ФСБ: Субъекты КИИ незаконно передают данные об кибератаках за рубеж
То, о чем я говорил все годы (только я еще и шире говорил - они себя еще вдруг каким-то образом сами делают субъектами ОРД), неожиданно озвучили через 20 лет.
Ну что же? Ждем новых посадок? Привет Стоянову и ко?
В ФСБ заявили, что российские компании без ведома службы передают за рубеж данные об атаках на свои критические объекты. Специалисты предупреждают, что при таком подходе зарубежные спецслужбы будут в курсе степени защищенности инфраструктуры.
Более того, подчеркивается, что своевольная передача такого рода информации иностранным организациям - прямое нарушение действующих нормативных актов.
Поскольку вышеозначенные компании управляют объектами критической инфраструктуры, передача данных о кибератаках за рубеж создает совершенно неоправданные риски для России.
Информация о таком поведении организаций приводится в материалах ФСТЭК, которая ссылается на данные ФСБ. При этом те же компании передают в НКЦКИ те же данные гораздо более «неохотно», уточнили представители ФСТЭК.
Национальный координационный центр по компьютерным инцидентам (НКЦКИ), как оказалось, не располагает точными данными об инцидентах на объектах критической инфраструктуры. Это не позволяет корректно реагировать на них и прогнозировать развитие ситуации.
Судя по всему, в этом случае зарубежные структуры куда лучше осведомлены о киберинцидентах внутри компаний, отвечающих за объекты КИИ. ФБС бьет тревогу: это может сыграть на руку иностранным спецслужбам. ©
ФСБ заявила об утечке данных о кибератаках на российские объекты за рубеж
Речь может идти об отправке автоматических отчетов об ошибках в работе софта или оборудования (Ну-ну, да вот речь вообще не об этом! Это мнение лишь некоего "партнера юридической фирмы", он просто не понимает о чем в данном случае идет речь -- sporaw)
Российские компании без ведома ФСБ передают данные о кибератаках на свои критические объекты за рубеж. В спецслужбе предупредили, что информация о состоянии защищенности инфраструктуры окажется в распоряжении иностранных спецслужб
Российские компании, управляющие объектами критической инфраструктуры, передают информацию о кибератаках иностранным организациям без ведома российских спецслужб, что является нарушением действующих нормативных актов. Об этом со ссылкой на ФСБ говорится в материалах Федеральной службы по техническому и экспортному контролю (ФСТЭК).
Что беспокоит ФСТЭК
В России с 2018 года действует закон «О безопасности критической информационной инфраструктуры», который призван защитить от кибератак важнейшие предприятия страны. К объектам критической информационной инфраструктуры отнесены сети связи и информационные системы госорганов, предприятий оборонной промышленности, транспорта, кредитно-финансовой сферы, энергетики, топливной и атомной промышленности и др. Владельцы таких объектов должны предоставить информацию о них в ФСТЭК, чтобы служба могла присвоить каждому объекту определенную категорию (к каждой предъявляются свои требования безопасности). Также владельцы объектов критической инфраструктуры должны подключиться к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и передавать информацию о кибератаках на свои объекты в Национальный координационный центр по компьютерным инцидентам (НКЦКИ).
Из материалов ФСТЭК следует, что не все компании, управляющие объектами критической информационной инфраструктуры, информируют НКЦКИ о выявленных инцидентах, «причиной чему, вероятно, являются возможные имиджевые и финансовые потери».
Факт, что НКЦКИ не обладает всей полнотой информации об инцидентах, «не позволяет адекватно реагировать на них, а также строить точные прогнозы по развитию ситуации о состоянии защищенности отдельных объектов критической информационной инфраструктуры, отраслей и России в целом», указывают во ФСТЭК.
Российские организации обмениваются этими данными напрямую с зарубежными структурами, хотя из приказов ФСБ от 24 июля № 367 и № 368 следует, что они должны делать это через НКЦКИ. «Обращений в адрес НКЦКИ от субъектов критической информационной инфраструктуры по вопросам обмена информацией с иностранными (международными) организациями, предусмотренных приказами ФСБ, не поступило ни одного. В то же время, по имеющейся у ФСБ информации, известно, что обмен такой информацией осуществляется субъектами критической информационной инфраструктуры России с нарушением требований приказов ФСБ», - говорится в материалах ФСТЭК.
«Передача информации без участия НКЦКИ за рубеж позволит зарубежным (международным) организациям собирать информацию о состоянии защищенности объектов критической информационной инфраструктуры России, что приведет к тому, что более полной и точной информацией о состоянии защищенности [подобных] объектов будут обладать не уполномоченные государственные органы России, а зарубежные (международные) организации и специальные службы», - подчеркивают в ФСТЭК.
Кто, что и кому может передавать
В материалах ФСТЭК не указано, кто из владельцев элементов критической информационной инфраструктуры какие данные передавал зарубежным организациям. Представители ФСТЭК не ответил на вопросы.
По сведениям замначальника Центра защиты информации и специальной связи ФСБ и замдиректора НКЦКИ Николая Мурашова, основные попытки несанкционированного доступа к объектам критической информационной инфраструктуры в 2019 году приходились на кредитно-финансовую сферу (38%) и органы госвласти (35%).
Партнер юридической фирмы «Рустам Курмаев и партнеры» Дмитрий Клеточкин предположил, что владельцы подобных объектов могут отправлять информацию об ошибках в работе установленного у них оборудования или софта. «При установке любого программного продукта пользователь подписывает соглашение, которое может предполагать регулярный отчет об ошибках. Зачастую это происходит в автоматическом режиме», - отметил Клеточкин. Кроме того, большинство крупных мировых разработчиков собирают обезличенную информацию для формирования баз больших данных для совершенствования своего продукта. (Набор мусора. В целом - правильно, что информация о падениях и прочии телеметрии никуда отправляться не должны. Но проблематика, поднятая ФСБ/ФСТЭК совершенно иная сейчас. Следующий комментатор (ниже) более адекватен -- sporaw)
По словам исполнительного директора HEADS Consulting Никиты Куликова, иностранные компании также могут выступать консультантами по противодействию кибератакам. «Это крайне распространенная ситуация, причем не только в ИТ-сфере, и это совершенно отдельный разговор, как и каким образом можно ограничить их работу на территории России», - сказал он. Также речь может идти о компании с российскими корнями, но зарегистрированной за границей, о зарубежной структуре, которая является родственной по отношению к компании-владельцу критической информационной инфраструктуры, и т.д. «Фактически противопоставляются требования безопасности критической инфраструктуры и коммерческие интересы компаний - потребителей услуг, которые не ограничены в выборе подрядчиков либо работают в рамках заключенных лицензионных соглашений», - указал Куликов.
«Банк ВТБ безусловно информирует НКЦКИ о выявленных инцидентах информационной безопасности, предоставляя информацию через ФинЦЕРТ (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России)», - заявил представитель ВТБ. По словам представителя банка «Открытие», по условиям договоров они не обязаны передавать и не передают информацию зарубежным поставщикам. В других банках из топ-10 отказались от комментариев. Так же поступили представители крупнейших операторов связи.
Какое наказание готовят за такие нарушения
В 2018 году ГосСОПКА выявила более 4 млрд компьютерных атак на российскую критическую инфраструктуру, заявил Мурашов в конце 2018 года. Однако ФСТЭК заявляет, что закон «О безопасности критической информационной инфраструктуры» не работает в полную силу. Ведомство утверждало, что исполнение закона тормозят банки и операторы связи, большая часть которых не предоставила во ФСТЭК сведения о «критичности» своих объектов. Кроме того, часть подзаконных актов, которыми должны утвердить детали взаимодействия организаций в рамках этого закона, все еще не принята.
ФСТЭК разработала проект поправок в Кодекс об административных правонарушениях, который позволит наказывать организации за неисполнение закона (документ сейчас проходит общественные обсуждения). По нему, например, за нарушение порядка обмена информацией о компьютерных инцидентах с иностранными организациями юрлица могут быть оштрафованы на сумму до 200 тыс. руб., а за непредоставление данных в ГосСОПКА - до 500 тыс. руб. ©
Ну что же? Ждем новых посадок? Привет Стоянову и ко?
В ФСБ заявили, что российские компании без ведома службы передают за рубеж данные об атаках на свои критические объекты. Специалисты предупреждают, что при таком подходе зарубежные спецслужбы будут в курсе степени защищенности инфраструктуры.
Более того, подчеркивается, что своевольная передача такого рода информации иностранным организациям - прямое нарушение действующих нормативных актов.
Поскольку вышеозначенные компании управляют объектами критической инфраструктуры, передача данных о кибератаках за рубеж создает совершенно неоправданные риски для России.
Информация о таком поведении организаций приводится в материалах ФСТЭК, которая ссылается на данные ФСБ. При этом те же компании передают в НКЦКИ те же данные гораздо более «неохотно», уточнили представители ФСТЭК.
Национальный координационный центр по компьютерным инцидентам (НКЦКИ), как оказалось, не располагает точными данными об инцидентах на объектах критической инфраструктуры. Это не позволяет корректно реагировать на них и прогнозировать развитие ситуации.
Судя по всему, в этом случае зарубежные структуры куда лучше осведомлены о киберинцидентах внутри компаний, отвечающих за объекты КИИ. ФБС бьет тревогу: это может сыграть на руку иностранным спецслужбам. ©
ФСБ заявила об утечке данных о кибератаках на российские объекты за рубеж
Речь может идти об отправке автоматических отчетов об ошибках в работе софта или оборудования (Ну-ну, да вот речь вообще не об этом! Это мнение лишь некоего "партнера юридической фирмы", он просто не понимает о чем в данном случае идет речь -- sporaw)
Российские компании без ведома ФСБ передают данные о кибератаках на свои критические объекты за рубеж. В спецслужбе предупредили, что информация о состоянии защищенности инфраструктуры окажется в распоряжении иностранных спецслужб
Российские компании, управляющие объектами критической инфраструктуры, передают информацию о кибератаках иностранным организациям без ведома российских спецслужб, что является нарушением действующих нормативных актов. Об этом со ссылкой на ФСБ говорится в материалах Федеральной службы по техническому и экспортному контролю (ФСТЭК).
Что беспокоит ФСТЭК
В России с 2018 года действует закон «О безопасности критической информационной инфраструктуры», который призван защитить от кибератак важнейшие предприятия страны. К объектам критической информационной инфраструктуры отнесены сети связи и информационные системы госорганов, предприятий оборонной промышленности, транспорта, кредитно-финансовой сферы, энергетики, топливной и атомной промышленности и др. Владельцы таких объектов должны предоставить информацию о них в ФСТЭК, чтобы служба могла присвоить каждому объекту определенную категорию (к каждой предъявляются свои требования безопасности). Также владельцы объектов критической инфраструктуры должны подключиться к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и передавать информацию о кибератаках на свои объекты в Национальный координационный центр по компьютерным инцидентам (НКЦКИ).
Из материалов ФСТЭК следует, что не все компании, управляющие объектами критической информационной инфраструктуры, информируют НКЦКИ о выявленных инцидентах, «причиной чему, вероятно, являются возможные имиджевые и финансовые потери».
Факт, что НКЦКИ не обладает всей полнотой информации об инцидентах, «не позволяет адекватно реагировать на них, а также строить точные прогнозы по развитию ситуации о состоянии защищенности отдельных объектов критической информационной инфраструктуры, отраслей и России в целом», указывают во ФСТЭК.
Российские организации обмениваются этими данными напрямую с зарубежными структурами, хотя из приказов ФСБ от 24 июля № 367 и № 368 следует, что они должны делать это через НКЦКИ. «Обращений в адрес НКЦКИ от субъектов критической информационной инфраструктуры по вопросам обмена информацией с иностранными (международными) организациями, предусмотренных приказами ФСБ, не поступило ни одного. В то же время, по имеющейся у ФСБ информации, известно, что обмен такой информацией осуществляется субъектами критической информационной инфраструктуры России с нарушением требований приказов ФСБ», - говорится в материалах ФСТЭК.
«Передача информации без участия НКЦКИ за рубеж позволит зарубежным (международным) организациям собирать информацию о состоянии защищенности объектов критической информационной инфраструктуры России, что приведет к тому, что более полной и точной информацией о состоянии защищенности [подобных] объектов будут обладать не уполномоченные государственные органы России, а зарубежные (международные) организации и специальные службы», - подчеркивают в ФСТЭК.
Кто, что и кому может передавать
В материалах ФСТЭК не указано, кто из владельцев элементов критической информационной инфраструктуры какие данные передавал зарубежным организациям. Представители ФСТЭК не ответил на вопросы.
По сведениям замначальника Центра защиты информации и специальной связи ФСБ и замдиректора НКЦКИ Николая Мурашова, основные попытки несанкционированного доступа к объектам критической информационной инфраструктуры в 2019 году приходились на кредитно-финансовую сферу (38%) и органы госвласти (35%).
Партнер юридической фирмы «Рустам Курмаев и партнеры» Дмитрий Клеточкин предположил, что владельцы подобных объектов могут отправлять информацию об ошибках в работе установленного у них оборудования или софта. «При установке любого программного продукта пользователь подписывает соглашение, которое может предполагать регулярный отчет об ошибках. Зачастую это происходит в автоматическом режиме», - отметил Клеточкин. Кроме того, большинство крупных мировых разработчиков собирают обезличенную информацию для формирования баз больших данных для совершенствования своего продукта. (Набор мусора. В целом - правильно, что информация о падениях и прочии телеметрии никуда отправляться не должны. Но проблематика, поднятая ФСБ/ФСТЭК совершенно иная сейчас. Следующий комментатор (ниже) более адекватен -- sporaw)
По словам исполнительного директора HEADS Consulting Никиты Куликова, иностранные компании также могут выступать консультантами по противодействию кибератакам. «Это крайне распространенная ситуация, причем не только в ИТ-сфере, и это совершенно отдельный разговор, как и каким образом можно ограничить их работу на территории России», - сказал он. Также речь может идти о компании с российскими корнями, но зарегистрированной за границей, о зарубежной структуре, которая является родственной по отношению к компании-владельцу критической информационной инфраструктуры, и т.д. «Фактически противопоставляются требования безопасности критической инфраструктуры и коммерческие интересы компаний - потребителей услуг, которые не ограничены в выборе подрядчиков либо работают в рамках заключенных лицензионных соглашений», - указал Куликов.
«Банк ВТБ безусловно информирует НКЦКИ о выявленных инцидентах информационной безопасности, предоставляя информацию через ФинЦЕРТ (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России)», - заявил представитель ВТБ. По словам представителя банка «Открытие», по условиям договоров они не обязаны передавать и не передают информацию зарубежным поставщикам. В других банках из топ-10 отказались от комментариев. Так же поступили представители крупнейших операторов связи.
Какое наказание готовят за такие нарушения
В 2018 году ГосСОПКА выявила более 4 млрд компьютерных атак на российскую критическую инфраструктуру, заявил Мурашов в конце 2018 года. Однако ФСТЭК заявляет, что закон «О безопасности критической информационной инфраструктуры» не работает в полную силу. Ведомство утверждало, что исполнение закона тормозят банки и операторы связи, большая часть которых не предоставила во ФСТЭК сведения о «критичности» своих объектов. Кроме того, часть подзаконных актов, которыми должны утвердить детали взаимодействия организаций в рамках этого закона, все еще не принята.
ФСТЭК разработала проект поправок в Кодекс об административных правонарушениях, который позволит наказывать организации за неисполнение закона (документ сейчас проходит общественные обсуждения). По нему, например, за нарушение порядка обмена информацией о компьютерных инцидентах с иностранными организациями юрлица могут быть оштрафованы на сумму до 200 тыс. руб., а за непредоставление данных в ГосСОПКА - до 500 тыс. руб. ©