Операторов персональных данных, которых в России уже более 400 тыс., включая малый и средний бизнес, могут обязать сообщать о киберинцидентах в Государственную систему предупреждения, обнаружения и ликвидации последствий компьютерных атак (ГосСОПКА) ФСБ.
Требование содержится в законопроекте о конфиденциальности данных сотрудников правоохранительных органов, внесенном в Госдуму 8 декабря группой депутатов во главе с председателем комитета по безопасности Василием Пискаревым.
Его реализация потребует серьезных затрат и расширения мощности системы.
Глава Комитета АПКИТ по ИБ Дмитрий Кувшинников комментирует инициативу:
«Требование о подключении всех операторов персданных к ГосСОПКА мы видим только в последнем, четвертом, пункте изменений к закону. Предыдущие три обсуждаются на других площадках, так как они тоже могут вызывать ряд вопросов, но, скорее морально-этического характера. Здесь же стоит вопрос как морально-этического, так и технического характера. С морально-этической точки зрения, такое подключение можно сравнить с тезисом «за все хорошее против всего плохого». Конечно, для полной картины «кто, когда, как и где», нарушитель пытается или украсть данные, или попробовать привести ту или иную систему в негодность. Знания обо всех, даже начинающих нарушителях, важны. И если даже они ничего не дадут при анализе сейчас, то они вполне могут сыграть свою роль в будущем. Но давайте будем реалистами.
В январе прошлого года наш комитет ИБ АПКИТ проводил расширенное заседание, куда как раз были приглашены и сотрудники непосредственно занимающиеся ГосСОПКА. Состоялся очень интересный и продуктивный разговор, в результате которого многие наши замечания были учтены. В том числе был рассмотрен и простой вопрос замены ключей, которая требуется периодически. Вернувшись к этой проблеме, хотелось бы задать вопрос авторам законопроекта – как, например, они мыслят замену 416 тысяч ключей одновременно? Кто их будет генерить, записывать на носитель, рассылать фельдъегерской связью, не говоря о цене этого законопроекта как для бизнеса, так и для государства. Той же ГосСОПКА придется существенно наращивать мощности: как технические, так и людские. При этом мы помним о дефиците кадров ИТ и ИБ в России.
Кстати, на удивление, в списке отзывов на этот законопроект отсутствует отзыв профильного ведомства, на плечи которого ляжет реализация данного проекта – НКЦКИ и 8 центра ФСБ России. К тому же, для связи с НКЦКИ для сообщения о компьютерной атаке приведен мобильный телефон с указанием времени для звонка с 9.00 до 18.00. Так что сложно сказать, как будут реализованы эти поправки. Тем более, как абсолютно справедливо заметил авторитетный эксперт Алексей Лукацкий, пока даже объекты КИИ испытывают сложности с подключением к ГосСОПКА: для этого нужна поддержка софта с шифрованием данных по требованиям ФСБ, автоматизация круглосуточной передачи данных, а в ряде случаев, и допуск к закрытой информации.
Решение данного вопроса можно предложить следующее – создание региональных коммерческих центров на базе крупных интеграторов, которые будут собирать данные от небольших операторов персданных, и передача от них информации о компьютерных атаках (по запросу ГосСОПКА или инициативно, если атака действительно серьезная)».