В СФ предложили штрафовать за нарушения при устранении уязвимостей информсистем

Несвоевременное устранение уязвимостей объектов критической информационной инфраструктуры (КИИ) может привести к серьёзным последствиям, поэтому необходимо установить чёткую ответственность за это, сказал «СенатИнформ» зампред Совета по развитию цифровой экономики при СФ, первый замглавы Комитета СФ по конституционному законодательству и госстроительству Артём Шейкин.

Сенатор направил письмо замглаве Минцифры Ивану Лебедеву с предложением сделать обязательным проведение программы по поиску уязвимостей в отношении объектов критической информационной инфраструктуры. Сегодня такие механизмы не предусмотрены в обязательном порядке. При этом парламентарий считает нужным ввести наказания за нарушение при устранении таких уязвимостей. Штраф для должностных лиц может составить 20-50 тыс. рублей, для юридических лиц – 100-500 тыс. рублей.

По словам Артёма Шейкина, вопрос защиты критической информационной инфраструктуры сегодня стоит как никогда остро. К таким объектам относятся информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, которые функционируют в ключевых сферах экономики: здравоохранении, энергетике, транспорте, связи, финансовом секторе и других. «Представьте себе систему управления электростанцией, контроля воздушного движения или базу данных крупного банка – все это объекты КИИ», — пояснил парламентарий в беседе с «СенатИнформ».

Уязвимости – это слабые места в программном обеспечении, настройках безопасности или архитектуре системы, которые позволяют злоумышленникам получить несанкционированный доступ, нарушить работу системы или украсть данные. Существует два подхода в поиске таких слабых мест. Закрытый поиск проводят с привлечением ограниченного круга независимых специалистов по безопасности. А к открытому поиску привлекают широкий круг исследователей, которым выплачивают вознаграждение за обнаруженные уязвимости.

Парламентарий отметил, что следует не только устранять слабые места системы, но и проводить анализ причин их возникновения, чтобы предотвратить повторение подобных ситуаций в будущем. При этом штрафы будут стимулировать владельцев КИИ более тщательно контролировать безопасность.

Штрафы – это важный, но не единственный инструмент. Они призваны стимулировать владельцев объектов КИИ к более ответственному отношению к вопросам безопасности. Несвоевременное устранение уязвимостей может привести к серьёзным последствиям, поэтому необходимо установить чёткую ответственность за это

Артём Шейкин, первый зампред Комитета СФ по конституционному законодательству и госстроительству

Ранее «СенатИнформ» сообщил, что в России создадут новые стандарты для систем управления, работающих на основе платформенного подхода. Речь идёт о случаях, когда управление предприятием или целой сферой экономики максимально автоматизировано.

В СФ призывали уточнить ответственность банков за обеспечение защиты приложений. Критические уязвимости нашли в каждом втором банковском приложении. А больше половины сервисов имеют уязвимости высокой или средней степени критичности. Это значит, что хакеры могут нанести существенный ущерб информационным активам компании при успешной атаке.