Российские компании без ведома ФСБ передают данные о кибератаках на свои критические объекты за рубеж. Она уже предупредила, что информация о критических уязвимостях в защите может оказаться в распоряжении иностранных спецслужб.
Как пишет РБК, с 2018 года в России действует закон «О безопасности критической информационной инфраструктуры», который призван защитить от кибератак важнейшие предприятия страны. К объектам критической информационной инфраструктуры отнесены сети связи и информационные системы госорганов, предприятий оборонной промышленности, транспорта, кредитно-финансовой сферы, энергетики, топливной и атомной промышленности и др.
Владельцам таких инфраструктур необходимо уведомлять Федеральную службу по техническому и экспортному контролю (ФСТЭК), чтобы та могла оценить к какой категории безопасности отнести ту или иную структуру. Кроме того, эти инфраструктуры обязаны подключаться к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак и передавать информацию о кибератаках на свои объекты в Национальный координационный центр по компьютерным инцидентам.
Согласно данным ФСБ, не все предприятия следуют новым правилам. Как считают в спецслужбе причиной такого несогласия, вероятно, являются «возможные имиджевые и финансовые потери».
ФСБ также считает, что передача данных в обход ФСТЭК может дать иностранным спецслужбам возможность узнавать и собирать информацию о «состоянии защищенности объектов критической информационной инфраструктуры России, что приведет к тому, что более полной и точной информацией о состоянии защищенности [подобных] объектов будут обладать не уполномоченные государственные органы России, а зарубежные (международные) организации и специальные службы».
РБК добавляет, что на данном этапе идет разработка поправок в Кодекс об административных правонарушениях, который позволит наказывать организации за неисполнение закона. за нарушение порядка обмена информацией о компьютерных инцидентах с иностранными организациями юрлица могут быть оштрафованы на сумму до 200 тысяч рублей, а за непродоставление данных – до 500 тысяч рублей.
