Слепое пятно периметра: инфраструктура под финансовой КИИ и разрыв в уведомлениях

Для SOC финансового объекта КИИ два события на дашбордах выглядят почти одинаково: атака на собственные системы и отказ инфраструктурного слоя под ними — проблема с DNS-резолвингом, деградация облачной площадки. Сервис деградирует одинаково. Но в плоскости уведомлений и регулирования эти два события разведены полностью.

Финансовые сервисы КИИ не работают в изоляции. Они стоят на слое облачных сред, DNS-резолвинга, элементов национальной системы доменных имён. Обязанности по 187-ФЗ — категорирование, подключение к ГосСОПКА, уведомление НКЦКИ — привязаны к субъекту. А слой под ним, который сейчас регулируется отдельными проектами Минцифры (ID 167984 — облачные сервисы для ГИС, ID 167678 — инфраструктура DNS/НСДИ), живёт в своей логике устойчивости и доверия, не состыкованной с логикой инцидент-реагирования финсектора.

Когда отказ зарождается снизу, мониторинг субъекта фиксирует симптомы — рост задержек, ошибки резолвинга, недоступность, — но не обязательно сразу атрибутирует их к инфраструктурному слою. Обязанность уведомлять завязана на инциденты самого субъекта; у провайдера падающего слоя симметричной обязанности уведомлять НКЦКИ или ФинЦЕРТ нет. В результате даже когда субъект в итоге уведомит, картина истинного источника приходит с опозданием или неполная.

Так национальная картина инцидентов в ГосСОПКА оказывается слепа ровно там, где зависимость наиболее системна, — в инфраструктуре под платёжными системами. Атакующий, который это понимает, целится не в укреплённый субъект, а в слой с самым слабым покрытием по уведомлениям.

Закрывается разрыв не новым законом, а триггером уведомления на уровне инфраструктурного слоя: если инцидент затрагивает инфраструктуру, обслуживающую объекты КИИ — и тем более объекты первой категории финсектора, — провайдер уведомляет НКЦКИ, и для финансового контура и ФинЦЕРТ. Механизм встраивается в обсуждаемые проекты Минцифры либо перекрёстной ссылкой со стороны регулирования КИИ, интегрируется с уже работающей механикой ГосСОПКА, а нагрузка ограничена: речь об инцидентах, затрагивающих и без того поднадзорный периметр.

Пока обязанность привязана к субъекту, а не к зависимости, мы имеем субъекты, отвечающие за собственную устойчивость, и инфраструктуру под ними, не обязанную даже сообщать, что она упала. Для тех, кто строит реальное инцидент-реагирование, это не юридическая тонкость, а ощутимое слепое пятно в периметре наблюдаемости.