Чиновников накажут за молчание о хакерских атаках
Государственные органы и компании, которые отвечают за работу критической IT-инфраструктуры, могут быть привлечены к ответственности, если вовремя не сообщат в ФСБ о попытках взлома компьютерных систем. Соответствующие поправки в Кодекс об административных правонарушениях вступают в силу 6 июня.
Критическая IT-инфраструктура — это цифровые и автоматизированные системы, которые обеспечивают работу государственных органов и предприятий в сфере промышленности, энергетики, связи, финансов, науки, транспорта и здравоохранения. Как очевидно, хакерская атака на такие структуры может повлечь серьёзные сбои в жизни города, региона или целой страны.
Штрафы могут последовать за нарушение не только порядка информирования ФСБ о компьютерных инцидентах, но также правил реагирования на них и ликвидации последствий. За это должностные лица могут заплатить 10-50 тысяч рублей, а юридические — 100-500 тысяч.
Аналогичные санкции последуют, если компании и учреждения не сообщат об инциденте в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Наказывать за это решили потому, что предприятия вообще игнорируют эту систему. Так, в 2019 году эксперты Национального координационного центра по кибератакам выявили 120 инцидентов, но в ГосСОПКА не поступило ни одного сообщения, отмечало Правительство в пояснительной записке к законопроекту.
По закону, владельцы такой IT-инфраструктуры должны предупреждать своих коллег о попытках взлома, дабы те успели защититься от вероятной атаки. Но некоторые игнорируют это требование. Теперь за это им могут выписать штрафы: должностным лицам — 20-50 тысяч рублей, юридическим — 100-500 тысяч.
Ещё одна проблема связана с присвоением категорий объектам критической IT-инфраструктуры. От категории зависит набор мер, которыми следует защищать системы от кибератак. Сама категория зависит от возможного ущерба, который может повлечь сбой системы. Предприятия сами должны определить категорию и затем сообщить о ней государству. Однако они часто затягивают с этим, либо принимают меры защиты, не отвечающие реальной степени риска. Повысить их исполнительность решено «кнутом»: за то, что они не предоставят во ФСТЭК данные присвоенной категории, должностные лица заплатят 10-50 тысяч рублей, а юридические — 50-100 тысяч.