Чужая инфраструктура как слепая зона регулирования КИИ

Николай Лобанов (с) фото предоставлено автором
Николай Лобанов (с) фото предоставлено автором

Об авторе: Николай Лобанов, магистрант Института права и национальной безопасности РАНХиГС

Вечером 30 января 2024 года из-за ошибки при работе с ключами DNSSEC домены зоны .ru утратили возможность корректного преобразования имён в IP-адреса – приложения и сайты Сбербанка, ВТБ и других банков, мобильных операторов, маркетплейсов оказались недоступны по всей стране; Минцифры и Координационный центр доменов .RU/.РФ подтвердили техническую проблему, связанную с глобальной инфраструктурой DNSSEC, работу восстановили около 22:20 Мск.

При этом в отчётности по критической информационной инфраструктуре не отразилось почти ничего: значимые объекты КИИ банков работали штатно, компьютерного инцидента на них не было. Финансовые сервисы для миллионов клиентов лежали несколько часов, юридически же всё было спокойно. Это противоречие между правовой картиной и технической реальностью не случайно: оно заложено в саму конструкцию регулирования КИИ.

Как устроена норма

Закон 187-ФЗ определяет субъекты КИИ по сфере деятельности: банковская сфера и иные сферы финансового рынка прямо названы в законе. Дальше логика такая: субъект выявляет свои объекты – информационные системы, автоматизированные системы управления, сети – и категорирует их по критериям постановления правительства № 127 исходя из масштаба возможного ущерба. Значимые объекты защищаются по требованиям ФСТЭК, о компьютерных инцидентах субъект сообщает в ГосСОПКА, финансовые организации – ещё и в Банк России. С 1 марта 2026 года действует обновлённая редакция закона (поправки 325-ФЗ), которая расширила инструментарий регулятора, но не изменила главного: точка отсчёта – субъект и принадлежащие ему системы.

Вся эта конструкция держится на допущении, что субъект владеет инфраструктурой, на которой работают его критические процессы. Для финансового сектора это всё чаще оказывается не так.

Где разрыв

Банк категорирует свои АБС, процессинг, системы дистанционного обслуживания. Но фактическая работоспособность этих сервисов зависит от цепочки, которой в категорировании нет: облачные мощности, на которых развёрнуты клиентские сервисы; DNS-резолвинг, без которого недоступен любой домен, — именно он отказал 30 января 2024 года; хостинг; каналы связи. Эти элементы принадлежат провайдерам. Провайдер может и сам быть субъектом КИИ — например, как оператор связи, — но его коммерческое облако при этом не обязано быть значимым объектом, а требования к значимым объектам не «протекают» по договору аутсорсинга от банка к провайдеру.

Это не умозрительный риск, вот пример: 30 марта 2025 года авария на опорной подстанции 220 кВ обесточила обе независимые линии питания дата-центра «Яндекса», зона доступности ru-central1-b в Yandex Cloud выпала целиком, и до вечера вместе с ней лежали сервисы клиентов, развёрнутые только в этой зоне, — инцидент подробно разобран самим провайдером. Мировая практика показывает тот же разрыв в ещё больших масштабах: дефектное обновление агента CrowdStrike 19 июля 2024 года останавливало банки, биржи и авиакомпании по всему миру, а пятнадцатичасовой отказ облака AWS в октябре 2025 года оставил клиентов британских Lloyds и Bank of Scotland без онлайн-банка. При этом зависимость от чужой инфраструктуры давно не экзотика: банки выносят на внешние мощности клиентские сервисы и аналитику, финтех-компании изначально живут на арендованной инфраструктуре. Собственного «железа», к которому привязана логика категорирования, у них может не быть вовсе.

Второй слой разрыва – информационный. Инцидент у провайдера все видят по частям: сам провайдер – как собственное событие, которое он не обязан связывать с чужими критическими процессами; НКЦКИ – только если провайдер является субъектом КИИ и уведомил; Банк России – только от поднадзорных финансовых организаций; ФСТЭК – в логике требований к значимым объектам. Банк отчитывается о последствиях, провайдер – о причинах, и эти отчёты не сходятся ни в одной точке. Так было и 30 января 2024 года: сбой затронул практически весь розничный финсектор, но полной картины происходящего не оказалось ни у одного регулятора.

Что уже делается

Лето 2026 года дало заметную нормотворческую волну именно вокруг опорной инфраструктуры. Минцифры переиздаёт приказ № 510 о национальной системе доменных имён, вынесло на обсуждение проект постановления об использовании облачных мощностей для государственных информационных систем и обновляет приказ № 677 о вычислительной инфраструктуре для ГИС. Направление верное, только все три документа написаны про государственные системы. Коммерческий финсектор, который работает на тех же облаках и той же DNS, в этой волне не адресат.

Автор подавал текстовые поправки ко всем трём проектам (пакеты проходят процедуру общественного обсуждения и оценки регулирующего воздействия): измеримые метрики качества DNS-резолвинга с перцентилями вместо деклараций о надёжности, поддержка современных протоколов шифрованного DNS, требования к целостности журналов и, главное, информирование ГосСОПКА и центра мониторинга Банка России о событиях безопасности у провайдера, обслуживающего инфраструктуру КИИ финансового сектора. Параллельно ФСТЭК подготовила проект постановления о метриках защищённости КИИ: два из четырёх предложений автора получили в сводке обсуждения статус «учтено», в том числе о распространении методики оценки на финансовые организации. Наконец, антифрод-пакет: часть поправок, направленных автором в профильный комитет Госдумы к законопроекту № 1110676-8, учтена в работе комитета; закон подписан в июне как 210-ФЗ.

Опыт показывает, что конкретные текстовые поправки регуляторы рассматривают всерьёз. Но системный вопрос о периметре пока никем из них не поставлен.

Что делать

Закрыть разрыв можно без нормотворческих революций, несколькими связанными решениями.

Первое – информирование по цепочке. Договор субъекта КИИ с облачным, DNS- или хостинг-провайдером должен в силу нормативного требования, а не доброй воли, включать обязанность провайдера сообщать субъекту о событиях безопасности и сбоях, затрагивающих обслуживаемые системы, в фиксированные сроки.

Второе – уведомления регуляторов. Для инфраструктуры, обслуживающей значимые объекты КИИ финансового сектора, нужна обязанность провайдера информировать ГосСОПКА и Банк России о таких событиях независимо от того, является ли сам провайдер субъектом КИИ.

Третье – измеримые SLA. Нормативные требования к качеству опорных сервисов должны формулироваться в метриках и порогах: время ответа, доступность, перцентили. Декларации об «обеспечении надёжности» непроверяемы.

Четвёртое – exit-стратегия как элемент категорирования: субъект, разместивший критический процесс у внешнего провайдера, обязан иметь работающий план миграции.

Пятое – карта зависимостей значимого объекта: перечень внешних сервисов, от которых объект фактически зависит, как обязательная часть сведений о категорировании. Тогда полная картина инцидента сможет собраться в одной точке.

Окно возможностей

Подзаконная база к 210-ФЗ будет формироваться в ближайшие месяцы, осенняя нормотворческая повестка по КИИ и без того насыщена: переиздаваемые акты Минцифры, метрики ФСТЭК, антифрод-контуры банков. Для темы периметра не нужен отдельный закон, хватит согласованных правок в документы, которые уже лежат на столе.

Чтобы не пропустить самое интересное, читайте нас в Max и Телеграм

Поделиться: