Федеральные и региональные органы исполнительной власти начнут отчитываться о киберзащищенности своих IT-систем, рассказали “Ъ” в Минцифры. Там уточнили, что показатель «Информационная безопасность» вошел в рейтинг цифровой трансформации в июле и будет рассчитываться на ежемесячной основе. Среди параметров — создание структурного подразделения по обеспечению ИБ, импортозамещение в сфере кибербезопасности, мероприятия по оценке уровня защищенности систем (в том числе Bug Bounty — тестирование IT-систем на проникновение белыми хакерами) и др.
В 2022 году Минцифры предлагало ввести понятие Bug Bounty в российское законодательство, обеспечив легальный статус белых хакеров. Однако инициатива вызвала вопросы у силовых структур, в частности из-за риска неправомерного доступа к значимым данным, поэтому соответствующий законопроект до сих пор не оформлен.
В результате министерство само «стимулирует госсектор осваивать механизм тестирования, в частности через ИБ-отчетность».
Представители региональных властей по-разному отнеслись к инициативе федерального ведомства. Так, по словам министра цифрового развития и связи Нижегородской области Александра Синелобова, отчеты по ИБ там уже готовят. В ряде министерств и муниципальных органов власти Крыма уточнили, что в некоторых из них «госслужащие пробуют работать в новом формате в тестовом режиме» и «предварительно большинство считают внедрение подобной отчетности необходимым шагом».
В то же время в правительстве Башкортостана «не видят необходимости в подготовке подобных отчетов, поскольку все IT и так централизованы в Минцифры», а в минцифры Удмуртии просто признали, что «не ведут такую работу».
Число кибератак на российские госорганы и инфраструктуру стабильно растет с начала военных действий на Украине. Только число сетевых атак к середине лета увеличилось на 40% год к году. При этом госорганы не только не увеличивают, но даже снижают закупки средств защиты: по итогам первого полугодия объем тендеров снизился на 15% в денежном и на 4% в количественном выражении.
Мнения отраслевых экспертов относительно эффективности нововведений также разделились.
«Регулярные проверки и рейтинг позволят отойти от «бумажной ИБ» к риск-ориентированному подходу»,— полагает заместитель руководителя отдела анализа защищенности Angara Security Роман Просветов. Инициативы, подобные Bug Bounty, позволяют увеличить усилия по анализу защищенности IT-систем силами профессионалов, соглашается директор по продуктам «Гарда Технологий» (входит в ГК «Гарда») Павел Кузнецов.
Но бизнес-консультант по кибербезопасности Positive Technologies Алексей Лукацкий подчеркивает, что поиск уязвимостей за вознаграждение лишь верхушка айсберга: «Мало разместить системы на платформе Bug Bounty, надо еще иметь выстроенные процессы, которые позволят устранять обнаруженные дыры в периметре IT-систем». Также эксперты сомневаются, что ежемесячные отчеты способны всерьез улучшить ситуацию с ИБ. Технический директор «Ай Ти Бастион» Дмитрий Михеев признает, что «такое влияние на ИБ — лучше, чем ничего, однако на уровне органов власти оно будет малозаметно».
С заботой о вашей безопасности, команда Origin Security
