Открыть сервис

Экономическая значимость объекта КИИ

Объект критической информационной инфраструктуры (КИИ) — это информационная система, информационно-телекоммуникационная сеть или автоматизированная система управления, принадлежащая государственному органу, органу местного самоуправления, юридическому лицу или индивидуальному предпринимателю, которая обеспечивает процессы в одной из сфер, определённых законодательством Российской Федерации, и нарушение или прекращение функционирования которой может привести к негативным последствиям для обороноспособности, безопасности, экономики, здоровья или жизнедеятельности населения. Экономическая значимость объектов КИИ определяется их ролью в обеспечении непрерывности производственных и управленческих процессов в ключевых отраслях экономики, а также величиной потенциального ущерба от сбоев в их работе, который может измеряться миллиардами рублей и приводить к системным рискам для национальной экономики.

Правовые основы и категорирование

В Российской Федерации правовой режим объектов КИИ установлен Федеральным законом от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Согласно закону, к объектам КИИ относятся системы, функционирующие в следующих сферах: здравоохранение, наука, транспорт, связь, энергетика, банковская сфера и иные сферы финансового рынка, топливно-энергетический комплекс, атомная энергия, оборонная и ракетно-космическая промышленность, металлургическая и химическая промышленность, а также в сфере государственного управления.

Категории значимости

Объектам КИИ присваивается одна из трёх категорий значимости (первая, вторая или третья) в зависимости от степени потенциального ущерба. Экономическая значимость напрямую коррелирует с категорией: чем выше категория, тем больше масштаб возможных экономических потерь. Критерии категорирования включают:

  • Социальный ущерб: количество людей, чья жизнь или здоровье могут пострадать, или чьи условия жизнедеятельности могут быть нарушены.
  • Политический ущерб: влияние на государственное управление, обороноспособность и международные отношения.
  • Экономический ущерб: прямой и косвенный ущерб для бюджета, субъектов экономики и ВВП.
  • Экологический ущерб: масштаб загрязнения окружающей среды.

Для объектов первой категории характерен максимальный экономический ущерб, который может превышать 50 миллиардов рублей или составлять значительную долю годового бюджета предприятия.

Роль в отраслях экономики

Экономическая значимость объектов КИИ проявляется в их способности обеспечивать непрерывность ключевых бизнес-процессов. Сбой в работе такого объекта может парализовать целые отрасли.

Энергетика

Объекты КИИ в энергетике включают автоматизированные системы управления (АСУ) электростанций, подстанций и диспетчерских центров. Например, АСУ «Системного оператора Единой энергетической системы» (СО ЕЭС) является объектом КИИ. Выход из строя такой системы может привести к каскадному отключению электроэнергии в масштабах региона или страны. Экономический ущерб от блэкаута в Москве в 2005 году, вызванного технологическим сбоем, оценивался в 15–17 миллиардов рублей. Для энергоёмких производств (алюминиевая промышленность, химическая промышленность) даже кратковременное отключение электроэнергии влечёт за собой убытки в сотни миллионов рублей из-за остановки технологических процессов и порчи сырья.

Транспорт

В транспортной сфере объектами КИИ являются системы управления движением поездов (например, на Московском центральном кольце или на высокоскоростных магистралях), диспетчерские системы аэропортов, системы управления морскими портами. Сбой в системе бронирования авиабилетов (например, в системе «Сирена-Трэвел») может привести к задержкам рейсов и финансовым потерям авиакомпаний. По оценкам экспертов, час простоя крупного аэропорта из-за отказа ИТ-инфраструктуры обходится в сумму от 5 до 20 миллионов рублей. В железнодорожной отрасли остановка движения на сутки на одном из ключевых направлений (Транссибирская магистраль) может нанести ущерб в десятки миллиардов рублей из-за срыва контрактов и логистических цепочек.

Финансовый сектор

Банковская система является одной из наиболее чувствительных к сбоям КИИ. Объектами КИИ здесь выступают автоматизированные банковские системы (АБС), системы межбанковских переводов (например, Система передачи финансовых сообщений Банка РоссииСПФС), процессинговые центры. Сбой в работе национальной платёжной системы «Мир» или в системе быстрых платежей может парализовать розничные расчёты на территории страны. В 2022 году, по данным Центрального банка РФ, технические сбои в работе некоторых банков приводили к временной недоступности мобильных приложений, что вызывало социальное напряжение, но не привело к системному кризису. Экономический ущерб от длительного сбоя в системе межбанковских расчётов может быть сопоставим с недельным объёмом ВВП.

Связь и телекоммуникации

Объекты КИИ в сфере связи — это магистральные сети передачи данных, центры обработки данных (ЦОДы), системы управления сетями. Сбой в работе одного из крупных ЦОДов (например, DataLine или «Ростелеком-ЦОД») может привести к потере данных тысяч компаний и государственных сервисов. Экономическая значимость таких объектов особенно высока в эпоху цифровой экономики: по данным аналитиков, средняя стоимость часа простоя ЦОДа для крупного предприятия составляет от 50 до 100 тысяч долларов. В 2023 году сбой в работе серверов одного из крупных операторов связи привёл к временной недоступности сайтов ряда государственных учреждений, что потребовало экстренных мер по восстановлению.

Инвестиции и затраты на защиту

Экономическая значимость объектов КИИ также выражается в объёме инвестиций, направляемых на их создание и защиту. Согласно требованиям Федерального закона № 187-ФЗ, субъекты КИИ обязаны создавать системы безопасности (ГосСОПКА — Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак). По оценкам Министерства цифрового развития, связи и массовых коммуникаций РФ, совокупные затраты российских компаний на обеспечение безопасности КИИ в 2023 году превысили 150 миллиардов рублей. Эти затраты включают закупку оборудования, разработку программного обеспечения, обучение персонала и проведение аудитов.

Эффективность вложений

Несмотря на высокие расходы, экономическая эффективность защиты КИИ оценивается через предотвращённый ущерб. Например, предотвращение одного масштабного кибератаки на энергосистему может сэкономить государству десятки миллиардов рублей. В 2022 году, по данным ФСТЭК России, было предотвращено более 50 тысяч компьютерных атак на объекты КИИ, что позволило избежать значительных экономических потерь. Однако точная оценка предотвращённого ущерба затруднена из-за отсутствия единой методики.

Влияние на макроэкономику

Экономическая значимость объектов КИИ выходит за рамки отдельных отраслей. Сбой в работе критической инфраструктуры может вызвать цепную реакцию, затрагивающую смежные сектора. Например, отключение электроэнергии на газоперерабатывающем заводе может привести к сокращению поставок газа в Европу, что повлияет на валютную выручку и бюджет РФ. По данным Счётной палаты РФ, в 2021 году ущерб от кибератак на объекты КИИ в России составил около 0,1% ВВП, что эквивалентно примерно 100 миллиардам рублей. В случае масштабной атаки на несколько объектов КИИ одновременно, ущерб может достигнуть 1–2% ВВП, что сопоставимо с годовым бюджетом некоторых регионов.

Риски для малого и среднего бизнеса

Хотя объекты КИИ в основном принадлежат крупным государственным и частным компаниям, их сбои напрямую влияют на малый и средний бизнес (МСБ). Например, сбой в работе банковской системы лишает предпринимателей доступа к кредитным средствам и расчётным счетам, что может привести к остановке деятельности. По данным опросов «Опоры России», около 30% представителей МСБ считают сбои в работе КИИ одним из основных цифровых рисков для своего бизнеса.

Международные сравнения

Экономическая значимость объектов КИИ признаётся на международном уровне. В США, согласно отчётам Агентства по кибербезопасности и защите инфраструктуры (CISA), ущерб от атак на КИИ в 2022 году превысил 10 миллиардов долларов. В Европейском союзе принята Директива NIS 2, которая обязывает компании в 18 секторах (включая энергетику, транспорт, здравоохранение) обеспечивать повышенный уровень кибербезопасности. В России подход к оценке экономической значимости КИИ более централизован: государство определяет перечень критически важных объектов и контролирует их защиту через ФСТЭК и ФСБ.

Критика и проблемы

Экономическая значимость объектов КИИ не всегда адекватно оценивается на практике. Основные проблемы включают:

  • Недостаток методик: отсутствие единых стандартов для расчёта ущерба от сбоев, особенно в части косвенных потерь (например, потеря репутации или упущенная выгода).
  • Бюрократизация: требования к защите КИИ часто приводят к избыточным затратам, которые не всегда оправданы с точки зрения реальных рисков. По оценкам экспертов, до 30% средств, выделяемых на безопасность КИИ, тратится на формальное выполнение требований, а не на реальное повышение устойчивости.
  • Неравномерность нагрузки: крупные компании (например, «Росатом», «Газпром») имеют ресурсы для защиты КИИ, в то время как средние предприятия испытывают дефицит кадров и средств, что делает их уязвимыми.

Источники

  1. Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
  2. Приказ ФСТЭК России от 14.03.2014 № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».
  3. Доклад Министерства цифрового развития, связи и массовых коммуникаций РФ «О состоянии защиты критической информационной инфраструктуры в 2023 году».
  4. Отчёт Счётной палаты РФ «Анализ эффективности мер по обеспечению безопасности критической информационной инфраструктуры» (2022).
  5. Материалы конференции «КИИ-2023» (Москва, 2023) — доклады представителей ФСТЭК, Банка России и «Ростелекома».
  6. Исследование «Экономические последствия кибератак на объекты КИИ в России» (Институт экономики РАН, 2022).
  7. Данные «Опоры России» по опросу предпринимателей о цифровых рисках (2023).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →