Правительство будет вводить финансовую ответственность за нарушение сроков перехода на российский софт объектов критической информационной инфраструктуры (КИИ). Об этом в ходе годового собрания Ассоциации разработчиков программных продуктов (АРПП) «Отечественный софт» сообщил министр цифрового развития РФ Максут Шадаев.
Он напомнил, что законом введены полномочия и обязанности правительства утвердить по каждой отрасли типовые и значимы объекты КИИ, которые собственники будут обязаны классифицировать. «По типовым объектам будут установлены сроки перехода на российское. И очевидно, что будем вводить ответственность за их нарушения. Без ответственности финансовой за нарушения сроков это работать не будет», — сказал министр.
Закон, который вступит в силу с 1 сентября, позволит установить для каждой отрасли перечень объектов, на которых использование российского ПО и радиоэлектронной продукции будет обязательным, напомнил член комитета Госдумы по информационной политике, информационным технологиям и связи, федеральный координатор партийного проекта «Цифровая Россия» Антон Немкин.
«Под действие санкций за последние годы попало различное ПО, микроэлектроника, телекоммуникационное оборудование, устройства для обеспечения информационной безопасности и ряд других продуктов. В то же время наши системы ежедневно подвергаются огромному количеству кибератак. В сравнении с показателями 2023 года, например, мощность кибератак типа DDoS выросла в 3,5 раза. А за прошлый год было отражено почти 11 тысяч DDoS-атак, направленных на различные организации. Самая длительная из которых продолжалась 108 часов. При этом хакеры активно использовали лазейки в продуктах зарубежных вендоров, которыми так или иначе продолжали пользоваться наши государственные и частные компании», - рассказал Немкин.
Главная новация – теперь Правительство в диалоге с отраслями будет определять, что относится к КИИ, а что – нет. Ранее собственник той или иной информсистемы сам определял, относить или нет объект критической информационной инфраструктуры к значимому. При этом зачастую компании этим пренебрегали и минимизировали количество систем, которые определяются как значимые объекты КИИ. «Недавняя нашумевшая история с провайдером Lovit – она во многом про это. В то время, как крупные провайдеры давно научились противодействовать атакам и поставили соответствующее оборудование и ПО, проинвестировав в это серьезные ресурсы, небольшие провайдеры не видят в этом необходимости», - отметил депутат.
При разработке поправок был найден баланс, который позволил избежать избыточности в отнесении тех или иных объектов к КИИ. «Простой пример – система обработки багажа в аэропорту. В крупном аэропорту ее неисправность из-за хакерской атаки или дистанционного отключения может привести к параличу всего аэропорта. Но если просто отнести к КИИ абстрактную «систему обработки багажа», то это будет означать, что и небольшой региональный аэропорт с двумя рейсами в день окажется обязан соответствовать этим требованиям, что для него может оказаться просто неподъемным. И вместо обеспечения стабильной работы мы поставим такой аэропорт на грань закрытия. Это простой пример и в большинстве случаев ситуация более сложная. Но мы полагаем, что поправки, повторюсь, позволят соблюсти баланс и обеспечить надежную защиту инфраструктуры», - рассказал он.
От устойчивого функционирования КИИ напрямую зависит работоспособность платежных систем, услуг связи, транспортной и энергетической систем, и других важных сфер, подчеркнул Немкин. «Больше двух третей субъектов КИИ сегодня уже перешли на отечественное ПО, однако этот показатель должен вырасти до 100% в кратчайшие сроки», - заключил он.
Он напомнил, что законом введены полномочия и обязанности правительства утвердить по каждой отрасли типовые и значимы объекты КИИ, которые собственники будут обязаны классифицировать. «По типовым объектам будут установлены сроки перехода на российское. И очевидно, что будем вводить ответственность за их нарушения. Без ответственности финансовой за нарушения сроков это работать не будет», — сказал министр.
Закон, который вступит в силу с 1 сентября, позволит установить для каждой отрасли перечень объектов, на которых использование российского ПО и радиоэлектронной продукции будет обязательным, напомнил член комитета Госдумы по информационной политике, информационным технологиям и связи, федеральный координатор партийного проекта «Цифровая Россия» Антон Немкин.
«Под действие санкций за последние годы попало различное ПО, микроэлектроника, телекоммуникационное оборудование, устройства для обеспечения информационной безопасности и ряд других продуктов. В то же время наши системы ежедневно подвергаются огромному количеству кибератак. В сравнении с показателями 2023 года, например, мощность кибератак типа DDoS выросла в 3,5 раза. А за прошлый год было отражено почти 11 тысяч DDoS-атак, направленных на различные организации. Самая длительная из которых продолжалась 108 часов. При этом хакеры активно использовали лазейки в продуктах зарубежных вендоров, которыми так или иначе продолжали пользоваться наши государственные и частные компании», - рассказал Немкин.
Главная новация – теперь Правительство в диалоге с отраслями будет определять, что относится к КИИ, а что – нет. Ранее собственник той или иной информсистемы сам определял, относить или нет объект критической информационной инфраструктуры к значимому. При этом зачастую компании этим пренебрегали и минимизировали количество систем, которые определяются как значимые объекты КИИ. «Недавняя нашумевшая история с провайдером Lovit – она во многом про это. В то время, как крупные провайдеры давно научились противодействовать атакам и поставили соответствующее оборудование и ПО, проинвестировав в это серьезные ресурсы, небольшие провайдеры не видят в этом необходимости», - отметил депутат.
При разработке поправок был найден баланс, который позволил избежать избыточности в отнесении тех или иных объектов к КИИ. «Простой пример – система обработки багажа в аэропорту. В крупном аэропорту ее неисправность из-за хакерской атаки или дистанционного отключения может привести к параличу всего аэропорта. Но если просто отнести к КИИ абстрактную «систему обработки багажа», то это будет означать, что и небольшой региональный аэропорт с двумя рейсами в день окажется обязан соответствовать этим требованиям, что для него может оказаться просто неподъемным. И вместо обеспечения стабильной работы мы поставим такой аэропорт на грань закрытия. Это простой пример и в большинстве случаев ситуация более сложная. Но мы полагаем, что поправки, повторюсь, позволят соблюсти баланс и обеспечить надежную защиту инфраструктуры», - рассказал он.
От устойчивого функционирования КИИ напрямую зависит работоспособность платежных систем, услуг связи, транспортной и энергетической систем, и других важных сфер, подчеркнул Немкин. «Больше двух третей субъектов КИИ сегодня уже перешли на отечественное ПО, однако этот показатель должен вырасти до 100% в кратчайшие сроки», - заключил он.