Наталья Никольская: «Утечки исключить нельзя. Но можно не довести до катастрофы»

Как Республика Карелия адаптирует свою стратегию кибербезопасности с учетом эскалации атак на государственные структуры?

На сегодняшний момент тенденция на увеличение компьютерных атак на государственные органы с 2022 года продолжает сохраняться. Однако за это время также выросли компетенции специалистов по защите информации госорганов и возможности применяемых средств защиты информации. Ключевыми моментами в стратегии противодействия компьютерным атакам мы считаем скорость реагирования и непрерывное повышение компетенций специалистов по защите информации. При стратегическом планировании мероприятий по защите информации в обязательном порядке учитываются такие факторы, как непрерывная оценка текущей ситуации; мероприятия, направленные на всестороннее укрепление системы защиты информации как в регионе, так и в каждом ведомстве отдельно; инвестиции в технические решения по защите информации и кадры. При выстраивании и совершенствовании системы информационной безопасности делаем ставку на наличие возможности оперативности адаптации ее в ответ на новые угрозы, в том числе пока нам неизвестные. В качестве примеров конкретных шагов по корректировке наших действий я бы привела следующие: проведен преимущественный перевод сервисов в закрытый сегмент сети – интранет, физически недоступный для атак из открытых сетей; администрирование и привилегированный доступ только по отдельно выделенным сегментам. Тем самым сократили поверхность (периметр) для проведения компьютерных атак. В целом возникающие вопросы и ответы на вызовы прорабатываем в рамках тематических совещательных и координационных органов, определяя в рамках их работы стратегии и концепции развития наших проектов информатизации, цифровизации и обеспечения информационной безопасности. Главной же проблемой в противостоянии органов власти киберугрозам можно назвать неконкурентоспособную заработную плату специалистов по защите информации. В силу бюджетного финансирования заработная плата, которую орган власти может предложить специалисту по защите информации, намного ниже, чем в среднем по рынку. Не редки случаи, когда вакансии по инфобезу в органах власти не заняты годами, а текучка кадров в данном направлении деятельности очень высока.

Полный аутсорс по ИБ, в силу законодательства, либо невозможен, либо не отвечает предъявляемым требованиям. А частичный - только закрывает базовые текущие потребности и съедает довольно скромно выделяемый под эти цели бюджет.

На ваш взгляд, должны ли регионы развивать собственные центры мониторинга угроз? Или это задача федерального уровня?

Скажу сначала про себя: для Карелии задача создания собственного центра мониторинга угроз при финансовом и кадровом дефиците, да и в принципе в отсутствие достаточного количества квалифицированных кадров, является утопичной и нереалистичной. Знаю регионы, где это также является большой проблемой. Однако есть опыт регионов, где это при должных инвестиционных вливаниях и наличии собственных квалифицированных сил, позволяет выполнять задачу собственного центра мониторинга угроз на высоком профессиональном уровне. Поэтому мой ответ: «регионы не должны», а «могут при наличии ресурсов». С точки зрения максимальной эффективности выполнение доктрины информационной безопасности и раннего предупреждения/предотвращения компьютерных атак — это в первую очередь глобальная федеральная задача, и для ее решения в отношении регионов требуется дифференцированный подход. В частности, мы видим, как она уже выполняется на федеральном уровне для ограниченного числа: ГосСОПКА для субъектов КИИ со значимыми объектами КИИ.

В Петрозаводске регулярно проводятся республиканские киберучения, направленные на отражение информационных угроз. Каковы результаты последних учений?

Мы взяли за практику два раза в год в рамках республиканской конференции «Информационные технологии. Защита информации» проводить киберучения. Если кратко о результате последних, то команды участников киберучений успешно отработали поставленные задачи. А если к сути — то главным результатом здесь является отработка навыков специалистов по защите информации в практической плоскости, совершенствование командного взаимодействия и изучение своих слабых точек для дальнейшего совершенствования. Не в каждых учениях команды справляются с заявленной задачей в отведенный промежуток времени, но наставники команд разбирают допущенные ошибки уже после окончания киберучений. Мы стараемся, чтобы каждый желающий смог попробовать свои силы, есть даже опыт участия в команде представителей соседних с нами регионов. Учитывая, что в наше непростое время тенденция к росту информационных угроз сохраняется, проведение киберучений считаю необходимым мероприятием для совершенствования системы защиты информации региона, так как квалификация наших людей — важная ее составляющая.

Фишинг остается одним из главных векторов атак. Как вы оцениваете угрозу атак с использованием дипфейков для госслужащих? И насколько региональные чиновники осведомлены об этих рисках?

Учитывая географическое положение Карелии, мы довольно часто подвергаемся атакам, в том числе методами социальной инженерии — это атаки типа «фейк-босс» и даже применение дипфейков, с использованием голоса и изображения. Очень похожи на настоящие! Пожалуй, первые манипуляции ощутили на себе сотрудники Администрации Главы Республики Карелия. Но поскольку госслужащие Республики знают о запрете использования иностранных мессенджеров, то они четко, как по инструкции, реагировали правильно — прерывали сеанс связи, игнорировали поручение или пытались получить подтверждение по рабочим каналам. Когда злоумышленники переместились в Телеграм, то мы дополнительно провели обучающее занятие по распознаванию подобных типов атак и по проведению необходимых действий, а также подготовили памятку и разместили ее на внутреннем портале. Да, конечно, сотрудники исполнительных органов власти Карелии ведут неформальную переписку по работе, но делают это в ТамТам (российский мессенджер) и по контактам из записной книги, а следовательно, им легче распознать или разоблачить подобные атаки. Работа федеральных ведомств в Телеграм и неразрешенная ситуация с коммуникационным сервисом автоматизированного рабочего места государственного служащего (Среда) для региональных органов власти отчасти вынуждают нас также работать в Телеграм, что немного портит общий подход к противодействию атакам подобного рода.

Есть ли проблема инсайдерских угроз в государственных учреждениях Республики Карелия? Какие шаги предпринимаются для контроля доступа и предотвращения утечек?

К сожалению, проблема инсайдерских угроз всегда актуальна и государственные структуры не исключение. В качестве противодействия инсайдерским угрозам применяются как организационные, так и технические меры. Организационные — это не только скрупулезный подбор кадров. При поступлении на госслужбу кандидат заполняет целый ряд документов, по ним осуществляется проверка. В качестве технических мер противодействия инсайдерским угрозам в системе корпоративных коммуникаций исполнительных органов Карелии реализованы механизмы отслеживания по определенным тематикам, и, конечно же, в ряде органов субъекта применяются DLP-системы.

Может ли введение новых штрафов и уголовной ответственности за утечки данных изменить ситуацию? Или это создаст дополнительные проблемы для бизнеса и госорганов?

Принимая во внимание тот факт, что для нас информация бесценна и важность ее защиты понятна и без дополнительного ужесточения ответственности, думаю, что, к сожалению, радикально это не изменит ситуацию, хотя и дополнительных проблем, скорее всего, не создаст. Штрафы и ответственность уже давно никого не пугают. Скорее нас, как сторону, которая защищает, пугает отсутствие у нас сил и средств, предназначенных для обеспечения безопасности на местах. В коммерции, по моему мнению, с этим гораздо проще: как правило, не надо доказывать потребность, необходимость расходов. Критикуешь — предлагай, был такой девиз, я бы его перефразировала: «что бы, с моей точки зрения, могло изменить ситуацию». Я бы ответила, «что изменение подхода уполномоченных правоохранительных органов могло бы существенно улучшить ситуацию». К примеру, попытки на реализацию компьютерной атаки не берутся в работу: нет значимого ущерба — нет и дела. По инцидентам в отношении которых мы доводим информацию до регуляторов, даже нам неизвестно, какая проведена работа по выяснению причин и условий, есть ли факт раскрытия, выявления, наказания виновных, и в целом нет публичного освещения данной работы, профилактики недопустимости правонарушений и принципа неотвратимости наказания. А за регулярные компьютерные атаки типа «отказ в обслуживании», которые действительно влияют на удобство жизни граждан, ответственности, как правило, никто не несет. Сложно найти заказчиков и даже реальных исполнителей, собрать необходимые сведения и доказать их виновность. По статье 274.1 УК РФ «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации», по данным НКЦКИ (https://gossopka.ru/doc/arbitrage/), есть публичная судебная практика. Собрано 114 дел по этой статье с 2019 года, с момента ввода уголовной ответственности. Только в четырех случаях осужденные получили реальные сроки лишения свободы. В 96% случаев уголовное дело возбуждено в отношении сотрудника (работника), а не в отношении внешних злоумышленников. А на наш взгляд, контроля и, как следствие, судебных дел должно быть в несколько раз больше, а соотношение «внешний/внутренний злоумышленник» — хотя бы 50 на 50. Иначе получается, что главный враг — это тот, кого ты принял на работу. Все это развязывает руки реальным злоумышленникам. И еще, если уж выбрали систему штрафов, то пусть хотя бы подход будет действительно дифференцированным. А то по большинству позиций сумма одинаковая, а ведь для компании средней руки этот штраф может быть смертельным (утечка, потеря репутации, расходы на устранение и в довесок убийственный штраф), в то время как для крупной компании, типа «Яндекс», почти незаметным.

Биометрия активно внедряется в различных сервисах. Как вы защищаете биометрические данные своих жителей?

В части региональных и муниципальных информационных систем и сервисов, если этого не является по нормам законодательства обязательным, мы пошли по пути отказа от применения и использования биометрии. У такого решения есть стандартные причины — отсутствие сил и средств. Жесткий кадровый дефицит специалистов, недостаточная квалификация у имеющихся, не конкурентноспособный рынок труда, вызывающий отток кадров в крупные города либо бизнес-структуры. Со стороны средств — дороговизна исполнения на фоне дотационного социально-ориентированного бюджета.

Читайте также

Прорыв года? Изменит ли DeepSeek рынок ИИ

Две модели искусственного интеллекта, выпущенные китайской компанией DeepSeek, поставили ее в один ряд с лидерами индустрии. Как компании удалось добиться невероятного прогресса за два года при микроскопическом бюджете и как это повлияет на будущее отрасли, рассказывает IT-World.

Должны ли школы и вузы активнее включать кибербезопасность в образовательные программы? Есть ли в Карелии инициативы в этом направлении?

В Карелии нет ни одного района, в котором дистанционные мошенники не нашли бы своих жертв. Больше всего подобных правонарушений фиксируется в Петрозаводске, на втором месте — Кондопога. Стремительное развитие технологий, низкий уровень финансовой и цифровой грамотности позволяют мошенникам вовлекать в свои схемы детей. В связи с этим школы и вузы должны активнее работать в части кибербезопасности. Однако процесс согласования программ обучения не так прост и гибок, как хотелось бы, в связи с чем упор сделан на систему именно дополнительного образования.

В Карелии активно работают федеральные проекты «Урок цифры» и «Цифровой ликбез». Я сама лично участвую в проведении таких уроков, и именно тема кибербезопасности моя любимая. Надо отдать должное организаторам проекта «Урок цифры», призванного в целом развивать цифровую грамотность детей, тема кибербезопасности встроена в каждый урок, вне зависимости от темы (например, урок «Код будущего: технологии в движении», рассказывая о сервисах вызова такси, учил школьников определять фишинговые ссылки). В проекте также есть уроки, полностью посвященные безопасности: «Кибербезопасность будущего», «Что прячется в смартфоне: исследуем мобильные угрозы», «Исследование кибератак» (все они разработаны «Лабораторией Касперского»). Интерес к этой теме колоссальный — так, в 2025 году тренажер первого урока «Кибербезопасность и искусственный интеллект» решили 46 тыс. раз, с учетом того, что в Карелии всего 70 тыс. школьников. Говоря о профилактике безопасности вовлечения детей в мошеннические схемы посредством технологий, надо отметить, что Республика активно пользуется еще одним инструментом — проектом «Цифровой ликбез». Темы этого проекта очень разнообразны и учат детей практическим навыкам — безопасно найти подработку через Интернет, безопасно совершать покупки в Интернете, защищаться от спама, узнавать опасных незнакомцев в сети и многому другому. Проводя такие уроки, я обязательно прошу ребят поделиться знаниями со своими младшими и старшими членами семьи.

Кроме того, в Республике на базе Центра непрерывного профессионального образования и дистанционных технологий Петрозаводского государственного университета проводится повышение квалификации в рамках дополнительного профессионального образования по теме информационной безопасности. А также на базе Петрозаводского государственного университета открыта цифровая кафедра, которая каждый год разрабатывает новые дополнительные программы профессиональной переподготовки.

Как вы думаете, возможно ли полностью исключить утечки данных или это неизбежный риск цифровой эпохи? Какой подход, на ваш взгляд, наиболее реалистичен?

Утечки — это результат умышленного похищения или это непреднамеренная потеря данных либо из-за человеческого фактора, либо из-за несовершенства кода и инфраструктуры. В первом случае однозначно нельзя полностью исключить. Как бы стремительно ни развивались технологии, злоумышленники все равно оказываются на шаг впереди, да и выстраивать защиту всегда сложнее, чем нападать. Во втором случае исключить нельзя, но можно минимизировать. Хотя значительную часть данных о себе граждане раскрывают самостоятельно, а не через утечки из баз данных — банальное необеспечение принципов цифровой гигиены, но путем обучения пользователей (с обязательным закреплением), а также постоянным освещением возможных каналов утечки и методов защиты информации можно сократить ущерб. Кроме того, нужно постоянно совершенствовать разработку ПО на основе принципов безопасности. Ведь еще совсем недавно разработчики программ не задумывались, как писать код с точки зрения информационной безопасности. И при внедрении оказывалось, что при несущественных финансовых затратах на само ПО для наложенных средств защиты требуется существенный бюджет, а в некоторых случаях вообще невозможно использовать это ПО без нарушения принципов защиты информации. Сейчас уже в информационных системах существуют подходы и алгоритмы, которые позволяют значительно снизить риски утечки всех данных: разные права доступа и управление ими, сегментирование доступа и подключений. Есть только пара десятков недопустимых событий, которые по стечению обстоятельств и умышленных действий, как правило, внутреннего нарушителя, позволяют осуществить слив всей базы данных. На это и основной упор — всеми силами не допустить наступление подобных событий.