Регуляторы — тоже люди!
С этого тезиса я начну заметку, в которой поделюсь впечатлениями от участия регуляторов в PHDays. Вообще, как можно было бы заметить, я почти перестал писать про нормативку, но данный пост будет некоторым исключением. Потому что нормативка в нем если и будет присутствовать, то скорее как сопутствующая информация и в контексте именно результативного кибербеза, которому и был посвящен 12-й PHD. Сразу надо отметить, что представители регуляторов, конечно, бывают разные, но им тоже, как мне кажется, скучно все время рассказывать о нормативке, о которой их просят, приглашая на разные мероприятия. Если не ставить им ограничений, то они прекрасные собеседники, умеют шутить, высказывают свое мнение, делают прогнозы и т.п. Это можно было воочию увидеть как на открытой, так и закрытой части PHDays, на которой выступали представили Минцифры, ФСТЭК, ФСБ, Минэнерго, Госдумы и т.п. Но вернемся к заметке. Я бы не хотел подробно, с цитатами и прямой речью пересказывать все то, что сказали регуляторы, — вы это можете сделать самостоятельно, посмотрев три видео, которые я размещу в заметке.
Начну я, нет, не с пленарной секции, а с закрытого для широкой аудитории дня энергетика, который прошел за день до официального открытия PHDays, и на котором представители НКЦКИ помимо всего прочего поделились двумя интересными фактами:
- ФСБ считает, что назрела необходимость установления требований по ИБ для ИБ-компаний — производителей средств защиты и поставщиков услуг ИБ. Это было произнесено за 2 дня до того, как был взломан сайт лицензиата ФСБ и ФСТЭК, компании «Инфотекс», и произошла утечка данных пользователей этого сайта. За 2,5 недели до этого хакеры сломали другого лицензиата ФСБ и ФСТЭК — компанию BI.ZONE (на сайте компании об этом ни слова, в отличие Telegram-канала и множества посторонних сайтов, например, тут или тут). И это далеко не единственные случаи взломов отечественных ИБ-компаний за последние месяцы — их уже не меньше семи, что ставит вопрос о том, а как защищаются сами ИБ-игроки? Поэтому вполне закономерно, что к ним будут предъявляться требования, которые они же сами и пытаются реализовывать у своих клиентов.
- ФСБ в лице НКЦКИ оказывает (и готова оказывать) услуги по оценке защищенности организациям, преимущественно субъектам КИИ, а также иным организациям, попадающим под контроль регулятора. Это было неожиданно — ФСБ предстала в виде сервис-провайдера по вопросам ИБ.
Также на дне энергетика выступила Елена Борисовна Торбенко с рассказом о практике проверок субъектов КИИ и разъясняла последние правки в Постановление Правительства по категорированию объектов КИИ. Но пересказывать почти часовое выступление и сессию вопросов и ответов я не смогу.
На пленарной дискуссии было просто задорно — шутки Максута Шадаева (министра цифрового развития) и Виталия Лютикова (замдиректора ФСТЭК) можно разбирать на цитаты. Каких-то новых фактов не было, но сама по себе дискуссия мне понравилась. Разве что министр цифрового развития сказал, что идея с заместителем руководителя организации в 250-м Указе оказалась неудачной — вместо того, чтобы поднимать тему ИБ на уровень первого лица, она тормозится на его заместителе, который часто назначается на эту должность по остаточному принципу, ни фига в ИБ не понимает, и поэтому не хочет демонстрировать генеральному свою некомпетентность. А вот если вы хотите узнать, что думают руководители двух регуляторов относительно будущего ИБ в стране, будет ситуация становиться хуже или лучше, проигрываем мы спецоперацию в киберпространстве или нет, то смотрите видео; не пожалеете.
Про диванчик Алексея Волкова, вице-президента VK по ИБ, тоже получилось неплохо 🙂
На секции «Угрозы 2030. Что может стать недопустимым?» замдиректора ФСТЭК (также Виталий Сергеевич Лютиков) и замминистра цифрового развития (Александр Михайлович Шойтов) вместе с другими участниками попробовали взглянуть в наше не ближнее будущее и порассуждать о квантовых вычислениях, дронах, децентрализации Web3, криптоанархистах, криптовалютах, искусственном интеллекте, балканизации Интернет, отсутствии собственной микроэлектроники и других угрозах, которые могут стать актуальными на горизонте 5-7 лет. Каких-либо прогнозов не прозвучало, но по дискуссии становится понятно, о чем регуляторы уже думали, а что пока находится вне зоны их внимания.
Вот на следующей сессии, без согласованных заранее вопросов, в режиме открытого микрофона, регуляторы в лице Минцифры (директор департамента кибербезопасности Минцифры Владимир Бенгин) и ФСТЭК (снова Виталий Сергеевич Лютиков), а также Госдума в лице Андрея Свинцова (замруководителя комитета по ИТ), отвечали на вопросы из зала и некоторые мои комментарии к ним. Что ключевого прозвучало на сессии:
- Сроки импортозамещения по 166-му и 250-му Указу, а также требования по доверенным ПАКам, никто не планирует переносить. Да, возможные отдельные и обоснованные решения, да, могут пойти на встречу, но массовой эта история не будет. 2025/26-й годы не за горами!
- Наказывать за использование иностранных средств защиты без действующей поддержки ФСТЭК не будет и даже внес в свои НПА поправки (проходят Минюст), разрешающие использовать такие средства при условии наличия компенсирующих мер, позволяющих нейтрализовывать использование уязвимостей (в видео говорится о том, что это могут быть за меры), которые находятся в средствах защиты, но не могут быть устранены из-за ухода иностранцев из России.
Если в средстве защиты без техподдержки уязвимость не устраняется и компенсирующие меры не применяются, то в отношении таких организаций будут приниматься соответствующие меры административного воздействия!
- Если в тендерах и конкурсах вы видите несоразмерно высокую цену на средства из реестра отечественного по сравнению с аналогичными по функциям средствами из «не реестра», то надо писать в ФАС или Госдуму, конкретному депутату, которые смогут поднять этот вопрос по своим каналам по конкретным кейсам.
- Требования к NGFW ФСТЭК уже разработаны и были отправлены в Минюст, но получили замечания и сейчас устраняются.
Единственное, что я не успел уточнить, требования к NGFW будут дублировать частично требования к МСЭ (заменяя их) или дополнять их?
- Ни одно средство защиты из дружественных стран (в первую очередь, как мне кажется, речь идет о Китае) не прошло проверок по требованиям доверия в ФСТЭК.
- ФСТЭК не будет вводить процедуру багбаунти в процедуру сертификации средств защиты.
Но если вендора сами это сделают, то это будет демонстрацией своей зрелости и уверенности в процессе безопасной разработки.
- В иные формы оценки соответствия багбаунти тоже пока не планируется вводить в обязательном порядке, так как незрелые компании будут просто постоянно выплачивать багхантерам вознаграждение. Лучше сначала выстроить или улучшить процессы ИБ, а потом уже требовать их проверки на багбаунти.
- Правоохранительные органы, по словам представителя Госдумы, против обеления багбаунти, считая, что программисты начнут специально косячить и писать корявый код, чтобы потом получать вознаграждение за обнаружение уязвимостей в нем.
- ФСТЭК считает, что не надо ничего менять в уголовном законодательстве для «обеления» багбаунти, так как это и так можно сейчас делать, и опыт Минцифры и портала госуслуг доказывают, что это возможно.
- Минцифры не планирует отменять 152-ю инструкцию ФАПСИ (почему возник такой вопрос — смотрите видео).
- Прорабатывается вопрос по отмене поэкземплярного учета СКЗИ в определенных сценариях; но задача непростая.
- Планируется право формирования отраслевых перечней объектов КИИ государством вынести с уровня Постановления Правительства на уровень ФЗ-187.
- Идея запрета удаленной работы в чувствительных сферах из-за рубежа продолжает витать в Госдуме и ее рано или поздно примут в виде законопроекта.
Было еще две секции, в которых участвовал уже только Владимир Бенгин (Минцифры). Первая была посвящена готовности ИБ-компаний и CISO брать ответственность за результат, который они реализуют у своих заказчиков или у себя в организациях. Интересный опыт был озвучен Минцифры, — прописывать в контрактах с поставщиками ИБ-услуг штрафные санкции за простой в результате инцидента. И это не просто какие-то смешные цифры, а десятки процентов от суммы контракта. Правда, в этом случае и сумма контракта может быть повышена и это обосновано и понятно руководству. Но сама по себе идея оплаты за результат дисциплинирует.
А на секции про багбаунти Владимир Бенгин рассказывал об опыте Минцифры в части выставления портала Госуслуг на платформы багбаунти, полученных уроках, результатах, планах развития и т.п.
Вообще, мне понравилось то, как регуляторы в этом году участвовали на PHDays. Четко, по делу, хорошая речь «без бумажки», ответы на вопросы, которые никто не требовал заранее согласовывать, без отсылок на какие-то там пункты приказов, фокус на результативности, рассказ о собственном опыте и т.п. Зачет 🙂