24 сентября 2021 в Москве состоялся BIS Summit 2021, который в четырнадцатый раз собрал представителей ИБ-сообщества. Организатором Форума уже много лет является некоммерческая ассоциация профессионалов в области информационной безопасности BISA (Business Information Security Association).
Если первая часть пленарной дискуссии «Киберустойчивость цифрового мира», описание которой было в одном из предыдущих постов, была посвящена выступлениям спикеров, то вторая её часть оказалась наполненной дискуссиями.
Заместитель министра цифрового развития, связи и массовых коммуникаций РФ Александр Шойтов, заместитель директора ФСТЭК Виталий Лютиков, а также Виктор Минин, председатель правления АРСИБ, согласились ответить на некоторые вопросы модератора — Натальи Касперской, президента ГК InfoWatch, председателя правления АРПП «Отечественный софт».
Поступательные шаги ФСТЭК
Первый вопрос касался того, чего ждать участникам рынка от ФСТЭК? Многие в зале предполагали услышать что-то об «ужесточении» и т.д. Но у Виталия Лютикова была другая позиция: «Говорить нужно ни в коем случае не об ужесточении требований регулятора, а о продолжении поступательных шагов со стороны ФСТЭК России по упорядочению процесса безопасной разработки ПО и по развитию потенциала кадров с точки зрения безопасности».
Далее микрофон перешел к Александру Шойтову с предложением модератора описать позицию Минцифры по превентивному внедрению элементов безопасности во все элементы Национальной программы развития цифровой экономики.
Александр Шойтов заметил: «К этому, безусловно, надо стремиться! Это первое. Что касается отставания средств ИБ от IT, здесь есть объективные обстоятельства. Многие информационные технологии мы берем за рубежом. В чём-то из заимствованного мы уже глубоко разобрались, а в чём-то нет. И, наверное, в какой-то степени, это допустимо. А вот применительно к ИБ мы этого делать не можем».
«А что можно сделать?», — последовал вопрос модератора.
По словам Александра Шойтова, формально сейчас всё есть! В рамках традиционного подхода, кода технология постепенно созревает и начинает находить свое применение, появляются некоторые заключения для её безопасного использования в определенных сферах применения. Тогда эта технология и начинает регулироваться.
«Когда я говорил о национально-технологической составляющей стратегии национального развития, то именно так в целом и происходит. Например, сейчас проходят дебаты о путях внедрения системы сотовой связи 5G. В дискуссиях ищутся решения по ИБ: импортозамешение оборудования на вышках, отечественная криптография и т.д. И если всё это есть, то оно внедряется.
А вот с искусственным интеллектом ситуация несколько иная. Есть ли здесь решения с точки зрения ИБ? Сейчас вокруг этой проблематики начинается некоторое движение. Решения начинают либо искаться, либо разрабатываться. Вопрос: “Успеют ли они по этому направлению к 2024 году?”, — добавил заместитель министра.
Но это с формальной точки зрения. А вот другая точка зрения заключается в том, что национально-технологическое развитие должно по всем своим направлениям проводиться сразу с учетом требований ИБ.
Александр Шойтов в этой связи отметил: «ИБ зачастую воспринимается, как тормоз технического прогресса. Поэтому здесь необходимо кроме принятия нормативных актов, самим разработчикам средств ИБ совместно с разработчиками IT-технологий находить более плотный деловой контакт — объяснять друг другу, встраиваться, доказывать заказчикам, что все, включая регуляторов, готовы работать вместе. Выходом может стать создание технологических консорциумов, которые могли бы всё это интегрировать в себе. В перспективе, с приближением к целям цифровой экономики, возможно создание прямо под нужды ИБ неких технологических структур, сопровождающееся развитием нормативного регулирования».
Похоже, эти предложения нашли поддержу Натальи Касперской: «Согласна! Нужно совместно прорабатывать пути решения проблемы. Да, возможно, нас безопасников, воспринимают порой как неких ретроградов. А потом, когда случается инцидент, строго спрашивают: “А где же вы были? Как же вы это допустили? “. У нас, к сожалению, часто бывает так, что сначала начинают внедрять IT-систему, а потом думают о том, что было бы неплохо ее защитить. А надо — наоборот».
КИИ: назад в 80-е?
Виктор Минин, коснулся темы ИБ в КИИ и поделился опытом: «Как сейчас становится понятно, объяснения некоторым чиновникам сначала на языке ИТ, потом на языке ИБ, не работают. Более всего им непонятно, почему представители ИБ требуют допущения информационных технологий в КИИ только при условии соблюдения всеми процедур комплаенса, представляющих собой соответствие каким-либо внутренним или внешним требованиям или нормам».
Далее на языке инфографики спикер привел пример того, как можно доходчиво объяснить смысл ФЗ-№187, и причем здесь комплаенс. Необходимо рассмотреть три периода из истории.
· Во-первых, в советские времена существовал периметр физической безопасности вокруг некоторых закрытых от посещения иностранцами территорий и тем более, закрытых объектов.
· Во-вторых, в период перестройки и времена всё большей открытости злоумышленники получили возможность приближаться непосредственно к режимным объектам для сканирования и дистанционного съема чувствительной информации.
· И, наконец, нынешний, третий этап отличается автоматизацией буквально всех как бизнес-, так и технологических процессов. Благодаря уязвимостям в IT-технологиях и доступности инфраструктуры из сети Интернет злоумышленники проникли внутрь предприятий и получили возможность делать там, что им нужно, воздействуя на бизнес-процессы.
Так почему безопасники говорят о комплаейнсе? Потому что параллельно существуют три основные проблемы в области ИБ промышленных предприятий: технологические, продуктовые и временные, которые наши «западные партнеры» в рамках своих IT-решений решают исключительно комплексно, т.е. в рамках процедур комплаенса. У нас эти лучшие практики пока применяются не везде. В итоге — проблемы с безопасностью.
