Точка зрения / декабрь 2019
Сложная, но необходимая работа 

Наталья Касперская
руководитель группы "Информационная безопасность" АНО "Цифровая экономика", президент ГК InfoWatch
05.12.2019

О том, какую роль информационная безопасность играет в процессе цифровизации, а также как строится взаимодействие рабочих групп в рамках АНО "Цифровая экономика", обозревателю "Стандарта" ‌‌‌Якову Шпунту на полях конференции BIS Summit 2019 рассказала руководитель группы "Информационная безопасность" АНО "Цифровая экономика", президент ГК InfoWatch ‌‌Наталья Касперская.

Необходимость обеспечения информационной безопасности часто воспринимается бизнесом как досадное обременение. Как переломить эту ситуацию?

- Действительно, внедрение или усиление мер безопасности в ходе реализации любого проекта, будь то ИТ или другая сфера, далеко не всегда проходит легко и безболезненно. Причем это относится как к информационной, так и к общей безопасности. Можно провести аналогию с рамками на входе в аэропорты и вокзалы, которые у многих вызывают раздражение, так как порождают очереди, не говоря уже о необходимости закупать дорогое оборудование и набирать дополнительный персонал. Но, с другой стороны, в том числе и благодаря таким мерам безопасности, террористических актов в нашей стране на этих объектах не было уже более шести лет.

Также владельцам бизнеса приходится регулярно пересматривать модели угроз. Например, после событий сентября 2019 года, когда атаке беспилотников подвергся нефтеперерабатывающий завод компании Saudi Aramco, встал вопрос о том, как потенциально уязвимым объектам, а это любые предприятия, использующие Интернет, защищаться от подобного рода угроз.

В любом случае, безопасность является для бизнеса отягощением. Да, бывает, что меры безопасности облегчают решение некоторых задач, но такое случается редко. Поэтому бизнес должен принимать решение, готов ли он инвестировать в безопасность, которая напрямую выгод не приносит. Как правило, желание инвестировать в безопасность резко вырастает после первого серьезного инцидента, особенно если он нанес серьезный ущерб, который может быть убийственным для бизнеса.

Каково место направления "Информационная безопасность" в нацпроекте "Цифровая экономика РФ"?

- По объему финансирования это направление находится на последнем месте, и это обидно. Семнадцать миллиардов рублей, которые выделены на реализацию мер по направлению "Информационная безопасность" на три года, – ​сумма ничтожная для обеспечения безопасности такой огромной страны.

В самый конец списка приоритетов нацпрограммы попало и все, что относится к импортозамещению. Мы, как ассоциация разработчиков отечественных программных продуктов, будем стремиться к тому, чтобы тема импортозамещения занимала более значительное место. Это нужно для поддержки фундаментальных отечественных разработок, таких как операционные системы, СУБД, САПРы, системы управления предприятиями, то есть таких областей, где чисто рыночным способом прорваться не удастся. Там нужна помощь государства. Заместитель министра цифрового развития, связи и массовых коммуникаций РФ Алексей Соколов предлагает, чтобы приоритетные разработки такого рода шли с 50 %-ным софинансированием со стороны разработчиков. По каким-то направлениям софинансирование возможно. Но, например, у разработчиков операционных систем таких денег просто нет. То есть нужна большая гибкость в способах поддержки. Мы, как ассоциация разработчиков российских программных продуктов, будем за это бороться.

Какие проблемы с импортозамещением ИБ-продуктов актуальны? Есть ли сегменты, где отечественным разработчикам не удалось создать альтернативу западным решениям?

- Мне неизвестны ниши, где не существует конкурентоспособных отечественных продуктов в области информационной безопасности. Более того, по многим направлениям российским разработчикам удалось практически полностью вытеснить иностранных игроков. Но это относится только к сегменту программных решений. Как только речь заходит об аппаратных компонентах или о программно-аппаратных комплексах, там пока у нас много иностранного.

Нужно ли России стремиться к самодостаточности в области ИТ? Возможно ли это при текущем уровне развития отечественной электронной промышленности?

- Я думаю, что это вопрос не о том, чтобы обеспечить полное импортозамещение, а о том, чтобы снизить информационные риски страны. Например, российские объекты критической инфраструктуры базируются на американских и европейских технологиях, и в случае резкого ухудшения политических отношений, в работу таких объектов можно вмешаться извне или вовсе отключить их дистанционно. Не секрет, что такие возможности есть, поскольку все современные технологии имеют средства удаленного контроля. Это означает, что оборудование иностранного производства находится под контролем другого государства. Вы, наверно, уже слышали о раскрытии произошедшего с "Газпромом" инцидента, когда австрийский производитель компрессоров дистанционно их отключил. И таких инцидентов, на самом деле, много.

В отсутствие доверенной компонентной базы, защититься от таких угроз крайне сложно, так как внешние, так называемые наложенные средства безопасности, от закладок и бэкдоров на аппаратном уровне спасти не могут.

Не внедрять новые технологии и отстать или внедрять новшества, но столкнуться с массой проблем. Что выбрать?

- Тут очень сильно зависит от конкретных технологий. Возьмем, к примеру, направление развития искусственного интеллекта. В стране принята специальная программа, на которую выделено 90 млрд рублей. Это в пять раз больше, чем на реализацию мер по информационной безопасности в рамках нацпроекта. Возможно, это объясняется тем, что искусственный интеллект является технологией двойного назначения, у которой, помимо гражданских, есть и военные применения. Что касается квантовых технологий, то их массовое внедрение скомпрометирует все традиционные средства криптозащиты, шифрования информации. Отставание тут совершенно недопустимо, эти технологии нужно внедрять форсированно. С Интернетом вещей (IoT) все намного сложнее. С одной стороны, внедрение данных технологий позволяет существенно снизить расходы бизнеса на производство, с другой, внедрение IoT несет в себе новые большие риски, особенно, если внедрять не отечественные, а западные технологии и стандарты.

Полагаю, что большинству технологий можно обеспечить защиту, если еще при их разработке, на уровне архитектуры, предусмотреть необходимые меры обеспечения их безопасности. Возьмем, для примера, технологии "умного" дома. Надо на уровне проектирования закладывать дублирующие системы, планировать разделение доступа, защиту всех точек выхода в Интернет и т. д. В этом случае многие из новых рисков, связанных с этой технологией, можно значительно снизить.

Насколько часто вам приходится исправлять ситуации, когда имел место серьезный инцидент или информационная система оказалась уязвимой? Насколько большим бывает объем работ по исправлению подобных ситуаций?

- Нашей компании, специализирующейся на решениях в области информационной безопасности, приходится постоянно сталкиваться с такими ситуациями. Обычно нас привлекают в случае утечки данных или когда произошел другой серьезный инцидент, связанный с информационными технологиями. Практически всегда приходится делать корректировки в настройках безопасности клиентов, а иногда – ​и в нашем программном продукте. Дело в том, что любая безопасность – ​это всегда борьба щита и меча. Мы отработали несколько сценариев защиты, например, перекрыли определенные каналы утечки информации, злоумышленники изучили нашу систему и придумали способ ее обхода. Мы этот способ включили в стандартную поставку, злоумышленники придумали следующий. Это особенно заметно в индустрии антивирусов. Когда я только начинала работать в антивирусной компании, в мире существовало несколько десятков вирусов. В мире! Сейчас они появляются миллионами в год, мутируют, прячутся, самоуничтожаются, когда их заметили, атакуют и деинсталлируют антивирус. За это время антивирус из простой системы обнаружения известных вирусов превратился в гигантскую систему искусственного интеллекта (ИИ), использующую десятки разных алгоритмов для перехвата работы злоумышленников.

С активизацией цифровизации во всех сферах ситуация с информационной безопасностью ухудшается. Разработчики средств защиты просто не успевают за тем валом ухищрений, которыми пользуются злоумышленники, желающие направить технологии на собственные цели. Причем новые технологии несут новые риски. В качестве примера можно привести случай с подделкой электронной подписи в ходе мошеннической сделки с недвижимостью, имевшей место в начале этого года. Злоумышленники взломали личный кабинет на сайте госуслуг и перевели квартиру на себя так, что владелец даже не знал об этом. К такому повороту дел пока не готовы ни граждане, ни законодательство. И, видимо, нам придется еще какое-то время сохранять бумажный документооборот как запасной вариант от подобных атак или на случаи сбоев в электронной системе.

Представители разных отраслей говорят о нехватке специалистов в области ИТ и ИБ, а также о том, что российские вузы готовят их в недостаточном количестве. Как можно исправить эту ситуацию? Реально ли преодолеть дефицит кадров за счет переподготовки специалистов?
Есть точка зрения спецпредставителя президента РФ по цифровому и технологическому развитию Дмитрия Пескова, которую он изложил на конференции ЦИПР 2019. По его оценке, уже через несколько лет потребность в кадрах только по ИТ-специальностям будет превышать возможности всего российского профессионального образования. Но я бы не стала настолько драматизировать ситуацию. Интерес будущих абитуриентов к специальностям, связанным с ИТ и ИБ, реально растет. В свете того, что нет недостатка в желающих, в вузах появляется больше мест.

В школах открывается все больше математических классов. Начиная с пятого класса, детей распределяют по нескольким направлениям, включая математическое, которое ­пользуется большой популярностью. В школе, где учатся мои младшие дети, из четырех классов в параллели два математических. В восьмом классе уже изучают теорию вероятностей! Это хорошая тенденция. Ведь выпускники таких классов с большой долей вероятности пойдут в ИТ или, по крайней мере, на технические специальности.

Но объективная нехватка кадров есть. Во многом это связано с демографическими процессами. Наверное, нам надо думать о том, чтобы заниматься репатриацией уехавших соотечественников. Создавать программистам здесь привлекательные условия, ставить интересные задачи.

Может ли искусственный интеллект вытеснить людей из сферы безопасности? Если да, то кого именно?

- Искусственный интеллект должен освободить людей от выполнения рутинных операций. Приведу в пример продукт InfoWatch Traffic Monitor. Первые версии данного решения генерировали большой объем данных о ­возможных инцидентах безопасности, и оператор должен был выделять те из них, за которыми может скрываться какой-то критичный инцидент. Сейчас мы сделали систему визуализации, которая отсеивает заведомо малозначимые события, что существенно снижает нагрузку на оператора. Но, с другой стороны, человек не устраняется совсем. Более того, я уверена, что искусственному интеллекту ни в коем случае нельзя доверять принятие решений, касающихся людей. ИИ должен показывать развилки возможных вариантов действий, подсказывая решения, но не принимать их самостоятельно.

"Искусственный интеллект должен показывать развилки возможных вариантов действий, подсказывая решения, но не принимать их самостоятельно"

Что касается более широкого рассуждения о том, какие профессии исчезнут или появятся, я не футуролог и рассуждать публично на эту тему не хочу.

Наряду с кадрами, серьезным препятствием для цифровизации является устаревшая нормативная база. Так ли это в области информационной безопасности? Участвуете ли вы в доработке нормативной базы?

- В рамках нацпроекта "Цифровая экономика РФ" реализуется подпроект "Нормативное регулирование цифровой среды". В ходе подпроекта корректируется или разрабатывается огромное количество различных актов. При этом в разработке такая схема, при которой предполагается создание двух-трех рамочных законов, которые будут регламентировать те или иные сферы. Дальше все будет регулироваться подзаконными актами, которые намного проще скорректировать, если в этом возникнет необходимость. Ведь разработка и принятие закона – ​процедура длительная. Достаточно вспомнить, сколько времени заняла работа над законом 187‑ФЗ "О безопасности критической информационной инфраструктуры РФ" (работа над законом продолжалась с 2006 года по 2017 год, – ​прим. "Стандарта").

Также нацпроект предусматривает создание так называемых регуляторных "песочниц", в которых будет отрабатываться действие тех или иных актов применительно к различным сферам. С данным инструментом в рамках подготовки различных нормативных актов смогут работать все заинтересованные стороны. Такую "песочницу" для финтеха уже создал Центральный банк, на очереди и другие ведомства и организации.

Участвующие в реализации нацпроекта рабочие ­группы сотрудничают между собой, имеет место своего рода "перекрестное опыление". Два-три представителя группы "Информационная безопасность" участвуют в работе группы "Нормативное регулирование цифровой среды". Представители других групп привлекаются к нашей работе. Вместе мы обсуждаем вопросы, которые возникают на стыке наших сфер деятельности. Лично я в работе по корректировке нормативной базы не участвую. Я не юрист, каждый должен заниматься тем, что умеет.