Sberbank ICC 2019

Sberbank ICC 2019

В царской России, как считалось, было две беды – дураки и дороги. Бедой цифровой экономики является, похоже, цифровой хаос. Этот термин можно считать своеобразным открытием Международного конгресса по кибербезопасности. Он вошел в название доклада руководителя службы кибербезопасности Сбербанка Сергея Лебедя и активно использовался им в выступлении.

ОСОЗНАТЬ И ПРИНЯТЬ… УЩЕРБНОСТЬ КОНТРОЛЯ

В научно-методическом контексте «цифровой хаос» – это обобщённая мера рисков управления ИТ-системой, проистекающих из осознанной ущербности контроля на основе современного подхода к управлению – риск-менеджмента, и отказа от «архаичного» управления ИТ и КИИ «по требованиям».

И первым из факторов, определяющих риски, в докладе г-на Лебедя были названы не хакеры, а сами по себе технологии и процессы их внедрения. Оказывается, а нет оснований не верить руководителю службы кибербезопасности Сбербанка, инновации в ИТ или, скорее, инновации на основе ИТ, сегодня часто внедряются:

• в условиях внутреннего сопротивления персонала, не готового к инновациям;
• в условиях нехватки специалистов с квалификацией, позволяющей обслуживать новую инфраструктуру;
• в условиях, когда новая инфраструктура должна существовать в соседстве с тем оборудованием и/или приложениями, которые обозначаются иностранным словом «легаси», созданными, естественно, без учёта особенностей «инновационных» продуктов.

Ещё одним важным откровением в этом выступлении было упоминание о существовании «кирпичей» в современной ИТ-инфраструктуре. Речь о приложениях и оборудовании, которые вроде бы работают, но тонкости их функционирования остаются тайной за семью печатями как для пользователей, так и для эксплуатирующего персонала.

ИНЖЕНЕРНУЮ КУЛЬТУРУ – НАХ!

Уже содержание преамбулы доклада г-на Лебедя указывает на инженерную авантюрность нынешней ситуации с внедрением новых цифровых «технологий» на основе анализа рисков. Да и лингвистический анализ указывает на то, что хорошее дело «хаосом» не назовут.

Технологии и принципы внедрения инфраструктуры «индустрии 4.0» ломают сложившуюся и хорошо зарекомендовавшую себя инженерную культуру.В результате оказывается, что киберапокалипсис вполне достижим и без усилий лиц, обосновавшихся в «даркнете».

В ЗЕРКАЛЕ АНЕКДОТА

Краткое, но образное изложение коренных различий старой и новой культур содержится в анекдоте. Его суть в том, что при поломке автомобиля, в котором едут бизнесмен, инженер и «айтишник» лишь инженер предлагает изучить документацию и, проанализировав поломку, устранить её.

Бизнесмен же предлагает протереть зеркало заднего вида и проверить давление в шинах, а «айтишник» -выйти из машины и зайти в неё снова. И сегодня бизнесмен и «айтишник» зачастую оказываются союзниками в их стремлении к минималистичной операционной «эффективности».

В ЗЕРКАЛЕ ЖИЗНИ

Один из итогов наступления новой эры «индустрии 4.0.» – две резонансные катастрофы с «киберфизическими» боингами и ещё ряд катастроф авиатехники, менее резонансных, но с той же природой произошедшего. А природа – в точности как в докладе г-на Лебедя: технологии-«кирпичи» в современной авионике и отсутствие понимания того, какова должна быть квалификация лётного состава «киберфизических» самолётов.

И уже есть примеры активного сопротивления лётчиков пересаживанию их на «кирпичи» с крыльями.

КТО ОТВЕТИТ? ВОТ В ЧЕМ ВОПРОС

Автоматизированный блиц-опрос, инициированный модератором самой первой панельной дискуссии на ICC 2019 показал, что 17% аудитории считает, что ответственность за обеспечение кибербезопасности лежит на государстве, 42% полагают, что за это должны отвечать поставщики услуг, а 41% возложил ответственность на пользователей.

При этом министр цифрового развития Константин Носков оказался многолик: «Как министр я выбрал первый вариант – государство, как частное лицо – третий, то есть пользователь».

Т.е. цифры, пусть и полученные «навскидку», указывают на то, что сегодня в нашей стране отсутствует распределение ответственности – по сути организационной основы для решения проблем кибербезопасности.

В этих обстоятельствах заслуживает внимания мнение президента Совета по кибербезопасности Германии Ханса-Вильгельма Дюна, что ответственность за кибербезопасность оборудования и услуг (которая должна быть «встроенной») должны нести вендоры, а регуляторы и надзорные органы должны иметь полную информацию о тонкостях работы предлагаемого для «индустрии 4.0» оборудования и приложений. И никаких «кирпичей»!

«ОЧКОВ С ПОЛДЮЖИНЫ СЕБЕ ДОСТАЛА…»

На фоне конкретики высказываний президента Совета по кибербезопасности Германии диссонансом звучат высказывания отечественных ЛПРов, в которых слышится лишь тасуемый набор терминов, но отсутствует связующая их мысль и осознание реалий жизни.

«… сквозные технологии, обладание которыми будет определять преимущества и глобальное неравенство. Они нам хорошо известны: это искусственный интеллект, это индустрия сетей беспроводной связи, это сети связи пятого поколения, сети, которые обеспечивают работу интернета вещей, … »

Кто бы объяснил, в чём видится вице-премьеру РФ Максиму Акимову разница между индустрией сетей беспроводной связи, сетями связи пятого поколения, сетями, которые обеспечивают работу интернета вещей?

В то время, как президент Совета по кибербезопасности Германии высказывает озабоченность защитой в киберпространстве небольших семейных компаний своей страны, вице-премьер России озабочен мировыми проблемами: «… мы сосредоточены сейчас на проблемах, которые проистекают из того, что половина населения мира носит мобильные устройства с интернетом. А если каждого человека через 5 лет будет окружать около 20 мобильных устройств?»

Но вызывает сомнение, что в странах, где лишь считанные проценты населения обладают более, чем 90% богатств, «каждого человека через 5 лет будет окружать около 20 мобильных устройств». И проблема не в количестве мобильных устройств, окружающих простого человека, а в наличии встроенной и «прозрачной» для цифрового обывателя качественной киберзащиты хотя бы одного смартфона.

БЕЗОПАСНОСТЬ НЕ В СКОРОСТИ, А В ПРИНЦИПЕ

Более прагматично рассуждает на ICC 2019 руководитель службы кибербезопасности Сбербанка, но не странно ли, что дипломированный инженер и кандидат технических наук видит серьёзный риск для кибербезопасности при внедрении связи 5G в первую очередь в её скорости: «за секунду весь телефон улетит в облако – и всё»?

Следуя этой логике, серьёзный риск авиации в том, что аэропланы летают.

И не странно ли, что ответ на ситуацию «за секунду весь телефон улетит в облако – и всё» Сергей Лебедь видит в том, чтобы «повышать нашу скорость реагирования, обнаружения, защиты, реакции»?

Сможет ли в реальной жизни «повышать нашу скорость реагирования, обнаружения, защиты, реакции» обладатель даже не 20, а одного единственного мобильного устройства, если у него нет полноценной инструкции по эксплуатации этого «оборудования», а вендор фактически официально предлагает цифровому обывателю осваивать покупку методом проб и ошибок?

Может, например, в конкретной упомянутой ситуации стоит задуматься над тем, чтобы уж коли 5G будет внедрена в персональные устройства, то их конструкция должна отвечать требованиям, не позволяющим в принципе улететь в облако«всему телефону»?

НЕ ВСЕ ТАК БОГАТЫ

Руководитель службы кибербезопасности Сбербанка не видит больших проблем в реализации принципов риск-менеджмента при обеспечении кибербезопасности своей организации. Две-три «песочницы» в районе «периметра», быстрые технологии обнаружения угроз и быстрые же технологии для восстановления «упавших» приложений – вот «серебряные» пули для защиты от киберугроз крупной организации.

Но все ли «банки с базовой лицензией» и просто население нашей страны, вовлекаемое в процессы цифрового хаоса, обладают таким «боезапасом»?

Президент Совета по кибербезопасности Германии Ханс-Вильгельм Дюнн не забывает о том, что значительное количество бизнеса в Германии – семейные компании, предоставляющие качественные товары и услуги в рамках своих профессиональных компетенций, но не имеющие достаточного опыта и знаний в области обеспечения ИБ. И их интересы в этой сфере должны быть защищены в первую очередь ответственностью вендоров цифрового оборудования, а не «страховыми» технологиями. К такой постановке вопроса имеет смысл прислушиваться отечественным регуляторам. Управление «по требованиям» и риск-менеджмент не должны быть альтернативами, они должны работать совместно.

«Безопасный мир – будущее или утопия?». Тезисы участников пленарной сессии Sberbank ICC 2019.  

Дмитрий Медведев, Председатель Правительства

- Проблема киберпреступности входит в пятёрку глобальных рисков в рейтинге Всемирного экономического форума. Международное экспертное сообщество зачастую ставит её выше всяких других угроз, даже таких опасных и страшных, как терроризм, глобальные экологические проблемы. Потери мировой экономики от киберпреступности оцениваются в этом году в $2,5 трлн, что сравнимо с совокупным ВВП всех африканских стран.

Необходимо выработать общемировые стандарты противодействия киберугрозам. Но одними государственными усилиями проблему киберугроз не решить. К этому процессу должны подключиться все, в том числе представители бизнеса.

Эльвира Набиуллина, председатель Центрального банка РФ

- Руководители компаний и банков часто думают: да, меня пронесло сегодня. Я назначу человека ответственного, который будет отвечать за кибербезопасность, и он все решит. Но я согласна с коллегами: это не техническая проблема, а проблема управления киберрисками. Мы не научились управлять киберрисками. Руководители компаний, в том числе финансового сектора, не понимают масштаб угроз.

С прошлого года Центральный банк как регулятор имеет полномочия осуществлять надзор за финансовыми институтами с точки зрения того, как они выполняют требования по кибербезопасности. В прошлом году мы проверили 58 банков, в этом году 75 и во всех были найдены проблемы, нарушения. Выявленные недостатки нельзя назвать критическими, но они могут стать серьезными, если финансовые институты не будут придавать им значение. Основные причины этого: бизнес-процессы пока не включают в себя управление киберрисками, даже если есть компетентный человек, он не сможет ничего сделать, и второе – не хватает компетентных людей. Необходимо чтобы организации обучали своих сотрудников и встраивали в бизнес-процессы вопросы кибербезопасности.

Все действуют в конкурентной среде и часто экономят на кибербезопасности. Но защищенность от киберрисков и уровень кибербезопасности скоро станут конкурентным преимуществом компаний, потому что люди будут обращаться в те организации, где будут уверены, что там обеспечен высокий уровень кибербезопасности.

В Банке России создан новый департамент, функциями которого является, в том числе сбор информации о кибератаках. У организаций есть желание скрыть информацию об инцидентах. Руководители финансовых организаций считают, что это может подорвать доверие клиентов. Поэтому добровольный обмен информацией мы будем сочетать снадзором. Это чрезвычайно важно для защиты прав клиентов.

Герман Греф, президент, председатель правления Сбербанка

Отметил, что чем больше погружаешься в проблему кибербезопасности, тем хуже спишь. Привел в качестве примеров хищение данных ВИЧ-инфицированных в Сингапуре и атаку на сеть военных госпиталей в Бахрейне.

«Когда ты начинаешь понимать, насколько сложно защитить все элементы современных систем, ты понимаешь, что для этого нужно не только иметь очень мощную компетенцию внутри, но для этого нужна очень серьезная кооперация. Собственно говоря, мы с нашими партнёрами вместе выходим на этот форум с главной идеей – мы для себя какое-то количество лет назад сделали абсолютный вывод, что мы чувствуем себя уязвимыми и у нас есть страх перед будущим. Потому что мы видим, что самостоятельно эту проблему не решим. Всё больше и больше происходит процесс диджитализации, и экспоненциально растут риски кибербезопасности».

Два года назад мы ввели в действие SOC и были уверены, что достигли очередной планки соответствия, но сейчас понимаем, сколько нам еще нужно сделать.

Максим Акимов, заместитель председателя Правительства РФ

Подчеркнул, что лишь осознание лидерами государств важности данной повестки может обеспечить безопасное мировое будущее. Отметил, что необходимость развития кибербезопасности связана с экспоненциальным ростом цифровых технологий, которые изменяют все бизнес-процессы, определяя уровень безопасности пользователей. Для привлечения внимания руководителей к вопросам безопасности предложил: «Наверное, стоит иногда какие-то атаки на персональные устройства некоторым руководителям инициировать, чтобы они понимали степень своей собственной уязвимости. Может, стоит за это специально заплатить».

Алоис Цвингги, руководитель Центра кибербезопасности Всемирного экономического форума

- На Всемирном экономическом форуме мы пришли к необходимости создания центра кибербезопасности. Для руководителей крупных компаний проблема кибербезопасности – вопрос стратегии, вопрос обеспечения существования компании.

Кайрат Келимбетов, управляющий Международного финансового центра, Казахстан

Киберзлоумышленники работают в трансграничном масштабе, и ответ тоже должен быть трансграничным. Поэтому нам нужно двигаться в эту сторону вместе и понимать угрозы, которые стоят перед нами. Международный финансовый центр «Астана» совместно со Сбербанком также считают, что инициатива коалиционно выступать против угроз кибербезопасности должна расширяться на многие регионы, в том числе на регион Евразийского экономического союза.

Автор: Никифор Ковалёв