С точки зрения регуляторики, требований государства, ужесточаются требования в плане защиты объектов критической инфраструктуры. <...> Эта динамика достаточно существенная, этот переход к обязательным решениям по защите инфраструктуры происходит очень быстро. В этой связи проблема видится в том, что решения, которые обеспечат защиту такой сложной инфраструктуры, физически их количество на рынке ограничено. <...> Создание системы, которая позволит быстро на рынок выводить нужного качества решения и их количество, на мой взгляд, (это. — Прим. ред.) проблема и вызов — Бутко Андрей, Генеральный директор, АО «Русатом Автоматизированные системы управления».

В чем сложность реагирования на такие атаки? Мы, когда всю эту ситуацию расследовали, у группировки, например, больше десяти запасных ходов они себе оставили в инфраструктуру, и если ты уничтожаешь в каком-то месте вот это атакующее программное обеспечение, то злоумышленник точно себе оставил десяток запасных входов — Ляпунов Игорь, Вице-президент по информационной безопасности, ПАО «Ростелеком».

Одним из основных каналов проникновения в критическую информационную инфраструктуру являются IT-подрядчики, IT-компании, которые создают, обслуживают ту самую IT-инфраструктуру — Ляпунов Игорь, Вице-президент по информационной безопасности, ПАО «Ростелеком».

Если мы говорим про профессиональные, адресные, медленные (атаки. — Прим. ред.) <...> мы, может быть, ее и пропустим, но мы ее заметим. <...> Есть технологии, есть методы, как поймать эту штуку. К сожалению, для того чтобы сделать компанию защищенной от подобных атак, необходимы не только технологии, продукты, необходимо их интегрировать, обучить персонал, периодически проводить аудиты. Сейчас, если мы говорим про Россию, нет ни одной компании, ни одного интегратора, который позволяет это делать — Касперский Евгений, Генеральный директор, АО «Лаборатория Касперского».

Регуляторика с точки зрения создания условий как финансирования, так и технических условий, полноценной реализации технической политики как на государственном уровне, так и на корпоративном уровне, с одной стороны — зона внимания, с другой стороны — ответ, которые (вместе. — Прим. ред.) приведут нас к результату — Бутко Андрей, Генеральный директор, АО «Русатом Автоматизированные системы управления».

На сегодняшний день чтобы воздействовать на любую критическую информационную инфраструктуру <...> преимущественно это идет через человеческий ресурс. Без человека невозможно ничего сделать. <...> Здесь в Российской Федерации у нас на сегодняшний день, на мой взгляд, нужно немного менять законодательство с точки зрения NDA, неразглашения, потому что не все у нас четко воспринимают, что же можно, а что нельзя делать — Заварзин Денис, Генеральный директор, АНО «Центр изучения и сетевого мониторинга молодежной среды»; член Общественной палаты Российской Федерации.

Будем в каждый сквозной проект внедрять обязательные требования по информационной безопасности. Это надо делать сразу, на входе. Если мы создаем решение, это должен быть кибериммунитет, secure by design, с самого начала — это первая история. Вторая история, это, понятно, что будем усиливать давление регламента с точки зрения импортозамещения и требований — Шпак Василий, Заместитель Министра промышленности и торговли Российской Федерации.

Серьезное внимание стоит уделять отработке навыков реагирования на инциденты — Бутко Андрей, Генеральный директор, АО «Русатом Автоматизированные системы управления».

Мы сейчас стараемся эти программы по кибербезопасности развивать в школах, чтобы молодые люди знали об этом — Данон Дани, Независимый эксперт; постоянный представитель Государства Израиль при Организации Объединенных Наций (2015-2020 гг.).