Обязать компании в ключевых секторах инфраструктуры, включая финансы, телекоммуникации и транспорт, иметь планы противодействия кибератакам в ситуации роста подобных инцидентов в мире намерено правительство Японии, 20 декабря сообщает Nikkei Asia.

Японское правительство будет призывать руководителей компаний не ограничиваться обеспечением безопасности оборудования, но разработать планы по изменению организационной структуры для большей устойчивости к кибератакам.

Шаги для улучшения ситуации с кибербезопасностью будут изложены пересмотренном плане действий в отношении ключевой инфраструктуры страны, который должен быть готов к апрелю 2022. Предыдущий план был принят в 2017 году и новые правила должны дополнить его в разделе экономической безопасности.

Япония отмечает растущую обеспокоенность в США и Европе по поводу того, что финансовые системы и другие элементы критической для существования общества инфраструктуры могут быть повреждены, если корпоративная киберзащита не сработает. Так, в мае крупнейший американский владелец нефтепроводов был вынужден приостановить работу после кибернападения.

Страны по всему миру изо всех сил стараются укрепить защиту. Атаки становятся всё более изощренными и для их отражения недостаточно улучшения безопасности в каком-то отдельном аспекте — необходим комплексный подход.

Согласно официальным данным на конец 2020 финансового года, Япония считает около 1700 финансовых учреждений относящимися к ключевой инфраструктуре. Новые правила будут распространяться на около 1300 операторов связи, 22 железных дороги и 29 предприятий коммунального хозяйства.

Также ключевыми секторами названы авиакомпании, операторы аэропортов, поставщики газа, государственные службы, медицинские учреждения, водопроводные сети, логистика, химическая промышленность, кредитование и нефть.

План кибербезопасности Японии ранее был частью правительственных директив, но не имел обязательной юридической силы. Ожидаемый пересмотр сделает план более эффективным, поскольку меры будут явно основываться на законах о кибербезопасности.

Никаких штрафов за неисполнение рекомендаций пока не предусмотрено, однако министерство связи Японии и Национальный центр готовности к инцидентам и стратегии кибербезопасности будут проводить регулярные проверки и при необходимости призывать компании улучшить ситуацию. Ревизоры могут сослаться на японский Закон о компаниях и попросить фирму провести внутреннюю проверку.

Ожидается, что в новых правилах будет указано, что компании должны уточнить ответственность за свои планы кибербезопасности, иметь возможность бороться с угрозами в любое время и создать организационную структуру для действий в чрезвычайных ситуациях. Руководству компаний предложат принять непосредственное участие в реорганизациях, не ограничиваясь передачей всей работы своему отделу кибербезопасности.

Японские власти также хотят, чтобы компании боролись с рисками в своих цепочках поставок, включая утечки информации через телекоммуникационное оборудование и системы облачных вычислений. Компаниям будет предложено усилить управление рисками, в том числе в филиалах и поставщиках.

Считается, что японское правительство под рисками имеет в виду работу с китайскими подрядчиками и использование китайской телекоммуникационной продукции. Например, сетевое оборудование находящейся под американскими санкциями компании Huawei.

Кроме того, правительство Японии рассматривает возможность проведения проверок перед тем, как компании установят у себя на предприятии новое оборудование. Соответствующие поправки войдут в закон об экономической безопасности, который будет внесен в парламент в 2022 году.

Изменением правил Япония намерена побудить компании начать самостоятельную проверку нового оборудования на наличие закладок и уязвимостей еще до вступления в силу нового закона.

Напомним, по данным Национального института информационных и коммуникационных технологий Японии, с 2015 по 2020 год количество кибератак в стране выросло более чем в восемь раз. Атаке подверглись поддерживаемые государством предприятия и оборонные подрядчики, такие как Mitsubishi Electric и NEC. В принятой в сентябре стратегии кибербезопасности японские власти указывали якобы на участие Китая, России и Северной Кореи в этих кибератаках.

Ранее в этом году США разработали план по повышению кибербезопасности ключевых инфраструктурных компаний, таких как коммунальные предприятия. Он готов призвать к внедрению новых систем защиты правительством и частным сектором вместе с использованием новых технологий.