Минцифры ввело параметр информбезопасности (ИБ) в рейтинг цифровой трансформации госорганов. Теперь федеральные и региональные ведомства должны ежемесячно предоставлять информацию о мерах защиты своих IT-систем, включая тестирование белыми хакерами Bug Bounty. Эта программа пока не закреплена законодательно из-за разногласий с силовиками, но в Минцифры надеются, что ее включение в отчет может помочь усилить внимание к ИБ. В то же время далеко не все чиновники считают такую работу необходимой, а эксперты подчеркивают, что только отчетами проблему киберзащиты госсектора не решить.
Фото: Александр Миридонов, Коммерсантъ
Фото: Александр Миридонов, Коммерсантъ
Федеральные и региональные органы исполнительной власти начнут отчитываться о киберзащищенности своих IT-систем, рассказали “Ъ” в Минцифры. Там уточнили, что показатель «Информационная безопасность» вошел в рейтинг цифровой трансформации в июле и будет рассчитываться на ежемесячной основе. Среди параметров — создание структурного подразделения по обеспечению ИБ, импортозамещение в сфере кибербезопасности, мероприятия по оценке уровня защищенности систем (в том числе Bug Bounty — тестирование IT-систем на проникновение белыми хакерами) и др.
В 2022 году Минцифры предлагало ввести понятие Bug Bounty в российское законодательство, обеспечив легальный статус белых хакеров. Однако инициатива вызвала вопросы у силовых структур, в частности из-за риска неправомерного доступа к значимым данным, говорит собеседник “Ъ” в правительстве, поэтому «соответствующий законопроект до сих пор не оформлен».
В результате министерство само «стимулирует госсектор осваивать механизм тестирования, в частности через ИБ-отчетность».
Министр цифрового развития и связи Нижегородской области Александр Синелобов рассказал “Ъ”, что отчеты по ИБ там уже готовят. В ряде министерств и муниципальных органов власти Крыма “Ъ” уточнили, что в некоторых из них «госслужащие пробуют работать в новом формате в тестовом режиме» и «предварительно большинство считают внедрение подобной отчетности необходимым шагом».
Однако не все разделяют эту точку зрения.
Так, собеседник “Ъ” в правительстве Башкортостана сказал, что в регионе «не видят необходимости в подготовке подобных отчетов, поскольку все IT и так централизованы в Минцифры».
В минцифры Удмуртии просто признали, что «не ведут такую работу».
Число кибератак на российские госорганы и инфраструктуру стабильно растет с начала военных действий на Украине. Только число сетевых атак к середине лета увеличилось на 40% год к году (см. “Ъ” от 8 июля). При этом госорганы не только не увеличивают, но даже снижают закупки средств защиты: по итогам первого полугодия объем тендеров снизился на 15% в денежном и на 4% в количественном выражении (см. “Ъ” от 21 августа).
«Регулярные проверки и рейтинг позволят отойти от "бумажной ИБ" к риск-ориентированному подходу»,— полагает заместитель руководителя отдела анализа защищенности Angara Security Роман Просветов. Инициативы, подобные Bug Bounty, позволяют увеличить усилия по анализу защищенности IT-систем силами профессионалов, соглашается директор по продуктам «Гарда Технологий» (входит в ГК «Гарда») Павел Кузнецов.
Но бизнес-консультант по кибербезопасности Positive Technologies Алексей Лукацкий подчеркивает, что поиск уязвимостей за вознаграждение лишь верхушка айсберга: «Мало разместить системы на платформе Bug Bounty, надо еще иметь выстроенные процессы, которые позволят устранять обнаруженные дыры в периметре IT-систем». Также эксперты сомневаются, что ежемесячные отчеты способны всерьез улучшить ситуацию с ИБ. Технический директор «Ай Ти Бастион» Дмитрий Михеев признает, что «такое влияние на ИБ — лучше, чем ничего, однако на уровне органов власти оно будет малозаметно».
Татьяна Исакова; региональные редакции “Ъ”