Спецпроекты

Безопасность Бизнес Законодательство Техника

Больше половины объектов критической инфраструктуры России не успеют выполнить требование по имортозамещению ИБ

Больше половины ответственных за информбезопасность на объектах КИИ должностных лиц сказали на анонимном опросе, что их компании не успеют импортозаместить информзащиту до конца 2024 г., как того требует Указ Президента.

КИИ не успевает поменять средства ИБ

Согласно данным анонимного опроса более 80 ИT- и ИБ-директоров, проведенного «К2 кибербезопасность», больше половины (59%) средних и крупных компаний с критической информационной инфраструктурой (КИИ) в России не успеют полностью перейти на отечественные решения по кибербезопасности до конца 2024 г., пишут «Ведомости».

Уже заменили зарубежные решения на отечественные аналог только 19% опрошенных компаний еще 22% — в процессе перехода, но, скорее всего, успеют выполнить требование Указа Президента.

Указ № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», изданный в 2022 г., среди прочего вводит полный запрет на средства ИБ иностранной разработки с 2025 г. Под действие этого документа подпадают не только органы государственной власти, госкомпании и операторы КИИ, но также стратегические предприятия и так называемые системообразующие организации.

Причины задержки перехода

Большая часть опрошенных 31% отмечают, что главная сложность выполнения указа в «заметном» недостатке отечественных аналогов зарубежных ИБ-решений. Имеющиеся аналоги недостаточно качественны, сказали еще 28% респондентов. В 14% опрошенных компаний нет бюджета и других ресурсов, чтобы перейти на российские средства киберзащиты. Еще 8% называют главной сложностью нереалистичные сроки, а 6% — неготовность инфраструктуры.

Компани КИИ не успевает в срок перейти на отечественные средства информзащиты

По словам эксперта рынка НТИ SafeNet Игоря Бедерова, одной из главных причин, почему компании не укладываются в обозначенные сроки, является недостаток квалифицированных кадров: «Обучение и подготовка персонала — это длительный процесс, а в России долгое время обучались работать именно с западным ПО и “железом”».

Еще одну серьезную проблему создает то, разработка и внедрение новых средств защиты на производстве всегда связаны с технологическими остановками этого производства, считает заместитель директора Центра компетенций НТИ «Технологии доверенного взаимодействия» на базе ТУСУР Руслан Пермяков.

Что будет за неисполнение Указа

За неисполнение указа предусмотрена ответственность как по статьям КоАПа, так и по УК, сказал Олег Дубинин, управляющий партнер консалтинговой компании «Дубинин & партнеры». В частности, согласно п. 6 ст. 13.12 КоАПа, нарушение требований о защите информации (за исключением информации, составляющей гостайну) предусматривает штраф для должностных лиц до двух тыс.. и для юрлиц – до 15 тыс. руб.

П. 1 ст. 13.12.1 КоАПа за нарушение требований к созданию систем безопасности значимых объектов КИИ предполагает штраф на должностных лиц до 50 тыс. руб., а на юрлиц – до 100 тыс. руб. Есть и уголовная ответственность: согласно ч. 3–4 ст. 274.1 УК, за нарушение правил обращения с информацией в КИИ страны предусмотрено наказание от пяти лет принудительных работ до лишения свободы до восьми лет.

Однако Дубинин отмечает, что КоАП и УК предполагают ответственность за нарушение требований федеральных законов, при том что указ президента № 250 таковым не является. В российском законодательстве нет нормы, предусматривающей ответственность за невыполнение конкретного указа президента, подтвердил Павел Катков, основатель юридической компании Future Legal.

Точные последствия при невыполнении требований для каждой компании могут определяться индивидуально, полагает Егор Куликов, руководитель направления безопасности КИИ и АСУ ТП в «К2 кибербезопасности».

Однако Катков заметил, что обычно, если поручение не выполняется по объективным причинам, сроки сдвигают, чтобы позволить их выполнить. Дубынин согласен, что сроки могут быть сдвинуты: «Государство в постоянном контакте с бизнесом видит, что бизнес стремится перейти и делает многое для этого перехода, поэтому небольшой сдвиг по итоговым срокам государство одобрит».

Требования в импортозамещению ПО критической инфраструктуры

В июле 2024 г. CNews писал о принятии Госдумой в первом чтении законопроекта о преимущественном использовании российского ПО на значимых объектах КИИ с первого марта 2025 г., согласно которому субъекты КИИ обязаны обеспечить переход на преимущественное использование российских ПО и радиоэлектронной продукции, в том числе телекоммуникационного оборудования и программно-аппаратных комплексов (ПАК).

Документ устанавливает право Правительства Росси устанавливать конкретные сроки и порядок такого перехода. В законе говорится не о полном запрете, а о преимущественном переходе на российское ПО. В некоторых случаях, определять которые будет также кабинет министров, будет возможно использование ПО и оборудования из иностранных государств.

Анна Любавина

Короткая ссылка