Как нам реорганизовать ИБ. Отрасль нуждается в подходе «Направлять, не вмешиваясь»

BIS Journal №3(38)/2020

27 июля, 2020

Как нам реорганизовать ИБ. Отрасль нуждается в подходе «Направлять, не вмешиваясь»

СИСТЕМА УЮТНАЯ, НО РАБОТАЕТ ПЛОХО

К настоящему времени в России сложилась законодательно оформленная, нормативно обеспеченная, представленная системой подготовки кадров, печатными изданиями и рядом публичных мероприятий отрасль информационной безопасности.

Отрасль живёт своей жизнью, идут обсуждения наиболее важных вопросов, проходят вебинары, ведутся странички в соцсетях, работают целые блоги уважаемых экспертов, и многие высказывают мнение, что всё нормально, любое вмешательство в сложившуюся, как сейчас говорят, «экосистему» приведёт только к ухудшению ситуации.

Результаты, с одной стороны, вроде неплохие, а с другой – мы постоянно слышим и об утечках баз данных, и о компьютерных инцидентах, реализованных атаках, хищениях. Эксперты заявляют, что при целевой атаке даже низкого уровня сложности 93% систем будут взломаны в первые полчаса, а число похищенных записей персональных данных исчисляется миллионами. [1], [2]

Ещё раз скажу о сохранности баз данных. В 90-е годы я просто собирал на свалках дискеты с базами данных ведомств СССР. Они были никому не нужны. Сейчас вроде дела обстоят иначе, но с завидной регулярностью мы узнаём о появлении на рынке новых и актуальных баз данных совершенно различного назначения. Не боюсь повториться, но украдено почти всё, кто бы что ни говорил и как бы ни оправдывался.

Таким образом, напрашивается неутешительный вывод: система работает плохо. При этом регулярно на протяжении многих лет раздаются голоса о необходимости усиления управления ею, очевидно, с целью повышения эффективности работы.

Можно ли найти разумное объяснение, сформулировать причины недовольства и предложить хотя бы варианты решения?

Вопрос непростой и, похоже, системный.

 

С УЧЁТОМ ОСОБЕННОСТЕЙ

Хочу обратить внимание на то, что информационная безопасность (в смысле задачи обеспечения безопасности информационных систем и информационных ресурсов) наряду с информатизацией относится к категории обеспечивающих видов деятельности. В отличие от бизнес-направлений.

Работы по обеспечению информационной безопасности, как бы этого ни хотелось, не создают прибыль субъектам экономической деятельности, они только обеспечивают возможность её получения, снижая риски бизнеса, имиджевые издержки, финансовый ущерб, а также решают задачу защиты информации граждан и о гражданах, то есть защищают их права. В этом их цель. Поэтому, как ни крути, объективно выстраивается следующая иерархия видов интересующей нас деятельности: бизнес – информатизация – безопасность.

В этой иерархии и кроется много проблем ИБ, и, прежде всего, проблема недостаточной численности работников и формирования бюджета служб безопасности: из прибыли, по остаточному принципу, в размере от 5 до 20 % от расходов на информатизацию. А информатизация ох какая недешёвая, уступает только расходам на капстроительство, и, как известно, денег всегда не хватает.

Поэтому на финансирование деятельности в области ИБ, на её возможности и позиции существенным образом влияют обязательные требования, устанавливаемые регулятором, типа «должен быть МСЭ такого-то класса» или «по классификатору Вы относитесь к объектам КИИ». На это руководство субъектов защиты вынуждено реагировать, а требования выполнять.

С учётом таких особенностей и сложилась отрасль ИБ.

 

СЕКТОРЫ ОТРАСЛИ

Состав секторов отрасли весьма неоднороден. К ним относятся:

Государственные и отраслевые регуляторы (ФСТЭК, ФСБ, Минкомсвязь, Роскомнадзор, ЦБ РФ, а теперь и Сбербанк как центр компетенции проекта «Информационная безопасность» федеральной программы «Цифровая экономика», опосредованно Минэк и Минюст, существенно влияющие на содержание принимаемых НПА). Как раз почти «семь нянек».

В соответствии со ст.16 ч. 2  Федерального закона от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации" государственное регулирование отношений в сфере защиты информации осуществляется путём установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.

В соответствии с федеральным законодательством мы имеем семь субъектов госрегулирования (регуляторов), в соответствии с законом и в пределах своей компетенции устанавливающих требования по безопасности, и ответственность за нарушение Закона, которая в настоящее время зафиксирована в четырёх статьях КОАП РФ в части:

  • нарушения лицензионных требований или деятельности без лицензий;
  • использования несертифицированных систем защиты;
  • нарушения установленных требований по безопасности;
  • разглашения информации ограниченного доступа;
  • нарушения правил обработки и использования персональных данных.

В УК РФ есть ещё статья 274.1 «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации», однако она составлена таким образом, что фактически не несёт никакой угрозы владельцам объектов КИИ за невыполнение  требований ФЗ № 187-ФЗ и не оправдывает возлагавшихся на неё надежд в части принуждения владельцев систем к выполнению этого закона. 

Таким образом, в сложившейся на сегодня конструкции органы регулирования выстроены горизонтально, без вертикальной иерархии, что в принципе отвечает задачам регулирования, но не отвечает задачам управления.

Отмечу, что в финансовой сфере по факту возникает два регулятора, один из которых является регулятором отрасли, а второй - центром компетенции по информационной безопасности с определёнными финансовыми возможностями. При этом рамки проекта «Информационная безопасность» далеко не ограничены финансовой сферой, что создаёт, как сейчас говорят, «когнитивный диссонанс».

Службы информационной безопасности, так или иначе представленные в субъектах экономической деятельности и органах федерального, регионального и муниципального управления. В зависимости от размеров субъектов эти службы могут представлять собой либо нормативно и законодательно обеспеченные иерархически выстроенные структуры с собственными органами управления, либо просто обособленные подразделения. Некоторые обладают собственным бюджетом.

Вендоры.

Системные интеграторы (внедрение продуктов и услуг и построение систем информационной безопасности).

Консалтинговые структуры.

Аутсорсеры.

Аудиторы.

Учебные заведения.

Медиафирмы, работающие в области ИБ.

 

РЫНОК ПРОДУКТОВ И УСЛУГ

Службы информационной безопасности, вендоры, системные интеграторы и некоторые другие создают рынок продуктов и услуг информационной безопасности, ёмкость которого напрямую зависит от:

  • наличия механизмов принуждения к выполнению требований Закона и регуляторов, которых, как мы убедились, недостаточно, чтобы серьёзно влиять на ход работ по обеспечению информационной безопасности на местах;
  • потребностей и возможностей субъектов экономической деятельности в решении задач ИБ и их соответствия требованиям законодательства;
  • открывающихся новых направлений деятельности государства (цифровизация) и бизнеса (например, биометрическая идентификация);
  • поддержки государства.

Размер рынка по экспертным оценкам составил в 2019 году 67 млрд руб., из них 70% средств пришлись на поставки оборудования и ПО. Рынок явно небольшой, поэтому вендорам, за исключением единиц компаний, фактически заходящих на новые сегменты рынка, невыгодно заниматься новыми разработками. Они не окупаются, особенно разработка ПО, так как она стоит недорого, но при этом требует серьёзных финансовых вложений. Это не стимулирует. Исходя из складывающихся реалий, наиболее приближённые и раскрученные фирмы гоняются за крупными заказами, типа биометрической аутентификации в метро, разработки систем цифровых пропусков и т.д. Но это единичные, хотя и крупные заказы, они не развивают рынок, а скорее наоборот.

Анализ статистических отчётов Росстата показывает, что пик информатизации (финансирования работ) пришёлся на период 2000-2010 гг. Сейчас наступила стадия насыщения субъектов средствами информатизации и информационной безопасности. Фактически наблюдается только перманентная замена оборудования и ПО после истечения срока амортизации и реализация некоторых дополнительных новых сервисов. Больших проектов очень мало.

В результате рынок сжимается.

 

КАК УПРАВЛЯТЬ, НЕ ЗНАЯ ЧЕМ?

К большому сожалению, в связи со сложившейся практикой управления только через установление требований о защите информации и слабого принуждения к их выполнению статистический учёт рынка продуктов и услуг в области ИБ в стране вообще не ведётся; в мониторинг, проводимый Роскомстатом, экономические показатели рынка ИБ не включены; в официальной статистической информации, публикуемой этим уважаемым органом, упоминаний об отрасли ИБ нет.

Это означает, что государство, устами разных людей говорящее по всем медиаканалам о проблеме информационной безопасности, киберпреступности, хищениях с банковских карт, биометрической аутентификации, импортозамещении, цифровом концлагере и т. д. как официальное направление работ отрасль ИБ не видит, оставляя её в статусе некой инициативной деятельности.

Как же можно управлять, не зная чем? И как отзовутся управляющие действия на практике?

Может быть, поэтому, может быть, нет, но преференции и льготы для рынка продуктов и услуг информационной безопасности практически никогда государством не устанавливались.

В этих условиях рынок продолжает регулироваться соответствующим общим законодательством, изъяны которого видны уже невооружённым глазом, что снова наглядно показали события, связанные с преодолением последствий пандемии.

 

ПРО ЛИЦЕНЗИРОВАНИЕ

Есть ещё вопрос о механизме лицензирования деятельности в сфере защиты информации. Он задумывался как способ отсечения от этого вида деятельности недобросовестных субъектов. Насколько эффективно решена эта задача? На примере Минкомсвязи, в части лицензирования деятельности УЦ, видим, что не решена. На примере ФСТЭК и ФСБ видим, что лицензии получили все, кто хотел: и большие фирмы, и маленькие, и российские «дочки» мировых трансконтинентальных корпораций. Влияет ли этот механизм на качество работ, да ещё и при огромной текучке кадров, - похоже, что нет. Вопрос требует проработки, но простое решение в современном духе типа «Ужесточить требования!» может просто-напросто разрушить рынок.

Что же мы видим в результате?

Происходит заход на рынок поставок крупных непрофильных организаций, имеющих лицензии на осуществление деятельности в области защиты информации (например, предприятия гидроэнергетики). Конкурсы выигрываются легко, и средства с сегмента поставок, по некоторым оценкам до 70% от всего объёма, уходят к ним. Результат – схлопывание рынка для СИ.

 

ПРОБЛЕМЫ РЫНКА

Средства, которые вроде как выделяются государством, имеют своего адресного получателя – соответствующие центры компетенции с узким кругом фирм вокруг них. Это ведёт к монополизации и уничтожает конкуренцию.

Далее. Практически стало правилом, когда при заключении договоров исключается этап авансирования работ, а расчёт осуществляется по факту завершения работы. К чему это привело? У подрядчика, как правило, не хватает оборотных средств. Если сроки затягиваются, а это бывает часто, дефицит средств загоняет фирмы в очень сложное положение, возникают проблемы с кредиторами и налоговой.

Содержать дорогих квалифицированных специалистов сложно. Следствие - массовое сокращение и перетекание специалистов в благополучные фирмы, что просто убивает конкуренцию, создаёт монополизм и крайне негативно сказывается на качестве выполняемых работ и поддержке уже поставленных заказчику продуктов. Фирмы начинают «сжиматься», причём процесс этот носит массовый характер.

Добавим сюда и низкую ответственность заказчиков, так как в этой ситуации над ними «не каплет». Добавим массовое неисполнение планов финансирования, позднее заключение договоров. В результате рынок сжимается, особенно по результатам 2019 года, средства не попадают к СИ, это ещё больше ухудшает их положение. Возникают проблемы с налоговой инспекцией и кредитованием под уже ведущиеся работы.

Вообще, позволю себе высказать крамольную мысль. Регулирование такого маленького рынка рыночными механизмами неэффективно. Или: чем меньше рынок, тем более он нуждается в госрегулировании.

 

ПРО СРЕДСТВА ЗАЩИТЫ

Что касается средств защиты, то на рынке есть достаточное количество отечественных средств, хотя можно выделить две проблемы:

  • недостаточная производительность для обработки больших потоков данных;
  • запаздывание реализации новых функций, что отчасти связано с запаздыванием с включением соответствующих требований в нормативные документы регуляторов.

В результате отрасль не развивается, а наоборот, сжимается. Если мы этого хотим, то всё нормально. Но хотим мы ЭТОГО или всё-таки заинтересованы в развитии и движении вперёд? На этот вопрос нужно ясно ответить самим себе.

Что-то мне представляется, что десяток оставшихся крупных корпораций и фирм не решат задачу.

 

ПРО ПУБЛИЧНЫЕ ОПОРЫ

В отрасли практически свернулся механизм публичной опоры на общественников: заинтересованных экспертов и специалистов. Формальный процесс публикации проектов НПА на сайте разработчика или Минюста – плохой эрзац общественных слушаний или экспертных обсуждений. Популярные сейчас онлайн-конференции, проводимые фирмами, – это всё-таки в первую очередь реклама продуктов.

 

ПРО СЛУЖБЫ ИБ

Теперь о собственно службах (подразделениях) информационной безопасности.

Эта практически единственная структура, на которой лежит вся ответственность за обеспечение ИБ в организации, а опосредованно – и в стране в целом. Причём ответственность прямая, самая жёсткая, перед высшим руководством (собственником). По сравнению с этим все остальные меры ответственности вторичны.

В целом эти структуры достаточно автономны в своих действиях и нуждаются в основном в научно-технической и вендорской поддержке для того, чтобы не утратить достигнутый уровень безопасности и своевременно реагировать на новые вызовы. Их трудности: зарегулированность, большой объём задач и требований, наличие несвойственных задач, непростые внутренние взаимоотношения с другими подразделениями, недостаток новых, удобных с точки зрения использования в бизнес-проектах сертифицированных средств и решений по безопасности. Недостаточное финансирование, конечно.

Результатом деятельности службы ИБ является достижение и постоянное поддержание состояния защищённости контролируемого объекта и его информационной инфраструктуры. Состояние защищённости означает, что настройки оборудования и средств (систем) безопасности и регламенты деятельности персонала, а также клиентов выполнены в соответствии с эксплуатационной документацией, соответствующими регламентами и требованиями регуляторов и эффективно контролируются. Это также означает, что выполнение на объекте всех перечисленных требований, правил и регламентов позволяет считать объект защищённым, а уровень его информационной безопасности можно измерить и оценить. [3] Однако отмечу, что подавляющее число нашумевших случаев нарушений ИБ возникли не в результате воздействия новых, неизведанных  угроз, а в результате эксплуатации злоумышленником ошибок и слабостей, выявленных им либо в настройках средств защиты и вычислительного или телекоммуникационного оборудования, либо отсутствия регламентов деятельности персонала, либо грубых нарушений принципов безопасной эксплуатации систем, в первую очередь системными администраторами и разработчиками.

Отмечу также, что уровень информационной безопасности любого объекта можно измерить только косвенно, например, через оценку соответствия выполнения требований по безопасности. Подобный подход реализован на основании стандартов ISO Банком России в ГОСТ Р 57580.2 - 2018 «Методика оценки соответствия». 

 

ЛУЧШИЙ ПОКАЗАТЕЛЬ

Тем не менее лучший показатель работы службы ИБ – отсутствие нарушений и инцидентов, что позволяет в этом случае полностью использовать ИБ как фактор снижения рисков бизнеса.

Показателями качества работы в этом случае служат:

  1. высокий уровень доступности сервисов;
  2. результат оценки соответствия требованиям по информационной безопасности;
  3. отсутствие (наличие) инцидентов информационной безопасности в организации.

Собственно, этими самыми общими показателями можно измерять уровень ИБ в стране в целом. Предпосылки и опыт для создания нормальной и эффективной системы мониторинга уровня ИБ в стране есть. Так, ЦБ РФ к настоящему времени отладил и запустил достаточно эффективную систему сбора отчётности, пройдя этап роста в течение почти 10 лет. Запускается система сбора информации и реагирования по линии НЦКИ ФСБ. Но это пока, к сожалению, частные решения.  А чем мы пытаемся измерять уровень ИБ в стране? Средним временем простоя государственной информационной системы в результате компьютерной атаки, как это делается в упомянутом федеральном проекте?

 

ДЕСЯТЬ ПРОБЛЕМ ОТРАСЛИ

Вот в целом и обозначились проблемы отрасли. Это:

Отсутствие опережающих исследований, позволяющих определить и своевременно определить, сформулировать и откорректировать главные цели, задачи и приоритеты развития отрасли ИБ на отдалённую (3, 5, 10 лет) перспективу с учётом тенденций развития кибероружия, компьютерной преступности, развития нашего общества. Также необходимо определить приоритеты работы государственных регуляторов.

Отсутствие сформулированных на национальном уровне целей, задач и показателей их достижения в области информационной безопасности.

Отсутствие какой-либо статистической информации, позволяющей внятно описать состояние отрасли информационной безопасности и её сегментов.

Отсутствие налаженной системы сбора и достоверной публичной отчётности об уровне информационной безопасности и инцидентах в целом по стране, по основным отраслям экономической деятельности и субъектам Федерации.

Зарегулированность.

Отставание появления на рынке сертифицированных средств и систем защиты, удобных для встраивания в бизнес-процессы и приложения.

Отсутствие публичных механизмов взаимодействия сообщества безопасности и госрегуляторов. Неэффективность действующих механизмов.

Отсутствие регулирования определённых экономических функций:

  • Стимуляция экономического роста и развития отрасли путём целенаправленного воздействия на экономическую деятельность субъектов рынка через систему таких экономических регуляторов, как государственный бюджет, налоги, различные льготы при налогообложении доходов, кредиты, цены, заработная плата и т.д.;
  • Защита конкуренции и контроль соблюдения антимонопольного законодательства, обеспечение более благоприятных для бизнеса, особенно субъектов МСП, правил и условий конкурсных торгов.

Проблема импортозамещения.

Низкое качество подготовки кадров для отрасли.

Все перечисленные проблемы могут быть решены только централизованно, так как затрагивают всех без исключения субъектов отрасли. Очевидно также, что предусмотренные Законом методы управления в этом контексте являются недостаточными и реализованы быть не могут.

Кстати, ведущие экономисты и аналитики обращают внимание на тот факт, что рыночный механизм, в соответствии с которым были выстроены принципы управления экономикой (включая ИБ, в соответствии с ФЗ N149-ФЗ), самостоятельно уже не может противостоять таким негативным явлениям макроэкономического уровня, как затяжной спад производства, высокий уровень долгосрочной инфляции, поляризация населения и субъектов экономической деятельности по уровню доходов, монополизация, схлопывание рынка и др. Эти негативные явления могут быть компенсированы только через специальный государственный механизм.

Это в полной мере относится и к тематике информационной безопасности.

 

ЧТО ДЕЛАТЬ?

А теперь реалии.

Вопрос носит системный характер, поэтому простых и лёгких решений нет.

Вмешиваться в работу госрегуляторов и навешивать на них дополнительные несвойственные функции нецелесообразно, они выполняют свои задачи в рамках полномочий, установленных законом.

Ряд регуляторов входит в структуру правительства, ряд находится под управлением Президента РФ. Таким образом, вопрос создания Министерства (кибер)безопасности, по аналогии с США, отпадает, так как оно в наших условиях, находясь в составе Правительства, не сможет эффективно взаимодействовать с силовым блоком и ЦБ РФ. Да и набор задач не тянет на статус министерства. Речь должна идти скорее о централизованном управлении и координации деятельности уже имеющихся структур.

Совет безопасности РФ? Это сильный совещательный орган, а его аппарат выполняет большую, часто не наблюдаемую общественностью работу, но в основном он готовит решения Председателя (Президента РФ) по важнейшим вопросам безопасности Российской Федерации и плохо подходит для задачи управления разнородными субъектами отрасли ИБ.

Что остаётся? Федеральная программа? Уже есть, вместе с центром компетенции её дорабатывали без участия госрегуляторов, при очень низкой явке заинтересованных экспертов, кстати. Посмотрим, конечно, но есть опасения, что она не даст требуемых результатов. Но что положительного в этой программе, так это то, что она обеспечена финансированием.

Идея хорошая, однако представляется, что центр компетенции при Президенте РФ, располагающий финансовыми (достаточно небольшими) и внятными административными ресурсами в виде компактного агентства, бюро или комитета с привлечением известных на рынке опытных специалистов не только в области ИБ, но и экономики и права, был бы хорошим решением, способным сформулировать стратегические цели, провести необходимые исследования и поисковые работы, поставить задачи многим ведомствам, включая Минэк, и добиться результата, которого мы хотим, не вмешиваясь непосредственно в оперативную деятельность субъектов отрасли.

Были в истории нашего народа прецеденты?

Конечно. Вспомним:

  • Специальный комитет при СМ СССР (атомный проект);
  • Совет по радиолокации при ГКО;
  • Научный совет по комплексной проблеме «Кибернетика» при президиуме АН СССР;
  • Государственный комитет по вычислительной технике и информатике;
  • Государственная техническая комиссия СССР, наконец. И многое другое.

Было нужно – делали. Надеюсь, и сейчас сделаем, если действительно нужно.

 

[1] https://www.securitylab.ru/news/508630.php «Всего полчаса понадобится хакеру для проникновения в локальную сеть компании»

[2] Аналитический отчёт Infowatch «Исследование структуры утечек персональных данных: мир и Россия, 2019 год», 28 мая 2020 года.

[3] Следует оговориться, что защита будет обеспечена только от тех атак и угроз, которые были учтены политикой безопасности при проектировании системы защиты. Перед новыми угрозами объект, как правило, беззащитен.

 

BIS-комментарий к статье от Александра Баранова.

Смотрите также