Трансформация ИБ: от навесной к встроенной
Острые вопросы превратили классическое мероприятие в полноценный диалог между руководителями региональных министерств и федеральными регуляторами, выявив главные болевые точки и узкие места в государственной ИБ. В прошлом номере IT Manager мы рассказали об ожиданиях госзаказчиков, применении Bug Bounty в отрасли, проблемах с «Гостехом». Сегодня познакомим наших читателей с другими темами дискуссии.
И снова про 250-й
С момента выхода Указа Президента России от 1 мая 2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» прошло полгода. Можно ли уже подвести промежуточные итоги?
По мнению Владимира Бенгина (Минцифры), главное, что изменилось отношение к ИБ, — указ коснулся тех, кто раньше всеми возможными способами смог обойти те или иные требования регулятора. А это крупные системообразующие организации. Еженедельно министерство отправляет около ста запросов по исполнению указа и получает обстоятельные ответы, например на основании какого приказа назначен тот или иной руководитель ИБ на объекте КИИ.
«Основная польза указа в привлечении высшего руководства государственных органов и организаций к вопросам информационной безопасности», — говорит Владимир Бенгин.
А что думают чиновники, работающие «в поле»? Помогает ли региональным министрам 250-й указ решать вопросы с популяризацией ИБ?
С одной стороны, да. Внимание к теме значительно выросло. Но основная проблема регионов — в отсутствии средств и специалистов для дополнительной работы. ИТ-руководители жалуются, что люди в органах власти и так перегружены, новых сотрудников не нанять, а деньги на это федеральным бюджетом не выделяются.
По словам Ярослава Ракова (Правительство Тульской области), очевидно, что если есть подписанный президентом документ, то уровень интереса к теме повышается. В то же время в документе есть множество требований, но ни слова о субсидиях. Минцифры выделяет деньги только на глобальные федеральные проекты, такие как Интернет в школы или связь для сел. Хотя другие министерства России дотируют проекты в регионах.
Михаил Шляпников (Правительство Оренбургской области), отмечает, что указ спровоцировал интересный сдвиг в работе по выявлению органами власти субъектов КИИ. «Как госслужащему, мне это, конечно, добавило работы, но, с другой стороны, организации наконец-то начнут заниматься ИБ», — резюмирует Михаил.
В Удмуртии закупки ИБ-решений находятся в списке приоритетных, и Минфин Республики акцептует выделение на них средств. Но есть и вопросы по реализации указа. «Например, у нас есть министерство промышленности и организовать них дополнительную структуру, отвечающую за ИБ, достаточно сложно. Мы долгое время с коллегами из других регионов шли к централизованной модели, а сейчас нужно создавать отдельное подразделение. Если в федеральных министерствах работает много народу, то региональные органы исполнительной власти небольшие и выделять отдельную структуру, учить людей — это проблема. Для того чтобы отраслевым министерствам правильно организовать защиту информации, нужны рекомендации Минцифры, как это сделать на уровне региона», — поясняет Тимур Меджитов (Министерство информатизации и связи Удмуртской Республики).
С одной стороны, указ обратил внимание руководителей госорганов на инфобез, с другой — любая система ИБ строится при наличии сил и средств. «Про средства уже было сказано, что касается сил — отдельный вопрос. Так, выделить в ведомстве, состоящем из семи человек, специального сотрудника, отвечающего за ИБ, крайне сложно, — комментирует Наталья Никольская (Администрация Главы Республики Карелия), — кроме того, в дотационных регионах численность госслужащих строго ограничена Минфином России. Причем оптимизация в органах власти и так уже максимальная, люди перегружены профессиональными задачами. Поэтому нам важна поддержка со стороны федералов в решении вопросов с Минфином».
Минцифры в курсе этих проблем. «Мы активно собираем обратную связь от регионов. Но в действительности они все очень разные. Где-то много ресурсов, где-то совсем их нет. Разная степень иерархии и централизации. Мы планируем выработать определенные методические сценарии, как реализовать на практике положения указа, — говорит Владимир Бенгин. — С субсидиями для регионов по ИБ действительно ситуация сложная. Мы этот вопрос каждый год поднимаем на федеральном уровне, но пока средства не выделены. По результатам, полученным из обратной связи, будем снова обращаться в Минфин за выделением дополнительных ресурсов. Я считаю, что чем чаще мы вместе поднимаем этот вопрос, тем больше документов, которые мы отправляем в Минфин, и тем больше обоснований для выделения средств».
Заместитель директора ФСТЭК России Виталий Лютиков, считает, что с точки зрения нормативных требований федерального и регионального уровня почти ничего не поменялось. Потому что в регулируемой сфере нормативных актов остались те же требования, что и раньше. Конечно, 250-й указ, подписанный президентом, придал новый импульс, он попал в русло происходящих сегодня событий. И внимание к нему руководителей всех уровней повышено. С другой стороны, немаловажный вопрос: кто назначается замом по ИБ? «Можно сделать зама по ИБ и ИТ в одном лице, и в 90% это ударит по ИБ. Потому что всегда при принятии решения — ИТ или ИБ — выбирают первое: ИТ считаются прогрессом, а ИБ тормозом. К сожалению, и специалисты по кибербезопасности не всегда могут объяснить, почему то или иное ИТ-решение внедрять нельзя, что усугубляет проблему», — говорит замглавы ФСТЭК.
Горячая замена
С началом СВО иностранные поставщики оборудования и программного обеспечения прекратили поддержку и остановили обновления для России. В некоторых случаях аппаратные комплексы просто «окирпичились». Как в этой ситуации работали государственные органы?
По словам Павла Ципорина (Правительство Ханты-Мансийского автономного округа — Югры), их ведомство сыграло на опережение, уже 24–25 февраля остановив все обновления для ИОГВ в регионе. Это, возможно, сохранило работоспособность систем. Сегодня все критичные обновления идут только через тестовый стенд, чтобы избежать закладок.
Не секрет, что замещение иностранных производителей происходит в том числе и за счет решений open source. Но согласно требованиям ФСТЭК и ФСБ, у средства защиты или средства обнаружения, предотвращения и ликвидации последствий компьютерных атак должна быть действующая техническая поддержка. Как выполнить это требования для решений open source?
Руководители министерств считают, что open source несет риски для ИБ, и его надо очень аккуратно использовать тем, кто попадает под действие 250-го указа. Хотя и у коммерческого продукта может быть много open source-библиотек, поддерживаемых третьей стороной.
Проблемы законодательства
В Еврейской автономной области руководителя отдела защиты информации УФНС обвинили в нарушении тайны переписки за чтение ведомственного мессенджера. Что об этом думают руководители министерств и ведомств? Примеряют ли ситуацию на себя?
Оксана Новослугина (СПб ИАЦ) считает, что любые риски надо рассматривать. Но в данном случае — это проблема внедрения DLP-системы. До сих пор применение DLP-систем на рабочих местах до конца не урегулировано. «С точки зрения УК — это нарушение тайны переписки. И по общему правилу это касается тайны именно личной переписки. Насколько мы можем использовать рабочее место для личной переписки — вопрос открытый. В первую очередь это необходимо урегулировать внутри организации», — говорит Оксана. Так, нужно определиться, какое ПО можно устанавливать на рабочее место и в каких целях использовать. Вопрос в грамотной политике как организации, так и соответствующих норм законодательства.
Сергей Кирюшин (МИД России) уверен, что мониторинг действий пользователя необходим: «Мы контролируем, чтобы в открытом доступе не было документов, имеющих признаки конфиденциальности».
Утечки данных
Поправки в ФЗ-152 об обязательном уведомлении об утечках ПДн для любого оператора персональных данных подразумевает, что шесть миллионов организаций и индивидуальных предпринимателей должны будут уведомлять об инцидентах ГосСОПКУ. Как лучше всего реализовать данную задачу в условиях нехватки ресурсов у небольших организаций? Отправленные в НКЦКИ уведомления часто остаются без ответа. И нужно ли уведомлять обо всем?
Владимир Бенгин (Минцифры) говорит, что сегодня в России, помимо НКЦКИ, работает много коммерческих центров ГосСОПКИ, есть структуры, через которые можно отправить эти уведомления. «Но сначала нужно ответить на вопрос, какого объема утечки и для каких граждан можно считать несущественными, чтобы не уведомлять. Уверен, что никакие, поскольку любая утечка — это инцидент, связанный с правами граждан РФ. Действительно, с утечками сейчас в стране большая проблема. И наверное, самая сложная по сравнению с другими угрозами», -— комментирует Владимир.
Не секрет, что раньше ИБ во многих организациях строилась по дискретному принципу — от аттестации до аттестации. Сейчас и ФСТЭК, и ФСБ требуют непрерывного мониторинга инцидентов и уязвимостей. Как меняется структура служб ИБ в таких условиях? На взгляд модератора секции Рустэма Хайретдинова, единственный правильный путь — объединять и требования, и безопасность. Кто-то отключает привычные сервисы, работающие на иностранных платформах, кто-то блокирует удаленный доступ. Вообще все вопросы легко решаются, когда предлагаешь взять на себя ответственность за утечки. Потому что сегодня для госсектора вопросы ИБ являются критичными.
Быть ли конкуренции на рынке ИБ?
Уход вендоров из недружественных стран — это благо для отечественных вендоров или зло? С одной стороны, благодаря уходу рынок увеличился на 80 млрд рублей в год. Это была доля иностранных производителей средств защиты информации. Но не приведет ли отсутствие конкуренции к застою в развитии?
Российские вендоры считают это благом, ведь заказчики стали больше рассматривать отечественные продукты, чаще ими пользоваться, лучше в них разбираться и понимать, что наши решения не хуже западных, а зачастую и лучше. При этом ушедшие компании приучили потребителей предъявлять к сервису высокие требования.
И эти требования сейчас заказчики диктуют рынку, заставляя российских производителей соответствовать им. Помимо традиционных конкурентов среди ИТ-компаний, многие занимают освободившиеся ниши, тем самым увеличивая конкуренцию. С одной стороны, это хорошо, но с другой — все стали заниматься всем. Так, на рынке несколько компаний сейчас начали делать PAM (Privileged Account Management) — системы контроля привилегированных пользователей. Часто в новые ниши приходят те, кто не имеет навыков для реализации полноценных продуктов. Но нужно ли расцветать всем цветам, чтобы потом остались три флагмана?
Владимир Бенгин считает, что сейчас на нашем рынке в одном классе решений по ИБ не нужны 15–20 игроков. Но, с другой стороны, когда все начинается, как, например, с НГФВ, спрогнозировать успех сложно. И никто не знает, какой из вариантов окажется предпочтительным в будущем, поэтому на старте не стоит ограничивать эти инициативы. «Мы пытаемся максимально сжать временные рамки: сделать решение не в течение 10 лет, а за два-три года. Вначале дать зеленый свет всем, получить от них планы, что они будут делать, в какой срок и каких результатов хотят добиться, а потом рыночными инструментами исключать тех, кто заявил о своих планах, но выполняет их. С другой стороны, мы создаем конкуренцию. Так, с 1 января 2025 года надо заместить все иностранные решения вне зависимости, есть или нет у них российские аналоги. При этом мы призываем производителей не пытаться полностью копировать функционал иностранных продуктов, чтобы заменить без потери качества, нужно идти от поставленных задач, конкретных проблем сегодняшнего дня в области ИБ. Конкурировать нужно со здравым смыслом. Иначе мы получим «недопродукты», — говорит Владимир.
В то же время в стране давно используются и неплохо развиты НГФВ-решения. У кого-то есть прокси, у кого-то сетевой анализатор. Но существует проблема массовости и масштабируемости, когда у нас имеется семь ключевых ГИС и восемь ключевых госкомпаний, а тысячи и сотни тысяч инфраструктур нужно закрыть с помощью НГФВ. Поэтому необходимо делать «коробочные» продукты, которые полностью решают ту или иную проблему.
Кадры и кадры
Вопросам нехватки ИТ- и ИБ-специалистов столько же лет, сколько самому рынку ИТ и ИБ. И вот сейчас согласно Указу № 250 на всех объектах КИИ должны быть заместители генеральных директоров по ИБ. Что делать?
«Мы постоянно говорим, что кадров не хватает, но ситуация не меняется. Этим указом мы надеемся спровоцировать конкуренцию и предложение на рынке образования в ИБ, в том числе коммерческого, увеличивая спрос на специалистов. Кстати, многие руководители хотят учиться не для галочки, так как сегодня именно они несут ответственность за безопасность. Сейчас все профильные ИБ-компании активно обсуждают обучение. И конечно, должно быть больше его вариантов», — считает Владимир Бенгин.
Крупные производители софта и «железа» давно сотрудничают с вузами, организовывают кафедры, готовят технарей-специалистов. «Но когда бизнесу ИБ неинтересна, то даже если появится еще пять инженеров, компания не станет защищеннее. Когда релизы публикуются в паблике без согласования ИБ, когда разработчики не думают об уязвимостях, когда айтишники строят инфраструктуру как удобно, а не как безопасно, а подрядчиков подключают напрямую в ядро сети, сколько бы безопасников в компании ни было, лучше не станет. Поэтому в компании нужен отдельный руководитель, отвечающий за ИБ», — уверен Владимир Дрюков («Ростелеком-Солар»).
Опубликовано 09.01.2023