Станислав Казарин: «Безопасность невозможно отделить от основных задач»
В преддверии международного форума в области информационных технологий «IT-Диалог 2022» на наиболее актуальные вопросы отвечает вице-губернатор Санкт-Петербурга Станислав Казарин.
Почему ключевой темой «IT-Диалога» была выбрана информационная безопасность?
У нас стабильная ситуация в сфере информационной безопасности. Отечественными компаниями разработаны собственные технические решения, а в сфере государственных органов не используется зарубежное ПО.
Однако надо понимать, что безопасность обеспечивается не только программными или техническими средствами. В первую очередь это правильные организационные решения, точное регламентирование процессов и добросовестное отношение сотрудников. Чтобы обеспечить эффективную защиту, крайне важно соблюдать баланс между всеми составляющими комплексной безопасности. Поэтому на «IT-Диалоге» мы будем говорить не о технических достижениях и новых способах защиты, а о том, чего нам не хватает с точки зрения кадровой политики, портативного программного обеспечения и организационных ноу-хау.
Проблема в том, что самые высокооплачиваемые специалисты, работающие в сфере информационной безопасности, не стремятся работать в государственных или муниципальных органах, а работать только с привлечением сторонних подрядчиков мы не можем. Государственные учреждения нуждаются в специалистах, которые могут написать техническое задание и провести конкурс, экспертный уровень которых соответствует уровню исполнителя.
Часто проблемы, возникающие в рабочем процессе, требуют оперативных решений. Вначале к их решению привлекаются внутренние подразделения, и только в случае необходимости подключаются серьезные специалисты в сфере ИБ из внешних компаний. Задачи, стоящие перед нами, связаны даже не с техническими решениями, а с улучшением кадрового состава. Мы имеем в запасе буквально полгода, чтобы выполнить решения президента и соответствовать требованиям по цифровизации органов власти и самоуправления.
Какие стратегические задачи по цифровизации стоят перед правительством Санкт-Петербурга? Какая роль в них отводится информационной безопасности?
Безопасность невозможно отделить от основных задач. Когда мы пытаемся спроектировать новый сервис, то в первую очередь рассматриваем ограничения, связанные с ИБ. Можем ли мы создать такие правовые условия, чтобы обмениваться данными? Сможем ли мы безопасно подключаться к государственным системам? Невозможно выделить эту роль как самостоятельную и главную. Она находится в любой инициативе и любом проекте. Это такая же обязательная составляющая, как определение стоимости проекта или экономическая целесообразность его реализации.
Вы сторонник квантовых технологий. Есть ли у них преимущества перед традиционными в части снижения рисков?
Не то чтобы я сторонник… Если наступление века железнодорожного сообщения неизбежно, то глупо усиленно защищать гужевой транспорт. Квантовые технологии — это ближайшее будущее, и оно несет существенные риски для сферы ИБ. Все методы, построенные на их возрастающей сложности математических алгоритмов, грубо говоря, перестанут работать. Пароли считавшиеся сверхсложными, будут взламываться в доли секунды, и нам необходимо уже сейчас искать иные способы защиты.
Здесь находится огромное поле для экспериментов. Одна из экспериментальных систем передачи данных построена между Москвой и Санкт-Петербургом. Это совместный проект с РЖД и там еще много нерешенных вопросов: начиная с технических и заканчивая принципами сертификации такого оборудования. Например, на сегодня нет регламента сертификации подобных систем, а значит, мы не имеем права с ними работать в государственном секторе.
Кроме того, необходимо понимать, действительно ли некоторые данные настолько важны, чтобы вкладываться в дорогостоящие проекты? Может быть, будет проще использовать флешку и курьера? Пусть это будет не быстро, но экономически выгодней. Нам всегда приходится находить компромиссы между технологиями и затратами на них. Несмотря на это, мы много внимания уделяем квантовым технологиям, чтобы в нужный момент быть готовыми к их применению.
Какие наиболее важные вопросы и проблемы существуют при налаживании межведомственного взаимодействия?
В системе межведомственного взаимодействия построена система защиты персональных данных. Она эффективна как с технологической точки зрения, так и со стороны организации процесса. Операции с данными работают по конкретной персоне и индивидуальному запросу. Запросить излишние данные невозможно — системы контроля сразу же обратят внимание на нетипичную активность.
Но мы живем в мире, где данные все более агрегируются. Уже сейчас социальные сети и поисковые системы привязывают к конкретному аккаунту данные об интересах, передвижениях и покупках. Мало кто из пользователей регистрируется под вымышленным именем и запасным номером телефона, поэтому в какой-то момент появится стопроцентная возможность привязать аккаунт к личности. На мой взгляд, здесь кроется основная проблема. Необходимо разделение личных данных на независимые части. Это не позволит утратить контроль или раскрыть всю информацию о жизни человека.
Сейчас ощущается острая нехватка специалистов в ИТ и ИБ. Что делает город для решения этой задачи? Как привлекает молодых специалистов?
Действительно, технически грамотных специалистов не хватает, но не настолько сильно, как об этом говорят. Нам нужны люди, способные к организационно-документационной работе. Это не очень привлекает молодежь. Им интереснее отслеживание киберугроз, поиски злоумышленников и восстановление баз данных. Таких задач намного меньше, чем работы, связанной с нормативной документацией, подготовкой регламентов и контролем за действиями пользователей. На такие должности можно привлекать более возрастных специалистов, переобучая их. Стоит учитывать, что большая часть проблем происходит не от недостатка технических средств, а от несоблюдения правил информационной безопасности и разгильдяйства. Нам необходимо воспитывать культуру в сфере ИБ.
Человек по-прежнему остается слабым звеном в информационной безопасности. Какие меры, принимаемые правительством города, на ваш взгляд, могут повысить грамотность населения?
В последние годы очень много внимания уделяли личной информационной гигиене человека. Забота о личной безопасности и безопасности среды, где ты работаешь, — следующий этап нашего внимания.
1 мая Президент России подписал Указ № 250 об усилении информационной безопасности России, согласно которому, на всех субъектах КИИ должны быть руководители ИБ с профильным образованием. Как реализуются положения Указа в Санкт-Петербурге?
С началом СВО в Санкт-Петербурге был создан Совет по информационной безопасности. Он взял на себя роль координатора всех вопросов, связанных с отражением кибератак на органы власти и предприятия Санкт-Петербурга. Я считаю, что мы очень достойно прошли этот период.
Для выполнения указа Президента, сейчас делается всё необходимое на технологическом и правовом уровне. С учетом объема задач это займет определенное время, но наш город имеет преимущество. У нас огромный кадровый потенциал, и мы сделаем это быстрее и значительно эффективнее.
В последнее время госсистемы столкнулись с большим количеством атак. Если ранее атаки проводились с целью получения материальной выгоды, то сейчас речь идет о кибервандализме с целью разрушения. Как город справляется с такими угрозами?
Да, за несколько дней до начала СВО резко возросла активность, направленная против государственных информационных систем. Сейчас попытки проникновения и разрушения систем предпринимаются непрерывно. Однако созданная в Петербурге защита справляется с ними.
В самом начале мы имели дело с любителями. Сейчас против нас работают подготовленные команды профессионалов. Это накладывает свой отпечаток, поэтому мы очень серьезно занимаемся развитием нашего центра киберугроз и привлекаем к сотрудничеству ведущие российские компании, работающие в сфере кибербезопасности.
На случай если взлом все-таки произойдет, мы работаем над возможностью быстрого отключения или локализации любого из сегментов нашей инфраструктуры. Приняты решения о том, что является для нас недопустимым событием. Сейчас в соответствии с этим мы модернизируем свою систему информационной безопасности.
Сейчас бизнес сталкивается с теми же самыми проблемами, что и госструктуры. Как вы думаете, возможно в этой ситуации найти точки соприкосновения для дальнейшей совместной работы в сфере ИБ?
Учитывайте, что к объектам критически важной инфраструктуры относятся не только государственные системы, но и многие частные. Ответственность за нарушение правил одинакова как для гособъектов, так и для частных сервисов. Количество ресурсов, необходимых для защиты, зависит от оценки масштаба последствий.
Как технологии искусственного интеллекта используются в городских проектах? И повышают ли они безопасность инфраструктуры нашего города?
ИИ — это десятки направлений. Сюда входит и распознавание образов, и синтез речи, и анализ видеопотоков… Он подходит для сферы обеспечения общественной безопасности. ИИ очень помогает в отслеживании оставленных предметов или криминальных происшествий. С ним намного проще предупредить нарушение, чем просматривать архивы уже после совершения преступления. ИИ отлично анализирует поток сообщений и событий, выделяя какие-то аномалии. В этом смысле искусственный интеллект — незаменимая помощь для ситуационных центров.
С точки зрения применения ИИ в ИТ-инфраструктуре, я пока не вижу прямых угроз для него. Например, ИИ, работающий в службе 122, помогает нам, но в случае возникновения проблем его задачи можно решить большим количеством операторов.
Другое дело, недавний случай с агрегатором услуг, когда сотни такси одновременно приняли один и тот же заказ и съехались в одну точку города, создав значительные пробки. Одновременно в других частях города машины были недоступны. С этой точки зрения опасность велика. Но ИИ ли виноват в этом? На мой взгляд, это какая-то организационная ошибка в работе сервиса, воспользовавшись которой, стало возможным создать такую проблему для мегаполиса.
Чего вы ожидаете от предстоящего мероприятия?
В первую очередь — общения с профессиональным сообществом, способным сформулировать актуальные задачи для федерального правительства и для субъектов РФ. Уверен, что мы сможем решать сообща все правовые, организационные, кадровые и финансовые проблемы.
Опубликовано 01.11.2022