Максим Буйлов о регулировании деятельности умных вещей

В нынешних условиях российские власти вынуждены искать способы получить гарантии, что на важных участках, в частности в финансовом секторе, электронной техникой управляет тот, кто ее купил, а не тот, кто ее продал. В среду, 24 мая, комитет Госдумы по финансовому рынку поправил прошедший первое чтение законопроект, наделяющий Банк России полномочиями выдавать банкам и прочим финансовым организациям разрешение на покупку программного обеспечения. Теперь он содержит норму, согласно которой регулятор станет согласовывать еще и закупку радиоэлектронной продукции и телекоммуникационного оборудования.

Как рассказал “Ъ” источник на банковском рынке, изначально в документе было прописано только ПО: предполагалось, что этого будет достаточно для ограждения внутреннего периметра банков от злоумышленников. Однако ряд гаджетов, например, таких как роутеры или маршрутизаторы, поставляются уже с собственным программным обеспечением. Более того, к ним возможен удаленный доступ, а значит, через них вполне можно взять под контроль внутреннюю сеть банка.

Банк России должен заботиться о стабильности банковской системы, что в условиях беспрерывных компьютерных атак на финансовые организации представляется делом не самым простым. По данным регулятора, в 2022 году число кибератак на организации финансовой сферы увеличилось с 330 до 1,5 тыс. случаев. Сами же банки нередко стараются минимизировать расходы и не торопятся отказываться от потенциально опасного, но уже закупленного и вроде бы нормально работающего оборудования.

Как отметили в ЦБ, в его структуре в 2022 году был создан отраслевой центр координации обеспечения технологического суверенитета финансового рынка, к основным задачам которого относится в том числе определение приоритетов по замене иностранного программного и аппаратного обеспечения, а также тестирование и оценка зрелости российских решений. По словам источника “Ъ”, знакомого с ситуацией, уже полгода как банки должны согласовывать с ЦБ покупку «железа», работающего в системах критической информационной инфраструктуры (КИИ). Тем не менее эту норму пришлось закреплять законодательно.

Видимо, все дело в оценке критичности той или иной инфраструктуры, и чем дальше, тем сильнее будет расширяться область КИИ. Уже известны случаи взлома банков через уязвимость в программном обеспечении принтера. А в обиход входят и умные колонки, умные розетки, умные холодильники и т. п. Так что сегодня ЦБ отделяет вредоносные роутеры от безопасных, а скоро ему придется разбираться с умными чайниками и кофеварками.