На вопросы BIS Journal отвечает один из создателей системы информационной безопасности в России.
Борис Николаевич Мирошников, вице-президент группы компаний «Гарда»
Борис Николаевич Мирошников родился в 1950 году. Генерал-полковник милиции в отставке. Генерал-лейтенант ФСБ в отставке. Образование: техническое — МВТУ им. Баумана, юридическое — Академия ФСБ, кандидат юридических наук.
Работая в органах государственной безопасности и внутренних дел, занимался разработкой и внедрением в оперативную практику новых методов оперативно-розыскной деятельности, информационно-аналитической работы, создавал и руководил различными подразделениями. В частности, в ФСБ России — Управление компьютерной и информационной безопасности, в МВД России — Бюро специальных технических мероприятий (ранее в этих ведомствах таких подразделений не существовало).
Принимал участие в разработке внутригосударственных и международных нормативных правовых актов в области информационной безопасности, борьбы с преступлениями в сфере высоких технологий и кибертерроризмом. Организатор международного сотрудничества по борьбе с киберпреступностью и кибертерроризмом. Является членом Оргкомитетов различных международных конференций по информационной безопасности и борьбе с киберпреступностью, членом различных экспертных советов.
Является Президентом Национальной ассоциации международной информационной безопасности (НАМИБ), членом Научного совета Совета безопасности Российской Федерации.
Участвовал в формировании системы подготовки специалистов соответствующего профиля, преподавал в Университете и Академии управления МВД, Академии ФСБ, МТУСИ и МИФИ. Владеет английским языком.
Имеет звание «Почетный сотрудник госбезопасности», награжден орденами «За военные заслуги», «За заслуги перед Отечеством» 3-й и 4-й степеней, более 20 медалями.
ИБ В МИРЕ
— Борис Николаевич, скажите, существует ли в мире единое представление об информационной безопасности или в каждой стране её воспринимают и относятся к ней по-разному? В чём это выражается? Как выглядит и какое место в таком контексте занимает ИБ в России?
— Разумеется, единого представления нет, его и не может быть, если мы по сей день говорим о цифровом разрыве. Все страны идут в цифровизацию своим путём: коротким или долгим. Страны-лидеры на этом пути также остаются лидерами. У этой группы есть общее в целом представление об ИБ: о безопасности критической инфраструктуры, о защите финансовой сферы, о борьбе с высокотехнологичной преступностью и так далее. Они готовят своих специалистов на одних материалах, они же создали у себя специальные ведомства по ИБ, что тоже их объединяет.
Другая группа стран ещё не до конца осознала проблему и только начинает строить у себя системы ИБ. Поскольку цифровизация здесь на начальном этапе, страны-лидеры готовы им всё предоставить: железо, софт, обучить специалистов, создать национальную структуру по ИБ и впредь сопровождать. А кто сомневается — тому бесплатно или в рассрочку, надолго. И сомнения пропадают. Одна беда — с суверенитетом, независимостью придётся расстаться. Тоже надолго.
И третья группа — самостоятельная. Китай и Россия — её основа. В Китае есть Комиссия по делам информатизации при ГосСовете, Национальный центр по противодействию киберугрозам и ряд других органов, участвующих в обеспечении национальной ИБ. Работает «Золотой щит», из него в своё время выделился «Великий китайский файрвол», который тоже надёжно защищает национальное информационное пространство КНР.
У нас в России эти вопросы курирует Совет безопасности. Исполнители — ряд известных ведомств, каждое на своём участке. Суммарно можно утверждать, что наше информационное пространство достаточно хорошо защищено. События последних лет наглядно это продемонстрировали.
Можно упомянуть ещё один критерий разбивки стран на группы. Первая группа — передовые, развитые, которым есть что прятать и защищать из соображений национальной безопасности. А секреты прячут друг от друга, ибо противодействуют. Другая группа — страны, у которых нет таких больших тайн и секретов, поэтому они ограничиваются простыми, но необходимыми системами: финансовая, управленческая, персональные данные. Вот через эти системы они идут к пониманию ИБ в целом и в государственном масштабе.
Например, в Индонезии оператор связи обязан хранить в тайне все переговоры, всю информацию своих клиентов, никто не имеет права подслушивать или перехватывать информацию. Защите и охране подлежат тайна личной жизни, здоровья, финансовое положение. Примерно так строят свою политику ИБ множество стран этой группы.
ИБ В РОССИИ
— Можно ли считать ИБ в России самостоятельной отраслью? Если да, то почему она регламентируется одновременно множеством регуляторов (ФСБ, ФСТЭК, Минцифры, Банк России…)? Если нет, то как она структурируется и насколько это оптимально?
— Конечно, можно. Это давно самостоятельная отрасль. По функциям, по технологиям, инструментам, специалистам, их подготовке, по научному обеспечению этих проблем. И в конце концов, по мышлению. Есть Айтишники и есть айтишники: одни с большой буквы, другие — с маленькой. Они разные. Те, кто собирает информационную систему на предприятии, в банке, в ведомстве… И те, кто занимается информационной безопасностью там же. Отлично помню ожесточённые споры разного уровня руководителей о том, где должна быть функция ИБ: в департаменте информатизации или в департаменте безопасности. Сначала побеждали первые, теперь, похоже, вторые. Собственно, эти споры продолжаются и до сих пор.
Судьба безопасника вообще незавидна. Он источник проблем, он придумывает какие-то неудобные для людей режимы и регламенты, он вечно грозит какими-то рисками, вечно требует каких-то денег, зачастую больших, и от него нет никакой прибыли! А ведь это противоречит основной цели бизнеса — получению выгоды!
С другой стороны, зачатую руководители часто думают, что разбираются во всём. И конечно, в безопасности. Но их уровень знаний в этой области, как правило, оставляет желать лучшего. Поэтому далеко не всегда принимаются верные решения в области безопасности.
Что касается структуры и регуляторов, мне представляется, что уже лет 20 в стране есть потребность в наличии органа исполнительной власти, ведомства, которое отвечало бы за информационную безопасность, было бы координатором, дирижёром и диспетчером. Но существует другой взгляд, система функционирует, и — результативно! Такая распределённая система: у ФСБ свои задачи, у ФСТЭК — другие, у Минцифры — третьи. И все они регуляторы, которые выполняют свои функции в зоне своей ответственности. В результате — надёжный щит! Правда, встаёт вопрос: какой ценой с организационной точки зрения?
О СТРУКТУРЕ ИБ
— Существует ли в принципе представление об идеальной структуре информационной безопасности в России, какой она должна быть? Возможно ли достичь такого идеала или любая структура — это всегда игра случая, продукт безжалостной государственной эволюции?
— Не существует и не надо. Структура ИБ диктуется нормативами. Их много — от каждого регулятора понемножку. Где критическая инфраструктура, где финансы, где топливная энергетика, и везде-везде — персональные данные. Вариантов поведения два: первый — пройти проверку и удовлетворить регулятора; второй — построить реальную модель угроз для конкретного случая и создать систему ИБ для конкретного случая. Вот это и есть недостижимый идеал. Кстати, не всегда эти два решения совпадут.
С одной стороны, необходимость выполнять нормативы и требования регуляторов, а с другой — баланс между страхами, реалистичными оценками угроз и финансовыми возможностями.
О ЦПК, ЦЕРТах и УБК
— На страницах BIS Journal ведётся дискуссия о создании Центра противодействия угрозам (ЦПК) в финансовых организациях. Некоторые смотрят ещё шире и предлагают создать этакий СуперкиберМВД в сфере ИБ в масштабах страны. Как вы к этому относитесь?
— Отрицательно. В финансовой сфере борьба с правонарушениями централизована в достаточной степени. В своё время как раз для этого создали Финцерт в Центробанке. Правда, по мнению многих специалистов, эта сфера несколько заорганизована усилиями главного регулятора и можно бы чуть-чуть отпустить вожжи контроля, а ответственность в полной мере вернуть финансовым организациям. Они же любят самостоятельность! Почему за их разгильдяйство должен отвечать ЦБ? Когда на машине скорой помощи написано EMERGENCY, понятно, что это неотложно, срочно, немедленно! Так переводится это слово. Когда на Западе придумали «ЦЕРТы» (CERT, Computer Emergency Response Team), от английского «немедленное реагирование на компьютерные инциденты», тогда и наши коллеги начали, повинуясь моде, тоже создавать «ЦЕРТы». И возникло сомнение: либо вы не понимаете, что там написано, либо вы намеренно нам врёте. Ибо ничего немедленного в действиях «ЦЕРТов» не было. Напротив — неторопливое собирание информации об инцидентах и потерях… Далее следовал трудный драматический выбор ответственного за ИБ о том, что лучше: пропустить удар от хакера или получить штрафные санкции от регулятора?
Что такое СуперкиберМВД, не знаю. Но в МВД в прошлом году после многочисленных заявлений о создании киберполиции создали новое подразделение для борьбы с этими преступлениями. Притом что ещё в 1998 году в МВД была создана линия с этими же функциями. То есть для работы и получения результатов всё есть. А мифический Центр противодействия финансистов должен научиться взаимодействовать с силовиками — новым управлением в МВД, называется УБК. Опыт у нас в стране богатый, специалистов достаточно, и это наш главный ресурс.
О РЫНКЕ
— Считаете ли вы рынок в сфере ИБ идеальным регулятором, как говорят многие? Не кажется ли вам, что агрессивная реклама и нагнетание ИБ-компаниями апокалиптических настроений в своих интересах искажают реальную картину потребностей в сфере ИБ?
— Нет, не считаю. Игры в чудодейственные рыночные механизмы, во всяком случае в нашей стране, чудес не принесли. Верю в анализ, в научный прогноз, который делают настоящие специалисты, и в волю. А истерики рекламных кампаний лишь «искажают реальную картину потребностей в сфере ИБ» и обслуживают коррупцию.
О ПРОБЛЕМЕ КАДРОВ
— Как относитесь к проблеме кадров в сфере ИБ?
— Верно отмечено: не проблема недостатка, а проблема кадров. Стало привычным говорить о недостатке специалистов в области ИТ. И никто не возражает. Это реально так? Или это очередная кампания? Очередная крайность, между которыми мы вечно колеблемся. У нас было, кто помнит, пере-производство инженеров. Ещё великий юморист тех времён Аркадий Райкин изволил шутить под аплодисменты зрителей: «В семье горе — муж-инженер». Это предполагало нищую и маловостребованную категорию граждан. Потом были экономисты. Их плодили с невиданной скоростью, но счастья они так и не принесли, как известно. Ни себе, ни стране. Потом был уклон в сторону юристов. Как же, Америка — страна юристов! Вот в чём их секрет! Мы будем как Америка. И будет нам счастье! Ну и что?
Теперь вот — айтишников, видите ли, не хватает. Какие-то запредельные цифры звучат. А вопрос — каких айтишников? Они же разные! Кого не хватает? Разработчиков! Но разработчик — это талант, это самородок. Его надо искать, образовывать, растить… Их не может быть много.
А есть ещё категория, которая, как из кубиков, складывает нужную конфигурацию защиты информационной структуры. Это, пусть не обижаются, ремесленники. От них не требуется «Лунная соната». От них требуется грамотное высокопрофессиональное ремесло.
А вот ещё новость: гуманитарные учебные заведения тоже, оказывается, готовят специалистов по ИБ. Им кругозор нужен. Видимо, это так и есть. Кто же против кругозора?
Но вот вопрос в связи с заявленной нехваткой. Что лучше: 10 хороших специалистов или 100 плохих? Суворов ещё учил: бей не числом, а уменьем.
ПРО ИМПОРТОЗАМЕЩЕНИЕ
— Каковы перспективы импортозамещения в сфере ИБ? Будет ли являться уникальность нашей ИБ плюсом?
— Убеждён, что мы обладаем достаточным потенциалом, чтобы полностью решить эту проблему. Да, простые задачи уже решены, и нужна только воля, чтобы внедрить повсеместно наши отечественные продукты. На другие задачи требуется время. И те самые мозги, о которых мы говорили выше, и, конечно, мотивация. Причём мотивация — это далеко не всегда деньги. Есть компании, которые развиваются без господдержки и дают прекрасные результаты. Мы в стране создали и развиваем по-своему уникальную систему информационной безопасности. И мы будем способны поделиться своими наработками, продуктами и опытом с дружественными странами. У них есть потребность, у нас — возможность её удовлетворить. Один БРИКС чего стоит! Теперь БРИКС плюс!
ПРО BIS JOURNAL
— Какое место в становлении и развитии ИБ в России, на ваш взгляд, должны занимать отраслевые СМИ, в том числе BIS Journal? Нам важно понимать свою роль в общем процессе, а поняв, играть её достойно, ощущать себя полезными своей отрасли, профессии безопасника.
— Наверное, в силу возраста я всегда предпочитаю «читать бумагу». Пробовал по-другому, но не нравится. «Невкусно!» Очень ценю ваш журнал, изучаю регулярно, по мере появления. Он в лучшую сторону отличается от других таких же — отраслевых. У вас нет раздражающей комплиментарности, помпезности. Вы интересны деловитостью и демократичностью — у вас много интересных и разнообразных авторов. Что нужно? Нужен спор, дискуссия. Показ альтернативы, другого мнения.
Важно и то, о чём мы говорили: какие специалисты нужны? Каких перебор? Разбор ошибок! Это всегда важнее, чем убогие «лучшие практики». Маловато обзоров зарубежного опыта. Объективного. Тем более что опыт там средний, рассчитанный на среднего западного обывателя, а не на нашего бунтаря. Но это не беда, опыт — это всегда интересно. Только в умном исполнении.
Вы очень нужны! Прислушивайтесь к людям, и они это оценят. Успехов!
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных