Напомним, закон о безопасности КИИ вступил в силу 1 января 2018 года. К объектам критической инфраструктуры он относит информационные системы и информационно-телекоммуникационные сети госорганов, а также автоматизированные системы управления технологическими процессами в оборонной индустрии, в здравоохранении, связи, на транспорте, в кредитно-финансовой сфере, энергетике и в ряде отраслей промышленности (топливной, атомной, ракетно-космической, металлургической, химической, горнодобывающей). Кроме того, в перечень объектов КИИ включены организации в сфере науки. Наконец, документ распределяет объекты КИИ на категории по социальной, политической, экономической значимости, а также "значимости для обеспечения обороноспособности, безопасности государства и правопорядка".
По закону владельцы объектов КИИ обязаны отнести их к одной из этих категорий и подключить к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак ГосСОПКА, созданной ФСБ. В эту систему они должны передавать информацию обо всех инцидентах на объектах. Законом введена уголовная ответственность для сотрудников компаний, управляющих объектами КИИ, за нарушение правил эксплуатации, которое повлечет вред для критической инфраструктуры, а также ужесточено наказание для хакеров, которые решат атаковать объекты КИИ.
В письме Талыбова говорится, что сейчас закон не позволяет правительству устанавливать требования об использовании российского программного обеспечения и оборудования на объектах КИИ. В связи с этим закон предлагается дополнить соответствующей нормой, а также запретить иностранным компаниям "обеспечивать взаимодействие" с сетями и информационными системами критической инфраструктуры. Речь идет о поправке, согласно которой у юридических лиц, обеспечивающих взаимодействие сетей и систем критической инфраструктуры, конечными бенефициарами должны быть граждане России без двойного гражданства. Аналогичные требования будут касаться и индивидуальных предпринимателей, взаимодействующих с объектами КИИ.
Ранее в ФСБ и ФСТЭК говорили, что в России насчитывается около 1 млн объектов КИИ. По словам консультанта по информационной безопасности Cisco Systems Алексея Лукацкого, каждый такой объект включает десятки или сотни компьютеров, а также устройства иных типов. По мнению эксперта российские производители не имеют мощностей для замены иностранного ПО и оборудования на таком количестве объектов.
"Пару лет назад во время подготовки подзаконных актов к закону о безопасности КИИ власти уже предлагали включить в них норму об использовании на подобных объектах только того софта, который включен в реестр отечественного программного обеспечения Минкомсвязи. Владельцы КИИ высказались категорически против. Одна из причин – ничем не обоснованные затраты. Например, один из банков, входящий в топ-5 в России, оценивал переход на отечественное ПО в 400 млрд рублей. Но еще важнее отсутствие российского ПО и оборудования, которое должно прийти на смену иностранному", – рассказал Лукацкий.
Эксперт добавил, что формулировка "организации, осуществляющие взаимодействие с системами критической инфраструктуры" является довольно размытой и вызывает вопросы с момента появления закона. В широком смысле под это определение попадают центры обработки данных, облачные провайдеры и интернет-компании, часть из которых относится к акционерным обществам: в числе их бенефициаров могут быть иностранные граждане и юридические лица. Если трактовать этот термин таким образом, то реализовать предложение по ограничению взаимодействия иностранных компаний с объектами критической инфраструктуры невозможно, полагает Лукацкий.
В свою очередь замгендиректора завода "Физприбор", который занимается разработкой ИТ-систем для управления технологическими процессами на промышленных предприятиях, Вадим Подольный отметил, что реализовать инициативу по переходу на отечественное оборудование и софт можно поэтапно.
"Инициатива, возможно, неплохая, если обязать устанавливать российское оборудование и программное обеспечение на новых объектах КИИ, которые пока только проектируются, либо на этапе модернизации или при планово-предупредительном ремонте действующих объектов КИИ. Но останавливать действующий объект КИИ только ради того, чтобы поменять на нем, например, какие-то импортные контроллеры на российские, экономически невыгодно. Замена целесообразна, если, например, софт или оборудование было скомпрометировано", – пояснил Подольный, добавив, что некоторые иностранные разработки, используемые на объектах КИИ, не имеют аналогов в России.