Базовые представления «теории» информационной безопасности (ИБ) не связаны в явном виде с «компьютерными» технологиями и их применениями при работе с информацией. А вполне конкретный опыт свидетельствует о том, что цифровые технологии работы с информацией и «цифровая трансформация» бизнеса добавили новые и весьма серьёзные угрозы для безопасности оборота информации. И, добавим, экономики.
«… есть большие сомнения в абсолютной надежности современных компьютерных систем, а поскольку права не дублируются в бумажном виде, то, если система рухнет, миллионы людей останутся без записи о правах. Это была бы катастрофа» (из интервью д. ю. н. Р. С. Бевзенко).
«… в цифровой среде больше возможностей для монополизации, несравнимых с традиционными рынками. С помощью цифровых платформ стремительнее создаются империи, которые, по сути, контролируют рынки, и это не требует приобретения больших активов, тех же основных средств. Благодаря этому концентрация рыночной власти происходит в гораздо более сжатые сроки и незаметно для традиционных инструментов контроля» (зам. руководителя ФАС России А.Н. Голомолзин, «В цифровой сфере ограничений традиционного мира не существует, и это необходимо учитывать» // Закон. 2017. № 12. с. 6–15).
Прошедший год лишил отечественных «айтиибэшников» части «юношеских» иллюзий космополитичного замеса и заставил их серьёзно «повзрослеть». Модели угроз, ранее заточенные под хулиганство «кибершпаны» и аппетиты вымогателей денег, были решительно дополнены представлениями об угрозах, направленных на де-факто системный подрыв работоспособности критической информационной инфраструктуры бывшими «технологическими партнёрами».
Однако процесс взросления ИБ уместно было бы продолжить на основе столь же решительного осознания того факта, что замена иностранного оборудования на отечественные аналоги и «даже лучшие» не позволит купировать главную угрозу для безопасности информации. Этой главной угрозой является сама по себе «цифровизация» экономики, «цифровая трансформация» бизнеса, «оцифровка» науки и культуры. Для подобного утверждения есть ряд резонов.
«Цифровизация» и «цифровая трансформация» по своей природе наилучшим образом подготавливают компактно собранную в системах хранения данных оцифрованную информацию к быстрому тотальному уничтожению или хищению. И даже в случае реализации такой угрозы лишь для отдельно взятого бизнеса ущерб может иметь значимость государственного масштаба. А что говорить об угрозах «взлома» информационных систем государственной значимости!
Оптимисты скажут, что это параноидальные фантазии. Но не такими ли эпитетами награждали считанные годы назад предположения об исходе зарубежных вендоров?
Эрудиты скажут, что для купирования упомянутых угроз есть технологии резервного копирования и катастрофоустойчивые основные и резервные ЦОДы.
Но это не дешёвые инструменты и технологии, а в нынешней действительности пока живуч нарратив о Бизнесе, как главном локомотиве развития общества, и нарратив о том, что приоритетом Бизнеса должна быть прибыль. Из этих двух «постулатов» выводятся рекомендации для «ибэшников» говорить со своими работодателями о проблемах ИБ на языке экономики. Но безопасность – это в последнюю очередь о прибыли.
«Цифровая трансформация» процессов конструирования оборудования и техники и проектирования объектов капитального строительства выглядит внешне весьма привлекательно (кадры из эпопеи о «Железном человеке» весьма эффектны).
«… пройдет какое-то время, и любой товар будет так оцифрован и будет находиться в таких информационных цифровых платформах, что без использования информации из этих платформ вообще нельзя будет ничего построить и модернизировать…» (встреча президента с руководством ряда СМИ в начале 2018 года).
В реальности, однако, рыночный подход к развитию инструментария для САПР (CAD/CAM/CAE на языке межнационального общения) может привести к тому, что сохранённая в компьютере информационная модель лет через пять уже может и не «прочитаться» новой «ещё более лучшей платформой».
А вот по чертежам, какими древними бы они не были, всегда можно «поднять» проект в самом современном «компьютере»: ввести данные с чертежей и спецификаций в ту или иную платформу, которая выбрана на смену кульману.
Стартаперы скажут, что прогресс не остановить! Но, во-первых, можно и остановить! Взлетевшие было Конкорд и Ту-144 довольно быстро были поставлены на прикол. Угрозы безопасности для людей и экологии заставили поступиться удобствами считанных часов трансконтинентальных перелётов.
А во-вторых, этот самый прогресс может иметь довольно уродливые формы.
Прогресс по-рыночному в мире коммерческих цифровых продуктов нередко идёт не по пути самостоятельного эволюционного развития инструментария вендора, достигшего определённого делового успеха, а по пути благословляемого акционерами приобретения этим вендором «вкусной», но мелкой для самостоятельной жизни в рынке инновационной «рыбёшки». Такой «неостановимый прогресс» приводит к тому, что летавшее некогда на серверах средней мощности ПО превращается в мощный карьерный самосвал, натужно ревущий уже лишь на серверных стойках. И в отличие от надёжности спроектированного ab initio реального «карьерника» лоскутость разнородной интеграции новых возможностей в приложение – это клубок проблем для службы поддержки.
Переписать приложение с нуля вендору не позволяет Рынок, сложное балансирование метриками CAPEX, OPEX и ROI на весах МФСО и РСБУ не позволяет «слезть» пользователю с неповоротливо обросшего новым функционалом приложения, и в результате департаменты ИТ и ИБ «стоят на ушах», обеспечивая приемлемый уровень ИБ в условиях внешних и внутренних угроз для корпоративной информации.
Ещё одной угрозой «цифровизации» и «цифровой трансформации» является «интеллектуальная» цифровая автоматизация для обезлюживания технологических процессов. Здесь даже не надо фантазировать о возможных сценариях технологических аварий, достаточно ознакомиться с имеющимися описаниями развития ситуации при атаке вируса Stuxnet на иранские «ядерные центрифуги», который не только подменил параметры работы центрифуг, но и данные «интеллектуальной» (безлюдной) проверки соответствия этих параметров штатным величинам.
Однако у увлечения безлюдностью производства есть ещё и «вторая» оборотная сторона, связанная с возможностью возникновения социальных проблем в обществе, обусловленных безработицей в локальной сфере профессиональной подготовки при, возможно, одновременном кадровом дефиците в некоторых других сферах занятости населения.
Здесь будет уместно вспомнить об интересной ситуации, имевшей место при разработке проекта одного крупного энергетического объекта в Индии. Когда проектировщики представили заказчику документацию, предполагавшую использование мощной современной землеройной техники для выполнения большого объёма земляных работ, по результатам рецензии этот раздел документации был переделан под ручной труд на основе лопат и тачек для обеспечения занятости многочисленного населения в конкретной местности.
И, возвращаясь от аналогий к проблемам «цифровизации», заметим, что «локальная» безработица вследствие увлечения внедрением «интеллектуальной» малолюдности может одномоментно и «вдруг» трансформироваться в кадровый дефицит в некогда обезлюженной профессиональной «локации» за счёт того же механизма, который приводит к демографическим «ямам».
Всё сказанное не означает, что надо возвращаться к арифмометрам и кульманам и рассчитывать только на «бумажные» архивы.
Сказанное лишь призвано обратить внимание на необходимость перехода от несогласованной «цифровизации» и «цифровой трансформации» отдельных организаций, предприятий и отраслей к СИСТЕМНОМУ СТРАТЕГИЧЕСКОМУ ПЛАНИРОВАНИЮ этих процессов, взаимоувязке при этом планировании интересов государства, юридических субъектов общественной жизни и населения во всех сферах их жизни.
Сегодня же на уровне даже такой, казалось бы, по своей природе «единоначальной» «корпорации», как государство можно наблюдать разнобой политик и технологий.
«В связи с установкой на официальном сайте <ФОИВ> TLS-сертификата, изготовленного российским удостоверяющим центром, на устройствах пользователей сайта могла возникнуть ситуация, описанная в Обращении. … необходимо использовать браузеры с поддержкой российских сертификатов: Яндекс.Браузер или Атом, либо установить корневой сертификат российского удостоверяющего центра в операционную систему Вашего устройства»
Приведённая цитата – фрагмент официального ответа Управления информационной безопасности некоего ФОИВа на запрос о том, почему с какого-то момента гражданин утратил возможность «электронного» онлайн «общения» с комплексом услуг этого ФОИВа по, в определённом смысле, «прихоти» конкретного Управления ИБ, о возникновении которой гражданин не был уведомлён заранее.
Термин «прихоть» уместен до некоторой степени в связи с тем, что с рядом других государственных структур в тот же момент времени этот же гражданин, не меняя своей критической домашней ИТ-инфраструктуры, сохранил возможность «электронного» онлайн «общения».
Уместно заметить, что обезличенный ФОИВ относится к наиболее критичному пулу госучреждений с точки зрения решения повседневных вопросов, возникающих в жизни граждан, и к цифровым активам которого у этих граждан есть масса претензий.
С одной стороны, как здорово, что цифровизация ФОИВов шагает не в ногу! Ведь только благодаря этому раздраю удалось через вышестоящую инстанцию узнать о необходимости «использовать браузеры с поддержкой российских сертификатов: Яндекс Браузер или Атом, либо установить корневой сертификат российского удостоверяющего центра в операционную систему Вашего устройства».
А с другой стороны описанная ситуация порождает массу вопросов к системности процессов цифровизации общественной жизни и приоритетов таких процессов.
Эти вопросы при восхождении по их пирамиде от низкоуровневого обывательского вопроса «а за чей счёт банкет?» (и, в частности, кто и как должен технологически и финансово поддерживать ту часть этого действа, что касается «саппорта» домашней критической ИТ-инфраструктуры разнородного массива граждан, ибо одной переустановкой браузеров дело может не закончиться) и до вопроса высокоуровневого, про обсуждение возможностей нарушения прав и свобод тех же граждан стихийной, по сути, «цифровизацией».
Этот высокоуровневый вопрос уже сегодня приводит правоведов к необходимости обсуждения «конституционного права на цифровизацию», понимаемого как «возможность человека использовать современные цифровые формы (продукты, технологии и механизмы и т. д.), либо отказаться от их использования, вернувшись к прежнему образу жизни».
А если к этой «сферической в вакууме» постановке вопроса именитого юриста, некогда главы Высшего Арбитражного суда, добавить ещё одно, лишь на первый взгляд частное, наблюдение другое квалифицированное мнение о том, что «у нас абсолютно недостоверный реестр прав на недвижимость. Приобретать что-то просто страшно, потому что цепочка рушится от любого слабого звена», то окажется, что компьютерные технологии работы с информацией и «цифровая трансформация» бизнеса не только добавили новые и весьма серьёзные угрозы для безопасности оборота информации, но и могут создать серьёзные правовые и экономические проблемы, когда чиновники ведомств и департаментов, по стечению обстоятельств оказавшиеся ответственными за «цифровую трансформацию» страны, пытаются «цифровизацией» закрыть фундаментальные проблемы целостности оборота информации и создают угрозы стабильности экономики.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных