Анализ проблемы: статус-кво, регуляторные вызовы и риски для бизнеса и госсектора
Проблема поверхностного понимания целей и механизмов обеспечения информационной безопасности (ИБ) в малом и среднем бизнесе (малом и среднем предпринимательстве — МСП), а также среди государственных органов в Российской Федерации является многогранной и системной. Она коренится не столько в технической сложности определения угроз, сколько в разрыве между требованиями регуляторов и реальными потребностями организаций.
Позиция того, что бизнес воспринимает ИБ как формальность — административное бремя, которое мешает работе, — находит подтверждение в настоящей исследовательской работе, которую ООО «ЦифраБез» решила выдать на ваш суд.
Многие руководители недооценивают риски ИБ, считая себя слишком маленькими и незначительными для того, чтобы стать объектом атак злоумышленников. Это приводит к тому, что ИБ рассматривается исключительно как формальная процедура, направленная на удовлетворение требований законодательства, но не как стратегический элемент управления рисками, поддерживающий работоспособность бизнеса.
Регуляторная среда в Российской Федерации характеризуется наличием нескольких ключевых контролирующих органов, каждый из которых имеет свою специфику и набор нормативных актов. Федеральная служба по техническому и экспортному контролю (ФСТЭК России) отвечает за защиту информации в государственных информационных системах (ГИС) и у операторов персональных данных (ПДн), а также субъектов критической информационной инфраструктуры (КИИ). Федеральная служба безопасности (ФСБ) — за использование криптографических (шифровальных) средств, Национальный координационный центр по компьютерным инцидентам (НКЦКИ) — за КИИ, Роскомнадзор — за соблюдение законодательства об обращении и обработке ПДн, Банк России — за финансовую стабильность через стандарты безопасности финансовых организаций (ГОСТ Р 57580), а также в настоящее время все чаще стали появляться предпосылки к созданию нового регулятора — Минцифры.
Такое распределение ответственности порождает неоднозначный эффект и всё больше напоминает русскую пословицу: «У семи нянек дитя без глазу». Хотя это создает многоуровневую систему защиты для разных направлений деятельности и сфер экономики, с другой стороны, формирует фрагментированную картину требований, которые сложно интегрировать в единую систему управления. Для бизнеса это часто выглядит как набор противоречивых или неясных указаний, что усиливает его первоначальное сопротивление внедрению мер ИБ. Эта проблема особенно остро стоит для МСП, которые не имеют ресурсов для найма экспертов по каждому из направлений и путают требования, поскольку эта сфера является для них непонятной. Более того, органы государственной власти (ОГВ) для МСП практически не проводят никаких мероприятий по разъяснению требований и не могут пояснить, для чего их нужно исполнять.
Последствия такой пассивной политики со стороны регуляторов для МСП не заставили себя долго ждать. С начала военных действий на территории Украины, когда в кибератаки включились силы НАТО и профессиональные хакеры из международных организаций, малый и средний бизнес, а также ОГВ «посыпались», а эффект от проведённых атак на эти сферы стал огромным. Исследования показывают, что киберугрозы стали массовым явлением. В 2023 году количество DDoS-атак в мире выросло на 63%, а в первом квартале 2024 года — почти на 30%.
