В Беларуси пересмотрели правила функционирования национальной системы кибербезопасности. Соответствующий приказ Оперативно-аналитического центра при Президенте Республики Беларусь опубликован на Национальном правовом интернет-портале. Изменения вступают в силу с 1 июля 2026 года и носят не революционный, а планомерный эволюционный характер. Как пояснили в Национальном центре кибербезопасности, изменения подготовлены с учетом практики применения действующего законодательства в области кибербезопасности, накопленного с 2023 года опыта функционирования центров кибербезопасности, а также многочисленных предложений государственных органов и иных организаций, участвующих в национальной системе. Об этом пишет БЕЛТА.

В соответствии с указом №40 "О кибербезопасности", элементами национальной системы обеспечения кибербезопасности признаются не только специализированные центры, но и объекты информационной инфраструктуры всех организаций страны. Это означает, что с 2023 года в нашей стране требования по кибербезопасности в той или иной степени распространяются на каждую организацию. Специализированные правила не распространяются только на физических лиц, включая индивидуальных предпринимателей.

Можно провести аналогию с правилами дорожного движения. Есть повышенные требования к водителям транспортных средств, которые допускаются к дорожному движению только с водительским удостоверением, но сами правила дорожного движения обязаны соблюдать все: от водителей до пешеходов. Повсеместное внедрение современных технологий во все сферы жизнедеятельности человека обязывают: даже если объект информационной инфраструктуры отдельной организации сам по себе не представляет интереса для злоумышленника с точки зрения важности бизнес-процессов, которые он автоматизирует, или обрабатываемой информации, это не означает, что такой объект находится вне зоны риска. Современные кибератаки строятся по принципу цепочки компрометации: злоумышленник ищет слабейшее звено в экосистеме.

После получения контроля над таким "неинтересным" объектом злоумышленник может использовать его для проведения распределенных атак типа "отказ в обслуживании" (DDoS) на порталы государственных органов, банковскую систему или критически важные объекты информатизации, для распространения вредоносного программного обеспечения и фишинговых рассылок внутри страны, а также организации скрытых командных центров для управления ботнетами и т.д.

Таким образом, даже компрометация рядового объекта превращает его в инструмент атаки на объекты, относящиеся к национальной информационной инфраструктуре, - банки, энергосети, транспортные узлы, системы государственного управления. Именно поэтому базовая кибербезопасность всех организаций, чьи системы имеют выход в Интернет, - это не чья-то прихоть, а элемент коллективной обороноспособности национального киберпространства.

При разработке изменений ключевым ориентиром выступал принцип, согласно которому законодательство о кибербезопасности должно быть фактически выполнимым для всех участников национальной системы - от крупных центров кибербезопасности до небольших организаций, имеющих выход в сеть Интернет. Избыточные или заведомо неисполнимые требования не повышают защищенность, а напротив, могут порождать практику формального его выполнения и создают иллюзию безопасности. Новая редакция приказа №130 оттачивает баланс интересов: государства, заинтересованного в устойчивости национальной информационной инфраструктуры; организаций, стремящихся к предсказуемости и разумным затратам; и добросовестных участников рынка услуг кибербезопасности, получающих прозрачные правила игры.

Значительная часть изменений направлена не на формирование новых правил, к которым участникам рынка придется заново привыкать, а на легитимизацию устоявшихся общественных отношений в рассматриваемой сфере. Регулятор, наблюдая за правоприменительной практикой на протяжении трех лет, приводит нормативную базу в соответствие с фактически сложившимися моделями поведения и ожиданиями участников.