Безопасность экосистем становится задачей государства
Участникам было предложено выбрать один из вариантов ответов — начиная практически от отсутствия инструментов защиты ввиду несерьезности проблемы и заканчивая самыми современными технологиями и организационными мерами ИБ.
Основная масса сидящих в зале выбрала середину: они уверены, что хорошо защищены, потому что в компаниях используются профессиональные средства, но с таргетированными атаками продвинутых группировок эти средства могут не справиться. С такими выводами не согласен министр цифрового развития, связи и массовых коммуникаций Российской Федерации Максут Шадаев. Он считает, что большинство предприятий ошибается, когда не придает значения ИБ. «Мы живем в ситуации увеличивающегося разрыва между запросом на цифровые сервисы и уровнем защищенности. Необходимо принять решение по изменению подходов к безопасности на всех этапах. Secure by design должен стать базовым принципом проектирования любой системы, которая проектируется на любом объекте критический инфраструктуры», — говорит министр. По его словам, необходимо поменять также психологию «бумажной безопасности» на реальную безопасность. А для успешных изменений нужно понимание своей ответственности и активные действия первых лица компаний и госорганов.
Горизонтальные системы
Безопасность необходимо сделать первоочередной задачей при создании новых экосистем, подчеркивает Станислав Кузнецов, заместитель председателя правления Сбербанка. Потому что сейчас возникает новый уровень рисков: если в такой системе будет даже маленький сбой или обнаружится уязвимость, пострадают все. Так один зараженный вирусом WannaCry компьютер компании Maersk смог остановить мировые перевозки. Причем за два дня убыток превысил $300 млн.
Сбербанк активно занимается кибербезопасностью и за последние четыре года создал пять платформ, которые сегодня покрывают 80% всех технологических решений, обеспечивающих безопасность компании. Одно из них — антифрод-система, способная обрабатывать более 380 млн транзакций в сутки. По своей эффективности российские разработки, по словам г-на Кузнецова, вполне могут конкурировать с мировыми.
Обычно экосистемы вертикальны, но в Сбербанке исследуют возможность построения горизонтальных систем. Такие системы нужны в разных отраслях, имеющих однородные элементы для того, чтобы увеличивать доходы разных отраслевых компаний. И здесь, конечно, необходимо договариваться. Так, Сбербанк, объединив с тремя телеком-компаниями платформенные решения, смог за последние два месяца резко уменьшить случаи телефонного мошенничества.
Нормы и законы
Татьяна Матвеева, начальник управления Президента Российской Федерации по развитию информационно-коммуникационных технологий и инфраструктуры связи, привела цифры, согласно которым сегодня в России зарегистрировано 124 млн пользователей Интернета. И в 2020 году потребление интернет-контента обогнало традиционные СМИ. В среднем гражданин России проводит в Сети около семи часов ежедневно. По данным Минцифры, за последний год выросло количество атак, мошеннических действий и экстремизма. Поэтому тема безопасности становится приоритетной.
С 2019 года в России действует Федеральный закон о суверенном Интернете, в рамках которого Роскомнадзор наделен полномочиями по контролю целостности, устойчивости и безопасности сетей связи, и в соответствии с ним созданы российские аналоги критических сервисов: национальная система доменных имен и реестр адресно-номерных ресурсов. Все операторы связи обязаны подключиться к этим ресурсам, чтобы в критической ситуации обеспечить подсоединение к российскому сегменту Сети.
Г-жа Матвеева добавила, что в настоящее время Государственная Дума рассматривает закон о «приземлении» иностранных ИТ-компаний в России, так как это делается в мире. ИТ-гиганты должны учитывать специфику каждой страны, в которой они работают, соблюдать местное законодательство. «Мы рассчитываем на понимание и диалог с этими компаниями», — сказала она.
О проблемах ФОИВ
Игорь Ляпунов, вице-президент по информационной безопасности «Ростелеком» говорит, что одним из показателей цифрового суверенитета является защищенность отраслей экономики от кибервоздействия. Вопреки расхожему мнению, атаки направлены не только на физических лиц; в последнее время они становятся инструментом политического воздействия. И здесь определились две основных области. Первая — это защита критической инфраструктуры: энергетики, систем жизнеобеспечения, опасного производства. Второе — защита систем государственного управления. Проблема состоит в том, что для владельцев КИИ, которые должны потратить на обеспечение безопасности сотни миллионов рублей, штрафы за несоблюдение требований ИБ достигают максимум сотни тысяч. Конечно, это не стимулирует обеспечивать защиту. Что касается атак на системы госуправления, здесь есть другая проблема. Сейчас каждый ФОИВ должен защищать свою территорию сам. При этом все они находятся внутри связанной инфраструктуры, и каждый ФОИВ является ее элементом. По мнению Игоря, уровень защищенности сейчас далек от идеала. Потому что для атак на госсистемы используется специально разработанное ПО, сделанное профессионалами, и его невозможно детектировать стандартными средствами защиты. Для противодействия таким атакам нужен соответствующий уровень квалификации. Отдельный ФОИВ не может противостоять подобному уровню угроз. Следует создавать «сборку» из участников рынка по защите всех государственных ИС как единого целого. Необходим единый центр ответственности за обеспечение ИБ в разных отраслях.
фото Росконгресс
Безопасность перевозок
Евгений Чаркин, заместитель генерального директора РЖД, уверен в хорошей защите корпорации. Доказательством стало то, что случившийся в мире WannaCry не повлиял на движение поездов и доставку грузов. Так же, как и Игорь Ляпунов, он считает, что необходимо объединять усилия по информационной защите. Нужно идти к технологической независимости: не просто замещать, а замещать на конкурентоспособное. Этого невозможно достичь без совместной работы крупных компаний, государства и ИТ-рынка. «В свое время лучшие компании мира отдали шаблоны своих бизнес-процессов в компанию SAP, и на базе этих шаблонов она создала решение, которое сейчас у всех работает. Нам нужно сделать то же самое, но в кардинально меньшие сроки», — подчеркивает Евгений. По его словам, сейчас в РЖД 260 тыс. пользователей SAP, но планируется переход на отечественную ERP.
Телеком
Рашид Исмаилов, президент телеком-оператора «ВымпелКом», отмечает, что из-за разницы в правилах и законах в мире началась «балканизация», или огораживание Интернета, большие страны создают свои экосистемы. Однако это мешает всем стать глобальной сетью. По его словам, импортозамещение не должно приводить к тому, чтобы вместо экосистемы строить кокон, поскольку это может привести к технологическому отставанию. Как и другие спикеры, он уверен, что с программным ПО в безопасности проблем нет. Так, «ВымпелКом» защищается преимущественно отечественными решениями. Но этого мало. Необходимо развивать свое «железо», свою микроэлектронику, и у страны точно есть потенциал в этом направлении. К тому же в настоящее время в части базовых станций выбор отсутствует. «У нас есть Ericsson, Huawei и Nokia. И мы, операторы, бегаем между этими тремя елками», — говорит г-н Измаилов.
«Индустрия 4.0»
«Здесь собрались представители крупных компаний и государства. Я, как безопасник, делаю для них запчасти, из которых они потом собирают свои решения», — поясняет Евгений Касперский, генеральный директор «Лаборатории Касперского». По его словам, самое сложное для безопасника — атаки на объекты КИИ. Хотя в России их пока мало. Конечно, WannaCry может случайно зацепить, но таргетированные атаки гораздо опаснее. Stuxnet показал всем, чего надо бояться на самом деле. Евгений согласен с Игорем Ляпуновым: наказание от государства за пренебрежение безопасностью КИИ должно быть более жестким. Но, с другой стороны, есть масса примеров, когда решения по безопасности становятся конкурентным преимуществом. Для коммуникаций с потребителями и поставщиками, для контроля за качеством продукции, износом оборудования, удаленного управления предприятия подключаются к Сети. И все это необходимо грамотно защищать. Г-н Касперский добавляет: технологии у нас есть, нужны профессиональные кадры и желание первых лиц компаний. И только совместными усилиями можно выстроить надежную защиту.
фото Росконгресс
Энергетика
Екатерина Солнцева, директор по цифровизации ГК «Росатом», говорит, что крупные госкорпорации уже несколько лет движутся к технологической независимости: «Если вначале мы планировали использовать только свои разработки, то очень быстро поняли, что эти разработки должны быть еще и конкурентоспособными. Тогда одни начали организовывать свои «дочки», другие — вступать в партнерства с ИТ-компаниями». По ее словам, Росатом реализует оба подхода. Одним из приоритетов для корпорации стала продуктизация имеющихся в компании разработок, тиражирование как внутри отрасли, так и за ее пределами. Но обнаружились проблемы, которые сейчас пытаются решить совместно с Минцифрой. Например, промышленное ПО в отличие от офисного не меняется нажатием кнопки. Остановить производство нельзя, и процесс перехода занимает от одного до трех лет. При этом, согласно законодательству, госкомпания не может тратить бюджет на содержание и развитие одновременно двух систем с одним функционалом. То есть сложно менять старое на новое, не останавливая производственный процесс. И эти нормативные ограничения необходимо пересматривать.
Кадры
Через всю дискуссию красной линией прошел кадровый вопрос. Одной из главных проблем для обеспечения национального суверенитета остается продолжающийся отток кадров. При том, что уровень зарплат соответствует часто мировым, разработчики продолжают уезжать из страны. Можно ли привлекать иностранные кадры взамен отечественных? Евгений Касперский уверен, что российская система образования выдает лучших в мире программистов. Поэтому звать кадры из-за рубежа не стоит, а вместо этого нужно вкладываться в «домашних» специалистов.
По меткому выражению Максута Шадаева, «культура ест стратегию на завтрак». Сколько бы государство ни создавало университетов и учебных курсов по продвижению ИТ, без идеи, которую должно продвигать государство по аналогии с космической мечтой в 60-е годы прошлого века, эти усилия малоэффективны. «Нужен культ ИТ в популярной и доступной форме, — говорит Алексей Гореславский, генеральный директор АНО «Диалог», — тогда многие вопросы суверенитета и безопасности будут решаться проще».
Смотреть все статьи по теме "Информационная безопасность"
Опубликовано 18.06.2021
Безопасность – это функция принятия решений по управлению рисками. По мере цифровизации бизнеса и государства риски информационной безопасности кратно возрастают, и для безопасников это – ночной кошмар. Но цифровизация – это поезд, который останавливать невозможно и бессмысленно, потому что в ее основе лежат экономические стимулы, потребности развития страны. И в связи с этим появляются два рода вызовов.
Первый – цифровые технологии проникают все глубже в системы управления бизнесом, производством, отношениями с клиентами, увеличивая уязвимость бизнеса, неважно – от кибератак или сбоев работы систем.
Второй вызов – это скорость развития. Безопасники привыкли работать последовательно: сначала обследование, затем модель угроз, затем проектирование, внедрение и наконец аттестация. И через полтора года – «система безопасности, отлитая в бронзе». Сейчас бизнесу нужен другой темп – когда бизнес формулирует задачу, а ИТ в этот момент уже ищет способы ее решения. Безопасники никогда ранее в таком режиме agile не работали. При этом безопасность должна стоять во главе угла, соответствующие требования должны учитываться при конструировании бизнес-процессов и архитектуры системы. Поэтому ИБ и ИТ должны быть в одной лодке, чтобы совместно решать задачи бизнеса.
Для страны же в контексте цифровизации важна технологическая независимость. Образно говоря, мы находимся в комнате, где окна, двери и потолок принадлежат тому, от кого мы пытаемся себя защищать. Но в тоже время без обмена опытом, знаниями, без международной кооперации противодействовать мировым киберугрозам невозможно