ФСТЭК предъявит требования по кибербезопасности к господрядчикам

К господрядчикам, оказывающим услуги IT-разработки, будут предъявляться требования по обеспечению информационной безопасности информсистем. Соответствующий законопроект разрабатывает Федеральная служба по техническому и экспортному контролю (ФСТЭК), рассказал замдиректора ведомства Виталий Лютиков на пленарной сессии SOC Forum 2023 14 ноября. Необходимость разработки таких требований связана с тем, что большинство взломов и утечек данных из государственных информсистем (ГИС) происходит через подрядчиков-разработчиков, к которым сейчас никаких обязательных требований не предъявляется, объяснил Лютиков.

«Количество угроз растет, ущерб от них увеличивается. Остаются все старые [угрозы]. Решать эти проблемы приходится на законодательном уровне», – подчеркнул чиновник. Он отметил, что ФСТЭК проверила 40 000 систем критической информационной инфраструктуры и треть из них были отправлены на доработку «с точки зрения переоценки возможного ущерба» в случае нарушения работы при взломе.

«Вопрос, который у нас никак не получается решить, – нормативные требования и регулирование вопросов подрядных организаций и выставление требований к организациям, которые оказывают IT-услуги владельцам информационных систем, в первую очередь ГИС, – продолжил Лютиков. – Большинство инцидентов, которые были публичны в этом и в прошлом году, – они так или иначе были связаны с получением доступа к инфраструктуре через подрядные организации».

«Мы переходим к отечественному ПО, при этом уровень зрелости разработчиков отечественного ПО в вопросах отслеживания и устранения уязвимости продуктов, мягко говоря, недостаточный», – добавил он. Сейчас «ни на уровне законодательном, ни на уровне договорном» требования к подрядным организациям с точки зрения безопасности не установлены, объяснил Лютиков.

«Ведомости» направили запрос во ФСТЭК.

Представитель Роскомнадзора (РКН) отметил, что ведомство «всесторонне поддерживает коллег во ФСТЭК». Представитель Минцифры сообщил, что такой документ пока не поступал на рассмотрение, но ведомство поддерживает мероприятия, направленные на повышение уровня информбезопасности, и готово содействовать ФСТЭК в разработке законопроекта.

В январе «Ведомости» сообщали, что в 2022 г. количество кибератак на госорганы выросло, по различным оценкам, в 2–3 раза. Например, в апреле прошлого года хакеры опубликовали в открытом доступе 230 000 внутренних писем Минкульта, позже ведомство подтвердило факт утечки. В ноябре 2022 г. Государственный радиочастотный центр (подведомственный РКН ФГУП), признал утечку переписки и внутренних документов сотрудников.

Об инициативе ФСТЭК знает и заместитель директора Центра компетенций НТИ «Технологии доверенного взаимодействия» на базе ТУСУРа (Томский государственный университет систем управления и радиоэлектроники) Руслан Пермяков.

Сейчас системы и методики защиты информационных систем достигли уровня, когда прямой взлом или методы социальной инженерии, направленные на сотрудников целевой организации, неэффективны и требуют больших расходов времени и финансов, говорит эксперт. Поэтому часто применяется метод взлома, который называется «атака на цепочку поставок» или «атака на поставщика», добавляет он.

«Суть атаки в том, что целевая компания доверяет своим поставщикам и меры защиты информации при работе с такими поставщиками облегчены, – объясняет Пермяков. – Например, в корпоративную среду пускают сотрудников поставщика со своим «железом» или поставщику облегчают доступ в публичную часть корпоративной среды. В случае успешной атаки на такого поставщика у хакеров появляется доступ за периметр системы защиты информации».

«Зная изнутри кухню ряда инцидентов, которые происходили в 2022–2023 гг., могу сказать, что утечки действительно часто происходят от подрядчиков», – подтверждает бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий.

Такая регуляторика «напрашивалась давно», подтверждает руководитель департамента расследований T.Hunter Игорь Бедеров. «Дело все в том, что существующая процедура закупок для государственных органов и компаний не совсем соответствует текущим реалиям, – объясняет он. – Зачастую госзаказчик не имеет возможности официальным путем отказать компании, поскольку в нормативных актах отсутствуют четкие требования к ней. А любой формально необоснованный недопуск компании к торгам может явиться основанием для привлечения ФАС». Но нельзя и исключать то, что новые нормы станут дополнительным административным барьером для развития рынка и конкуренции, подчеркнул эксперт.

Давать оценку затрат на соблюдение возможных требований ФСТЭК эксперты посчитали преждевременным. По словам Бедерова, новые требования ФСТЭК могут коснуться фактической возможности компании исполнить тот или иной договор: это наличие сотрудников, обладающих соответствующей компетенцией, программных продуктов, аппаратных средств, лицензий и сертификатов по профилю деятельности. Основное требование будет заключаться в том, чтобы привести систему защиты подрядчика в соответствие с требованиями, предъявляемыми к системе защиты госоргана, для которого выполняются работы, утверждает Пермяков. В случае принятия законопроекта утечек станет меньше, соглашается Лукацкий. Но точно потребуется не меньше года на то, чтобы подрядчики смогли у себя реализовать новые нормы, отметил он.

В ФСБ, Минфине, ФНС и Сбербанке не ответили на запросы «Ведомостей» о требованиях к их подрядчикам.