29 июня, 2021

Как управлять, не зная как? Экономика или технологии?

На 9 июля анонсировано проведение онлайн-тренинга по кибербезопасности Cyber Polygon 2021. Наряду с учениями на киберполигоне Сбера в этот день пройдёт и дискуссия по безопасности supply chains (цепочки поставок) в современном мире.

В официальных документах интерес к заявленной теме объясняется организаторами мероприятия тем, что в последнее время растёт количество атак на этот элемент экономики. В торговле количество подобных атак только в четвёртом квартале 2020 года выросло на 56%. А нарушения в цепочках поставок товаров может привести к дефициту и неконтролируемому росту цен, к репутационным и финансовым потерям для компаний.

Однако и сам термин supply chains описывает сегодня нечто большее, чем логистику товаров.

Ева Чен, генеральный директор Trend Micro, в своём комментарии к предстоящему мероприятию указывает, что сегодня, когда компании связаны друг с другом цифровыми связями, комплексная защита от кибербезопасности крупных предприятий не даёт гарантий безопасности. Ведь их партнёры могут не придерживаться столь же высоких стандартов ИБ.

Это замечание указывает на необходимость шагов в сторону унификации стандартов информационной и кибербезопасности (ИБ & КБ) на основе лучших практик, а также шагов к принятию обоснованных и взаимоприемлемых стандартов и рекомендаций в сфере оценок состояния ИБ & КБ.

О том, что привнесёт в эту сферу Cyber Polygon 2021, нам только предстоит узнать.

А пока уместно вспомнить о том, что происходило год назад на этой же площадке и вокруг упомянутых тем.

 

Годом ранее

Проведённый летом 2020 года CyberPoligon Сбера собрал в своей информационно-аналитической программе состав скорее не международный, а иностранный. И масштаба не национального, а скорее глобального и трансграничного. Начиная от представителей Всемирного экономического форума и кончая Интерполом, выступления которых перемежались комментариями и интервью представителей международных компаний и институциональных международных структур из сферы «кибер».

Приятно «удивительным» оказалось то, что выступавшие искали пути решения проблем, киберИБпандемии и пандемии угроз непрерывности бизнеса, В ПЕРВУЮ ОЧЕРЕДЬ НА ПУТИ СОВЕРШЕНСТВОВАНИЯ ТЕХНОЛОГИЙ ЦИФРОВИЗАЦИИ И НА ПУТИ ОБМЕНА ОПЫТОМ В ЭТОЙ СФЕРЕ.

Уже в первом «проблемном» выступлении Джереми Юргенс, Chief Business Officer, член правления Всемирного экономического форума упомянул необходимость новых ИТ-архитектур в качестве основы будущей безопасной цифровой экономики.

И это отнюдь не сиюминутное пандемийное прозрение. Годом ранее тот же Джереми Юргенс также отдавал приоритет технологиям. Вот прямая цитата: «от неравенства доходов до изменения климата – технологии будут играть ключевую роль в поиске решения всех проблем, с которыми сегодня сталкивается наш мир».

 

От киберполигона Сбера к дискуссии «Смена парадигмы ИБ»

Обратить внимание на «технологический» уклон в позиции Джереми Юргенса и ряда других выступавших на киберполигоне Сбера заставила дискуссия «Смена парадигмы ИБ», развернувшаяся в 3-м номере BIS Journal за 2020 год, и, в частности, статья «Нельзя пугать, не требуя», которая генетически связана с «закладным» материалом дискуссии «Как нам реорганизовать ИБ».

Сразу оговоримся, что в отличие от выступлений на киберполигоне Сбера, полемика в BIS Journal не претендовала на всемирный охват, а прямым текстом говорила о «внутриРоссийских» источниках обсуждаемых проблем и о «внутриРоссийской» же направленности своих предложений.

И в отличие от спикеров киберполигона Сбера, участники дискуссии «Смена парадигмы ИБ» в значительной степени были озабочены не состоянием ИБ как таковой, а благополучием российских игроков т.н. «отрасли ИБ».

На страницах BIS Journal лишь Владимир Иванов сразу же начал своё заочное выступление с упоминания о застое на уровне идей, как основной причины того, что ИБ чаще, чем следовало бы, пасует перед угрозами цифровой трансформации.

Чем фактически солидаризовался с уже упомянутым выступлением Джереми Юргенса на киберполигоне Сбера.

Кстати, представитель компании «Актив» сразу же упомянул о том, что высказанные им соображения касаются не только России.

Если же вернуться к статье «Нельзя пугать, не требуя», то вот несколько цитат:

«В новой «Доктрине [информационной безопасности]», принятой в 2016 году, сделан серьёзный шаг по трансформации ИБ из сферы деятельности в индустрию информационной безопасности (производство, сбыт товаров и услуг, потребительская аудитория, экономика)» (BIS Journal, 2020, №3, с. 22).

«…следует принимать во внимание необходимость гибких комплексно увязанных решений во всех сферах, влияющих на отечественный рынок. И прежде всего в экономической» (BIS Journal, 2020, №3, с. 23).

«За последнее десятилетие существенно выросла доля закупаемых отечественных средств защиты и покрывающих большую часть требований регуляторов, хотя продолжает сохраняться зависимость от импортных: аппаратной базы с высокой производительностью и программных средств, реализующих перспективный функционал.» (BIS Journal, 2020, №3, с. 23).

 

Нам есть чем гордиться?

К сожалению, в нынешнем мире слишком часто, когда нечто «трансформируется из сферы деятельности в индустрию», возникающую ситуацию можно проиллюстрировать стоп-кадром из американского мультфильма, на котором глаза утки-бизнесмена начинают выглядеть как долларовые монеты.

Тем более, что толку для ИБ в том, что «существенно выросла доля закупаемых отечественных средств защиты», если «продолжает сохраняться зависимость от импортных: аппаратной базы с высокой производительностью и программных средств»?

А что отечественного остаётся в этой доле? Ежемесячные, а то и еженедельные релизы ПО? Сочетается ли это с принципами надёжности и безопасности, принятыми в промышленной сфере? И оценивать это обстоятельство имеет смысл вкупе с недавней новостью о том, что зарубежные поставщики комплектующих для авионики анонсировали полное прекращение своего сотрудничества с российскими авиаконструкторами и авиапроизводителями. А кто следующий? Производители оборудования для защиты КИИ от киберугроз? Ведь российские представительства иностранных вендоров «аппаратной базы с высокой производительностью и программных средств» скрупулёзно отслеживают тематику проектов, под которые у них испрашивают квоты на поставки.

Конечно, «по одёжке протягивают ножки», и поскольку микроэлектронная, электронная и радиоэлектронная промышленность страны в новой России пошла под нож первой, упрёки отечественным разработчикам в зависимости от зарубежной элементной базы неуместны.

Но вот уместно ли при ранжировании проблем ИБ располагать их «аспекты» в предложенной автором последовательности «объективная оценка экономических, технологических и организационных аспектов»?

Очевидно, что необходимость решения проблем кибербезопасности для КИИ сегодня становится безусловной.

 

Экономика или технологии?

Поэтому начинать следует с оценки технологических аспектов возможностей обеспечения кибербезопасности в реальных условиях пробуксовывания т.н. «импортозамещения», и уже исходя из этой оценки, планировать меры организационные, и под всё это (уж коли обоснованно запланировано) выделить необходимые ресурсы (пресловутые «экономические аспекты»)?

И при этом не слишком уповать на то, что «Включение в общероссийские классификаторы видов экономической деятельности и продукции по видам экономической деятельности кодов, имеющих прямое отношение к информационной безопасности, расширяет возможности экономической оценки рынка информационной безопасности, оценки экономических последствий регулирующих воздействий, касающихся ИБ».

Ведь отечественный бизнес обладает необычайной гибкостью мимикрирования ещё с 90-х, когда «нарезаемые» из отраслевых НИИ частные СМБ-компании записывали в виды своей деятельности широкий спектр работ от торговли морепродуктами до запуска космических аппаратов с морских платформ. И при этом чаще торговали морепродуктами и коврами.

В сфере ИБ эта ситуация описывается признаниями участников дискуссии «Смена парадигмы ИБ» в том, что «в числе основных инструментов регулирования деятельности субъектов сферы информационной безопасности используется лицензирование», а «лицензии получают все, кто хочет».

 

Делать, что должно

Почти подобную ситуацию наша страна проходила в начале тридцатых, когда, например, в авиации (столь же «хайповая» область в те времена, как «цифровая экономика» сегодня) лишь ленивый не получал государственное финансирование на свой аэроплан. Закончилось всё это мобилизационным подходом к разработкам по значительно сокращённому набору изделий, признанных важными для обороноспособности страны.

Сегодня вновь стоит та же задача

  • формирование заказа;
  • очерчивание круга тех компаний, которые «смогут выполнить работы [в сфере ИБ] на высоком профессиональном уровне и с необходимым уровнем качества». Взятые в скобки слова – это цитата из статьи «Про опыт регулирования «снизу»» (BIS Journal, 2020, №3, с. 21);

При этом формирование заказа должно проходить не так, как это было сделано при «закладке» программы «Цифровая экономика России».

«Цифровая экономика России» фактически делает упор на появление лишь фрагментированного набора заделов в т.н. «прорывных» ИТ, испещрённых к тому же , подобно дорогим сортам сыра, «дырами» для старых и новых угроз ИБ. Эта навозная куча инновационных разработок может стать хорошей площадкой для поиска жемчужин в стиле соросовских инициатив в России 90-х, но не станет основой индустриальной «цифровой экономики».

Тогда как трудно не согласиться с тезисом о том, что «подавляющее число нашумевших случаев нарушений ИБ возникли не в результате воздействия новых, неизведанных угроз, а в результате эксплуатации злоумышленником ошибок и слабостей, … либо в настройках средств защиты и … оборудования, либо отсутствия регламентов деятельности персонала, либо грубых нарушений принципов безопасной эксплуатации систем, в первую очередь системными администраторами и разработчиками».

И в связи с этим возникает вопрос о том, не следует ли для начала ВКЛЮЧИТЬ в число перспективных прорывных технологий лишь РАБОТЫ ПО РЕНОВАЦИЯМ БАЗОВЫХ КОМПЬЮТЕРНЫХ ТЕХНОЛОГИЙ, АППАРАТНЫХ И ПРОГРАММНЫХ.

Реновациям, исправляющим уже выявленные «детские ИБ-болезни» техники, исправить которые не даёт рыночная гонка (примеры, лежащие на поверхности – х86 архитектура, Microsoft Windows/Office), реновациями, минимизирующим или исключающим грубые нарушения принципов безопасной эксплуатации ИКТ-систем.

При этом реновации должны быть подвергнуты и такие сквозные технологии ИКТ, как открытые стандарты и Open Source.

Сегодня т.н. открытые стандарты включают допущение множества функциональных возможностей техники и технологий на основе этих стандартов. При этом разрешена практическая реализация конкретного набора этих возможностей на своё усмотрение вендоров без достаточного отражения ограничений в поставляемой пользователям технической документации.

Открытые стандарты и Open Source должны оставаться и развиваться в обойме инструментария ИКТ для НИОКР и учебного процесса в соответствующих ВУЗах.

Но при разработке «боевых» систем должны использоваться только те элементы этих технологий, которые прошли всестороннюю верификацию и валидацию не только рабочего функционала, но и «кибериммунитета». И оформляться эти элементы должны в виде обязательных ГОСТ Р.

Реновации базовых компьютерных технологий должны стать тем госзаказом, обеспеченным финансированием, к которому будут допущены лицензированные ИТ- & ИБ-компании, которые «смогут выполнить работы на высоком профессиональном уровне и с необходимым уровнем качества».

 

И будь, что будет

И уже на основе этих реноваций запускать то, что в программе «Цифровая экономика…» перечисляется под зонтичным «брендом» «прорывные технологии». К этим работам следует допускать лицензированные ИТ&ИБ-компании, которые будут искать венчурное финансирование.

Осталось понять, а как же перейти от лицензий, которые «получают все, кто хочет» к объективному лицензированию.

Упомянутая в статье «Про опыт регулирования «снизу»» (BIS Journal, 2020, №3, с. 21) идея регулирования рынка на низшем уровне с помощью СРО не только простая, но и несколько наивная. Наивная в условиях, когда отечественные ИТ&ИБ компании одним миром мазаны и успешно впитали не только идеологию «do it faster», но и принцип «who lives in glass houses should not through stones».

Необходимо совмещение нескольких подходов.

Во-первых, если в стране и есть какие-то положительные подвижки в сфере ИБ, то это благодаря тому, что не удалось развалить ведомства, которые слышали о защите информации не по медиаканалам (ФСБ, ФСТЭК, Армия).

Помимо этих регуляторов, Центробанк, подведомственный которому финансовый сектор тесно интегрирован в международные структуры, играя де-юре в «русскую рулетку» риск-менеджмента, тем не менее научился контролировать этот подход де-факто на основе знаний инженерного уровня и тех требований того же уровня.

Дополнив усилия упомянутых регуляторов оживлением сотрудничества в рамках Союзного государства, можно повысить объективность лицензирования.

А в помощь международному союзному экспертному сообществу привлечь то, что сегодня скрывается под «брендами» Data Science, UEBA и Artificial Intelligence. Эти технологии кое-где кое-кто пытается применить к созданию психологического и морально-этического портрета личности. Возможно, прежде чем экспериментировать на людях, стоить применить Data Science, UEBA и Artificial Intelligence к построению объективного экономического профиля компаний, претендующих на получение лицензий для работы в сфере ИКТ. В противовес заявительному лицензированию и кодам общероссийских классификаторов видов экономической деятельности и продукции.

Смотрите также