Как ФСТЭК запрещал пользоваться услугами Вымпелкома, Яндекса и множества других российских компаний

Как ФСТЭК запрещал пользоваться услугами Вымпелкома, Яндекса и множества других российских компаний
Вчера, я вкратце пробежался по последствиям, которые повлечет за собой принятие поправок в 239-й приказ. Сегодня я хотел бы коснуться одной из формулировок этих поправок чуть более подробно. Но для этого, я бы хотел, чтобы вы представили себе ситуацию.

Обычный русский город Осташков. Население по итогам 2019-го года составляет 15666 человек. Единственное медицинское учреждение на весь Осташковский район - Осташковская центральная районная больница. Стационар круглосуточного пребывания на 158 коек, дневного пребывания - на 40 коек. Есть отделение хирургии, инфекционное, травма, гинекология, неврология, родовое, реанимация. 63 врача и 155 средних медицинских работника. Муниципальный бюджет на здравоохранение составляет 29 миллионов рублей; еще почти 10 миллионов составляют внебюджетные средства. Минимум треть средств уходит на капитальный ремонт отделений больницы.Средняя зарплата врача - 30 тысяч рублей. Средняя зарплата среднего медработника - 15 тысяч рублей. Нехватка кадров. Безопасника нет в принципе, а айтишник - один единственный с зарплатой в 17-20 тысяч рублей.


Ситуация достаточно типична для большинства районных больниц страны, которые, как мы знаем все относятся к субъектам КИИ. Есть ли значимые объекты у такого субъекта? Ну если почитать показатели критериев категорирования, то да, есть, так как возможно нанесение ущерба жизни и здоровью людям путем воздействия на объекты КИИ. Таким образом, у Осташковской ЦРБ есть значимые объекты КИИ, на которые распространяет свое действие 239-й приказ ФСТЭК, в том числе и его новая редакция, которую примут скорее всего без каких-либо поправок, так как это не инициатива ФСТЭК, а распоряжение Правительства, которое потребовало от ФСТЭК до 1-го марта 2020 г. обеспечить усиление требований по безопасности информации к оборудованию, используемому на объектах КИИ и в государственных информационных системах и увязать их с мерами по импортозамещению, реализуемыми Минпромторгом.

Теперь смотрим на поправки в 239-й приказ. Два последних пункта поправок требуют, чтобы в значимом объекте не было ни поддержки, ни удаленного прямого доступа сотрудников зарубежных организаций, а также организаций, находящихся под прямым или косвенным контролем иностранных физических и (или) юридических лиц". И это, скажу я вам, полнейшая жопа для главрача районной больницы, который теперь обязан проводить проверки всех своих контрагентов на поставку или обслуживание эксплуатируемой вычислительной техники на предмет нахождения их под прямым или косвенным контролем иностранных физических и (или) юридических лиц.

Это даже хуже, чем требовать использование отечественного софта или радиоэлектронной продукции, находящейся в соответствующих реестрах Минцифры или Минпромторга. В этих случаях соответствующие комиссии уже сделали все за вас и приняли решение о включении прошедших проверки железок и софта в реестры. В случае с же поправками ФСТЭК никакой отсылки к реестрам нет (и переложить все на экспертные комиссии не удастся) - руководитель организации несет полную ответственность за проверку контрагентов.

А как это сделать? Вставить пункт в тендерные требования, а потом и договор? Вставить можно, но их же и нарушить можно (за доступ к бюджетным деньгам-то). Контролировать все равно надо. А можно ведь и специально подставить неугодного руководителя - подставив на конкурс фирму, у которой руководитель имеет двойное гражданство (вот и контроль со стороны иностранного физического лица), или которая сама зарегистрирована в оффшоре. А потом пожаловаться в прокуратуру и все - неугодный руководитель идет валить лес, а на его место ставится податливый и понятливый человек.

А как проверить двойное гражданство? А вид на жительство? А наличие в учредителях оффшора? А что делать, если уже сейчас больница закупает антивирус у компании, которая находится под контролем управляющей компании, зарегистрированной в Великобритании? А если вы заказываете услуги расследования инцидента у компании, которая также зарегистрирована в Лондоне? А услуга обязательного по требованиям ФСТЭК пентеста от компании, руководитель которой имеет гражданство Израиля? А если в руководстве компании-производителе DLP есть гражданин Беларуси, то как мы считаем Беларусь, как иностранное государство или как часть так и не заработавшего Союзного государства?

Но можно взять и более простые примеры. Компания "Вымпелком" входит в состав группы компаний VEON Ltd. и имеет штаб-квартиру в Амстердаме. Ее акции торгуются на бирже и любой миноритарный акционер имеет определенный контроль над ней (в проекте приказа ФСТЭК не говорится об объеме контроля). Но вернемся к Вымпелкому. Вы не интересовались гражданством его генерального директора, Василия Лацанича? Значит ли это, что теперь субъекты КИИ не могут под страхом уголовного наказания пользоваться услугами связи от одного из крупнейших операторов связи России? Акции МТС тоже торгуются на американской бирже и среди ее акционеров есть иностранцы. А Яндекс? Он вообще зарегистрирован в Нидерландах (100% ООО "Яндекс" принадлежит голландской Yandex N.V.). И таких примеров, которые просто лежат на поверхности, можно назвать немало. А уж ситуаций, когда структура собственности какой-либо компании, занимающейся ИБ или разработкой или поддержкой ИТ, совсем неясна, гораздо больше. И уж точно не задача главврача заниматься такой проверкой.

Что вообще понимается под фразой "под контролем"? А я вам скажу. Это когда:




  • руководитель компании имеет двойное/тройное гражданство (а возможно и вид на жительство в другой стране)
  • среди акционеров компании есть иностранцы, в том числе россияне с двойным гражданством
  • в исполнительном органе или совете директоров компании есть иностранцы, в том числе россияне с двойным гражданством.
Интересно, сколько в нашей стране "отечественных" ИТ/ИБ-компаний, которые удовлетворяют таким требованиям?

А что, если не проверять? А это прямой путь к статье 274.1 и 10 годам лишения свободы (закупка же не у того контрагента может быть признана несоответствующей законодательству и потери бюджета могут составить несколько миллионов рублей, что будет характеризоваться как тяжкий ущерб со всеми вытекающими).

А что же делать главврачу Осташковской центральной районной больницы, а также руководителям всех остальных медицинских учреждений и иных организаций, которым "посчастливилось" стать владельцами значимых объектов КИИ? А ничего. Никаких выводов не будет. Пусть каждый их делает самостоятельно.

ЗЫ. А ведь есть еще дочки иностранных компаний, работающих в России, которые пользуются услугами своих центральных департаментов ИТ или ИБ, в которых работают иностранцы. Это получается, что ФСТЭК еще и такую деятельность поставит скоро вне закона. На очередном международном форуме наш гарант изменяемой сейчас Конституции услышит много интересного об инвестиционном климате в нашей стране с таким законодательством.
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.