30 ноября в Санкт-Петербурге в рамках форума «Российский промышленник» прошло заседание Комитета РСПП по цифровой экономике на тему «Кибербезопасность критической информационной инфраструктуры (КИИ) на промышленных предприятиях». Участники заседания обсудили вопросы защищенности информационных систем промышленных предприятий, координации отрасли в сфере кибербезопасности, страхования ИБ-рисков в промышленности, импортозамещения используемого на промышленных предприятиях ПО.
В заседании приняли участие член Бюро Правления РСПП, председатель Комитета РСПП по цифровой экономике, президент ПАО «Ростелеком» Михаил Осеевский, заместитель министра промышленности и торговли РФ Василий Шпак, вице-президент по информационной безопасности ПАО «Ростелеком» Игорь Ляпунов, заместитель директора ФСТЭК России Виталий Лютиков; заместитель директора НКЦКИ Николай Мурашов, президент ассоциации «Доверенная платформа» Андрей Тихонов, а также главы отечественных компаний и ассоциаций.
Президент ПАО «Ростелеком» Михаил Осеевский отметил высокую сложность и интенсивность современных кибератак на госорганы и крупные компании, изменившийся цифровой ландшафт российских организаций. Количество атак на крупнейшие государственные и коммерческие организации, в том числе объекты критической инфраструктуры России, выросло в сотни раз, включая атаки через подрядчиков и с помощью программного обеспечения с открытым исходным кодом. И это противостояние будет иметь продолжительный характер, поэтому системообразующим компаниям и игрокам рынка информационной безопасности необходимо консолидировать усилия по эффективному противодействию кибернападениям.
Для отражения угроз необходимо обеспечить технологическую независимость страны, определить инструменты для минимизации последствий кибератак, выстроить диалог отечественных разработчиков и потребителей, наладить отраслевое взаимодействие по вопросам кибербезопасности, обеспечить создание высококвалифицированного кадрового потенциала в области кибербезопасности.
В ходе заседания Михаил Осеевский попросил заместителя директора ФСТЭК России Виталия Лютикова высказать свое мнение о возможности внедрения независимых методов оценки уровня защищенности объектов КИИ. Представитель ФСТЭК отметил, что в этом вопросе есть два аспекта: оценка уровня зрелости организации – ее готовности с четом реализованных в ней процессов, имеющихся технологий и средств обеспечить безопасность значимых объектов КИИ; аудит автоматизированных информационных систем (АИС) – техническая оценка сильных и слабых сторон систем, подтверждение высокой или низкой эффективности реализованных защитных мер. Нормативная база для проведения технической оценки есть, однако не хватает методологии, чтобы все организации проводили подобные работы в рамках единых процедур. Также в настоящее время ФСТЭК готовит проект методического документа для оценки уровня зрелости организаций.
Однако любая оценка защищенности должна приносить какой-то результат, а для этого организация, регулярно проводящая подобную оценку, должна иметь преимущества перед теми, кто этого не делает: возможность участвовать в каких-либо важных проектах, реже проходить контролирующие процедуры и т.п. Эти механизмы стимулирования нуждаются в проработке.
Вице-президент по информационной безопасности ПАО «Ростелеком» Игорь Ляпунов подвел итоги деятельности Рабочей группы по вопросам кибербезопасности Комитета РСПП по цифровой экономике за 7 месяцев текущего года с момента создания группы. За это время Рабочая группа, в которую вошли более 30 системообразующих компаний и организаций ключевых секторов российской экономики, выдвинула свыше 20-ти инициатив по 4-м направлениям деятельности: развитие технологий и технологическая независимость, преодоление кадрового дефицита, совершенствование нормативной базы и поддержка экспорта российских ИБ-решений.
«Сейчас для противостояния ведущейся против России кибервойне необходимы структурные изменения в управлении отраслью информационной безопасности, технологии нового уровня, преодоление кадрового дефицита, совершенствование нормативной базы. На решение этих задач и направленны предложенные нашей рабочей группой изменения», – пояснил вице-президент по информационной безопасности ПАО «Ростелеком» Игорь Ляпунов.