Александр Шойтов: Безопасность с поддержкой от государства
Многие меры по поддержке ИБ-отрасли уже приняты, а по остальным ведется планомерная работа. Об этом мы поговорили с заместителем министра цифрового развития РФ Александром Шойтовым.
К январю 2025 года должна быть решена задача по переходу на отечественное ПО. Эксперты считают, что нужен единый орган управления, единые правила и требования, которые будут распространяться и на государственные структуры, и на бизнес. Какие шаги предпринимает Минцифры для решения этих задач?
Согласно Указу Президента РФ № 166, в КИИ к 2025 году необходимо полностью перейти на отечественное программное обеспечение. Летом текущего года глава правительства Михаил Мишустин поручил создать в России индустриальные центры компетенций по замещению отраслевых программных продуктов и решений, включая программно-аппаратные комплексы в ключевых отраслях экономики, а также центры компетенций по развитию российского системного и прикладного ПО, которое необходимо для замещения используемых в настоящее время органами исполнительной власти зарубежных аналогов. На сегодня сформировано свыше тридцати таких центров. Они занимаются тем, что определяют приоритетные направления, виды и классы замещаемого ПО и формируют технические задания для вендоров‑разработчиков. В состав центров входят представители отраслевых предприятий, эксперты и вендоры, а возглавляют эти структуры руководители ведущих компаний — лидеров каждой из отраслей. Курирует данное направление заместитель Председателя Правительства РФ Дмитрий Николаевич Чернышенко, а Минцифры является координирующим органом. Другое направление нашей работы — импортозамещение программно-аппаратных комплексов. Здесь мы взаимодействуем с Минпромторгом РФ.
С какими проблемами приходится сталкиваться при создании центров компетенций?
Сами эти структуры уже сформированы и работают. Сложности заключаются в создании конкретных видов программных продуктов. В одних областях у нас есть очень хорошие заделы, в других таких заделов меньше.
В этом году, выступая на ПМЭФ, вы сказали, что меры по информационной безопасности, которые принимает государство, условно можно разделить на две части: создание ИБ-инфраструктуры и противодействие атакам. Какая работа со стороны Минцифры ведется в этом направлении?
Существует целый ряд требований по информационной безопасности, выдвигаемых регуляторами: ФСТЭК, Минцифры и другими организациями. В этом году, с учетом тяжелой геополитической обстановки, мы должны руководствоваться двумя ключевыми документами: уже упомянутым Указом Президента № 166 и Указом № 250. Указ № 166 как раз направлен на то, чтобы в российской инфраструктуре использовались доверенные отечественные решения. Эта часть работы связана с созданием доверенной информационной инфраструктуры. Указ № 250 дополняет его. В нем имеется часть, посвященная импортозамещению средств защиты информации. Все это необходимо сделать до 2025 года. В Указе № 250 речь идет о мерах информационной безопасности, которые необходимо принять помимо тех, что уже существуют в нашей стране. Документ регламентирует проведение мероприятий по анализу защищенности информационных систем, предлагая сделать это всем организациям, являющимся субъектами Указа. Идея заключается в том, чтобы привлечь лидеров российской ИБ-отрасли и лучшие отечественные компании к проведению такого анализа и принятию необходимых мер.
Не только в ИТ, но и в ИБ сегодня многое меняется. Постоянно возникают новые угрозы. Киберпреступники выбирают нетрадиционные подходы и методы, а их активность с февраля текущего года многократно возросла. Что в этой ситуации делать и как защищаться?
В текущем году зафиксирован беспрецедентный рост кибератак на российскую информационную инфраструктуру, но о какихлибо технологических находках я бы не стал говорить, поскольку, являясь президентом Академии криптографии, системно занимаюсь, в частности, и этими вопросами. Например, мы проводим системные исследования по этому направлению в тесном взаимодействии с лидирующими российскими ИБ-компаниями.
Кроме того, Минцифры организовывает независимый анализ защищенности. Мы готовы привлекать новых участников процесса по обеспечению информационной безопасности, наиболее опытных экспертов, членов ИБсообщества, а также проводить программы Bug Bounty и другие подобные инициативы. Такая практика существует и в зарубежных странах, там она показала свою эффективность. К примеру, можно и нужно устраивать независимое тестирование по проникновению в информационные системы. Это тоже относится к новым мерам, которые мы планируем реализовать по согласованию с нашими коллегамирегуляторами — ФСБ и ФСТЭК.
Если раньше хакеры и злоумышленники атаковали и взламывали системы только затем, чтобы продать полученные данные, то сегодня эксперты все чаще говорят о кибервандализме, то есть взломе ради взлома. В таком случае полученные данные могут быть выложены и опубликованы вообще бесплатно. Наблюдаете ли вы подобную тенденцию сейчас?
Раньше атакующие старались вывести из строя определенные сегменты инфраструктуры, украсть деньги или какиелибо данные, теперь же начались массированные атаки на всю инфраструктуру в целом. Деньги попрежнему воруют, но существенная доля атак направлена на общую дестабилизацию ситуации в стране.
Одним из новых направлений можно назвать аудит кибербезопасности российских организаций и коммерческих компаний. Что делается в этой сфере?
Аудит — это проверка защищенности. У нас в стране существует целая система проверок компетентными органами. По результатам таких проверок компании устраняют недостатки и затем отчитываются. При желании можно привлечь для аудита и коммерческую компанию. Подобная практика уже существовала. Согласно Указу № 250, все компании, на которых распространяется этот документ, должны принять решение о проведении аудита. Что же касается семидесяти двух ключевых компаний, перечень которых определило правительство, для них он обязателен. В настоящее время и до начала следующего года у нас проходит эксперимент по привлечению коммерческих компаний к проведению ИБ-аудита. Иными словами, в дополнение к государственному аудиту мы осознаем важность привлечения лидеров ИБ-отрасли. Результаты говорят о важности и перспективности такого подхода. Думаю, по итогам этого проекта мы встроим коммерческие компании в систему государственных проверок и аудита.
Исторически так сложилось, что в России ИБ-индустрия развивалась лучше и эффективнее, чем ИТ. Всё потому, что заказчики предпочитали ИТ-решения от международных вендоров российским продуктам. В итоге возникла ситуация, когда всемирно признанных российских ИБ-продуктов больше, чем ИТ-решений. Меняется ли эта ситуация сегодня?
К средствам защиты информации и противодействия атакам предъявляются определенные требования, в том числе и со стороны государства. И если говорить об импортозамещении средств защиты информации, то 90% номенклатуры у нас имеется. Узкие места пока остаются, но мы их заполним. Что касается обычного, системного и прикладного ПО, то в отношении него изначально не было подобных требований, и эту задачу стали решать относительно недавно. Фактически необходимо разработать аналоги для всех промышленных программных продуктов. Минцифры принимает очень серьезные меры по поддержке ИТспециалистов, в том числе на уровне грантов и налогов.
Сегодня в России в сфере кибербезопасности работает свыше пяти тысяч человек. Тем не менее этого крайне мало, как говорят буквально все эксперты. Как решить кадровую проблему?
По программе «Цифровая экономика» ведется взаимодействие с Минобразования и другими образовательными организациями. В 2022 году мы планируем подготовить 8,8 тыс. человек. Больше всего нужны не просто молодые люди, получившие ИБобразование, а опытные квалифицированные специалисты. Сегодня кибератаки достаточно сложны в плане детектирования и отражения, поэтому востребованы люди с реальным опытом и высокой квалификацией. Мы принимаем меры поддержки в отношении ИТспециалистов, в частности безопасников, а также в рамках программы «Цифровая экономика» обучаем руководителей, топменеджеров компаний, в том числе иностранных. В этой истории мы взаимодействуем со Сколковским институтом науки и технологий. Совместно с коллегами из Сколково, ФСБ, ФСТЭК и лидерами российской кибербезопасности мы подготовили специфический курс, посвященный базовым проблемам, которые стоят перед безопасниками в любой компании и корпорации. Этот курс дает руководителю компании качественное понимание того, что происходит. К примеру, в нем подробно рассказывается об инцидентах из реестра недопустимых событий.
Где взять достаточное количество преподавателей, которые могли бы подготовить как топменеджеров, так и профильных специалистов по информационной безопасности?
По подготовке кадров в программе «Цифровая экономика» заложен ряд мероприятий. На базе подведомственных вузов Минцифры мы подготовили и переподготовили в прошлом году более 400 преподавателей. До конца текущего года подготовим еще столько же. Уже сейчас к этому процессу важно привлекать ведущих специалистов по кибербезопасности, чтобы к академическому образованию добавлять практическую составляющую.
Мы много лет говорим об аутсорсинге информационной безопасности. Заказчики всегда боялись отдавать свою безопасность стороннему подрядчику, слишком чувствительная эта тема. Изменилось ли чтото за последнее время?
Аутсорсинг в ИБ вполне может развиваться. Особенно там, где речь идет о коммерческих компаниях в качестве заказчиков. Что касается государственных структур, там нужно предъявлять соответствующие требования к аутсорсерам. Согласно Указу № 250, в ближайшее время ФСБ РФ начнет проводить аккредитацию компаний, которые будут осуществлять мониторинг и реагирование на инциденты. Еще один системный проект — «Гостех». Мы сейчас проводим целый спектр работ в области обеспечения информационной безопасности ГИС, работающих на базе «Гостеха». Если мы говорим о значимых объектах КИИ, то ситуация намного сложнее — за несоблюдение правил информационной безопасности положена серьезная ответственность, вплоть до уголовной. Для таких систем аутсорсинг ИБ — отдельная сложная тема.
С какими запросами по информационной безопасности к вам обращаются регионы, РОИВы?
В Минцифры есть оперативный штаб, и в регионах действуют такие же оперативные штабы, с которыми мы взаимодействуем. Запросы, связанные с противодействием атакам, вопросы технологического взаимодействия, замена отозванных TLSсертификатов через наш удостоверяющий центр — всем этим мы занимаемся.
Какие меры поддержки от государства получает отрасль?
Государство активно поддерживает ИТотрасль. Это выражается и в создании центров компетенций, и в налоговых преимуществах, и в грантах. Главное, что меры поддержки уже введены и успешно реализуются.
Компании получают гранты. Как будет проверяться результат поддержки?
В целом результаты должны появиться к 2025 году. Но базовые наработки должны быть представлены в течение ближайшего полугодия. Фактически первые результаты мы ждем в начале второго квартала следующего года.
Как оператору персональных данных выполнить требования 152‑ФЗ, если нечем выявить инцидент и расследовать его причины, так как, учитывая объемы обработки ПДн, собрать эти сведения вручную невозможно?
Ответственность лежит на владельце, на операторе персданных. Крупные компании могут использовать типовые решения, привлекать аутсорсинговых партнеров для их защиты. Если на все это нет средств, нужно сокращать использование персональных данных. Если персональные данные утекли, их уже не вернешь, и они становятся базой для мошенничества и других преступлений.
В этом году кадровый рынок ИТ и ИБ сотрясают катаклизмы. В конце февраля многие специалисты выехали из России в зарубежные страны. Летом немалая часть их вернулась обратно. В конце сентября последовала вторая волна миграции. При этом и зарубежные ИТгиганты сокращают персонал. Как вы считаете, могут ли меры со стороны Минцифры помочь удержать квалифицированных специалистов в России?
Нам очень важно поддерживать ИТспециалистов, так как информационные технологии — критически важная для страны область, и от того, насколько мы в ней преуспеем, напрямую зависит наше будущее. Поэтому меры по поддержке айтишников и были приняты.
Опубликовано 31.10.2022