Новая триада информационной безопасности
Технологии меняют привычный мир быстрее, чем общество, государство и бизнес успевают адаптироваться к изменениям. Информационная безопасность одна из ключевых отраслей, помогающих сделать процесс постоянных изменений управляемым и эффективным, что критически важно в условиях повсеместной цифровизации.
В последние годы основной эволюционный сдвиг парадигмы обеспечения информационной безопасности связан с экспоненциальным ростом числа новых угроз. Появление прорывных и изменение уже привычных технологий, новые тенденции в использовании мобильных устройств и сервисов, социальные сети, появление nation-state actors и многое другое сделали кибербезопасность приоритетом номер один для многих направлений человеческой деятельности.
По своей природе киберриски становятся все более сложными и могут оказывать непосредственное влияние на все – от стоимости акций и доходности ценных бумаг до многомиллионных штрафов за нарушение нормативных требований, репутационных потерь и ограничений на ведение бизнеса.
Технологии обнажили фундаментальную проблему противоречия интересов новой ИБ-триады – государства, гражданского общества и бизнеса, а также обострили борьбу за основной ресурс новой эры – данные.
Государство
Мировые лидеры осознали, что кибербезопасность становится не только неотъемлемой частью национальной безопасности, но и необходимым элементом технологического и экономического развития страны. Следствием является непосредственное участие государства в вопросах предотвращения кибератак, расследования преступлений в области высоких технологий, защиты критически важной национальной инфраструктуры, а также поддержание среды, которая облегчает технический прогресс и обеспечивает информационно-технологический суверенитет.
В то же время правительства инвестируют деньги и значительные ресурсы в создание наступательного кибероружия, используют существующие хакерские группировки в качестве агентов и создают регулярные киберподразделения в рамках силовых ведомств. Инструменты, разработанные для государственных ведомств в рамках обеспечения безопасности, попадают к киберпреступникам и превращаются в оружие, хуже того, они относительно легко доступны в DarkWeb и значительно снижают порог входа преступной деятельности для тех, у кого есть только базовые навыки работы с цифровыми технологиями. Бизнес тоже заинтересован в подобных разработках, как правило, для доступа к различным базам данных, которые позволяют собрать исчерпывающее досье на конкретного человека или компанию.
Киберугрозы существуют вне национальных границ, с жертвами в одной юрисдикции и преступниками в другой – часто среди стран, чьи нормы по отношению к преступлениям в сфере высоких технологий отличаются от общепринятых. Разница в нормах уголовного законодательства, медлительность судебной системы, специфика деятельности локальных правоохранительных органов – все это приводит к тому, что даже относительно простые угрозы вызывают серьезные последствия и значимый ущерб.
В настоящее время большинство стран решает данные проблемы изолированно, используя оригинальные методы и лучшие практики. Различия в подходах обычно отражают особенности политической, судебной и правоохранительной систем, государственного и территориального устройства, а также набор полномочий органов исполнительной власти на государственном и региональном уровнях.
Эффективная национальная экосистема кибербезопасности пересекает традиционные институциональные границы и включает широкий спектр департаментов и функций, как военных, так и гражданских. Большинству стран еще предстоит определить ответственных за все аспекты кибербезопасности или создать единую структуру управления. Отсутствие ясности может привести к путанице при возникновении кризисных ситуаций и неэффективному использованию ограниченных ресурсов.
Личность
Тема поиска баланса между правами гражданина и необходимостью эти права ограничивать в интересах общества и государства стара как мир. Современные цифровые технологии сделали поиски этого баланса еще более трудной задачей.
С одной стороны, госорганы получили в свое распоряжение решения, позволяющие накапливать и автоматически обрабатывать большие объемы данных, с другой – приватность и безопасность стали доступны каждому, кто в них действительно нуждается, включая преступные элементы и террористов.
Есть некая ирония в том, что алгоритмы шифрования, созданные для защиты государственных военных секретов, в настоящее время являются, по сути, единственным механизмом, надежно обеспечивающим приватность и право на неприкосновенность частной жизни обычных граждан.
Между тем, данные пользователей неслучайно называют «нефтью цифрового мира»: 7 из 10 самых дорогих мировых предприятий – это технологические гиганты, такие как Facebook, Amazon, Apple, Google и Microsoft. Последние годы показали, что возможности и интересы данных компаний лежат далеко за пределами предиктивной аналитики, поведенческого анализа и контекстной рекламы – технологии позволяют оказывать влияние на настроения широких слоев населения, их поведение и даже политические предпочтения, что помогает в том числе воздействовать на результаты выборов.
Государства и частные компании конкурируют за один и тот же ресурс – данные пользователей, и точка в этой борьбе вряд ли будет поставлена в ближайшие годы.
Обычным пользователем остается лишь надеяться на себя и собственную грамотность в области применения ИТ-сервисов. К счастью, и крупный бизнес, и государство прикладывают немалые усилия по повышению осведомленности в вопросах ИБ, формируя корпоративную и национальную культуры кибербезопасности.
Бизнес
Концепция бизнеса всегда предполагала эффективную деятельность в рамках существующих правил и ограничений, таких как налоговый режим, доступность и стоимость денег, национальное и наднациональное регулирование, миграционная политика и т. п.
Цифровизация предоставила огромный набор новых ресурсов и, как следствие, возможностей не только в виде информации, но и в виде инструментов и способов их обработки. Уже сегодня в портфеле крупных компаний есть десятки реализованных проектов в области искусственного интеллекта, виртуальной и дополненной реальности, «цифровых двойников», больших данных, использования дронов, электронного документооборота и аддитивного производства.
Массивы больших данных содержат, в том числе, чувствительную информацию, такую как персональные данные и ноу-хау, но регулирование использования этих данных, несмотря на усилия соответствующих органов, до сих пор запаздывает. Существующие «серые» зоны в законодательстве постепенно закрываются, но этот процесс в силу своей бюрократизированности безнадежно отстает от актуальных проблем, чем пользуются как добросовестные, так и не очень предприниматели.
Сегодня предприятия вынуждены искать компромисс между незрелым регулированием, защитой от реальных киберугроз, развитием новых направлений и компетенций, сокращением затрат, получением прибыли и освоением новых рынков. В условиях катастрофической нехватки специалистов в области информационной безопасности эта задача становится настоящим вызовом и требует вовлечения высшего руководства.
Эволюция современных подходов к защите смещает фокус от обеспечения безопасности инфраструктуры и соответствия регуляторным требованиям к обеспечению безопасности самих бизнес-процессов и построению устойчивых или, в терминологии Нассима Талеба, антихрупких систем. Это требует, в первую очередь от менеджеров в области информационной безопасности, не только технологического бэкграунда, но и глубокого понимания бизнеса и его показателей, а также способности эффективно трансформировать существующие процессы.
Триада
Несмотря на огромное количество противоречий и кажущуюся разницу в целях между обществом, государством и бизнесом, сложившаяся ситуация прямо противоположна известной басне про лебедя, рака и щуку.
Уроки прошлого и здравый смысл уже не раз доказывали, что наличие единой угрозы всегда способствует быстрому достижению договоренностей, и такая угроза сейчас реальна, как никогда. Ущерб от атак на объекты критической информационной инфраструктуры касается всех и каждого, и очевидно, что выстроить эффективную защиту в одиночку не подвластно ни государству, ни бизнесу, ни отдельно взятому гражданину.
Идеальным решением выглядит формирование иерархической структуры под эгидой наднационального ИБ-регулятора, обеспечивающего коммуникации между едиными уполномоченными национальными органами в области мониторинга, предотвращения и расследования инцидентов, связанных с объектами критической инфраструктуры, а также борьбы с преступлениями в сфере высоких технологий.
Одновременно необходимо и развитие единого органа по защите персональных данных, который участвовал бы в гармонизации международных и локальных нормативных требований, тем самым обеспечивая достаточный уровень защиты при трансграничных операциях с данными граждан, вне зависимости от их национальной принадлежности. Такой орган, безусловно, должен обладать широкими полномочиями, особенно в рамках расследования утечек информации или ее неправомерного сбора и обработки.
Поиск компромиссов и выстраивание глобальной системы безопасности в современных политических реалиях – задача непростая, но выполнимая, особенно если драйверами изменений выступают не только государственные органы, но и крупный бизнес, и гражданские объединения.
Заключение
Цифровой мир – это новая реальность, в которой правила, законы и границы еще только устанавливаются. В этом мире ни государство, ни крупные корпорации пока не имеют монополии на применение силы и существенного контроля над основными ресурсами и, что кажется удивительным, такая ситуация устраивает все заинтересованные стороны.
Однако новый мир несет и новые угрозы в существующий физический, и подобные угрозы настолько существенны и требуют такого количества ресурсов для митигации, что для новой триады информационной безопасности – государства, общества и бизнеса – не остается другого выбора, как действовать сообща, невзирая на существующие разногласия и расхождение целей.
Путь поиска компромиссов и выстраивания коммуникаций между столь различными группами сложный и тернистый, но это единственный путь, который позволит сделать будущее безопасным и удобным.
Смотреть все статьи по теме "Информационная безопасность"
Опубликовано 05.09.2019