Кибербезопасность выходит в эфир
СМИ могут обязать проверять защищенность инфраструктуры
“Ъ” узнал, что правительство разрабатывает регулирование для СМИ в части информбезопасности инфраструктуры. Для этого планируется создать реестр значимых СМИ, определить «недопустимые угрозы» и обязать проводить регулярные проверки защищенности сетей. Участники рынка считают, что инициатива необходима, но опасаются роста затрат — по оценкам экспертов, расходы могут достигнуть десятков миллионов рублей в год.
Фото: Евгений Павленко, Коммерсантъ
Минцифры готовит регулирование кибербезопасности в СМИ, рассказали “Ъ” собеседник на IT-рынке и подтвердил источник, знакомый с ситуацией. По их словам, предварительно решено не распространять на СМИ требования законодательства о критической информационной инфраструктуре (КИИ, к ней относятся банки, операторов связи и т.д.), но обязать их проводить регулярные проверки защищенности сетей.
Планируется создать реестр «значимых СМИ» (сейчас ряд участников рынка, включая “Ъ”, уже входит в перечень системообразующих организаций), подлежащих особому контролю. Для них подготовят «перечень недопустимых событий в области кибербезопасности».
Также в Минцифры намерены разработать стандарты безопасности для каждого вида СМИ: телевидения, радио и интернет-порталов. В министерстве на запрос “Ъ” не ответили.
Хакерские атаки на российские СМИ резко усилились после начала военных действий на Украине. В 2022 году в Центр мониторинга и управления сетью связи общего пользования Роскомнадзора (ЦМУ ССОП) за помощью в отражении кибератак обратились более 30 СМИ, сообщили “Ъ” в ведомстве. Там утверждают, что «кибератаки спонсируются недружественными странами и продолжают оставаться угрозой российской информационной инфраструктуре».
Некоторые представители СМИ положительно оценивают инициативу Минцифры. «Действия регулятора представляются крайне полезными, если позволят создать равномерный уровень кибербезопасности для всей экосистемы СМИ»,— считает директор по операционной деятельности РБК Тимофей Щербаков. Однако, уточняет он, обеспечить абсолютную защищенность публичных информационных систем фактически невозможно: «Вероятность реализации угроз отказа сервиса и подмены информации всегда будет ненулевой». В других СМИ комментировать инициативу Минцифры не стали.
Максут Шадаев, глава Минцифры, в октябре 2022 года:
«IT-отрасль получила колоссальный опыт работы в сфере информационной безопасности».
СМИ, а точнее, платформы для их онлайн-публикаций, традиционно защищались не так тщательно, как другие интернет-платформы, например, интернет-банкинг, электронная коммерция или личные кабинеты в государственных и частных сервисах, отмечает независимый эксперт по кибербезопасности Рустэм Хайретдинов: «Считалось, что взломы таких сервисов не могут нанести существенного ущерба, поэтому приравнивать их к КИИ смысла нет. Но события последних месяцев показали, что публикации фейков или, например, выражение альтернативной политической позиции сотрудников могут вызвать негативный эффект в обществе, вплоть до массовых беспорядков».
Полноценная защита информационных ресурсов, тем более таких крупных компаний, как федеральные СМИ, требует значительных затрат, которые в случае принятия мер регулирования лягут на сами организации, отмечают эксперты. Сервис по защите одного информресурса от атак сегодня может стоить от 1,5 млн руб. в год, говорит Рустэм Хайретдинов. Директор центра мониторинга и предотвращения кибератак IZ:SOC «Информзащита» Иван Мелехин считает, что требования к защищенности СМИ не должны сильно отличаться от требований для КИИ. По его оценке, расходы на комплексную защиту сетей ключевых СМИ составят 10–30 млн руб. в год.
С технической точки зрения внедрение тех или иных решений для кибербезопасности в СМИ мало чем отличается от ситуации в других отраслях, полагает руководитель отдела предпродажной поддержки «Лаборатории Касперского» Евгений Бударин: «Но при работе с медиа важно учитывать высокую степень критичности успешных кибератак, которые могут серьезно повлиять на репутацию и доверие к ним».