Автор: Евгений Баклушин, руководитель направления
Нестабильная геополитическая обстановка и непрерывное развитие ИТ-технологий и инструментов способствуют постоянному росту киберпреступлений (вплоть до кибертерроризма) в отношении критических информационных инфраструктур государств (далее – КИИ). Дополнительное влияние оказывает постоянное появление новых тактик и техник реализации угроз нарушителями. В этой связи все более актуальным становится сотрудничество между государствами и международное сотрудничество бизнеса по противодействию киберпреступлениям в отношении КИИ и совершенствованию систем и средств защиты КИИ. Перспективным направлением в данной области может стать обмен опытом по предотвращению, ликвидации и предупреждению последствий компьютерных атак.
С учетом влияния внешних обстоятельств и изменений в геополитической обстановке первостепенным вектором сотрудничества становится Азия. При этом Китай и обе Кореи довольно самостоятельны и закрыты внутри себя, а Япония активно взаимодействует с западным альянсом. Таким образом наиболее перспективным является взаимодействие (союз) с глобальным ИТ-хабом или «новым информационным чудом» – Индией.
В данной статье мы рассмотрим, как обстоит ситуация с защитой КИИ в Индии, а также чем она отличается от обстановки в России.
Можно отметить, что несмотря на различия при дословном сравнении определений в законах Индии и России, смысловая нагрузка не отличается. Особенностью является то, что определение организации как субъекта КИИ осуществляет не сама организация, а Национальный центр защиты критически важной информационной инфраструктуры (можно сказать, что это российские НКЦКИ и ФСТЭК в одном флаконе). Еще одним заметным отличием в этом вопросе является дата введения. В Индии законодательно определение КИИ было закреплено в 2014 году, в то время как в России это произошло только в 2017 году. Здесь индусы нас опередили, но об этом мы еще поговорим дальше.
Вот здесь и начинаются отличия. Если в российском законодательстве выделено 13 сфер деятельности субъектов КИИ, то в Индии их всего 6, а именно:
- энергетика;
- финансовый сектор;
- телеком;
- транспорт;
- правительство;
- промышленность.
В чем же существенные отличия, и чем они вызваны?
Первое – в Индии четко выделена сфера «правительство», которая отсутствует в нашем законодательстве. В России есть требования по защите государственных информационных систем, но далеко не все из них являются объектами КИИ. В Индии же включение «правительства» в сферы деятельности КИИ можно связать с существенно большей численностью населения и большего количества многомиллионных городов в Индии нежели в России.
Второе – это объединение «промышленность». Если в нашем случае сферы деятельности в этом направлении разделены на химическую, металлургическую и так далее, то в Индии все это объединено в одну сферу.
Третье – в индийском законодательстве отсутствует упоминание науки и здравоохранения, которые у нас выделены отдельно. Более того в России в сфере здравоохранения активно развиваются внутренние методички, рекомендации и различные инструкции по защите КИИ.
Категории и профили
В отличие от российского законодательства в Индии объектам КИИ присваивается профиль (high risk, medium risk, low risk). При этом его оценка является исключительно общей и производится фактически субъективно. Что это значит? В Индийском законодательстве отсутствуют критерии, по которым субъект КИИ мог бы наиболее корректно рассчитать и определить профиль своих объектов. Здесь, несмотря на все противоречия, Постановление Правительства РФ от 08.02.2018 № 127-ПП выглядит намного более применимым на практике.
Законодательство
На сегодняшний день в законодательство Индии в области защиты КИИ содержит следующий перечень:
- Закон об информационных технологиях от 09.06.2000 (ITA-2000).
- Национальная политика кибербезопасности от 2013.
- Руководство по защите КИИ от 16.01.2015.
- И несколько небольших рекомендаций по реагированию на инциденты.
Мы не будем подробно рассматривать каждый документ, но выделим их положительные и отрицательные стороны, которые все являются отличиями в сравнении с российским законодательством.
Положительные:
- Ранний старт. По сути, с 2013 года в Индии началось активное развитие тематики КИИ. Как мы уже и говорили индусы намного раньше определились с понятием КИИ и сферами деятельности субъектов.
- Особое место SCADA-систем. Пока российское законодательство говорит в общих чертах об объектах КИИ и приоритетном применении встроенных механизмов защиты, в индийском же постоянно встречается упоминание SCADA-систем как ключевой точки при защите промышленных систем. При этом индийское законодательство явно говорит о том, что многие предприятия используют устаревшее оборудование, и поэтому должны быть применены компенсирующие меры, такие как анализ сетевого трафика, выявление аномалий и другие.
- Поощрение применения лучших практик по защите КИИ. Все индийские документы, брошюры, рекомендации содержат позицию правительства о поощрении применения стандартов ISO, NIST и других лучших практик при защите КИИ. Причем это поддерживается не только на уровне слов, но и финансово (льготные кредиты, субсидии и т.д.).
- Дней Александровых прекрасное начало. В каком-то смысле можно сравнить область защиты КИИ в Индии с известной строчкой Пушкина. Несмотря на то, что индусы заметно раньше России начали развивать этот вопрос, но дальше началась стагнация. С 2015 года перестали обновляться основные законодательные акты, а с 2017 года перестали обновляться рекомендации по защите КИИ. Обновленная редакция Стратегии национальной безопасности, содержащая положения по защите КИИ, в том числе ее проект так и не были созданы. К отраслевым стандартам, кстати, тоже никто не притронулся.
- Поверхностность. Все требования, как по категорированию объектов КИИ, так и обеспечению их защиты, верхнеуровневые. Они не содержат никакой глубины и при первом же удобном случае говорят: «Сделайте по лучшим практикам (ISO, NIST и т.д.)».
Естественно, как и в России, в Индии установлена ответственность за нарушение функционирования КИИ или ее объектов. Системы ответственности Индии и России, несомненно, имеют отличия:
- Первое. В России ответственность за нарушения функционирования или состояния безопасности КИИ и ее объектов зафиксирована в Кодексе об административных правонарушениях (ст. 13.12, 13.12.1, 13.13, 19.7.15) и Уголовном Кодексе (ст. 274.1, 293). В Индии же ответственность в рамках КИИ установлена непосредственно в ITA-2000.
- Соответственно из этого вытекает второе отличие. Если в России некоторые правонарушения предусматривают только денежные штрафы, то в Индии все статьи предусматривают возможное лишение свободы. В этой части индусы жестче нас. Это касается и денежных штрафов, которые, в основном, выше российских.
- Третьим отличием является то, что в качестве правонарушений в Индии рассматриваются только целенаправленные попытки нарушения функционирования КИИ, в России же есть ответственность и за невыполнение требований регулятора или за халатность. Приведем несколько примеров ответственности по законодательству Индии:
— Ст.66 взлом компьютерной системы – лишение свободы до 3 лет и/или штраф до 500 000 рупий;
— Ст.66F за совершение акта кибертерроризма, под которым подразумевается получение незаконного доступа к защищенной системе или ввод в систему данных, нарушающих ее функционирование, с намерением подвергнуть угрозе единство, целостность, суверенитет или безопасность Индии – пожизненное лишение свободы.
Россия и Индия
Несмотря на то, что в начале данной статье мы выделили взаимодействие с Индией как наиболее перспективный вектор, однако уже сегодня оно не находится в нулевой точке.
В июне 2006 года было сформировано объединение БРИК (позднее БРИКС), членами которого являются Россия и Индия. В рамках данной структуры заявлено сотрудничество стран-участников по различным направлениям, в том числе по обеспечению международной информационной безопасности и противодействию использования ИТ-технологий в военно-политических, террористических и криминальных целях, а также целях, противоречащих обеспечению международного мира, стабильности и безопасности. Далее по результатам 5-го саммита БРИКС в сентябре 2017 была повторно подтверждена необходимость сотрудничества в области информационной безопасности. Итогом стала «дорожная карта», включающая сотрудничество по направлениям:
- создания сети сотрудничества между национальными центрами реагирования на компьютерные инциденты;
- углубление практического сотрудничества между ведомствами, отвечающими за безопасность в сфере ИТ;
- проведение совместных исследований и разработок в области информационной безопасности.
- сотрудничество в области исследований и развития информационной безопасности;
- разработка совместных мер по обеспечению безопасности КИИ;
- обмен опытом в области выявления, предотвращения и снижения последствий компьютерных атак.
По прошествии небольшого промежутка времени, 9 июня 2017 года, Индия стала полноправным членом Шанхайской организации сотрудничества (далее – ШОС). Среди целей и задач ШОС также фигурирует укрепление сотрудничества между государствами в области противодействия кибертерроризма с использованием ИТ-технологий и обеспечения безопасности критически важных инфраструктур.
Спустя 4 года, 6 декабря 2021 года в Нью-Дели состоялись переговоры президента Российской Федерации Владимира Путина и премьер-министра Индии Наренды Моди.
По результатам встречи в числе публичных заявлений были и те, которые напрямую касаются темы данной статьи:
- Россия и Индия будут наращивать сотрудничество в сфере защиты информации, в том числе по защите КИИ;
- Россия и Индия будут сотрудничать для совместной разработки программного обеспечения, платформ и сервисов.
Необходимость сотрудничества между государствами, в частности между Россией и Индией, по противодействию киберпреступлению и защите КИИ становится все более актуальной с каждым днем. К счастью, это видят не только автор(ы) данной статьи, но и чиновники обеих стран, поэтому уже сегодня можно увидеть дружеское заимствование практик и методик по защите информации и предотвращению компьютерных атак.
Более того перспективы развития сотрудничества между странами могут и должны выражаться в сотрудничестве бизнесов стран по таким направлениям, как:
- координация между экспертными в области информационной безопасности компаниями России и Индии по вопросам противодействия компьютерным атакам, проектированию и разработке средств и систем информационной безопасности;
- координация между экспертными в области информационной безопасности компаниями России с промышленными предприятиями Индии по вопросам противодействия компьютерным атакам и обеспечению защиты КИИ.
Надеемся, что более существенные результаты сотрудничества России и Индии в области информационной безопасности мы сможем наблюдать в ближайшее время.