Новая эра в информационной безопасности
Что же произошло в кибербезопасности, что дает нам основание говорить не просто об увеличении числа и интенсивности атак, но именно о «новой эре»? Каких решений не хватает российскому рынку? Можно ли сегодня построить систему ИБ государственного органа полностью на российских разработках? Эти и другие вопросы обсуждали в ходе мероприятий форума. А началась дискуссия на пленарном заседании, в котором приняли участие руководители Минцифры, ФСТЭК, Государственной Думы, вице-губернаторы Санкт-Петербурга, Калужской и Сахалинской областей, а также представители бизнеса и отрасли ИБ-решений.
Регуляторы и законодатели
По словам заместителя министра цифрового развития, связи и массовых коммуникаций РФ Александра Шойтова, в последнее время принципиально изменился ИТ-ландшафт. Если ранее были только отдельные информационные системы, то сейчас появились сложные экосистемы, между которыми происходит постоянное взаимодействие. Меняется и подход к ИБ. Теперь она включена в полный цикл: от проектирования и создания ИТ-решений до их эксплуатации. Кроме того, активно набирает популярность аутсорсинг информационной безопасности, а это в свою очередь влечет за собой вопросы разделения ответственности. На изменение отношения к ИБ повлиял и непрекращающийся прессинг атак.
Что касается выполнения Указа Президента Российской Федерации от 30.03.2022 № 166, замминистра считает, что в стране есть все необходимые решения в области ИБ, чтобы к 1 января 2025 года полностью завершить процесс перехода на отечественное ПО. «Конечно, это не всегда точные аналоги зарубежных средств, возможно, придется перепроектировать некоторые системы ИБ, но это комплексная работа, и ее необходимо начинать уже сейчас. Нужно провести аудит и найти узкие места. В целом ситуация гораздо лучше, чем в других сферах информационных технологий», — говорит Александр Шойтов.
Требования, которые выставляет регулятор, должны подкрепляться проверками, контрольными мероприятиями. И когда айтишники читают новые требования, то у них первая мысль — а что если мы их не выполним? Как можно довести регулирование до исполнения? Будет ли мораторий на проверки ФСТЭК в 2023 году?
«При планировании контрольных мероприятий мы руководствуемся решениями, принятые президентом и правительством. Компании, аккредитованные Минцифрой, не будут подвергаться проверкам», — отвечает Виталий Лютиков, заместитель директора Федеральной службы по техническому и экспортному контролю (ФСТЭК). Что же касается остальных проверок, — а это контроль выполнения требований по защите информации ограниченного доступа и обеспечения безопасности объектов критической информационной инфраструктуры, — то, по его словам, контролю должны подлежать структуры высокого риска опасности. В КИИ это означает первую и вторую категорию значимости объектов. «С этого года все материалы аттестационных испытаний информационных систем направляются в нашу организацию, где мы рассматриваем качество проведенных работ. Мы можем отозвать аттестат соответствия, если проверки проведены с нарушением требований. Если до февраля мы только прогнозировали возможные риски ИБ, то сейчас можно сказать, что практически все информационные угрозы были отработаны. Кроме того, недавно в Государственной Думе прошло первое слушание поправок в КОАПП по ответственности за предоставление недостоверных сведений по результатам категорирования», — добавляет замглавы ФСТЭК.
В последние годы широкое распространение получил термин «киберполигон». По сути, это платформа для проведения учений специалистов по информационной безопасности. В то же время это своего рода канализация энергии ИТ-молодежи, которой нравится что-то ломать. Председатель комитета по информационной политике, информационным технологиям и связи Государственной Думы Федерального Собрания РФ Александр Хинштейн называет киберполигоны «цифровыми силами сдерживания».
«С начала года количество кибератак на Россию выросло на 80%. Это беспрецедентная ситуация. Цель подобных ударов — обрушить инфраструктуру нашей страны. Поэтому вопросы ИБ приобретают особое значение. Мне кажется, что нам в первую очередь нужно решить два основных вопроса. Первый связан с соразмерной реакцией, в том числе с ударами по инфраструктуре противника в киберпространстве. Второй — усиление киберзащиты и постоянный мониторинг нашей киберготовности. И киберполигон должен стать базисом для этой подготовки. Сегодня открылось восемь таких центров, а к 2024 году их количество должно возрасти до 15. Площадками киберполигонов становятся в том числе вузы, и это правильно. Потому что студенты могут учиться на конкретном практическом материале», — считает Александр Хинштейн.
Как построить защиту
В рамках цифровой трансформации многие регионы, в том числе Санкт-Петербург, внедряли проекты по искусственному интеллекту, биометрии, блокчейну и т. п. При этом у наших регуляторов до сих пор отсутствуют требования по их безопасности. Мешает ли это? А может, позволяет делать то, что хочется? Или, наоборот, тормозит, поскольку непонятно, как отнесется регулятор к реализованному?
Вице-губернатор Санкт-Петербурга Станислав Казарин уверен, что требования регулятора не тормозят развитие городских сервисов. «Сегодня мы активно внедряем технологические инновации в самые разные сферы нашей жизни. Это голосовые помощники, системы распознавания изображений, анализ лабораторных исследований. Конечно, здесь в первую очередь встают вопросы кибербезопасности: необходим баланс между скоростью внедрения решений и обеспечением их защиты», — подчеркивает он.
Что в целом представляет собой подход к информационной безопасности в разрезе отдельно взятого региона? Чем он отличается от общефедерального подхода и подхода к защите очень крупного бизнеса?
По словам заместителя губернатора Калужской области Дмитрия Разумовского, практически ничем, кроме двух моментов. Первый — финансовые ограничения. Второй — дефицит кадров. С этой проблемой пытаются справиться все регионы, потому что сложно найти хорошего специалиста в ИТ, а еще сложнее — в ИБ. «В Калужской области ведется системная работа. Сейчас в нашем управлении 65 информационных систем, часть которых уже переведена или переводится в ГИС. При этом 100% ГИС аттестовано. По сравнению с прошлым годом, в 2022-м мы фиксируем кратное увеличение компьютерных инцидентов», — комментирует замгубернатора. По его словам, одной из проблем, помимо нехватки кадров, является невозможность использования федеральных субсидий на обеспечение информационной безопасности объектов КИИ — например, в сфере здравоохранения. Дмитрий Разумовский предлагает Минцифре как регулятору предусмотреть финансирование регионов для создания единых федеральных песочниц, киберполигонов, которые сегодня очень нужны. Также необходимо нормативно закрепить наличие ИТ-специалистов в региональных органах власти, муниципалитетах, отвечающих именно за КИИ, поскольку сейчас эта нагрузка ложится на других сотрудников. Он считает, что имеет смысл запустить специальные программы подготовки, по аналогии с «Сельским доктором» в медицине. «Калужский регион активно участвует во всех проектах Минцифры, но при нарушении целостности ядра, мы получаем проблемы сразу везде: по школам, муниципальным образованиям. Для регионов нужно предусмотреть возможность автономной работы при возникновении каких-либо чрезвычайных ситуаций», — добавляет он.
Комментируя предложение Дмитрия Разумовского, заместитель министра Александр Шойтов как представитель регулятора отмечает, что сейчас финансирование ИБ в регионах проходит через программы цифровой трансформации. «Мы смотрим, где нужно отделять ее от информационных технологий, а где она должна к ним примыкать. Так, внедрение средств защиты информации имеет смысл проводить вместе с созданием самой информационной системы. А что касается решений, связанных с мониторингом и реагированием, то, наверное, их следует выделить. И сейчас мы работаем над созданием государственного межведомственного оперативного штаба, с помощью которого будем выстраивать технологическое взаимодействие с регионами», — сообщает замминистра.
Органы власти работают не столько с ИТ-системами, сколько с людьми. Как цифра усугубляет страхи людей, например, о потере безопасности, а как помогает обрести чувство безопасности?
По словам заместителя председателя правительства Сахалинской области Вячеслава Аленькова, сейчас все управленческие решения в регионе принимаются на основе данных, повышается скорость и качество принятия решений, улучшается качество сервисов для жителей. «У нас активно развивается тема обратной связи и позволяет настраивать актуальные сервисы, необходимые жителям. Эти плюсы системы управления действительно накладывают определенные ограничения на вопросы информационной безопасности. Вызовов стало больше. Но мы двигаемся в сторону централизованного подхода к решению вопросов в области ИБ», — говорит он.
В Сахалинской области создано единое информационное пространство, в котором работают все органы исполнительной власти, муниципальные образования, имеется единая сеть передачи данных и хостинговая площадка, на которую переведены все сайты муниципальных образований и органов власти. «Мы используем защищенные облачные платформы, а наш региональный подвед имеет все необходимые лицензии регуляторов. Также мы сами организуем обучение специалистов по ИБ. Действительно, вопрос кадров очень актуален, и им надо заниматься системно», — комментирует зампред правительства региона. Большое внимание в области уделяется КИИ, так как Сахалин — единственный регион России, расположенный на островах. Правительство в сотрудничестве со специализированными компаниями-партнерами провели инвентаризацию всех информационных ресурсов и создали свою информационную систему, к которой подключены все ответственные в подведомственных учреждениях. «В ситуационном центре в режиме реального времени я получаю отчет об исполнении всех мероприятий по ИБ. Так же как и в других регионах, мы столкнулись со шквалом кибернападений. В феврале количество атак у нас увеличилось по сравнению с январем в полтора раза, в марте — в четыре раза, а в июле — в 20 раз. Справляться с ними позволяет системный подход и внедрение лучших практик, — добавляет Вячеслав Аленьков. — Поддержу Александра Шойтова: цифровая трансформация и информационная безопасность должны быть в пакете. Делаете новый сервис — в первую очередь обеспечьте его защиту!»
И снова о паролях
Можно выстроить самую дорогую систему информационной безопасности, но человек всегда остается слабым звеном. Александр Хинштейн считает, что в части утечек персональных данных нужно сделать исключение из постановления правительства, которое ввело мораторий на любые проверки, и изменить это для предприятий, аккредитованных при Минцифре. Потому что, к сожалению, аккредитация не означает, что компания реально защищает свои данные и данные клиентов. Зачастую подход к ИБ может быть формальным. Недавняя утечка 12 млн клиентов «Почты России» тому подтверждение. К этой ситуации привели слабые пароли администраторов подрядчика. «Мы можем тратить огромные средства на информационную безопасность, но в отсутствие неотвратимости наказания за утечки все это бессмысленно». Сегодня Госдума совместно с Минцифрой работает над поправками в законодательство, которые введут более серьезную ответственность за утечки персональных данных.
Виталий Лютиков подтверждает: несмотря на то что ФСТЭК еженедельно направляло рекомендации по смене и усложнению паролей привилегированных пользователей, практика показала, что эти мероприятия не реализованы. «Можно сколько угодно заниматься безопасностью, но если не решить элементарные вещи, то никакого смысла нет», — говорит он.
А по словам Александра Шойтова, недавно Минцифры инициировала изменения в законодательство, чтобы разрешить проверки операторов персональных данных. По его словам, вопрос паролей относится к киберкультуре. У Минцифры есть специальная программа «Кибергигиена», направленная на повышение киберграмотности как государственных служащих, так и обычных пользователей. Ее цель — привлечение внимания к вопросам кибербезопасности и формирование у граждан навыков безопасного поведения в Интернете.
***
В ходе дискуссии руководители регуляторов и органов власти обсудили условия выполнения 250-го Указа, ключевые компоненты ИТ/ИБ-образования, биометрическую идентификацию/аутентификацию граждан при оказании им различных услуг, проблемы межведомственного взаимодействия и многое другое. Несмотря на зачастую разные взгляды, все эксперты сходятся в одном: для обеспечения ИБ необходим системный подход, внимание к пользователям и персональная ответственность за управленческие решения.
Опубликовано 28.11.2022