Редколонка / июнь 2022
Единство безопасности

Юлия
Мельникова

корреспондент, заместитель выпускающего редактора ComNews.ru
© ComNews
20.06.2022

В России впервые может появиться отдельный госорган, занимающийся вопросами информационной безопасности (ИБ). К его созданию подстегнула кибервойна против России, развернувшаяся после начала специальной военной операции на Украине. Если государство не возьмет на себя эту функцию, создав новый орган либо наделив всей полнотой полномочий один из имеющихся, отрасль ИБ в России будет самоорганизовываться "снизу", что не исключает потери оперативного контроля над столь важной сферой.

Идея создать в России отдельное министерство по ИБ озвучивалась и раньше - как со стороны экспертного сообщества, так и отдельными представителями отрасли. Одна из инициатив звучала, например, в феврале 2020 года.

https://www.comnews.ru/content/204779/2020-02-28/2020-w09/rossii-mozhet-poyavitsya-ministerstvo-informacionnoy-bezopasnosti

До 24 февраля 2022 года сверху не поступало сколько-нибудь внятных сигналов об отношении к этой идее. По крайней мере, акцентированные разговоры о необходимости создавать специализированный орган по ИБ не звучали из уст чиновников и политиков с той регулярностью, что мы видим сейчас.

Специальная военная операция на Украине обострила до крайности ситуацию с кибератаками на российские компании, организации и госорганы. Соответственно, и тема безопасности данных в киберпространстве стала предметом более пристального внимания как чиновников, так и законотворцев. Одним из направлений, за которое плотно взялись регуляторы, стал контроль за персональными данными россиян. В частности, уже прозвучали инициативы ввести уголовную ответственность за продажу украденных персональных данных, и идет разработка соответствующего законопроекта:

https://www.comnews.ru/content/220460/2022-05-30/2022-w22/za-prodazhu-personalnykh-dannykh-budut-sazhat

Включились в тему и политики. Например, в середине мая председатель партии "Справедливая Россия - За правду" Сергей Миронов выступил с инициативой создать подведомственную Минцифры надзорную службу - Госинформнадзор, которая занялась бы защитой персональных данных. Он отметил, что есть и другой вариант: не создавать новую структуру, а расширить полномочия действующей - Роскомнадзора.

https://www.comnews.ru/content/220244/2022-05-17/2022-w20/dlya-zaschity-persdannykh-predlagayut-sozdat-novoe-vedomstvo

Заботой о безопасности персданных ситуация не ограничивается. Судя по риторике вокруг ИБ и данным, которые приводят корпорации типа Сбера и "Ростелекома" о количестве кибератак, ситуация с ИБ в России настолько обострилась, что требуется отдельная госструктура, чтобы взять под пристальный контроль эту сферу в условиях, все больше походящих на кибервойну.

И вот уже подобная идея прозвучала на одной из основных государственных площадок - Петербургском международном экономическом форуме (ПМЭФ). Заместитель председателя правления Сбербанка Станислав Кузнецов заявил, что против России идет кибервойна, и напомнил о недавнем заседании Совета безопасности, на котором президент РФ сказал о необходимости улучшения системы ИБ страны. "Очевидно, президент подразумевал, что не все в порядке. Если один из органов государственной власти, которые занимаются этим направлением все понемногу, не возьмет на себя полную единоличную ответственность за организацию системной работы в стране по направлению кибербезопасности, значит, надо создавать новый орган. А если возьмет, а их у нас всего несколько, - мы поможем. Кибербезопасность не живет сама по себе, она защищает ИТ-инфраструктуру. И если в ИТ-инфраструктуре страны бардак, давайте наводить порядок в этом бардаке", - предложил Станислав Кузнецов.

https://www.comnews.ru/content/220759/2022-06-17/2022-w24/kibervoyna-poroge-ili-voshla

Эти слова зампред правления Сбербанка произнес в ответ на заявление замминистра цифрового развития, связи и массовых коммуникаций РФ Александра Шойтова о том, что в России кибервойна не идет. "Когда такие атаки начнутся, когда мы сможем сказать, что атаку осуществляет иностранное государство, это будет реальная военная операция. Она все-таки еще не идет, с моей точки зрения", - сказал Александр Шойтов.

Методичная и системная работа по наведению порядка в сфере ИБ (которая является неотъемлемой частью ИТ), похоже, началась. Значимые шаги, с учетом обстоятельств, предприняты. В частности, принят указ президента РФ №250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации" (появился 1 мая 2022 года).

https://www.comnews.ru/content/220143/2022-05-11/2022-w19/bezopasnaya-personalnaya-otvetstvennost

Справедливости ради нужно сказать, что ИТ-отрасль в России в последнее время - одна из самых обласканных мерами поддержки государства, которые так и сыплются пакетами на ИТ-компании и их сотрудников.

Вместе с тем именно ИБ-отрасли пристального контроля и внимания со стороны регулятора явно не хватает. Коммерческие компании, да и государственные органы, даже в нынешних условиях зачастую вынуждены справляться с вопросами ИБ самостоятельно. Чем меньше по размеру компания, тем больше она пренебрегает ИБ. Частично это происходит из-за нехватки средств - финансирование на ИБ зачастую выделяется в компаниях по остаточному принципу. Кроме того, киберграмотности населения и бизнеса (и конкретно знаниям в области ИБ) в России на государственном уровне уделяется далеко не первостепенное значение, а ИБ-специалистов не хватает.

В такой ситуации одними угрозами сажать за торговлю персональными данными, а также обязательным назначением замруководителя по ИБ в каждом ведомстве, учреждении и системообразующих организациях (такое требование содержит указ президента РФ №250) не обойтись. Разрозненные инициативы если и дадут эффект, то очевидно не такой масштабный, какой необходим в создавшейся обстановке.

Если государство не возьмет ситуацию с кибербезопасностью под единый контроль, то эта отрасль все равно упорядочится (поскольку она слишком важна для нормального функционирования государства, бизнеса и общества), но организация ее пойдет "снизу" и, как это обычно бывает, без единого центра. То есть мы рискуем получить лоскутное одеяло из отраслевых сообществ разных направлений ИБ и принятые ими десятки кодексов и сводов правил.

Например, на том же ПМЭФ медиаотрасли было предложено создать центр компетенций, а также консорциум СМИ по вопросам ИБ. "Медиаиндустрии нужно понять, что теперь она находится на передовой киберпротивостояния и информационной войны, а риски у вас специфические, - сказал генеральный директор Positive Technologies Денис Баранов. - Опыт отечественных медиа, и Rutube в частности, отчетливо сигнализирует, что медиаотрасли необходимо пересмотреть отношение к кибербезопасности. Нужно собрать большой консорциум всех представителей СМИ, понять, чего вам на самом деле следует бояться, какие есть недопустимые риски".

Государству, скорее всего, предстоит взять на себя полноценно и ответственно функцию координатора всего ИБ в России и создать для этого отдельное ведомство. Новой госорган потребует расходов из госбюджета, и это может быть оправданно только при наличии у такой структуры экспертных и силовых полномочий. Кроме того, нужно будет обосновать, почему новое ведомство необходимо вместо делегирования полномочий ФСБ, ФСТЭК, Роскомнадзору и иным ведомствам. Кроме того, в новый госорган потребуются самые компетентные в области ИБ специалисты, каковых в России немного. Новому "министерству информационной безопасности" придется предоставить сотрудникам такие условия труда, чтобы они захотели работать в этой структуре.