Защита критической информационной инфраструктуры
К объектам критической информационной инфраструктуры авторы законопроектов относят ИТ-системы государственных органов, энергетических, оборонных, топливных предприятий и других важных государственных объектов, отмечая, что «при развитии событий по наихудшему сценарию компьютерная атака способна парализовать критическую информационную инфраструктуру государства и вызвать социальную, финансовую и/или экологическую катастрофу».
«По данным за последние годы, исходя из различных методик оценки ущерба от вредоносных программ, он составлял от $300 млрд до $1 трлн, то есть от 0,4% до 1,4% общемирового ежегодного ВВП, и эти показатели имеют тенденцию к неуклонному росту. Характерными примерами последствий негативного воздействия компьютерных атак на критическую инфраструктуру государства могут послужить остановка центрифуг иранской атомной станции с помощью компьютерного вируса StuxNet в сентябре 2010 г. и паралич работы нескольких крупных финансовых учреждений Южной Кореи в марте 2013 г.», — говорится в сопроводительных документах к законопроектам.
Законопроекты должны «установить основные принципы обеспечения безопасности критической информационной инфраструктуры, полномочия государственных органов РФ в области обеспечения безопасности критической информационной структуры, а также права, обязанности и ответственность лиц, владеющих объектами КИИ, операторов связи и информационных систем, обеспечивающих взаимодействие этих объектов».
Реестр объектов КИИ
В качестве одной из мер обеспечения безопасности КИИ предлагается создать специальный реестр, который будет включать в себя все имеющие важность объекты инфраструктуры, распределенные по своей политической, экономической, экологической и социальной значимости. Предполагается, что объекты, внесенные в реестр, будут иметь одну из трех категорий значимости: высокую, среднюю или низкую.
Представители объектов КИИ, входящих в реестр, обязаны будут информировать об инцидентах кибератак и оказывать содействие в ликвидации их последствий. В частности, владельцев критической инфраструктуры обяжут создать и обеспечить функционирование системы кибернетической безопасности их объектов, а также следить за созданием и хранением резервных копий информации, необходимой для нормального функционирования ИТ-систем.
Хакерам будут давать до десяти лет
Также предлагается дополнить уголовный кодекс РФ статьей 274.1 «Неправомерное воздействие на КИИ РФ». Статья будет предусматривать уголовную ответственность за создание и распространение вредоносных компьютерных программ, предназначенных для атак на КИИ, за неправомерный доступ к данным, содержащимся в КИИ, и нарушение правил систем хранения и обработки таких данных.
Статья предусматривает штрафы для злоумышленников до 2 млн и тюремные сроки до 10 лет — в зависимости от тяжести совершенного преступления, наличия предварительного сговора и числа участников. Авторы законопроектов подчеркивают, что «опасность могут представлять атаки, совершаемые в преступных, террористических и разведывательных целях со стороны отдельных лиц, сообществ, иностранных специальных служб и организации».
Планируется, что поправки, внесенные на рассмотрение, вступят в силу с 1 января 2017 г., за исключением нескольких статей, среди которых положения о введении уголовной ответственности за нарушения в области безопасности критической инфраструктуры. Они вступят в силу с начала 2018 г.
Центробанк тоже обеспокоен киберугрозами
Недавно также сообщалось о том, что Центробанк для борьбы с кибератаками планирует организовать межведомственную рабочую группу по созданию единой системы противодействия информационным угрозам, в которую помимо представителей самого ЦБ также войдут специалисты из МВД, Минкомсвязи, ФСТЭК и Минфина. Рабочая группа займется проверками платежных онлайн-приложений российских банков на соответствие требованиям безопасности и наличие уязвимостей и недекларированных возможностей.