Заметки на полях PHD: кто должен построить общенациональную систему ИБ?
Живем мы, как известно, в сложном мире, где, с одной стороны, речь уже не может и не должна идти об информационной защите отдельно взятых компаний, поскольку налицо десятки миллионов пользователей с разнообразными и крайне слабо защищенными электронными средствами на руках.
При этом эксплуатируются эти устройства на постоянной основе, выполняют с их помощью самые различные операции, и в таких условиях похищение персональных данных, взлом аккаунтов и счетов пользователей становится не самой сложной задачей для злоумышленников.
С другой стороны, мы живем в мире, где злоумышленниками являются не энтузиасты, а все более сложно выстроенные преступные группировки, находящиеся как внутри нашей страны, так и далеко за ее пределами, так что работа форенсики – компьютерной криминалистики – становится все более проблематичной. И, помимо этого, есть еще один аспект: с учетом, мягко говоря, сложной геополитической ситуации возникает риск совершения атак на инфраструктуру целых государств с использованием компьютерных технологий. За примерами не надо далеко ходить: уже была зафиксирована не так давно подобная атака на энергосистему Венесуэлы, плюс к тому буквально на днях президент США Дональд Трамп заявил о проведении кибер-атаки, направленной против России. Может быть, хвастался, а может быть, и нет. В любом случае, это опасные звоночки.
И на этом фоне, естественно, возникает вопрос, как должна быть выстроена система информационной безопасности. Судя по тому, как обсуждали эту тему эксперты, выступавшие на одной из пленарных сессий форума Positive Hack Days 9, вопрос о том, должна ли эта система быть общей, уже не стоит. Ответ – да! А вот кто должен выступать в роли ее строителя – государство с поддержкой бизнес-сообщества в лице различных как государственных, так и частных компаний, или бизнес-сообщество с поддержкой государства.
Казалось бы, от перемены мест слагаемых сумма не меняется, но в данном случае – как, впрочем, и во многих других – это арифметическое правило не срабатывает. Что же касается аргументов сторонников первой модели и сторонников второй модели, то следует признать, что и те, и другие звучат вполне весомо. Сторонники первой модели указывают на то, что мы стоим перед лицом массированных хакерских атак, направленных не на отдельные компании, а на экономику страны в целом – и мы действительно видели тому примеры, например, в случае с «нападением» вируса WannaCry. А раз происходящее можно сравнить с нападением вражеской армии, то и ответ таким эксцессам следует давать на государственном уровне. Тем более, что кто лучше государства способен сформулировать и прописать правила игры, не оглядываясь при этом на свои сугубо локальные бизнес-интересы?
Сторонники второй модели – бизнес-сообщество с поддержкой государства – указывают на то, что все вышесказанное, конечно, хорошо, но есть возражения. Государственная машина не отличается особой гибкостью, ей свойственен излишне широкий взгляд на проблему и стремление создавать некий каркас, не вдаваясь особо в подробности и нюансы. К тому же, государство перегружено целым рядом иных задач, поэтому есть риск, что проблемы создания некоей общей системы информационной безопасности или защиты оно будет решать по остаточному принципу. И в данном случае как раз более уместно делать главный акцент на совместной деятельности бизнес-сообщества, которое, по идее, должно быть кровно заинтересовано в том, чтобы подобная система, во-первых, возникла, а во-вторых, имела минимальное количество слабых звеньев, тонких мест и уязвимостей.
Опираясь на имеющийся опыт, рискну сказать, что все же наиболее реалистичным и реализуемым мне все же представляется первый вариант – государство при поддержке бизнес-сообщества. Хотя бы потому, что второй предполагает очень высокую степень самоорганизации искомого сообщества, а он, похоже, пока не достигнут. Все же конкуренция вносит свою лепту, да и национальная психология тоже (как известно, многие у нас крестятся, только услышав раскаты грома). Но хорошо уже то, что данная проблема все чаще поднимается на высокий экспертный уровень. Это внушает надежду.
Анастасия Скогорева