Спецпроекты

Безопасность ИТ в госсекторе

В России за кибератаки будут сажать на 10 лет

В Госдуму внесен ряд законопроектов для защиты «критической информационной инфраструктуры». В рамках предложенных изменений, планируется создать реестр объектов КИИ и внести новую статью в Уголовный кодекс, по которой за кибератаки смогут дать до 10 лет тюрьмы.

Законодательная защита от киберугроз

Правительство России внесло на рассмотрение Госдумы несколько законопроектов, направленных на защиту информационных систем РФ от кибреугроз. Пакет законопроектов «О безопасности критической информационной инфраструктуры (КИИ) РФ» (скачать с сервера CNews), был внесен в Госдуму во вторник, 6 декабря 2016 г., сообщает «Интерфакс». В частности, для хакеров в нем предусмотрено наказание в виде лишения свободы до 10 лет (подробнее — ниже).

Защита критической информационной инфраструктуры

К объектам критической информационной инфраструктуры авторы законопроектов относят ИТ-системы государственных органов, энергетических, оборонных, топливных предприятий и других важных государственных объектов, отмечая, что «при развитии событий по наихудшему сценарию компьютерная атака способна парализовать критическую информационную инфраструктуру государства и вызвать социальную, финансовую и/или экологическую катастрофу».

«По данным за последние годы, исходя из различных методик оценки ущерба от вредоносных программ, он составлял от $300 млрд до $1 трлн, то есть от 0,4% до 1,4% общемирового ежегодного ВВП, и эти показатели имеют тенденцию к неуклонному росту. Характерными примерами последствий негативного воздействия компьютерных атак на критическую инфраструктуру государства могут послужить остановка центрифуг иранской атомной станции с помощью компьютерного вируса StuxNet в сентябре 2010 г. и паралич работы нескольких крупных финансовых учреждений Южной Кореи в марте 2013 г.», — говорится в сопроводительных документах к законопроектам.

Правительство примет законы для защиты от критических для страны кибератак

Законопроекты должны «установить основные принципы обеспечения безопасности критической информационной инфраструктуры, полномочия государственных органов РФ в области обеспечения безопасности критической информационной структуры, а также права, обязанности и ответственность лиц, владеющих объектами КИИ, операторов связи и информационных систем, обеспечивающих взаимодействие этих объектов».

Реестр объектов КИИ

В качестве одной из мер обеспечения безопасности КИИ предлагается создать специальный реестр, который будет включать в себя все имеющие важность объекты инфраструктуры, распределенные по своей политической, экономической, экологической и социальной значимости. Предполагается, что объекты, внесенные в реестр, будут иметь одну из трех категорий значимости: высокую, среднюю или низкую.

Представители объектов КИИ, входящих в реестр, обязаны будут информировать об инцидентах кибератак и оказывать содействие в ликвидации их последствий. В частности, владельцев критической инфраструктуры обяжут создать и обеспечить функционирование системы кибернетической безопасности их объектов, а также следить за созданием и хранением резервных копий информации, необходимой для нормального функционирования ИТ-систем.

Хакерам будут давать до десяти лет

Также предлагается дополнить уголовный кодекс РФ статьей 274.1 «Неправомерное воздействие на КИИ РФ». Статья будет предусматривать уголовную ответственность за создание и распространение вредоносных компьютерных программ, предназначенных для атак на КИИ, за неправомерный доступ к данным, содержащимся в КИИ, и нарушение правил систем хранения и обработки таких данных.

Статья предусматривает штрафы для злоумышленников до 2 млн и тюремные сроки до 10 лет — в зависимости от тяжести совершенного преступления, наличия предварительного сговора и числа участников. Авторы законопроектов подчеркивают, что «опасность могут представлять атаки, совершаемые в преступных, террористических и разведывательных целях со стороны отдельных лиц, сообществ, иностранных специальных служб и организаций».

Планируется, что поправки, внесенные на рассмотрение, вступят в силу с 1 января 2017 г., за исключением нескольких статей, среди которых положения о введении уголовной ответственности за нарушения в области безопасности критической инфраструктуры. Они вступят в силу с начала 2018 г.

Центробанк тоже обеспокоен киберугрозами

Недавно также сообщалось о том, что Центробанк для борьбы с кибератаками планирует организовать межведомственную рабочую группу по созданию единой системы противодействия информационным угрозам, в которую помимо представителей самого ЦБ также войдут специалисты из МВД, Минкомсвязи, ФСТЭК и Минфина. Рабочая группа займется проверками платежных онлайн-приложений российских банков на соответствие требованиям безопасности и наличие уязвимостей и недекларированных возможностей.

Антон Труханов

Короткая ссылка