Информационная безопасность – важный элемент бизнеса

- Александр Павлович, сотрудникам ИБ часто приходится сталкиваться с трудностью доказать бизнесу необходимость ИБ-подразделения и выделения на него средств. Они часто слышат в свой адрес: "На нас никто не нападает, не нагоняйте страх". Как можно решить эту дилемму?
- Сказать, что никто не нападает и никто не несет убытки, - не совсем верно. Все серьезные бизнесмены прекрасно понимают опасность угроз, утечек, блокирования и уничтожения информации. Но если владелец бизнеса считает защиту нецелесообразной, то, как правило, такие люди учатся на собственных ошибках. В бизнесе нельзя заставить что-либо делать против воли, кроме соблюдения закона. Вот для госструктур, например, есть соответствующие требования - обязательные требования применения средств защиты для хранения ПДн. Они распространяются не только на государственные организации, но и на все виды бизнеса, поскольку являются законодательной нормой. Кроме того, существуют требования по применению электронной подписи, криптографии, средств шифрования. Два последних требования, если можно так выразиться, более мягкие - бизнесу в ряде случаев не обязательно их применять.

Но здесь возникает еще и такой вопрос: куда бизнес собирается потом со своей информацией обращаться? Из опыта налоговой службы могу сказать, что владелец бизнеса может не защищать свою электронную подпись, но при этом он рискует, что вместо него кто-то может сдать неправильную налоговую отчетность, а на него начислят огромные штрафные платежи, которые снимут в безакцептном порядке. Конечно, можно потом доказать, что это не его вина, но, согласитесь, это очень рисковая ситуация, поскольку значительные средства при этом выводятся из оборота компании на существенное время. Примеры именно таких неприятных случаев должны приводить компании, занимающиеся обеспечением ИБ, своим клиентам.

Вот мы все говорим о бизнесе, но защита информации сейчас стала актуальна не только для этой сферы, но и для тех, кто работает с населением, продвигая портал госуслуг и московского правительства. Ведь обычным людям (которых десятки миллионов!) нужно объяснять, как правильно обращаться со своим паролем и электронной подписью. В развитых капиталистических странах просвещению людей в этой области посвящается много времени, сил и денег, а у нас, к сожалению, либо на этом экономят, либо не видят этой проблемы. И это в корне неверно. Десятки миллионов людей в нашей стране являются пользователями Интернета, Skype, не задумываясь применяют SSL и штатную электронную почту от Microsoft, а как всем этим правильно пользоваться и какие могут возникнуть угрозы, почти никто из обычных граждан не знает. Поэтому, может, нужно начинать не с просвещения бизнеса, а с просвещения обыкновенного пользователя Интернета, начиная со школьной скамьи и далее работая со взрослыми людьми, все более регулярно применяющими для своих насущных нужд электронный документооборот.

Можно сказать, что возникла необходимость реализации направления своеобразной информационной гражданской обороны, включающей в себя не только теорию, но практические занятия и применение рекомендованных практик в повседневной деятельности.

Учитывая создавшее положение, мы сформировали в ВШЭ магистерскую программу "Управление информационной безопасностью". Целью этой программы является подготовка специалистов на стыке нескольких областей: технологии защиты информации; управление компьютерными и общественными системами; законодательные (юридические) аспекты ИБ. Наряду с существенной технической программой мы предлагаем для изучения и несколько курсов гуманитарного плана, опираясь на преподавателей, имеющих большой опыт практической деятельности в перечисленных областях. Для этой программы нам, в рамках магистратуры ВШЭ, выделяется до 25 мест с государственным финансированием обучения, т.е. для студентов бесплатно и занятия проводятся в рабочие дни после 18 часов (без отрыва от производства).

– Александр Павлович, на ваш взгляд, кто и как должен отвечать за кибербезопасность предприятия?
– В большой компании должна быть своя служба, для маленького предприятия самый простой вариант – отдать ИБ на аутсорсинг. Конечно, здесь есть свои нюансы, так как аутсорсинговой компании придется доверить информацию о работе предприятия, однако что мешает ей передать уже зашифрованные файлы и заключить соглашение о нераспространении оперативной, текущей информации.

В малых предприятиях, например в тех же аптеках, которые вынуждены хранить персональные данные своих клиентов, держать специалиста по ИБ абсолютно нерентабельно, накладно и нецелесообразно. Но в то же время защищать подобную информацию все равно надо. Конечно, есть вероятность, что аутсорсинговая компания будет навязывать некоторые необязательные услуги, тогда можно обратиться за консультацией в одну из общественных организаций в области ИБ, например в АЗИ (Ассоциация защиты информации) или к альтернативной компании. В результате определенной политики госрегуляторов обеспечение ИБ превратилось в весьма развитый бизнес, а услуги в этой области приобрели рыночный характер.

Если раньше услуги представляли собой установку устройства, то сейчас, кроме установки, включают еще и организацию правильной эксплуатации и корректировки как самого устройства, так и бизнес-процесса и мн.др.

– Можно ли назвать компании, занимающиеся ИБ, "продавцами страха"?
– Вечное противостояние между информационщиками и защитниками. Приведу в пример две крайности, ярко демонстрирующие соотношение между функционалом и информационной безопасностью. Первая крайность – это когда самой защищенной системой является та, которая не работает, то есть не имеет функционального смысла. А вторая крайность – это когда можно реализовывать любой функционал, тогда это самая незащищенная система, поскольку в ней можно делать все, что угодно, в том числе и уничтожить саму систему.

Идеальная ситуация – когда удается найти оптимальное соотношение между первой и второй крайностями, однако это не всегда возможно. Например, в военной отрасли функционал в системах сильно ограничен из-за жестких требований к ИБ, поэтому возникают проблемы применения иностранного несертифицированного ПО для систем по защите государственной тайны. А в домашних системах, где не требуется защищать никакую гостайну, функционал широкий и удобный, но защита минимальная.

А насчет "продавцов страха" существует много мифов. Один из них состоит в том, что якобы вирусы пишут антивирусные компании. Но это не более чем шутка, так как такая деятельность уголовно наказуема. Вирусов сейчас расплодилось много из-за того, что программы плохо написаны, а в операционных системах много дыр.

Кроме того, продавцам ИБ-решений не верят еще и потому, что у нас в России нет объективного центра тестирования, поэтому всю информацию о продукции в сфере защиты информации мы получаем со слов компаний, работающих в этой отрасли. Соответственно, создание такого центра – это общенациональная задача. Но пока, к сожалению, ни Минкомсвязь, ни другие регуляторы не готовы сделать такой шаг. А ведь такой центр мог бы тестировать и апробировать технические новшества, которые, как правило, сопровождают новые законодательные решения, так как любое законодательное решение ведет к изменению информационных технологий. На примере налоговой службы это ярко прослеживается. Из-за частых изменений в налоговом законодательстве приходится постоянно модернизировать компьютерные системы налоговой службы, а это очень тяжелый процесс. Однако налоговая служба – это, скажем так, компактная организация. А что уж говорить про распределенные облачные системы, где участниками являются миллионы граждан!

Если посмотреть на историю российского законодательства по ИБ, то можно заметить, что ни один закон не принимался и не внедрялся сразу – сначала вводился, затем принимались сроки, потом откладывали (например, как ПДн – на три года). А все потому, что не проводилось предварительного технического тестирования возможности реализации законодательной инициативы. Вот и буквально сейчас внесены в Государственную Думу проекты поправок Закона об электронной подписи, которые компьютерщики не обсуждали, а вносят их юристы. Это происходит, на мой взгляд, от отсутствия консолидированного органа в области гражданской ИБ, а отдельные организации (например, АЗИ), к сожалению, решить эту проблему не могут.

Для анализа предложений и работы с массовым пользователем и следует привлечь высокоавторитетных специалистов из различных структур. Поэтому необходима поддержка государства, как в области просвещения, так и в сфере массовой ИБ. Работа с населением, бизнесом и средствами ИБ должна в значительной степени регулироваться государством. Но кто должен это делать – сказать трудно. Различных ведомств, регулирующих ИБ, много (если посчитать, то их получается штук сорок), а координации никакой нет. Так, например, ФСБ в большей степени ориентирована на защиту гостайны, ФСТЭК – корпоративной и государственной тайны, а защита личной или коммерческой тайны – для них задачи второстепенные. Даже банки не заботятся о сохранении секретов своих клиентов на домашних компьютерах.

– Требования регуляторов – необходимость или ярмо для бизнеса?
– Работа регуляторов сейчас состоит в формулировании реализуемых требований, которые должны выполнять лицензиаты. Представляющие собой концентрированный опыт экспертов и специалистов высочайшего класса, эти требования формулируются в весьма сжатом виде и делятся на два типа – закрытые и открытые. Я буду говорить об открытых требованиях, то есть о тех требованиях, которые изложены и опубликованы в открытом виде (например, требования по защите ПДн). Они очень здорово продвинули производителей в понимании того, как нужно объяснять бизнесу их содержание. Но вы спросили, являются ли требования регуляторов ярмом? С одной стороны, эти требования – необходимость для бизнеса. С другой – это, конечно, ограничения. Но! Приведем такой пример: ЦБ РФ в своей лицензионной деятельности не требует обязательного применения сертифицированных средств криптозащиты. Это означает, что банки могут применять несертифицированные средства криптозащиты иностранного, в частности, производства, для организации собственного бизнес-процесса. Эта же возможность имеется и в области регулирования ИБ в компетенции ФСТЭК. Скажите, а объясняют ли клиенту банка, на чем построена в электронной системе банка защита информации от уничтожения или от искажения, когда у клиента даже сберкнижки нет?

Так что, на мой взгляд, требования регуляторов – это хорошее подспорье бизнесу в том виде, в котором они есть сейчас.