Ответственность могут ввести за нарушение сроков перехода на отечественное ПО объектов КИИ

Правительство будет вводить финансовую ответственность за нарушение сроков перехода на российский софт объектов критической информационной инфраструктуры (КИИ). Об этом в ходе годового собрания Ассоциации разработчиков программных продуктов (АРПП) «Отечественный софт» сообщил министр цифрового развития РФ Максут Шадаев.

Он напомнил, что законом введены полномочия и обязанности правительства утвердить по каждой отрасли типовые и значимы объекты КИИ, которые собственники будут обязаны классифицировать. «По типовым объектам будут установлены сроки перехода на российское. И очевидно, что будем вводить ответственность за их нарушения. Без ответственности финансовой за нарушения сроков это работать не будет», — сказал министр.

Закон, который вступит в силу с 1 сентября, позволит установить для каждой отрасли перечень объектов, на которых использование российского ПО и радиоэлектронной продукции будет обязательным, напомнил член комитета Госдумы по информационной политике, информационным технологиям и связи, федеральный координатор партийного проекта «Цифровая Россия» Антон Немкин.

«Под действие санкций за последние годы попало различное ПО, микроэлектроника, телекоммуникационное оборудование, устройства для обеспечения информационной безопасности и ряд других продуктов. В то же время наши системы ежедневно подвергаются огромному количеству кибератак. В сравнении с показателями 2023 года, например, мощность кибератак типа DDoS выросла в 3,5 раза. А за прошлый год было отражено почти 11 тысяч DDoS-атак, направленных на различные организации. Самая длительная из которых продолжалась 108 часов. При этом хакеры активно использовали лазейки в продуктах зарубежных вендоров, которыми так или иначе продолжали пользоваться наши государственные и частные компании», - рассказал Немкин.

Главная новация – теперь Правительство в диалоге с отраслями будет определять, что относится к КИИ, а что – нет. Ранее собственник той или иной информсистемы сам определял, относить или нет объект критической информационной инфраструктуры к значимому. При этом зачастую компании этим пренебрегали и минимизировали количество систем, которые определяются как значимые объекты КИИ. «Недавняя нашумевшая история с провайдером Lovit – она во многом про это. В то время, как крупные провайдеры давно научились противодействовать атакам и поставили соответствующее оборудование и ПО, проинвестировав в это серьезные ресурсы, небольшие провайдеры не видят в этом необходимости», - отметил депутат.

При разработке поправок был найден баланс, который позволил избежать избыточности в отнесении тех или иных объектов к КИИ. «Простой пример – система обработки багажа в аэропорту. В крупном аэропорту ее неисправность из-за хакерской атаки или дистанционного отключения может привести к параличу всего аэропорта. Но если просто отнести к КИИ абстрактную «систему обработки багажа», то это будет означать, что и небольшой региональный аэропорт с двумя рейсами в день окажется обязан соответствовать этим требованиям, что для него может оказаться просто неподъемным. И вместо обеспечения стабильной работы мы поставим такой аэропорт на грань закрытия. Это простой пример и в большинстве случаев ситуация более сложная. Но мы полагаем, что поправки, повторюсь, позволят соблюсти баланс и обеспечить надежную защиту инфраструктуры», - рассказал он.

От устойчивого функционирования КИИ напрямую зависит работоспособность платежных систем, услуг связи, транспортной и энергетической систем, и других важных сфер, подчеркнул Немкин. «Больше двух третей субъектов КИИ сегодня уже перешли на отечественное ПО, однако этот показатель должен вырасти до 100% в кратчайшие сроки», - заключил он.