Правительство предложило сажать за кибератаки на десять лет
Правительственная инициатива по регулированию вопросов безопасности информационной инфраструктуры, оформленная как пакет изменений в действующее законодательство, зарегистрирована в информационной системе Госдумы во вторник, 6 декабря.
Как сообщил РБК глава комитета Госдумы по информполитике Леонид Левин, правительственный законопроект внесен в рамках Доктрины информационной безопасности, которую утвердил 6 декабря президент Владимир Путин. «Законопроект должен быть реализован с целью защитить право граждан России на информацию в любых условиях, в том числе в ситуации внешнего противодействия — «отключения страны от интернета», — сказал он. Левин подчеркнул, что закон, естественно, будет поддержан депутатами.
В пояснительной записке к документу отмечается, что «глобализация современных информационно-коммуникационных сетей и информационных систем, вынужденное применение при их построении иностранного оборудования» и другие факторы «формируют новые угрозы безопасности» страны. Нанесение ущерба такой инфраструктуре может «привести к катастрофическим последствиям». В записке упоминается, что за последние годы ущерб от вредоносных программ, по различным оценкам, составлял от $300 млрд до $1 трлн, то есть от 0,4 до 1,4% общемирового ежегодного ВВП. «Характерными примерами последствий негативного воздействия компьютерных атак на критическую инфраструктуру государства могут послужить остановка центрифуг иранской атомной станции с помощью компьютерного вируса StuxNet в сентябре 2010 года и паралич работы нескольких крупных финансовых учреждений Южной Кореи в марте 2013 года», — отмечается в пояснительной записке.
При этом авторы проекта проанализировали опыт правового регулирования безопасности критической информационной инфраструктуры в Германии, США, Великобритании, Японии и Южной Корее и пришли к выводу, что обеспечить безопасность такой инфраструктуры в России только силами и средствами государства невозможно. Исходя из этого законопроект предусматривает дополнительные обременения для владельцев значимых объектов критической информационной инфраструктуры, отмечается в документе.
Поправки должны будут вступить в силу с 1 января 2017 года за исключением нескольких статей, в том числе о введении уголовной ответственности за нарушения в области безопасности критической инфраструктуры. Эти статьи должны будут вступить в силу с 1 января 2018 года.
Ужесточение ответственности для хакеров
Правительство предлагает дополнить Уголовный кодекс статьей 274.1, которая будет предусматривать лишение свободы на срок до десяти лет (в зависимости от совершенного преступления, наличия предварительного сговора и числа участников) за создание и распространение вредоносных программ, предназначенных для воздействия на критическую информационную инфраструктуру. Наказание последует и за неправомерный доступ к таким компьютерным данным, а также за нарушение правил эксплуатации, средств хранения или передачи такой информации.
В пояснительной записке к законопроекту указывается, что «опасность могут представлять атаки, совершаемые в преступных, террористических и разведывательных целях со стороны отдельных лиц, сообществ, иностранных спецслужб и организаций».
В начале декабря ФСБ сообщила о планах иностранных спецслужб устроить хакерские атаки для дестабилизации финансовой системы России. По данным спецслужбы, злоумышленники собирались массово рассылать сообщения о банкротстве и отзыве лицензий у ведущих банков.
Руководитель пресс-службы «Лаборатории Касперского» Юлия Ильина сообщила РБК, что однозначно трактовать, за что именно предлагается ввести уголовную ответственность по предложенному законопроекту, сложно, но «похоже, что преследоваться будет написание программ для атаки на критическую инфраструктуру, их использование и неправомерное хранение».
Реестр важной информации
Правительство также предлагает создать реестр значимых объектов критической инфраструктуры, под которой понимают совокупность объектов и сетей связи. Объектам предлагается присваивать одну из трех категорий значимости: высокую, среднюю или низкую, либо не присваивать ни одной.
Владельцы объектов критической инфраструктуры будут обязаны информировать о компьютерных инцидентах, оказывать содействие в обнаружении и предупреждении компьютерных атак, в ликвидации их последствий. Для этого владелец критической инфраструктуры будет обязан создать систему безопасности такого объекта и обеспечивать ее функционирование, обеспечивать восстановление функционирования значимого объекта критической информационной инфраструктуры, в том числе за счет создания и хранения резервных копий необходимой для этого информации.
Какими должны быть критерии для отнесения инфраструктуры к той или иной категории, при каких значениях и в каком порядке это будет происходить, должно будет определить правительство. Форму реестра объектов критической информационной инфраструктуры и правила его ведения должна будет разработать ФСБ.
Версия защиты от Минкомсвязи
Ранее Минкомсвязи вынесло на общественное обсуждение проект изменений в закон «О связи», нацеленный на обеспечение стабильности и защищенности функционирования российской части сети интернет. В законопроекте даны определения критической инфраструктуры сети интернет и особенностей регулирования ее ключевых элементов, а также определены обязанности операторов связи в части технических требований к организации линий передачи данных. Среди прочего Минкомсвязи предлагало создать государственную информационную систему (ГИС) обеспечения целостности, устойчивости и безопасности функционирования российского сегмента сети интернет. Финансировать работу этой системы предлагается из резерва универсального обслуживания — специального фонда, куда все операторы в России отчисляют по 1,2% доходов от оказания услуг связи.
Но проект Минкомсвязи раскритиковала рабочая группа «Связь и информационные технологии» экспертного совета при правительстве, куда входят представители крупных участников рынка связи. В своем отзыве (копия есть у РБК) группа отмечала, что законопроект не соответствует заявленным целям. У нее также были претензии к терминологии проекта и к тому, что его придется серьезно дорабатывать.
При этом в своем отзыве рабочая группа отмечала, что существует другой проект, разработанный в 2013 году ФСБ. По словам куратора рабочей группы Ирины Левовой, в Госдуму был внесен именно текст, разработанный ФСБ. «Он более структурированный и сбалансированный, чем проект Минкомсвязи. Однако и этот проект, учитывая что обсуждался он три года назад, нуждается в определенной корректировке и обновлении», — отметила она.
В Минкомсвязи отказались комментировать внесенный в Госдуму законопроект.