Колонка эксперта

Алексей
Лукацкий

Бизнес-консультант по информационной безопасности

Начало 2018 г. ознаменовалось жаркими дебатами на тему вступившего в силу закона “О безопасности критической информационной инфраструктуры”, который, по моему мнению, открывает новую страницу в истории российской индустрии кибербезопасности. Схожая картина была с ФЗ-152 “О персональных данных” за одним исключением – за его нарушения не было уголовной ответственности и коммерческие операторы персональных данных не попадали под государственный контроль и надзор. Поэтому можно предположить, что тема с безопасностью КИИ будет гораздо более горячей, чем все предыдущие. Но обратить внимания я бы хотел на другое явление – почти полную безинициативность российской отрасли ИБ, которая по неведомым мне причинам стесняется или просто боится вступать в диалог с регуляторами для получения разъяснения по нормам нового законодательства. Возьмем, к примеру недавно принятые Президентом поправки в законодательство о государственной тайне. Вы бы видели какой шум начался в социальных сетях и мессенджерах по поводу новых законодательных инициатив. Будет ли относиться тендерная документация на объект КИИ к гостайне? А описание системы защиты? А выступление на конференции по защите АСУ ТП? Страшилок про вторую и даже первую формы допуска, сдачу загранпаспорта, отказ от выезда заграницу, я начитался много.

Аналогичная шумиха была совсем недавно, когда ФСТЭК на своей конференции объявила о необходимости в недельный срок сформировать перечень всех объектов КИИ, что было физически невозможно. Вы думаете кто-то обратился во ФСТЭК за разъяснениями? Нет. Все стали обсуждать это между собой, строить догадки, ругать регулятора… Но никто не обратился к регулятору, вновь оставшись наедине с собой, побоявшись привлечь к себе внимание. При этом все мнят себя юристами и друг другу толкуют нормы действующего законодательства (да я и сам такой). Именно этот страх и удивляет меня. Мы постоянно ругаем регуляторов за выпуск ими непонятных или второпях написанных нормативных актов, мы начинаем додумывать, что же имелось в них ввиду, мы постоянно слышим, что регулятор призывает к диалогу… и мы продолжаем бояться, не верим и ждем, что кто-то придет и решит за нас все вопросы. Кто-то, только не мы. Пассивная у нас отрасль ИБ, боязливая.