Новая эра в информационной безопасности

10–11 ноября в Санкт-Петербурге прошел IX Международный форум «ИТ-Диалог», ключевой темой которого стала информационная безопасность. Точнее — «Новая эра в ИБ».

Что же произошло в кибербезопасности, что дает нам основание говорить не просто об увеличении числа и интенсивности атак, но именно о «новой эре»? Каких решений не хватает российскому рынку? Можно ли сегодня построить систему ИБ государственного органа полностью на российских разработках? Эти и другие вопросы обсуждали в ходе мероприятий форума. А началась дискуссия на пленарном заседании, в котором приняли участие руководители Минцифры, ФСТЭК, Государственной Думы, вице-губернаторы Санкт-Петербурга, Калужской и Сахалинской областей, а также представители бизнеса и отрасли ИБ-решений.

Регуляторы и законодатели

По словам заместителя министра цифрового развития, связи и массовых коммуникаций РФ Александра Шойтова, в последнее время принципиально изменился ИТ-ландшафт. Если ранее были только отдельные информационные системы, то сейчас появились сложные экосистемы, между которыми происходит постоянное взаимодействие. Меняется и подход к ИБ. Теперь она включена в полный цикл: от проектирования и создания ИТ-решений до их эксплуатации. Кроме того, активно набирает популярность аутсорсинг информационной безопасности, а это в свою очередь влечет за собой вопросы разделения ответственности. На изменение отношения к ИБ повлиял и непрекращающийся прессинг атак.

Что касается выполнения Указа Президента Российской Федерации от 30.03.2022 № 166, замминистра считает, что в стране есть все необходимые решения в области ИБ, чтобы к 1 января 2025 года полностью завершить процесс перехода на отечественное ПО. «Конечно, это не всегда точные аналоги зарубежных средств, возможно, придется перепроектировать некоторые системы ИБ, но это комплексная работа, и ее необходимо начинать уже сейчас. Нужно провести аудит и найти узкие места. В целом ситуация гораздо лучше, чем в других сферах информационных технологий», — говорит Александр Шойтов.

Требования, которые выставляет регулятор, должны подкрепляться проверками, контрольными мероприятиями. И когда айтишники читают новые требования, то у них первая мысль — а что если мы их не выполним? Как можно довести регулирование до исполнения? Будет ли мораторий на проверки ФСТЭК в 2023 году?

«При планировании контрольных мероприятий мы руководствуемся решениями, принятые президентом и правительством. Компании, аккредитованные Минцифрой, не будут подвергаться проверкам», — отвечает Виталий Лютиков, заместитель директора Федеральной службы по техническому и экспортному контролю (ФСТЭК). Что же касается остальных проверок, — а это контроль выполнения требований по защите информации ограниченного доступа и обеспечения безопасности объектов критической информационной инфраструктуры, — то, по его словам, контролю должны подлежать структуры высокого риска опасности. В КИИ это означает первую и вторую категорию значимости объектов. «С этого года все материалы аттестационных испытаний информационных систем направляются в нашу организацию, где мы рассматриваем качество проведенных работ. Мы можем отозвать аттестат соответствия, если проверки проведены с нарушением требований. Если до февраля мы только прогнозировали возможные риски ИБ, то сейчас можно сказать, что практически все информационные угрозы были отработаны. Кроме того, недавно в Государственной Думе прошло первое слушание поправок в КОАПП по ответственности за предоставление недостоверных сведений по результатам категорирования», — добавляет замглавы ФСТЭК.

В последние годы широкое распространение получил термин «киберполигон». По сути, это платформа для проведения учений специалистов по информационной безопасности. В то же время это своего рода канализация энергии ИТ-молодежи, которой нравится что-то ломать. Председатель комитета по информационной политике, информационным технологиям и связи Государственной Думы Федерального Собрания РФ Александр Хинштейн называет киберполигоны «цифровыми силами сдерживания».

«С начала года количество кибератак на Россию выросло на 80%. Это беспрецедентная ситуация. Цель подобных ударов — обрушить инфраструктуру нашей страны. Поэтому вопросы ИБ приобретают особое значение. Мне кажется, что нам в первую очередь нужно решить два основных вопроса. Первый связан с соразмерной реакцией, в том числе с ударами по инфраструктуре противника в киберпространстве. Второй — усиление киберзащиты и постоянный мониторинг нашей киберготовности. И киберполигон должен стать базисом для этой подготовки. Сегодня открылось восемь таких центров, а к 2024 году их количество должно возрасти до 15. Площадками киберполигонов становятся в том числе вузы, и это правильно. Потому что студенты могут учиться на конкретном практическом материале», — считает Александр Хинштейн.

Как построить защиту

В рамках цифровой трансформации многие регионы, в том числе Санкт-Петербург, внедряли проекты по искусственному интеллекту, биометрии, блокчейну и т. п. При этом у наших регуляторов до сих пор отсутствуют требования по их безопасности. Мешает ли это? А может, позволяет делать то, что хочется? Или, наоборот, тормозит, поскольку непонятно, как отнесется регулятор к реализованному?

Вице-губернатор Санкт-Петербурга Станислав Казарин уверен, что требования регулятора не тормозят развитие городских сервисов. «Сегодня мы активно внедряем технологические инновации в самые разные сферы нашей жизни. Это голосовые помощники, системы распознавания изображений, анализ лабораторных исследований. Конечно, здесь в первую очередь встают вопросы кибербезопасности: необходим баланс между скоростью внедрения решений и обеспечением их защиты», — подчеркивает он.

Что в целом представляет собой подход к информационной безопасности в разрезе отдельно взятого региона? Чем он отличается от общефедерального подхода и подхода к защите очень крупного бизнеса?

По словам заместителя губернатора Калужской области Дмитрия Разумовского, практически ничем, кроме двух моментов. Первый — финансовые ограничения. Второй — дефицит кадров. С этой проблемой пытаются справиться все регионы, потому что сложно найти хорошего специалиста в ИТ, а еще сложнее — в ИБ. «В Калужской области ведется системная работа. Сейчас в нашем управлении 65 информационных систем, часть которых уже переведена или переводится в ГИС. При этом 100% ГИС аттестовано. По сравнению с прошлым годом, в 2022-м мы фиксируем кратное увеличение компьютерных инцидентов», — комментирует замгубернатора. По его словам, одной из проблем, помимо нехватки кадров, является невозможность использования федеральных субсидий на обеспечение информационной безопасности объектов КИИ — например, в сфере здравоохранения. Дмитрий Разумовский предлагает Минцифре как регулятору предусмотреть финансирование регионов для создания единых федеральных песочниц, киберполигонов, которые сегодня очень нужны. Также необходимо нормативно закрепить наличие ИТ-специалистов в региональных органах власти, муниципалитетах, отвечающих именно за КИИ, поскольку сейчас эта нагрузка ложится на других сотрудников. Он считает, что имеет смысл запустить специальные программы подготовки, по аналогии с «Сельским доктором» в медицине. «Калужский регион активно участвует во всех проектах Минцифры, но при нарушении целостности ядра, мы получаем проблемы сразу везде: по школам, муниципальным образованиям. Для регионов нужно предусмотреть возможность автономной работы при возникновении каких-либо чрезвычайных ситуаций», — добавляет он.

Комментируя предложение Дмитрия Разумовского, заместитель министра Александр Шойтов как представитель регулятора отмечает, что сейчас финансирование ИБ в регионах проходит через программы цифровой трансформации. «Мы смотрим, где нужно отделять ее от информационных технологий, а где она должна к ним примыкать. Так, внедрение средств защиты информации имеет смысл проводить вместе с созданием самой информационной системы. А что касается решений, связанных с мониторингом и реагированием, то, наверное, их следует выделить. И сейчас мы работаем над созданием государственного межведомственного оперативного штаба, с помощью которого будем выстраивать технологическое взаимодействие с регионами», — сообщает замминистра.

Органы власти работают не столько с ИТ-системами, сколько с людьми. Как цифра усугубляет страхи людей, например, о потере безопасности, а как помогает обрести чувство безопасности?

По словам заместителя председателя правительства Сахалинской области Вячеслава Аленькова, сейчас все управленческие решения в регионе принимаются на основе данных, повышается скорость и качество принятия решений, улучшается качество сервисов для жителей. «У нас активно развивается тема обратной связи и позволяет настраивать актуальные сервисы, необходимые жителям. Эти плюсы системы управления действительно накладывают определенные ограничения на вопросы информационной безопасности. Вызовов стало больше. Но мы двигаемся в сторону централизованного подхода к решению вопросов в области ИБ», — говорит он.

В Сахалинской области создано единое информационное пространство, в котором работают все органы исполнительной власти, муниципальные образования, имеется единая сеть передачи данных и хостинговая площадка, на которую переведены все сайты муниципальных образований и органов власти. «Мы используем защищенные облачные платформы, а наш региональный подвед имеет все необходимые лицензии регуляторов. Также мы сами организуем обучение специалистов по ИБ. Действительно, вопрос кадров очень актуален, и им надо заниматься системно», — комментирует зампред правительства региона. Большое внимание в области уделяется КИИ, так как Сахалин — единственный регион России, расположенный на островах. Правительство в сотрудничестве со специализированными компаниями-партнерами провели инвентаризацию всех информационных ресурсов и создали свою информационную систему, к которой подключены все ответственные в подведомственных учреждениях. «В ситуационном центре в режиме реального времени я получаю отчет об исполнении всех мероприятий по ИБ. Так же как и в других регионах, мы столкнулись со шквалом кибернападений. В феврале количество атак у нас увеличилось по сравнению с январем в полтора раза, в марте — в четыре раза, а в июле — в 20 раз. Справляться с ними позволяет системный подход и внедрение лучших практик, — добавляет Вячеслав Аленьков. — Поддержу Александра Шойтова: цифровая трансформация и информационная безопасность должны быть в пакете. Делаете новый сервис — в первую очередь обеспечьте его защиту!»

И снова о паролях

Можно выстроить самую дорогую систему информационной безопасности, но человек всегда остается слабым звеном. Александр Хинштейн считает, что в части утечек персональных данных нужно сделать исключение из постановления правительства, которое ввело мораторий на любые проверки, и изменить это для предприятий, аккредитованных при Минцифре. Потому что, к сожалению, аккредитация не означает, что компания реально защищает свои данные и данные клиентов. Зачастую подход к ИБ может быть формальным. Недавняя утечка 12 млн клиентов «Почты России» тому подтверждение. К этой ситуации привели слабые пароли администраторов подрядчика. «Мы можем тратить огромные средства на информационную безопасность, но в отсутствие неотвратимости наказания за утечки все это бессмысленно». Сегодня Госдума совместно с Минцифрой работает над поправками в законодательство, которые введут более серьезную ответственность за утечки персональных данных.

Виталий Лютиков подтверждает: несмотря на то что ФСТЭК еженедельно направляло рекомендации по смене и усложнению паролей привилегированных пользователей, практика показала, что эти мероприятия не реализованы. «Можно сколько угодно заниматься безопасностью, но если не решить элементарные вещи, то никакого смысла нет», — говорит он.

А по словам Александра Шойтова, недавно Минцифры инициировала изменения в законодательство, чтобы разрешить проверки операторов персональных данных. По его словам, вопрос паролей относится к киберкультуре. У Минцифры есть специальная программа «Кибергигиена», направленная на повышение киберграмотности как государственных служащих, так и обычных пользователей. Ее цель — привлечение внимания к вопросам кибербезопасности и формирование у граждан навыков безопасного поведения в Интернете.

***

В ходе дискуссии руководители регуляторов и органов власти обсудили условия выполнения 250-го Указа, ключевые компоненты ИТ/ИБ-образования, биометрическую идентификацию/аутентификацию граждан при оказании им различных услуг, проблемы межведомственного взаимодействия и многое другое. Несмотря на зачастую разные взгляды, все эксперты сходятся в одном: для обеспечения ИБ необходим системный подход, внимание к пользователям и персональная ответственность за управленческие решения.

Журнал IT Manager

Опубликовано 28.11.2022

Информационная безопасность Киберугрозы ИТ Диалог

Предыдущая
Базу пользователей WhatsApp выставили на продажу

Следующая
Правоохранители разоблачили телефонную аферу на сумму £100 млн

Новостная лента

Главное за неделю

Нажимая на кнопку, я принимаю условия соглашения.

Соглашение об использовании сайта

Внимательно прочитайте настоящее Соглашение, прежде чем начать пользоваться Сайтом. Вы обязаны соблюдать условия настоящего Соглашения, заходя на Сайт и используя сервисы, предлагаемые на Сайте. В случае, если Вы не согласны с условиями Соглашения, Вы не можете пользоваться Сайтом или использовать любые сервисы, предлагаемые на Сайте, а также посещать страницы, размещенные в доменной зоне Сайта. Начало использования Сайта означает надлежащее заключение настоящего Соглашения и Ваше полное согласие со всеми его условиями.

1. Термины и определения

1.1. Компания - Общество с ограниченной ответственностью «ИТ Медиа» (ООО «ИТ Медиа»).

1.2. Пользователь - лицо, получающее доступ к сервисам и информации, размещенным на Сайте.

1.3. Сайт – веб-сайт Компании, размещенный в сети Интернет по адресу https://www.it-world.ru.

1.4. Соглашение - настоящее Соглашение между Пользователем и Компанией, устанавливающее правила использования Сайта, включая графические изображения, элементы дизайна и средства индивидуализации, текстовую информацию и документацию, программы для ЭВМ и файлы для скачивания, любые иные произведения, объекты и материалы Сайта, а также условия и правила размещения Пользователем информации и материалов в соответствующих открытых разделах Сайта.

2. Общие положения и условия

2.1. Любые материалы, файлы и сервисы, содержащиеся на Сайте, не могут быть воспроизведены в какой-либо форме, каким-либо способом, полностью или частично без предварительного письменного разрешения Компании, за исключением случаев, указанных в настоящем Соглашении. При воспроизведении Пользователем материалов Сайта ссылка на Сайт обязательна, при этом текст указанной ссылки не должен содержать ложную, вводящую в заблуждение, уничижительную или оскорбительную информацию. Перевод, переработка (модификация), любое изменение материалов Сайта, а также любые иные действия, в том числе удаление, изменение малозаметной информации и сведений об авторских правах и правообладателях, не допускается.

2.2. Действующая редакция настоящего Соглашения размещена в сети Интернет на Сайте по адресу: https://www.it-world.ru/about/agreement.php. Компания вправе в любое время в одностороннем порядке изменять условия настоящего Соглашения. Такие изменения вступают в силу по истечении 2 (двух) дней с момента размещения новой версии Соглашения в сети Интернет на Сайте. При несогласии Пользователя с внесенными изменениями он обязан удалить все имеющиеся у него материалы Сайта, после чего прекратить использование материалов и сервисов Сайта. Ваше регулярное посещение данного Сайта считается вашим убедительным принятием измененного соглашения, поэтому Вы обязаны регулярно просматривать настоящее Соглашение и дополнительные условия или уведомления, размещенные на Сайте.

3. Обязательства Пользователя

3.1. Пользователь обязуется не предпринимать действий, которые могут рассматриваться как нарушающие российское законодательство или нормы международного права, в том числе в сфере интеллектуальной собственности, авторских и/или смежных правах, а также любых действий, которые приводят или могут привести к нарушению нормальной работы Сайта и сервисов Сайта.

3.2. Любые средства индивидуализации, в том числе товарные знаки и знаки обслуживания, а равно логотипы и эмблемы, содержащиеся на страницах Сайта, являются интеллектуальной собственностью их правообладателей. Пользователю Сайта запрещено воспроизводить или иным способом использовать указанные средства индивидуализации и/или их элементы без предварительного письменного разрешения соответствующих правообладателей.

3.3. Компания стремится обеспечить, однако не контролирует и не гарантирует конфиденциальность и охрану любой информации, размещенной на Сайте или полученной с Сайта. Компания принимает разумные меры в целях недопущения несанкционированного разглашения размещенной Пользователем на Сайте информации третьим лицам, однако не несет ответственность в случае, если такое разглашение было допущено. В этой связи, передача информации на Сайт означает согласие Пользователя на любое воспроизведение, распространение, раскрытие и иное использование такой информации. Размещая информацию и материалы, включая, фотографии и изображения, Пользователь также гарантирует, что обладает всеми правами и полномочиями, необходимыми для этого, с учетом условий настоящего Соглашения и что такое размещение не нарушает охраняемые законом права и интересы третьих лиц, международные договоры и действующее законодательство Российской Федерации.

3.4. Пользователь самостоятельно несет ответственность за любую информацию и материалы, размещенные им на Сайте. Компания не инициирует размещение указанной информации, не выбирает получателей информации, не влияет на содержание и целостность размещаемой информации, а также в момент размещения Пользователем информации на Сайте не знает и не может знать, нарушает ли такое размещение действующее законодательство Российской Федерации, однако Компания вправе отслеживать, просматривать и/или удалять любую информацию и материалы, размещенные Пользователем на Сайте. При размещении любой информации и материалов Пользователь не становится соавтором Сайта и отказывается от каких-либо претензий на такое авторство в будущем. Компания не выплачивает Пользователю авторского или любого иного вознаграждения, как в период, так и по истечении срока действия настоящего Соглашения.

3.5. В случае предъявления третьими лицами претензий Компании, связанных с нарушением Пользователем условий настоящего Соглашения, а равно с размещенной Пользователем информацией на Сайте, указанный Пользователь обязуется самостоятельно урегулировать такие претензии, а также возместить Компании все понесенные убытки и потери, включая возмещение штрафов, судебных расходов, издержек и компенсаций.

3.6. Компания не несет ответственности за посещение Пользователем, а также любое использование им внешних ресурсов (сайтов третьих лиц), ссылки на которые могут содержаться на Сайте. Компания не несет ответственности за точность, надежность, достоверность и безопасность любой информации, материалов, рекомендаций и сервисов, размещенных на внешних ресурсах. Использование внешних ресурсов осуществляется Пользователем добровольно, исключительно по собственному усмотрению и на свой риск.

3.7. Компания стремится к обеспечению достоверности информации, размещенной на Сайте, однако не несет ответственности за любые неточности и/или недостоверность информации, а равно сбои в работе предоставляемых через Сайт сервисов. Пользователь согласен с тем, что Компания не несет ответственность и не имеет прямых или косвенных обязательств перед Пользователем в связи с любыми возможными или возникшими потерями, или убытками, связанными с любым содержанием Сайта, интеллектуальной собственностью, товарами или услугами, доступными на нем или полученными через внешние сайты или ресурсы либо иные ожидания Пользователя, которые возникли в связи с использованием размещенной на Сайте информации или ссылки на внешние ресурсы. Ни при каких условиях, включая, но не ограничиваясь невнимательностью или небрежностью Пользователя, Компания не несет ответственности за любой ущерб (прямой или косвенный, случайный или закономерный), включая, но не ограничиваясь потерей данных или прибылей, связанной с использованием или невозможностью использования Сайта, информации, файлов или материалов на нем, даже если Компания или ее представители были предупреждены о возможности такой потери. В случае, если использование Сайта приведёт к необходимости дополнительного обслуживания, исправления или ремонта любого оборудования, а равно восстановления данных, все связанные с этим затраты оплачиваются Пользователем самостоятельно.

3.8. Вся представленная на Сайте информация предоставляется «как есть», без каких-либо гарантий, явных или подразумеваемых. Компания полностью, в той мере, в какой это разрешено законом, отказывается от какой-либо ответственности, явной или подразумеваемой, включая, но не ограничиваясь неявными гарантиями пригодности к использованию, а также гарантиями законности любой информации, продукта или услуги, полученной или приобретенной с помощью этого Сайта.

3.9. Пользователь согласен, что все материалы и сервисы Сайта или любая их часть могут сопровождаться рекламой. Пользователь согласен с тем, что Компания не несет какой-либо ответственности и не имеет каких-либо обязательств в связи с такой рекламой.

4. Условия обработки и использования персональных данных. Принимая условия настоящего Соглашения Пользователь выражает свое согласие на:

4.1. Предоставление своих персональных данных, включающих имя, номера контактных телефонов; адреса электронной почты; место работы и занимаемая должность; пользовательские данные (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) своей волей и в своем интересе.

4.2. Цель обработки персональных данных:

предоставление Пользователю услуг Сайта;
направление уведомлений, касающихся услуг Сайта;
подготовка и направление ответов на запросы Пользователя;
выполнение регулярной информационной рассылки;
направление информации о продуктах и услугах Компании, а также рекламно-информационных сообщений, касающихся продукции и услуг Компании и ее партнеров.

4.3. Перечень действий с персональными данными, на которые Пользователь выражает свое согласие:

сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, передача третьим лицам для указанных выше целей, а также осуществление любых иных действий, предусмотренных действующим законодательством РФ как неавтоматизированными, так и автоматизированными способами.

4.4. Компания обязуется принимать все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа или раскрытия.

4.5. Настоящее согласие действует до момента его отзыва Пользователем путем направления соответствующего уведомления заказным письмо с уведомлением на адрес Компании.

5. Прочие положения

5.1. Использование материалов и сервисов Сайта, а равно размещение на нем материалов Пользователя, регулируется нормами действующего законодательства Российской Федерации. Все возможные споры, вытекающие из настоящего Соглашения или связанные с ним, подлежат разрешению в соответствии с действующим законодательством Российской Федерации по месту нахождения Компании.

5.2. Признание судом какого-либо положения Соглашения недействительным или не подлежащим принудительному исполнению не влечет недействительности иных положений Соглашения.

5.4. Бездействие со стороны Компании в случае нарушения кем-либо из Пользователей положений Соглашения не лишает Компанию права предпринять соответствующие действия в защиту своих интересов и защиту авторских прав на охраняемые в соответствии с законодательством материалы Сайта позднее.

Пользователь подтверждает, что ознакомлен со всеми пунктами настоящего Соглашения и безоговорочно принимает их.

По всем вопросам, связанным с нарушением авторских прав Компании, незаконного использования материалов Сайта или размещением ложной, вводящей в заблуждение информации о Компании, просим обращаться по  следующим контактным данным:

ООО «ИТ Медиа» ИНН 7802426999, КПП 781301001,
Санкт-Петербург, ул Большая монетная, 16 / К. 30 литера А, пом. 14-Н №30