Аттестат соответствия требованиям 187-ФЗ больше не спасает руководителей — напротив, он может стать доказательством их осознанного бездействия. В условиях ужесточения контроля, роста киберугроз и перехода к уголовной ответственности формальный подход к безопасности КИИ превращается в прямой управленческий риск. Почему «бумажная безопасность» закончилась и какие решения теперь становятся критическими для первых лиц — в разборе IT-World практики последних лет.
Долгое время аттестат соответствия требованиям 187-ФЗ воспринимался руководителями как юридическая страховка. Сегодня этот документ превратился в свою противоположность — в доказательство того, что топ-менеджер знал о рисках и предпочел имитацию. О том, как за два года изменились правила игры и что с этим делать, — на основе практики цифровой трансформации в ТЭК и региональном госуправлении.
Конец эпохи «бумажной безопасности»
Я начну с цифры, которая должна стать отправной точкой для любого управленческого решения в сфере КИИ. По данным ФСТЭК России, озвученным на «Инфофоруме-2026», из 700 проверенных значимых объектов критической информационной инфраструктуры минимальный уровень киберзащиты достигнут лишь у 36%. Иными словами, почти две трети стратегических предприятий страны остаются уязвимыми перед тем, что регулятор квалифицирует как «злоумышленник с минимальными возможностями».
Для понимания масштаба: речь не о противостоянии элитным APT-группировкам. Речь о неспособности защититься от массового вредоносного ПО и автоматизированных сканеров. Это управленческий провал, а не технический.
Период 2018–2023 годов был эпохой, которую я называю «первичным накоплением комплаенса». Субъекты КИИ массово занимались категорированием с единственной мотивацией — попасть в низшую категорию или не попасть вовсе. Логика была линейной: высокая категория значимости означает дорогостоящие средства защиты, подключение к ГосСОПКА, регулярные проверки. Руководители ставили задачу «оптимизировать» категорию, а не обеспечить реальную безопасность.
К 2026 году эта стратегия обернулась ловушкой. Практика кибератак 2024–2025 годов наглядно продемонстрировала: злоумышленники не читают акты категорирования. Атака на «незначимый» объект запускает каскадный эффект, останавливающий все предприятие. А акт категорирования, подписанный руководителем со словами «ущерб невозможен», в руках следователя превращается из щита в обвинительный документ.
Структура нарушений
Анализ административной практики ФСТЭК за 2025 год демонстрирует качественный сдвиг в характере претензий государства к бизнесу.
Тип нарушения
Количество дел
Что это значит для СЕО
Непредставление сведений (ст. 19.7.15 КоАП)
492
Системная попытка «спрятаться» от регулятора. Саботаж коммуникации.
Нарушение порядка защиты (ст. 13.12.1 КоАП)
111
Реальное несоответствие инфраструктуры требованиям. Не бумага — «железо» и софт.
Всего нарушений
> 1200
В среднем — почти два нарушения на каждый проверенный объект.
Источник: данные ФСТЭК России, «Инфофорум-2026»
Корневую причину этих цифр вскрыла начальник управления ФСТЭК Елена Торбенко: системное отстранение специалистов по информационной безопасности от бизнес-процессов. В большинстве российских компаний CISO по-прежнему воспринимается как технический персонал, а не как топ-менеджер, управляющий операционными рисками.
Из практики могу подтвердить: когда мы выстраиваем эшелонированную систему защиты КИИ, первым шагом должно быть не внедрение технических средств, а организационная трансформация — включение задач ИБ в контур стратегического управления, вывод CISO на уровень прямого доклада первому лицу. Без этого любая технология остается витриной.
Уголовная ответственность: новые правила для первых лиц
Ключевое изменение правового ландшафта к 2026 году — переход от административного давления к уголовному преследованию. Если прежде максимальным риском для генерального директора был штраф в 50 000 рублей, то сегодня риск измеряется годами лишения свободы.
Две статьи — два уровня ответственности
Статья 274.1 УК РФ («Неправомерное воздействие на КИИ») исторически воспринималась как «хакерская», но ее части 1 и 3 направлены на инсайдеров — сотрудников с легальным доступом. Прецедентным стало дело в Калуге (2021): сотрудник салона связи, скопировавший детализацию из биллинговой системы (объект КИИ), получил 3 года условно именно по этой статье.
Статья 293 УК РФ («Халатность») — основной инструмент воздействия на лиц, принимающих решения. В условиях повышенной террористической угрозы трактовка «халатности» ужесточилась. Квалифицированные составы предусматривают до 7 лет лишения свободы, если бездействие повлекло смерть двух и более лиц.
Механизм криминализации бездействия
Рассмотрим сценарий, который из теоретического стал реалистичным. Хакерская группировка внедряет вайпер в сеть энергетической компании. Происходит отключение электроэнергии в жилых кварталах зимой. Следователи изымают документацию и обнаруживают служебные записки CISO: «Необходимо обновить межсетевые экраны», «Требуется система защиты от целевых атак». На каждой записке — резолюция генерального директора: «Отложить», «Нецелесообразно».
Следствие устанавливает прямую причинно-следственную связь между отказом руководителя выделить ресурсы и наступившими последствиями. Служебные записки CISO превращаются из внутренней переписки в обвинительные акты.
Распространенное заблуждение «я назначил ответственного — теперь это его проблемы» в 2026 году не работает. Юридическая доктрина разделяет техническую ответственность (компетенции CISO) и ресурсную (решения CEO о финансировании). Отказ в выделении средств при наличии обоснования от профильных специалистов трактуется как осознанное принятие риска.
Экономика оборотных штрафов
До 2024 года экономика ИБ была перевернутой: штрафы за утечки составляли 60–100 тысяч рублей, что делало инвестиции в защиту нецелесообразными. К 2026 году вступили в силу оборотные штрафы, которые фундаментально изменили ROI проектов по информационной безопасности.
Новая математика риска
- Первичная утечка: штрафы для должностных лиц — до 1,2 млн руб., для юридических лиц — до 1,5 млн руб.
- Повторное нарушение: оборотный штраф от 1% до 3% совокупной годовой выручки (коридор: от 20 млн до 500 млн руб.)
Для федерального ретейлера или банка из топ-10 три процента от оборота — сумма, исчисляемая миллиардами, ограниченная потолком в полмиллиарда. Для среднего бизнеса штраф в 20–50 млн рублей может означать банкротство.
Стимул к инвестициям
Законодатель ввел механизм смягчения: штраф может быть минимизирован, если компания ежегодно инвестирует в ИБ не менее 0,1% от выручки, проводит независимые аудиты и оперативно уведомляет регуляторов об инцидентах. Этот норматив стал фактическим стандартом бюджетирования. Безопасность превратилась из центра затрат в инструмент защиты акционерной стоимости.
Технологический суверенитет. Реальность постановления № 1912
Параллельно с ужесточением ответственности идет форсированное импортозамещение. Указы Президента № 166 и № 250, Постановление Правительства РФ № 1912 установили жесткие дедлайны перехода на доверенные программно-аппаратные комплексы (ПАК).
Ключевое слово — именно «ПАК». Простой замены Windows на Astra Linux уже недостаточно. Регулятор требует замены аппаратной части — серверов, систем хранения данных, сетевого оборудования, контроллеров АСУ ТП — на оборудование из реестра Минпромторга.
На практике это означает ситуацию «идеального шторма». Отечественная микроэлектроника наращивает объемы, но не покрывает 100% потребностей в высокопроизводительном сегменте. А использование оборудования параллельного импорта (Cisco, Huawei, HP) на значимых объектах КИИ становится юридически токсичным — оно не может быть признано «доверенным».
Угрозы цепочки поставок
Спешка в разработке отечественного ПО привела к росту уязвимостей в Supply Chain. По данным Solar JSOC, более 60% инцидентов в промышленности связано с вредоносным ПО, значительная часть которого проникает через доверенное ПО или подрядчиков.
Сценарий атаки через цепочку поставок выглядит так: злоумышленники взламывают не завод, а небольшого разработчика софта для станков с ЧПУ, внедряют закладку в обновление — и оно легально устанавливается на сотни предприятий. Аттестат соответствия от «отравленного» обновления не защищает.
Ландшафт угроз 2026
Фундаментальный сдвиг: если в 2020–2022 годах основной угрозой были шифровальщики-вымогатели, целью которых был выкуп, то к 2026 году доминируют вайперы и деструктивное ПО. Цель — уничтожение данных без возможности восстановления, физическое повреждение оборудования, остановка технологических процессов.
Около 70% расследованных инцидентов связано с политически мотивированными группировками и прогосударственными APT-группами. Для руководителя это означает: нельзя «откупиться» от хакеров. Нельзя просто восстановиться из бэкапа, если атака направлена на физическое разрушение контроллеров.
Миф об «изолированном контуре»
Многие производственники живут убеждением, что их автоматизированные системы управления надежно защищены «воздушным зазором». Статистика Solar JSOC показывает: в 5% организаций вирусы обнаружены на критических хостах в изолированных сегментах. Векторы проникновения — непроверенные USB-носители, самовольно подключенные LTE-модемы, зараженные ноутбуки подрядчиков.
Исходя из собственного опыта могу отметить, что зачастую формально изолированные сегменты любой инфраструктуры имеют незадокументированные точки входа. Без полной инвентаризации и непрерывного мониторинга «воздушный зазор» — не более чем управленческая иллюзия.
Что делать руководителю
Бездействие или формализм больше не являются нейтральной позицией — они являются составом преступления. Ниже — алгоритм, выработанный на стыке практики управления КИИ в производстве и цифровой трансформации в государственном секторе.
1. Личное погружение: ИБ — это бизнес-процесс
Ввести ежемесячные отчеты CISO на правлении. Отказаться от технических метрик («отражено 1000 атак»). Требовать метрики бизнес-риска: вероятность остановки производства на 24 часа, время восстановления из холодного резерва, перечень недопустимых событий.
2. Ревизия категорирования: правда дешевле лжи
Инициировать пересмотр актов категорирования 2023–2024 годов. Если категория занижена искусственно — повысить добровольно. Это потребует расходов, но в случае инцидента снимет обвинение в умышленном сокрытии. Признание проблемы до прихода прокурора — лучшее смягчающее обстоятельство.
3. Бюджетирование: стандарт «0,1%»
Зафиксировать в бюджетной политике норматив расходов на ИБ не менее 0,1% от выручки. Это прямая юридическая страховка: даже при инциденте компания доказывает, что предпринимала все зависящие меры, — и разрушает состав «халатности».
4. Учения вместо иллюзий
Внедрить практику регулярных киберучений: штабные — для проверки цепочки принятия решений (кто уведомляет ФСБ, кто принимает решение об отключении), технические — Red Teaming силами внешних подрядчиков. Результат — выявление реальных, а не «бумажных» сроков реагирования.
5. Контроль цепочки поставок
Включить в договоры с поставщиками ПО жесткие требования по ИБ: результаты сканирования кода, сертификаты уровней доверия, наличие у подрядчика SOC или аттестованной системы защиты. DevSecOps у поставщика — не рекомендация, а условие контракта.
Вместо заключения
2026 год стал моментом истины для российской критической инфраструктуры. Период адаптации закончился. Государство больше не верит в бумажные отчеты и требует реальной устойчивости.
Безопасность КИИ перестала быть технической дисциплиной. Это дисциплина управленческая, юридическая и экономическая одновременно. И главный вывод для генерального директора формулируется предельно жестко: в новой реальности невозможно делегировать ответственность за безопасность — можно лишь разделить участь за ее отсутствие.
Цифровой суверенитет — это не модный термин из презентаций. Это ответ на вопрос: кто управляет критической инфраструктурой страны — мы или чужое ПО? Руководитель, который задает себе этот вопрос сегодня, имеет шанс дать правильный ответ. Тот, кто откладывает, — рискует, что ответ даст следователь.
Источники:
- Данные ФСТЭК России («Инфофорум-2026», доклад Е. Торбенко).
- Судебная практика по ст. 274.1 и 293 УК РФ.
- Поправки в КоАП РФ и 152-ФЗ об оборотных штрафах (2025–2026).
- Постановление Правительства РФ № 1912.
- Аналитика Solar JSOC и Positive Technologies (2024–2025).
- Материалы CISA (США) об обязательной отчетности КИИ.