26 октября, 2023

Что с безопасностью инфраструктуры страны?

Размышления по поводу вопросов, которые  часто  задают на  многочисленных форумах и конференциях, причем, посвященных не только инфобезу и ИТ.

 

ПРОЕКТОВ МНОГО НЕ БЫВАЕТ

Если следить за процессами построения цифровой инфраструктуры страны (и даже, если следить не очень внимательно), легко заметить, что для строительства инфраструктуры у нас применяется так называемый проектный подход. В чем его суть? В том, что, если общей концепции цифровизации нет, то вместо нее реализуются отдельные проекты. Как  пример, который у всех на слуху, – ГосТех, на платформу которого многие госведомства, не хочу сказать, что «загоняют», но «рекомендуют» перейти и разместить свои приложения.

И вроде бы всё хорошо. Но возникает вопрос с точки зрения информационной безопасности. Если будет выявлена какая-то общая уязвимость этой новой платформы, то как быстро и просто она будет тиражироваться на все остальные проекты, размещенные на платформе? Не станут ли пользователи из госсистем единовременно пострадавшими? Эта важная и понятная каждому тема «яиц в одной корзине» пока почему-то не обсуждается.

 

КОЩЕЕВО ЯЙЦО ГОСТЕХА

Конечно, вопрос про уязвимость ГосТеха умозрительный. Вряд ли произойдет что-то страшное, будем надеяться, что хорошо известные разработчики и изготовители этой платформы всё предусмотрели. Но тем не менее, может быть, правильнее было сразу делать не один ГосТех, а, скажем, и ГосТех-2, и ГосТех-3 впридачу? И сажать все ведомства не на одну платформу, а распределять по трём? И что важно, делать эти три платформы по-разному, у разных компаний, с тем, чтобы не тиражировать возможные уязвимости?

 

Правильно ли было бы так поступить?

Очевидно, что если нет четкой стратегии цифровизации, то должна быть четкая и непробиваемая, если не стратегия, то тактика реализации отдельных проектов. Проектными работами заниматься можно, даже не имея общей концепции, ничего страшного. Но при таком подходе этих отдельных проектов всегда должно быть несколько – как по каждому существенному направлению, так и по заметной и весомой группе компаний-участников. Проекты разумно дублировать, чтобы они перекрывали предметные области. Неразумно отдельно стоящий проект использовать как основу пути развития всего госсектора страны целиком.

Такая мысль сразу  приходят в голову и, думаю, никто с этим спорить не будет. Да, так получается и подороже и подольше, то есть позатратнее. Зато появляются очевидные плюсы в текущих непростых условиях: мы гарантированно не будем тиражировать уязвимости единой платформы, соответственно, не будем снижать защищённость инфраструктуры страны, а это дорогого стоит.

 

БЕЗОПАСНОСТЬ ТРЕБУЕТ ТИШИНЫ

Есть другой важный вопрос. А стоит ли так много рассказывать про нашу информационную безопасность? В смысле рассказывать так, как это делается сейчас – публично и с пафосом, на многочисленных открытых конференциях, в массовых СМИ. Напомню, в СССР такого не было – тогда наши ученые, исследователи, разработчики очень скупо делились с широкими массами тем, чем они занимались. И речь не только о материалах с грифом «Секретно», но и об общих направлениях инновационной активности, в которых мы тогда ноздря в ноздрю соревновались с мировым сообществом. Все эти перечни направлений существовали, но публиковать, тем более, за рубежом, ничего было нельзя, без соответствующих разрешений, разумеется.

Надо ли возвращаться к такой практике? Возможно, придется.

И всё же, действительно ли опасны публичные обсуждения проблем информационной безопасности? Можно ли рассказывать о том, как именно все устроено и с какими проблемами сталкиваются наши разработчики и так далее?

Это тема целой дискуссии, но вопрос поставлен. 

Как контрдовод в сторону «открытости» ИБ скажу, что сравнивать текущую ситуацию с тем, что было в СССР, трудно. Например, разработчиков тогда было мало, а сейчас в стране образовалась уже целая отрасль ИБ. Видимо, какие-то общие обсуждения ИБ с разумными ограничениями все же можно проводить, почему нет? Только нужно помнить, что безопасность обеспечивается конкретно на местах. И вот именно эти важные «местные» детали и не надо бы обсуждать публично. То есть, потребуется четкий «фейсконтроль» тематики конференций по ИБ.

 

ПРО ЦИФРОВОЙ ГОСПЛАН

Конечно, проекты – это вынужденная мера, к которой приходится прибегать, не имея общей концепции развития на 5-10-20 лет вперед. Отсутствие единой стратегии цифровизации – это, действительно, плохо. Если проекты реализуются вне рамок концепции, единого плана, они подвержены влиянию заинтересованных групп, есть риск потерять конечные цели. Все так.

Но с другой стороны, тема построения стратегии сама по себе непростая и требует не только инфраструктурных решений, но и инфраструктурных механизмов согласования проработки и принятия этих решений. Как обеспечить учет интересов всех наших ведомств в этой общей концепции? Нужен ли нам какой-то новый цифровой Госплан, который не тапочки планировал бы на всю страну, а отвечал бы как раз за проработку и принятие стратегических целей? У нас такого ведомства нет, но предложения и мысли по его созданию уже звучат. 

 

ПРО ЭКСПЕРТОВ

Необходимо, конечно, и шире подключать экспертное сообщество к принятию и проработке принимаемых решений. У нас много этих советов и комитетов существует, они все работают, и люди там грамотные. Но на что обращу внимание: они все работают там на общественных началах. Думаю, стоит активизировать работу в этом направлении и начать платить экспертам за обсуждение и выработку правильных решений во всех этих экспертных комитетах. Но при этом требовать ответственности за то, что они рекомендуют. 

Для чего это нужно? Для того, чтобы эти эксперты не занимались лоббистской деятельностью по продвижению решений своих компаний. Экспертам трудно не лоббировать своих работодателей, ведь перед ними приходится отчитываться, где эксперт пропадает в рабочее время, какие такие проекты обсуждает на общественных началах? Вот и появляются конкретные решения конкретных компаний, конкретные представители которых эти решения обсуждают и предлагают. Ну, а чиновникам что? Они все это подхватывают.

Эту грань цифровизации тоже нужно учитывать и как-то выравнивать.

 

ПОЛИГОН ГОСТЕХ

Заканчивая свои размышления, подчеркну: ГосТех как единая платформа нам всё-таки нужен. Даже в таком виде, как сегодня. Любой процесс, в том числе и процесс централизации, связан с рисками. В части ГосТеха они стали заметны сразу, они всем видны, и это хорошо. Это помогает нам понять, какая стратегия и тактика оптимальны для построения более общей крупномасштабной структуры. Вопросы стратегического целеполагания всегда требуют серьезной проработки. И тут ГосТех  может стать полигоном для апробации и новых идей, и новых подходов к централизации и построению единой инфраструктуры страны. Все это появится при внимательном сопровождении работы платформы ГосТех.

По крайней мере, должно появиться.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

22.02.2024
Самолётом, поездом, машиной. Базу ПДн туристов расширят
22.02.2024
Утверждён новый стандарт протокола защищённого обмена для индустриальных систем
22.02.2024
Системы электронного правительства проверяют на прочность
22.02.2024
Число стилеров в российских банках стремительно растёт
22.02.2024
Эксперты Forbes: ИБ-сектор за год прибавил 8,4%
21.02.2024
«Не являлся значимым кредитором реального сектора экономики». ЦБ РФ лишил QIWI Банк лицензии
21.02.2024
Характер занятости обсуждается при собеседовании. Как становятся дропперами
21.02.2024
Российские компании недовольны «агрессивной кадровой политикой ряда азиатских вендоров»
21.02.2024
Весенние обновления в Signal — реальная ИБ или «косметика»
21.02.2024
NCA: Каждый пятый молодой британец — потенциальный хакер

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных