«Регулирование ужасно отстаёт от требований дня». Надо смотреть на ИБ по-другому

«Регулирование ужасно отстаёт от требований дня». Надо смотреть на ИБ по-другому

Информационная безопасность, как и многие другие отрасли, сегодня находится в процессе трансформации.

На неё воздействуют несколько векторов:

• цифровизация, выставляющая новые требования не только к собственно защите, но и к эффективности, адаптивности, управляемости и прозрачности функций безопасности;
• обострение международной обстановки, выливающееся в антиглобализацию и приравнивание кибероружия к обычному оружию;
• отставание регулирования от реальных угроз ввиду инерционности законотворческой машины и несоответствия интернационального характера угроз национальным попыткам их нивелировать.

Взаимодействие этих трендов порождает порой противоречивые требования к системам безопасности. Так, национальные интересы требуют проверки систем защиты информации на предмет соответствия государственным требованиям, что, в свою очередь, требует фиксации кода приложения. При нынешней производительности сертификационных лабораторий сертификация может растянуться на год и больше, что означает, что функциональность сертифицированных систем отстаёт от функций несертифицированных решений более чем на год, то есть их использование уменьшает защищённость цифровых систем.

Отсюда же проистекает раздельное проектирование цифровых систем и средств их защиты – сначала проектируется и разрабатывается цифровой бизнес-процесс, и только потом вызывают безопасников исследовать его защищённость и защитить. Такой подход ведёт к проблемам на стыке ИТ и ИБ и вызывает негативный пользовательский опыт.

Примеров противоречивых требований ещё много, но их наличие объективно – бизнес стремится пользоваться открывающимися возможностями цифровизации, игнорируя риски, государство защищает свой суверенитет и права граждан, законы всегда отстают от технологического прогресса. Состояние ИБ в государстве динамично и зависит от того, какой тренд берёт верх. Поэтому, какой бы ни была государственная модель безопасности, она будет вынужденно меняться, подстраиваясь под быстроменяющийся ландшафт возможностей и угроз. Важно при этом поддерживать обратную связь и обеспечивать диалог экспертного сообщества, то есть практиков, ежедневно отражающих атаки, и чиновников, отвечающих за регулирование.

Бизнес, с одной стороны, умеет работать в любом ландшафте, если правила не меняются или меняются предсказуемо. С другой стороны, мы всегда видим, что можно улучшить. Что же?

- На наш взгляд, регулирование сегодня ужасно отстаёт от требований дня. Расследование киберпреступлений натыкается на то, что они не считаются «настоящими преступлениями», преступники скрываются от наказания, совершая преступления из других юрисдикций, вспомните хотя бы многократные «минирования» российских организаций.

- Сертификация в существующем виде также изжила себя и не отвечает требованиям времени, в котором изменения в информационные системы вносятся практически ежедневно. Не секрет, что это вынуждает компании иметь два разных ИБ-решения: одно для аттестации, другое – для работы с актуальными угрозами. Это приводит, с одной стороны, к профанации самой идеисертификации, с другой – к дополнительным расходам эксплуататоров информационных систем.

- Уже несовременно рассматривать ИБ как отдельную часть цифровой экономики (она даже выделена в отдельный раздел Национальной программы). На самом деле ИБ – это функция любого направления ЦЭ. Разве можно построить без ИБ такие направления, как государственное управление или информационную инфраструктуру, телемедицину или цифровые системы транспортной отрасли? Для бесшовного внедрения безопасности в цифру надо перестать рассматривать ИБ как отдельную индустрию с отдельными продуктами, надо смотреть на цифровые системы в целом и на ИБ как на их функцию, а не продукт.