На 9 июля анонсировано проведение онлайн-тренинга по кибербезопасности Cyber Polygon 2021. Наряду с учениями на киберполигоне Сбера в этот день пройдёт и дискуссия по безопасности supply chains (цепочки поставок) в современном мире.
В официальных документах интерес к заявленной теме объясняется организаторами мероприятия тем, что в последнее время растёт количество атак на этот элемент экономики. В торговле количество подобных атак только в четвёртом квартале 2020 года выросло на 56%. А нарушения в цепочках поставок товаров может привести к дефициту и неконтролируемому росту цен, к репутационным и финансовым потерям для компаний.
Однако и сам термин supply chains описывает сегодня нечто большее, чем логистику товаров.
Ева Чен, генеральный директор Trend Micro, в своём комментарии к предстоящему мероприятию указывает, что сегодня, когда компании связаны друг с другом цифровыми связями, комплексная защита от кибербезопасности крупных предприятий не даёт гарантий безопасности. Ведь их партнёры могут не придерживаться столь же высоких стандартов ИБ.
Это замечание указывает на необходимость шагов в сторону унификации стандартов информационной и кибербезопасности (ИБ & КБ) на основе лучших практик, а также шагов к принятию обоснованных и взаимоприемлемых стандартов и рекомендаций в сфере оценок состояния ИБ & КБ.
О том, что привнесёт в эту сферу Cyber Polygon 2021, нам только предстоит узнать.
А пока уместно вспомнить о том, что происходило год назад на этой же площадке и вокруг упомянутых тем.
Годом ранее
Проведённый летом 2020 года CyberPoligon Сбера собрал в своей информационно-аналитической программе состав скорее не международный, а иностранный. И масштаба не национального, а скорее глобального и трансграничного. Начиная от представителей Всемирного экономического форума и кончая Интерполом, выступления которых перемежались комментариями и интервью представителей международных компаний и институциональных международных структур из сферы «кибер».
Приятно «удивительным» оказалось то, что выступавшие искали пути решения проблем, киберИБпандемии и пандемии угроз непрерывности бизнеса, В ПЕРВУЮ ОЧЕРЕДЬ НА ПУТИ СОВЕРШЕНСТВОВАНИЯ ТЕХНОЛОГИЙ ЦИФРОВИЗАЦИИ И НА ПУТИ ОБМЕНА ОПЫТОМ В ЭТОЙ СФЕРЕ.
Уже в первом «проблемном» выступлении Джереми Юргенс, Chief Business Officer, член правления Всемирного экономического форума упомянул необходимость новых ИТ-архитектур в качестве основы будущей безопасной цифровой экономики.
И это отнюдь не сиюминутное пандемийное прозрение. Годом ранее тот же Джереми Юргенс также отдавал приоритет технологиям. Вот прямая цитата: «от неравенства доходов до изменения климата – технологии будут играть ключевую роль в поиске решения всех проблем, с которыми сегодня сталкивается наш мир».
От киберполигона Сбера к дискуссии «Смена парадигмы ИБ»
Обратить внимание на «технологический» уклон в позиции Джереми Юргенса и ряда других выступавших на киберполигоне Сбера заставила дискуссия «Смена парадигмы ИБ», развернувшаяся в 3-м номере BIS Journal за 2020 год, и, в частности, статья «Нельзя пугать, не требуя», которая генетически связана с «закладным» материалом дискуссии «Как нам реорганизовать ИБ».
Сразу оговоримся, что в отличие от выступлений на киберполигоне Сбера, полемика в BIS Journal не претендовала на всемирный охват, а прямым текстом говорила о «внутриРоссийских» источниках обсуждаемых проблем и о «внутриРоссийской» же направленности своих предложений.
И в отличие от спикеров киберполигона Сбера, участники дискуссии «Смена парадигмы ИБ» в значительной степени были озабочены не состоянием ИБ как таковой, а благополучием российских игроков т.н. «отрасли ИБ».
На страницах BIS Journal лишь Владимир Иванов сразу же начал своё заочное выступление с упоминания о застое на уровне идей, как основной причины того, что ИБ чаще, чем следовало бы, пасует перед угрозами цифровой трансформации.
Чем фактически солидаризовался с уже упомянутым выступлением Джереми Юргенса на киберполигоне Сбера.
Кстати, представитель компании «Актив» сразу же упомянул о том, что высказанные им соображения касаются не только России.
Если же вернуться к статье «Нельзя пугать, не требуя», то вот несколько цитат:
«В новой «Доктрине [информационной безопасности]», принятой в 2016 году, сделан серьёзный шаг по трансформации ИБ из сферы деятельности в индустрию информационной безопасности (производство, сбыт товаров и услуг, потребительская аудитория, экономика)» (BIS Journal, 2020, №3, с. 22).
«…следует принимать во внимание необходимость гибких комплексно увязанных решений во всех сферах, влияющих на отечественный рынок. И прежде всего в экономической» (BIS Journal, 2020, №3, с. 23).
«За последнее десятилетие существенно выросла доля закупаемых отечественных средств защиты и покрывающих большую часть требований регуляторов, хотя продолжает сохраняться зависимость от импортных: аппаратной базы с высокой производительностью и программных средств, реализующих перспективный функционал.» (BIS Journal, 2020, №3, с. 23).
Нам есть чем гордиться?
К сожалению, в нынешнем мире слишком часто, когда нечто «трансформируется из сферы деятельности в индустрию», возникающую ситуацию можно проиллюстрировать стоп-кадром из американского мультфильма, на котором глаза утки-бизнесмена начинают выглядеть как долларовые монеты.
Тем более, что толку для ИБ в том, что «существенно выросла доля закупаемых отечественных средств защиты», если «продолжает сохраняться зависимость от импортных: аппаратной базы с высокой производительностью и программных средств»?
А что отечественного остаётся в этой доле? Ежемесячные, а то и еженедельные релизы ПО? Сочетается ли это с принципами надёжности и безопасности, принятыми в промышленной сфере? И оценивать это обстоятельство имеет смысл вкупе с недавней новостью о том, что зарубежные поставщики комплектующих для авионики анонсировали полное прекращение своего сотрудничества с российскими авиаконструкторами и авиапроизводителями. А кто следующий? Производители оборудования для защиты КИИ от киберугроз? Ведь российские представительства иностранных вендоров «аппаратной базы с высокой производительностью и программных средств» скрупулёзно отслеживают тематику проектов, под которые у них испрашивают квоты на поставки.
Конечно, «по одёжке протягивают ножки», и поскольку микроэлектронная, электронная и радиоэлектронная промышленность страны в новой России пошла под нож первой, упрёки отечественным разработчикам в зависимости от зарубежной элементной базы неуместны.
Но вот уместно ли при ранжировании проблем ИБ располагать их «аспекты» в предложенной автором последовательности «объективная оценка экономических, технологических и организационных аспектов»?
Очевидно, что необходимость решения проблем кибербезопасности для КИИ сегодня становится безусловной.
Экономика или технологии?
Поэтому начинать следует с оценки технологических аспектов возможностей обеспечения кибербезопасности в реальных условиях пробуксовывания т.н. «импортозамещения», и уже исходя из этой оценки, планировать меры организационные, и под всё это (уж коли обоснованно запланировано) выделить необходимые ресурсы (пресловутые «экономические аспекты»)?
И при этом не слишком уповать на то, что «Включение в общероссийские классификаторы видов экономической деятельности и продукции по видам экономической деятельности кодов, имеющих прямое отношение к информационной безопасности, расширяет возможности экономической оценки рынка информационной безопасности, оценки экономических последствий регулирующих воздействий, касающихся ИБ».
Ведь отечественный бизнес обладает необычайной гибкостью мимикрирования ещё с 90-х, когда «нарезаемые» из отраслевых НИИ частные СМБ-компании записывали в виды своей деятельности широкий спектр работ от торговли морепродуктами до запуска космических аппаратов с морских платформ. И при этом чаще торговали морепродуктами и коврами.
В сфере ИБ эта ситуация описывается признаниями участников дискуссии «Смена парадигмы ИБ» в том, что «в числе основных инструментов регулирования деятельности субъектов сферы информационной безопасности используется лицензирование», а «лицензии получают все, кто хочет».
Делать, что должно
Почти подобную ситуацию наша страна проходила в начале тридцатых, когда, например, в авиации (столь же «хайповая» область в те времена, как «цифровая экономика» сегодня) лишь ленивый не получал государственное финансирование на свой аэроплан. Закончилось всё это мобилизационным подходом к разработкам по значительно сокращённому набору изделий, признанных важными для обороноспособности страны.
Сегодня вновь стоит та же задача
При этом формирование заказа должно проходить не так, как это было сделано при «закладке» программы «Цифровая экономика России».
«Цифровая экономика России» фактически делает упор на появление лишь фрагментированного набора заделов в т.н. «прорывных» ИТ, испещрённых к тому же , подобно дорогим сортам сыра, «дырами» для старых и новых угроз ИБ. Эта навозная куча инновационных разработок может стать хорошей площадкой для поиска жемчужин в стиле соросовских инициатив в России 90-х, но не станет основой индустриальной «цифровой экономики».
Тогда как трудно не согласиться с тезисом о том, что «подавляющее число нашумевших случаев нарушений ИБ возникли не в результате воздействия новых, неизведанных угроз, а в результате эксплуатации злоумышленником ошибок и слабостей, … либо в настройках средств защиты и … оборудования, либо отсутствия регламентов деятельности персонала, либо грубых нарушений принципов безопасной эксплуатации систем, в первую очередь системными администраторами и разработчиками».
И в связи с этим возникает вопрос о том, не следует ли для начала ВКЛЮЧИТЬ в число перспективных прорывных технологий лишь РАБОТЫ ПО РЕНОВАЦИЯМ БАЗОВЫХ КОМПЬЮТЕРНЫХ ТЕХНОЛОГИЙ, АППАРАТНЫХ И ПРОГРАММНЫХ.
Реновациям, исправляющим уже выявленные «детские ИБ-болезни» техники, исправить которые не даёт рыночная гонка (примеры, лежащие на поверхности – х86 архитектура, Microsoft Windows/Office), реновациями, минимизирующим или исключающим грубые нарушения принципов безопасной эксплуатации ИКТ-систем.
При этом реновации должны быть подвергнуты и такие сквозные технологии ИКТ, как открытые стандарты и Open Source.
Сегодня т.н. открытые стандарты включают допущение множества функциональных возможностей техники и технологий на основе этих стандартов. При этом разрешена практическая реализация конкретного набора этих возможностей на своё усмотрение вендоров без достаточного отражения ограничений в поставляемой пользователям технической документации.
Открытые стандарты и Open Source должны оставаться и развиваться в обойме инструментария ИКТ для НИОКР и учебного процесса в соответствующих ВУЗах.
Но при разработке «боевых» систем должны использоваться только те элементы этих технологий, которые прошли всестороннюю верификацию и валидацию не только рабочего функционала, но и «кибериммунитета». И оформляться эти элементы должны в виде обязательных ГОСТ Р.
Реновации базовых компьютерных технологий должны стать тем госзаказом, обеспеченным финансированием, к которому будут допущены лицензированные ИТ- & ИБ-компании, которые «смогут выполнить работы на высоком профессиональном уровне и с необходимым уровнем качества».
И будь, что будет
И уже на основе этих реноваций запускать то, что в программе «Цифровая экономика…» перечисляется под зонтичным «брендом» «прорывные технологии». К этим работам следует допускать лицензированные ИТ&ИБ-компании, которые будут искать венчурное финансирование.
Осталось понять, а как же перейти от лицензий, которые «получают все, кто хочет» к объективному лицензированию.
Упомянутая в статье «Про опыт регулирования «снизу»» (BIS Journal, 2020, №3, с. 21) идея регулирования рынка на низшем уровне с помощью СРО не только простая, но и несколько наивная. Наивная в условиях, когда отечественные ИТ&ИБ компании одним миром мазаны и успешно впитали не только идеологию «do it faster», но и принцип «who lives in glass houses should not through stones».
Необходимо совмещение нескольких подходов.
Во-первых, если в стране и есть какие-то положительные подвижки в сфере ИБ, то это благодаря тому, что не удалось развалить ведомства, которые слышали о защите информации не по медиаканалам (ФСБ, ФСТЭК, Армия).
Помимо этих регуляторов, Центробанк, подведомственный которому финансовый сектор тесно интегрирован в международные структуры, играя де-юре в «русскую рулетку» риск-менеджмента, тем не менее научился контролировать этот подход де-факто на основе знаний инженерного уровня и тех требований того же уровня.
Дополнив усилия упомянутых регуляторов оживлением сотрудничества в рамках Союзного государства, можно повысить объективность лицензирования.
А в помощь международному союзному экспертному сообществу привлечь то, что сегодня скрывается под «брендами» Data Science, UEBA и Artificial Intelligence. Эти технологии кое-где кое-кто пытается применить к созданию психологического и морально-этического портрета личности. Возможно, прежде чем экспериментировать на людях, стоить применить Data Science, UEBA и Artificial Intelligence к построению объективного экономического профиля компаний, претендующих на получение лицензий для работы в сфере ИКТ. В противовес заявительному лицензированию и кодам общероссийских классификаторов видов экономической деятельности и продукции.
- Стоимость медиауслуг (открыть PDF) -
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
.png)