализации требований закона подбор и закупку отечественного ПО и оборудования. При этом 21% организаций признаются, что не успеют перейти к 2025 году на отечественные продукты на значимых объектах КИИ, согласно требованиям 166 Указа.

В ходе представления исследования выяснилось, что 14% опрошенных организаций были вынуждены поднять бюджет в 10 раз. Это произошло из‑за недооценки объёма работ, недостаточного глубокого аудита. В свою очередь это привело к увеличению продолжительности работ. Технические особенности инфраструктуры компаний также повлекли сложности с реализацией указа Президента.

Также на пресс‑конференции говорилось, что в некоторых компаниях нет полного понимания требований законодательства, что в дальнейшем приводит к увеличению необходимых СЗИ.

Валентин Данилушкин

Начальник отдела управления ФСТЭК России по Центральному федеральному округу

«Начать системную работу над исполнением требований 187-ФЗ организации во многом побудил Указ Президента РФ от 01.05.2022 г. № 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации", в котором были указаны конкретные ответственные лица. ФСТЭК России с 2017 года ведёт планомерную разъяснительную работу, призванную облегчить субъектам КИИ понимание закона и приведение своей деятельности в соответствие с его требованиями. Мы постоянно организуем внутренние и выездные мероприятия, делаем адресные рассылки. На данный момент организации активно присылают нам документы с перечнями и сведениями об объектах КИИ. Мы прогнозируем дальнейшую активизацию субъектов КИИ по выполнению требований закона».

Основным препятствием по переходу на отечественные решения респонденты называют сложности с заменой иностранных решений на отечественные, связанные как с высокой стоимостью, так и с нехваткой оборудования. 48% опрошенных уверены, что российские продукты позволят закрыть требования закона. 31% респондентов не удовлетворены тем, что предлагает рынок, 21%  опрошенных затруднились ответить, 13% испытывают трудности в понимании самого закона, у 8% респондентов были проблемы, связанные с организацией процессов, а именно с выделением ответственных лиц, построением внутренних процессов и категорирования, подготовкой документов.

Андрей Заикин

Директор по развитию бизнеса «К2 Кибербезопасность»

«Несмотря на серьёзные трудности, с которыми сталкивается бизнес, ситуация с обеспечением безопасности КИИ позитивная. По данным исследования, 90% субъектов КИИ приступили к реализации закона. Речь идёт о десятках тысяч организаций. По нашему опыту, большое количество предприятий всё ещё используёт зарубежные решения в инфраструктуре значимых объектов защиты, в том числе средства защиты. При этом мы видим тренд, что российские вендоры сейчас получили большой драйвер роста в связи с освободившимися продуктовыми нишами, а также поддержку от государства. Компании развивают свои продукты, при этом используют передовые технологии, доступные на рынке».

К сожалению, секции вопросов и ответов на пресс-конференции не было, поэтому мне не удалось задать вопрос всем участникам дискуссии по исследованию, а в кулуарах отлавливать не хотелось. Вопрос у меня был простой — не связаны ли проблемы замещения решений по ИБ с компетенциями специалистов, ответственных за закупку  решений ИБ и узкоспециализированных отраслевых продуктов. Например, когда специалисты закупили несколько зарубежных ИБ-решений, а они мало того что были настроены аутсорсерами, так никто их не трогал, да они ещё и друг друга дублируют.

Илья Шабанов

Главный редактор Anti-Malware.ru

«Хотя 187 ФЗ был принят в 2018 году, именно сейчас тема защиты КИИ снова стала актуальна. Рынок сильно трансформировался, количество атак выросло. Сейчас субъекты КИИ активно стараются адаптироваться к новым условиям, но для этого им теперь надо не просто разобраться в законе, но и иногда полностью перестроить свои организационные процессы и IT-инфраструктуру. Мы видим свою роль в том, чтобы рассказать о нюансах законодательства, новых решениях и рабочих методах адаптации. Именно поэтому мы приняли участие в проведение этого исследования».

Или обратный пример, решение для одной конкретной области, например антивирус, используют ещё и как средство системного администрирования, хотя эта функция добавлена разработчиками для удобства настройки антивирусной защиты на устройствах.

Другой пример, когда специализированное решение под отрасль предприятия куплено очень давно и не было надобности его менять, поэтому никто не искал альтернатив. И вот с ужесточением требований к КИИ в спешном порядке начался поиск такого решения.

Кстати, походив по многим конференциям, я неоднократно слышал про проблемы нехватки специалистов. Поэтому проблемы замены решений с ужесточением требований к КИИ может быть связано и с нехваткой кадров.

Михаил Кадер

Архитектор решений по информационной безопасности Positive Technologies

«Мы видим существенное изменение подходов регуляторов в направлении практической, результативной кибербезопасности, в том числе и с точки зрения реализации конкретных подходов на предприятиях: начиная от ответственности руководства и заканчивая процессами оценки и подтверждения уровня защищенности».

Подводя итог пресс‑конференции и исследования: в исследовании мне не хватило выборки, то есть хотелось бы больше респондентов. На мой взгляд, выборка не самая большая, и критерии её очень ограничены. В ту же госкорпорацию «Ростех» входит очень много компаний и предприятий, которые попадают под требования КИИ (не знаю, имеют ли они выручку 5 млрд) и хотелось бы узнать у них, как они справляются с требованиями. Кроме «Ростеха» есть ещё «Росатом», «Роскосмос». Да и хотелось побольше из финансового сектора респондентов. Возможно, представители этих отраслей и компаний в опросе были, но в исследовании я не нашёл ссылки на конкретные компании, кроме вендоров и интеграторов.

По оценке ФСТЭК, в России насчитывается 500 тысяч субъектов КИИ. Поэтому репрезентативной выборкой в исследовании, готовы ли субъекты к выполнению указа, хотелось бы видеть от 50 тысяч субъектов. Ну это скорее из разряда идеальных условий, потому что я прекрасно понимаю, получится сложное долгое исследование. Не все из 50 тысяч, даже из 5 тысяч захотят предоставлять данные, тем более не компетентным органам, а журналистам, исследователям и ещё кому‑то публичному. Во‑первых, придётся публично признать, что есть проблемы, а во‑вторых — сами регуляторы будут с интересом изучать эти исследования, и это повлечёт уже административные наказания, а может, и не только их.

Ещё об уроне подготовленности к реализации указа говорит то, что при анализе выявляются хакеры из дружественных стран. Они находятся в периметре некоторых субъектов КИИ, но взлома не присходит. Однако хакеры читают различные документы субъектов, включая аналитические отчеты, планы и так далее. Хотелось бы от вендоров примерной выборки, насколько эта проблема распространена.

Михаил Кадер

Архитектор решений по информационной безопасности Positive Technologies

«Занимаясь анализом защищённости определенных заказчиков наблюдается ситуация, когда в инфраструктуре такого значимого заказчика находятся представители страны, не входящей в список недружественных, которые не планируют наносить никакого ущерба, но с большим интересом читают документы: аналитические отчеты, планы, и прочее. Фактически, это киберразведка со стороны стран, не входящих в перечень недружественных».

Также в очередной раз было отмечено, что финансовый сектор подготовлен лучше всего к выполнению указа и ужесточению ИБ‑требований, а самой неподготовленной отраслью оказалась промышленность.

Ещё в начале 2023 года я брал интервью у Дмитрия Даренского, и как раз он озвучил мысль, что для очерчивания периметра информационной безопасности надо провести аудит. Ту же самую мысль озвучили все спикеры на пресс‑конференции.