Критическая информационная инфраструктура Индии

Автор: Евгений Баклушин, руководитель направления, УЦСБ

Нестабильная геополитическая обстановка и непрерывное развитие ИТ-технологий и инструментов способствуют постоянному росту киберпреступлений (вплоть до кибертерроризма) в отношении критических информационных инфраструктур государств (далее – КИИ). Дополнительное влияние оказывает постоянное появление новых тактик и техник реализации угроз нарушителями. В этой связи все более актуальным становится сотрудничество между государствами и международное сотрудничество бизнеса по противодействию киберпреступлениям в отношении КИИ и совершенствованию систем и средств защиты КИИ. Перспективным направлением в данной области может стать обмен опытом по предотвращению, ликвидации и предупреждению последствий компьютерных атак.

С учетом влияния внешних обстоятельств и изменений в геополитической обстановке первостепенным вектором сотрудничества становится Азия. При этом Китай и обе Кореи довольно самостоятельны и закрыты внутри себя, а Япония активно взаимодействует с западным альянсом. Таким образом наиболее перспективным является взаимодействие (союз) с глобальным ИТ-хабом или «новым информационным чудом» – Индией.

В данной статье мы рассмотрим, как обстоит ситуация с защитой КИИ в Индии, а также чем она отличается от обстановки в России.

Определение

В соответствии с ITA-2000 в Индии КИИ – это компьютерный ресурс, вывод из строя или уничтожение которого оказывает пагубное воздействие на национальную безопасность, экономику страны, жизнь и здоровье граждан.

Можно отметить, что несмотря на различия при дословном сравнении определений в законах Индии и России, смысловая нагрузка не отличается. Особенностью является то, что определение организации как субъекта КИИ осуществляет не сама организация, а Национальный центр защиты критически важной информационной инфраструктуры (можно сказать, что это российские НКЦКИ и ФСТЭК в одном флаконе). Еще одним заметным отличием в этом вопросе является дата введения. В Индии законодательно определение КИИ было закреплено в 2014 году, в то время как в России это произошло только в 2017 году. Здесь индусы нас опередили, но об этом мы еще поговорим дальше.

Сферы деятельности

Вот здесь и начинаются отличия. Если в российском законодательстве выделено 13 сфер деятельности субъектов КИИ, то в Индии их всего 6, а именно:

• энергетика;

• финансовый сектор;

• телеком;

• транспорт;

• правительство;

• промышленность.

В чем же существенные отличия, и чем они вызваны?

Первое – в Индии четко выделена сфера «правительство», которая отсутствует в нашем законодательстве. В России есть требования по защите государственных информационных систем, но далеко не все из них являются объектами КИИ. В Индии же включение «правительства» в сферы деятельности КИИ можно связать с существенно большей численностью населения и большего количества многомиллионных городов в Индии нежели в России.

Второе – это объединение «промышленность». Если в нашем случае сферы деятельности в этом направлении разделены на химическую, металлургическую и так далее, то в Индии все это объединено в одну сферу.

Третье – в индийском законодательстве отсутствует упоминание науки и здравоохранения, которые у нас выделены отдельно. Более того в России в сфере здравоохранения активно развиваются внутренние методички, рекомендации и различные инструкции по защите КИИ.

Категории и профили

В отличие от российского законодательства в Индии объектам КИИ присваивается профиль (high risk, medium risk, low risk). При этом его оценка является исключительно общей и производится фактически субъективно. Что это значит? В Индийском законодательстве отсутствуют критерии, по которым субъект КИИ мог бы наиболее корректно рассчитать и определить профиль своих объектов. Здесь, несмотря на все противоречия, Постановление Правительства РФ от 08.02.2018 № 127-ПП выглядит намного более применимым на практике.

Законодательство

На сегодняшний день в законодательство Индии в области защиты КИИ содержит следующий перечень:

• Закон об информационных технологиях от 09.06.2000 (ITA-2000).

• Национальная политика кибербезопасности от 2013.

• Руководство по защите КИИ от 16.01.2015.

• И несколько небольших рекомендаций по реагированию на инциденты.

Мы не будем подробно рассматривать каждый документ, но выделим их положительные и отрицательные стороны, которые все являются отличиями в сравнении с российским законодательством.

Положительные:

• Ранний старт. По сути, с 2013 года в Индии началось активное развитие тематики КИИ. Как мы уже и говорили индусы намного раньше определились с понятием КИИ и сферами деятельности субъектов.

• Особое место SCADA-систем. Пока российское законодательство говорит в общих чертах об объектах КИИ и приоритетном применении встроенных механизмов защиты, в индийском же постоянно встречается упоминание SCADA-систем как ключевой точки при защите промышленных систем. При этом индийское законодательство явно говорит о том, что многие предприятия используют устаревшее оборудование, и поэтому должны быть применены компенсирующие меры, такие как анализ сетевого трафика, выявление аномалий и другие.

• Поощрение применения лучших практик по защите КИИ. Все индийские документы, брошюры, рекомендации содержат позицию правительства о поощрении применения стандартов ISO, NIST и других лучших практик при защите КИИ. Причем это поддерживается не только на уровне слов, но и финансово (льготные кредиты, субсидии и т.д.).

Отрицательные:

• Дней Александровых прекрасное начало. В каком-то смысле можно сравнить область защиты КИИ в Индии с известной строчкой Пушкина. Несмотря на то, что индусы заметно раньше России начали развивать этот вопрос, но дальше началась стагнация. С 2015 года перестали обновляться основные законодательные акты, а с 2017 года перестали обновляться рекомендации по защите КИИ. Обновленная редакция Стратегии национальной безопасности, содержащая положения по защите КИИ, в том числе ее проект так и не были созданы. К отраслевым стандартам, кстати, тоже никто не притронулся.

• Поверхностность. Все требования, как по категорированию объектов КИИ, так и обеспечению их защиты, верхнеуровневые. Они не содержат никакой глубины и при первом же удобном случае говорят: «Сделайте по лучшим практикам (ISO, NIST и т.д.)».

Ответственность

Естественно, как и в России, в Индии установлена ответственность за нарушение функционирования КИИ или ее объектов. Системы ответственности Индии и России, несомненно, имеют отличия:

• Первое. В России ответственность за нарушения функционирования или состояния безопасности КИИ и ее объектов зафиксирована в Кодексе об административных правонарушениях (ст. 13.12, 13.12.1, 13.13, 19.7.15) и Уголовном Кодексе (ст. 274.1, 293). В Индии же ответственность в рамках КИИ установлена непосредственно в ITA-2000.

• Соответственно из этого вытекает второе отличие. Если в России некоторые правонарушения предусматривают только денежные штрафы, то в Индии все статьи предусматривают возможное лишение свободы. В этой части индусы жестче нас. Это касается и денежных штрафов, которые, в основном, выше российских.

• Третьим отличием является то, что в качестве правонарушений в Индии рассматриваются только целенаправленные попытки нарушения функционирования КИИ, в России же есть ответственность и за невыполнение требований регулятора или за халатность. Приведем несколько примеров ответственности по законодательству Индии:

  • Ст.66 взлом компьютерной системы – лишение свободы до 3 лет и/или штраф до 500 000 рупий;

  • Ст.66F за совершение акта кибертерроризма, под которым подразумевается получение незаконного доступа к защищенной системе или ввод в систему данных, нарушающих ее функционирование, с намерением подвергнуть угрозе единство, целостность, суверенитет или безопасность Индии – пожизненное лишение свободы.

Россия и Индия

Несмотря на то, что в начале данной статье мы выделили взаимодействие с Индией как наиболее перспективный вектор, однако уже сегодня оно не находится в нулевой точке.

В июне 2006 года было сформировано объединение БРИК (позднее БРИКС), членами которого являются Россия и Индия. В рамках данной структуры заявлено сотрудничество стран-участников по различным направлениям, в том числе по обеспечению международной информационной безопасности и противодействию использования ИТ-технологий в военно-политических, террористических и криминальных целях, а также целях, противоречащих обеспечению международного мира, стабильности и безопасности. Далее по результатам 5-го саммита БРИКС в сентябре 2017 была повторно подтверждена необходимость сотрудничества в области информационной безопасности. Итогом стала «дорожная карта», включающая сотрудничество по направлениям:

• создания сети сотрудничества между национальными центрами реагирования на компьютерные инциденты;

• углубление практического сотрудничества между ведомствами, отвечающими за безопасность в сфере ИТ;

• проведение совместных исследований и разработок в области информационной безопасности.

Также 15 октября 2016 года между Россией и Индией было заключено Соглашение о сотрудничестве в области информационной безопасности. В данном соглашении зафиксированы общие принципы и механизмы сотрудничества, основные угрозы информационной безопасности, а также направления сотрудничества, среди которых можно выделить следующие:

• сотрудничество в области исследований и развития информационной безопасности;

• разработка совместных мер по обеспечению безопасности КИИ;

• обмен опытом в области выявления, предотвращения и снижения последствий компьютерных атак.

По прошествии небольшого промежутка времени, 9 июня 2017 года, Индия стала полноправным членом Шанхайской организации сотрудничества (далее – ШОС). Среди целей и задач ШОС также фигурирует укрепление сотрудничества между государствами в области противодействия кибертерроризма с использованием ИТ-технологий и обеспечения безопасности критически важных инфраструктур.

Спустя 4 года, 6 декабря 2021 года в Нью-Дели состоялись переговоры президента Российской Федерации Владимира Путина и премьер-министра Индии Наренды Моди.

По результатам встречи в числе публичных заявлений были и те, которые напрямую касаются темы данной статьи:

• Россия и Индия будут наращивать сотрудничество в сфере защиты информации, в том числе по защите КИИ;

• Россия и Индия будут сотрудничать для совместной разработки программного обеспечения, платформ и сервисов.

Вывод

Необходимость сотрудничества между государствами, в частности между Россией и Индией, по противодействию киберпреступлению и защите КИИ становится все более актуальной с каждым днем. К счастью, это видят не только автор(ы) данной статьи, но и чиновники обеих стран, поэтому уже сегодня можно увидеть дружеское заимствование практик и методик по защите информации и предотвращению компьютерных атак.

Более того перспективы развития сотрудничества между странами могут и должны выражаться в сотрудничестве бизнесов стран по таким направлениям, как:

• координация между экспертными в области информационной безопасности компаниями России и Индии по вопросам противодействия компьютерным атакам, проектированию и разработке средств и систем информационной безопасности;

• координация между экспертными в области информационной безопасности компаниями России с промышленными предприятиями Индии по вопросам противодействия компьютерным атакам и обеспечению защиты КИИ.

Надеемся, что более существенные результаты сотрудничества России и Индии в области информационной безопасности мы сможем наблюдать в ближайшее время.