Вирус цифры: консолидация и ответственность
На секции «Вирус цифры», прошедшей в рамках Всероссийского совещания «ИТ Диалог 2021», руководители министерств и ведомств России обсудили задачи, стоящие перед ними в условиях растущей цифровизации, проблемы, с которыми сталкиваются госструктуры, и способы их решения.
Директор департамента обеспечения кибербезопасности Минцифры Владимир Бенгин называет главными задачами его ведомства борьбу с телефонным мошенничеством и защиту персональных данных. По его словам, сегодня количество утечек ПДн неприемлемо. «Сейчас многие отказываются предоставлять свои данные из-за опасений, что они утекут. По факту безопасность должна повышать доверие пользователей к информационным системам», — говорит он. Поэтому блок по безопасности Минцифры анализирует все проекты по цифровизации с точки зрения ИБ. По мнению Владимира, для выполнения текущих задач необходимы новые законодательные нормы и технические мероприятия.
Пенсионный фонд применяет множество новых технологий: машинное обучение, биометрию, большие данные и т. д. Начальник департамента по обеспечению ИБ Дмитрий Селиванов уверен, что при цифровой трансформации безопасность является элементом цифровой гигиены: «В реальном мире мы надеемся на защиту нашего имущества со стороны государства, и в цифровом мире оно должно защищать наше цифровое имущество, наши данные». Пенсионный фонд совместно с Минтрудом и Минцифрой стали инициаторами трансформации социальной сферы, создав цифровое казначейство, которое позволит упростить получение социальных выплат. Это стало возможным благодаря агломерации данных в государственных системах. Поскольку Пенсионный фонд является одним из крупнейших держателей персональных данных, он проходит постоянные проверки регуляторов на защищенность информационных ресурсов. «Для машинного обучения используются только обезличенные данные. Мы работаем в доверенной среде, все наши системы под надежной защитой», — подчеркивает Дмитрий. Кроме того, внимательно отслеживаются все инциденты с упоминанием Пенсионного фонда в Сети, а специальная комиссия анализирует все случаи утечек.
Помогает или мешает безопасность цифровизации в регионе? По мнению председателя Комитета информационных технологий и телекоммуникаций Вологодской области Ирины Просвиряковой, однозначного ответа нет. Есть положительные и отрицательные моменты. Когда с такой скоростью происходят изменения, когда нужно быстро вывести какой-то сервис для граждан, на помощь приходят уже обкатанные решения. «Мы стараемся использовать имеющиеся возможности, выстроенную инфраструктуру, готовые платформенные решения. Но зачастую отстает нормативная база», — считает Ирина.
Удаленная работа. Риски и возможности
Год назад началась авральная цифровая трансформация. Многих служащих надо было перевести на удаленную работу и при этом обеспечить безопасность. Модератор секции Алексей Лукацкий задал вопрос спикерам: «Ваше отношение к безопасности цифровой трансформации: что она для вас означает, как вы справились с первым этапом реальной цифровизации, которая была в прошлом году и что происходит сейчас?»
«Мы быстро перевели сотрудников на удаленку, но сразу возникли вопросы, связанные с обеспечением безопасности», — рассказывает Алексей Этеев, министр цифрового развития Республики Калмыкия. По его словам, выходом стало подключение людей через зашифрованные каналы.
Игорь Ляпунов, вице-президент компании «Ростелеком», считает, что, с одной стороны, удаленная работа дала колоссальный толчок к развитию ИТ, а с другой — она не вызвала драматических проблем у опытных безопасников, потому что все механизмы были ранее отработаны. Вначале не везде использовались сертифицированные средства, но в целом все инструменты удаленной работы были быстро развернуты. С точки зрения ИБ крайне болезненным стало то, что и госорганы, и компании выставили наружу ресурсы, которые никогда ранее не выставлялись и не были защищены должным образом, поэтому очень упала защищенность внутренних систем.
Удаленная работа влечет за собой особые требования к рабочим местам в части ИБ, кроме того, необходимо провести ликбез среди сотрудников, уверен Александр Попов, первый заместитель председателя Комитета цифрового развития Ленинградской области. В регионе на дистанционный режим было переведено около тысячи сотрудников администрации. Публичными облаками они не пользовались, работа велась исключительно в доверенной среде с помощью лицензионного ПО и флэш-носителей.
Директор ДИТ Тамбовской области Андрей Стрельцов уверен, что механизм обеспечения ИБ — это прежде всего люди. Так, 80% инцидентов связано с человеческим фактором. «Мы, организуя у себя удаленную работу служащих с информационными системами, в первую очередь ставили задачу подготовки человека к этой работе. При выдаче защищенного носителя для работы из дома, мы заставляли подписывать юридический документ, обязывающий пользователя следовать правилам. Начиная от установки антивируса на домашнем ПК и заканчивая соблюдением определенного режима работы. Это позволило по максимуму исключить инциденты», — говорит Андрей.
Кадровые проблемы
Цифровая трансформация требует от людей, которые внедряют безопасность, достаточно высоких компетенций и высокой квалификации. Как решается сейчас вопрос с кадрами в государственных органах?
Андрей Стрельцов говорит, что люди, достигнув определенного уровня развития знаний, компетенций, понимания и умений, уходят на зарплату в 3–4 раза выше, чем им в состоянии платить госорганы. И это большая проблема для бюджетной сферы.
Заместитель руководителя Администрации Главы Республики Карелия Наталья Никольская считает, что только собственным примером и убеждением можно удержать специалистов, поскольку уровень зарплат несопоставим с ИТ-компаниями. К тому же работа инфобезопасника — это постоянные ограничения. И нужно иметь силы, чтобы все время справляться с негативом тех, кого ограничиваешь. Но если ты уже выбрал такую профессию, то никакой рубль тебя с нее не уведет.
Однако не все согласны с этим. «Как мотивировать своим примером? Хороший специалист в нашей сфере стоит на рынке от 150 тыс. рублей. У меня в отделе пять человек, которые отвечают за инфобезопасность региона. И зарплаты у них гораздо ниже. Если человек уходит из госорганов в коммерческую структуру — это неплохо. Пусть растут», — отмечает Александр Попов.
По словам Владимира Бенгина, в Минцифре тоже имеются похожие проблемы, может быть, не такого масштаба. «Спасают молодые кадры. Мы берем совсем молодых, их учим. Конечно, спустя какое-то время они уходят. Вот сейчас ко мне пришли студенты, с ними я договариваюсь о конкретных сроках их работы у нас, — это год или два. Кроме того, есть много людей, работающих за идею. Это не только «причинить добро» стране, но и реализовать какие-то большие проекты. Все-таки в госорганах есть вещи, которые не сделаешь в коммерческих структурах. Но есть государственные задачи, их нужно решать с помощью людей, обладающих незаурядными способностями, а их, увы, у нас очень мало. В Минцифре пытаемся систематизировать все подходы. Я считаю, нам нужно объединяться с отраслью для решения сложных задач», — говорит Владимир.
В Калмыкии решают проблему с кадрами через институт целевых мест. «Наши студенты идут в вузы по направлениям. Во время обучения уже начинают работать в органах власти», — добавляет Алексей Этеев.
Внешние ресурсы
Как обеспечить защиту, когда приходится использовать внешние ресурсы? Как разделить ответственность между участниками процесса? Могут ли облачные решения разгрузить госорганы?
По мнению Игоря Ляпунова, все, что сегодня касается облаков и операторов, пока серая зона. Согласно ФЗ №149 ответственность за безопасность данных лежит на владельце, то есть на госоргане. А реально — на операторе, который в нормативной базе отсутствует. «Сейчас мы активно обсуждаем этот вопрос с регуляторами. Необходимо внести в нормативную базу оператора и возложить на него ответственность», — считает он.
«Если инцидент происходит — ответственность лежит на нас, — добавляет Ирина Просвирякова, — независимо от того, где размещено решение и через какие механизмы оно работает. Поэтому мы очень осторожно подходим к облакам».
Тем не менее в регионе активно тестируются различные облачные решения. «Мы хотели бы перейти в облака и передать часть своих функций на внешний рынок, потому что у нас та же проблема с безопасниками, программистами и другими ИТ-специалистами. Всегда проще получить из финансового органа деньги на работы, на услуги, чем на людей. Потому что у госорганов есть и ограничения, связанные с численностью специалистов. Но нас сдерживает неурегулированность взаимоотношений с внешним рынком», — говорит глава комитета Вологды.
Владимир Бенгин уверен, что ответственность должна быть делегирована вниз, поскольку впереди всех нас ждут не просто облака, а более сложные услуги с многоуровневыми провайдерами, а значит, необходимо регулировать уровни ответственности.
С ним согласен Андрей Стрельцов: передать ответственность оператору за сохранность данных можно только на законодательном уровне, только внеся изменения в ФЗ-149. А это — прерогатива Минцифры. И пока этого не произойдет, никакие облака в госсекторе не полетят.
Безопасная биометрия
«Что делать, если произойдет утечка биометрического профиля данных из глобальных национальных проектов, в которые мы плавно или не очень плавно заходим?» — интересуется у представителя Минцифры Алексей Лукацкий. Действительно, когда речь идет о коммерческой организации, можно обратиться в суд или в Роскомнадзор. Но как в этом случае взаимодействовать с государственными органами?
Глава департамента кибербезопасности уверен, что если утечка произойдет, то проверки неизбежны, потому что эти системы контролируются более серьезно. «Цифровизация влечет за собой новые угрозы. Поэтому мы выстраиваем глобальную эшелонированную защиту, которая снижает вероятность возникновения рисков. Рассматриваются вопросы новых подходов к обработке различных данных, среди которых сокращение объема передаваемых сведений. Например с помощью QR-кодов». По мнению Владимира Бенгина, таким образом сужается периметр для атакующих.
Собственная разработка
Далеко не всегда госорганы могут ориентироваться на закупное программное обеспечение, учитывая, что многие проекты по цифровой трансформации требуют достаточно оперативной реакции на изменения, нужна своя разработка.
По словам Дмитрия Селиванова, в Пенсионном фонде используется много кастомизированных решений. С учетом последних изменений приходится быстро дорабатывать прикладные системы, зачастую писать код заново. «Мы работаем в защищенных контурах разработки, тестирования и промышленной эксплуатации. Все они разделены. Кроме того, идет проверка кода на безопасность. Даже при переходе на удаленную работу мы не вышли за пределы контуров. Сейчас появляются новые технологии: микросервисы, горизонтальное масштабирование, и так как мы нацелены на создание современной социальной платформы, то в ней будут применяться типовые решения, предоставленные государственным подрядчиком», — говорит Дмитрий.
Взаимоотношения ИТ и ИБ
ИБ — это контролирующая функция, и контролер под контролируемым находиться не может. Как быть с иерархией подразделений?
Александр Попов убежден, что ИБ- и ИТ-специалисты должны идти нога в ногу: «Нужна консолидированная общая работа для обеспечения безопасности. Мы вместе ищем проблемы и вместе их решаем».
В ведомстве Ирины Просвиряковой функции контролера и контролируемого разделены. Это два разных учреждения в подчинении у председателя комитета, одно из них является методологом, определяет правила и контролирует их исполнение. Второе отвечает за инфраструктуру и системы, за выполнение технических мероприятий по ИБ.
Со-модератор секции Рустем Хайретдинов называет такой подход зрелым. Он сравнивает его с дорожным строительством: «Раньше сначала делали дороги, потом на них ставили знаки. А сейчас все новые дороги проектируются с учетом особенностей скоростного режима, рельефа местности и т. д. Государственные ИТ и ИБ достигли определенного уровня зрелости, когда на смену простому управлению требованиями пришла совместная разработка цифровых систем».
Говоря о несовершенстве законодательства по ИБ, участники призвали Минцифру активнее включиться в регулирование, чтобы стать «китом», на которого можно опереться.
***
В заключение встречи ИТ-руководители подвели итоги и поделились наблюдениями. По их мнению, опыт последних двух лет научил всех быстро меняться и быстро находить решения. Это в полной мере касается и государственных структур. При этом всегда нужно помнить о комплексном подходе к ИБ. Потому что движение вперед —не только бег, но иногда и поступательные шаги. И конечно, для снижения рисков необходимо развивать культуру ИБ и повышать осведомленность пользователей.
Security by design — это безопасность по умолчанию. Цифровизация подразумевает идеи, которые сегодня придумал, а завтра реализовал. А значит, и анализ угроз необходимо проводить на нулевом этапе, на уровне идеи.
Опубликовано 01.12.2021