Если вдруг вы занялись цифровизацией, то обязаны заниматься ИБ…

О безопасной цифровизации говорили представители регуляторов, федеральных органов исполнительной власти, крупных корпораций, эксперты в области ИБ, участвовавшие в ключевой дискуссии «Безопасная Цифровизация», которая прошла в Магнитогорске в рамках форума «Цифровая устойчивость и информационная безопасность России».

Открывший дискуссию заместитель министра цифрового развития, связи и массовых коммуникаций РФ Александр Шойтов выступил перед аудиторией с приветственным словом в формате онлайн и подвел пере итоги 2022 г.

По его словам, сейчас уже надо от первоочередных шагов переходить к системным и перспективным мерам. Однако при этом возникают вопросы. Например, руководители компаний, которые теперь тоже должны принимать активное участие в защите информации, поскольку на них возложена такая ответственность, задаются вопросом, что им нужно конкретно делать. Их необходимо сориентировать технически и снабдить необходимыми знаниями верхнеуровнего характера, которые необходимы именно руководителям, сказал Александр Шойтов. Он отметил, что руководители переходят от вопросов надо или не надо выполнять те или иные требования, к вопросам как и что надо делать. В завершение своего выступления Александр Шойтов отметил важность проводимых конференций в сфере информационной безопасности.

Правильность проводимой регуляторной политики отметил и Владимир Бенгин, директор департамента обеспечения кибербезопасности Минцифры России. Хорошая регуляторика позволила прожить прошлый год без катастроф, подчеркнул он, обратив внимание собравшихся на то, что Минцифры видит новые типы угроз и предстоит еще многое сделать. Важно, что после выхода Указа президента России от 1 мая 2022 г. № 250 проблема кибербезопасности из глубин отделов ИБ поднята на уровень персональной ответственности руководителей компаний. Для организаций, которые профессионально занимаются кибербезопасностью и у которых уровень ИБ высок, вообще нет никаких проблем, но для всех остальных, для огромной страны, для десятков тысяч организаций, это будет непросто, сказал представитель министерства. «Большие люди приходят в Минцифры с удивлением, что должны отвечать за ИБ как за пожарную безопасность», - подчеркнул Владимир Бенгин.

О том, как решают вопросы информационной безопасности на уровне федерального округа рассказал Евгений Гурарий, помощник полномочного представителя Президента России в Уральском федеральном округе.

Возвращаясь к теме дискуссии, «Безопасной Цифровизации», представитель Национального координационного центра по компьютерным инцидентам (НКЦКИ) Сергей Корелов отметил, что до выхода нормативно-правовых актов в области ИБ, в частности 166-го и 250-го Указов, Приказа ФСБ России №77 многие организации не задумывались о вопросах ИБ. Кто-то занимался «бумажной» безопасностью, кто-то считал, что организация неинтересна хакерам, поэтому ИС не была защищена должным образом, а кто-то не подпадал под действия требований регуляторов. Однако, как показала практика, и организация может оказаться интересной для взлома, хотя бы для того, чтобы создать инфоповод и разместить какие-то провокационные материалы, и украденные данные не хочется раскрывать конкурентам.

Отвечая на вопрос модератора дискуссии Алексея Бобровского, экономического эксперта RT как влияют ли процессы цифровизации на уровень защищенности критической инфраструктуры, представитель регулятора отметил, что «Цифровизация нужна конкретной отрасли. ИБ нужна при цифровизации».

«Внедряя цифровые процессы в бизнес надо задумываться, к чему они могут привести с т. з. безопасности данных. Надо в обязательном порядке рассматривать угрозы и как их нивелировать», — отметил представитель НКЦКИ. — «Техническая плоскость проблем компьютерных инцидентов - это отражение более глубинных причин».

О том, что не всякая цифровизация несет угрозы, напомнил и Владимир Бенгин, приведя пример избыточного использования в быту паспортных данных, например, при регистрации в гостинице. «При цифровизации важно дать безопасный механизм подтверждения, — поддержал коллегу и представитель НКЦКИ. — Цифровизация и ее объем несут угрозы».

«Но если вдруг вы занялись цифровизацией, то обязаны заниматься ИБ», — подчеркнул чиновник Минцифры, обратив внимание на принцип «Secure by Design».

«Любая цифровизация порождает иные виды угроз, которых не было раньше. Задача и вопрос к безопаснику — готов ли он перейти к тому, чего не было раньше», — поделился практическим опытом цифровизации финансовой сферы Артем Сычев, советник генерального директора по взаимодействию с госсектором компании Positive Technologies. — «Любая цифровизация дает новый вид угроз и требует перестройки мозгов как парировать риски на уровне процессов и технологий. Это важно сейчас, учитывая внешние обстоятельства. Абсолютной безопасности нет и не будет. Важно видеть, как тебя атакуют, нейтрализовать это и устранить последствия». И здесь возникает вопрос кадров. «Для прогнозирования процессов должны быть люди», — отметил эксперт..

О том, насколько компании понимают текущие вывозы, рассказал на примере ОАО «РЖД» Юрий Ногинов, начальник Департамента управления информационной безопасностью.

Он подчеркнул, что РЖД — крупная компания с огромной структурой, информационные системы которой должны функционировать в режиме онлайн с учетом территориально-распределенной схемы, чтобы, покупая билет в Калининграде, он был сразу отмечен как проданный во Владивостоке. ОАО «РЖД» — это много компаний со своей сложной инфраструктурой и зависимостями бизнес-процессов.

Цифровизация несет новые вызовы и угрозы такой корпорации, — отметил представитель РЖД. И хотя документы и требования, предоставляемые регуляторами, значительно облегчают работу, многие задачи в классическом понимании не реализуемы, учитывая непрерывность бизнес-процессов. В РЖД понимают, что вся ответственность за безопасность лежит на руководстве компании. В компании выделено порядка 200 объектов КИИ, работа по категорированию продолжается.

Говоря о перспективах, в рамках развития вопросов кибербезопасности, РЖД планирует создание собственной киберлаборатории для прогнозирования будущих угроз, с учетом развития технологий, в т. ч. квантовых.

Отвечая на вопрос модератора, какие еще меры в рамках 250-го Указа предстоит реализовать для повышения ИБ, представитель НКЦКИ Сергей Корелов подчеркнул, что за разные блоки документа отвечают разные регуляторы. Вопросы аккредитации центров ГосСОПКА на момент издания Указа не были проработаны, организации не наделены полномочиями. Эти вопросы подробно рассматривались на «Регуляторном треке» Форума. Вопросы мониторинга защищенности ресурсов регулируются приказом на уровне Минюста, который скоро будет зарегистрирован и опубликован, с проектом приказа можно ознакомиться на сайте ведомства.

250-й Указ не обошелся без принуждения исполнения мероприятий по ИБ, отметили все эксперты. Тема «регуляторика или самоответственность» уже звучала на «АнтиПленарке» Форума. Однако практика показывает, что организации приходится принуждать к исполнению требований по кибербезопасности. Надо быть готовым брать ответственность за инциденты. Принуждение — шаг к повышению уровня самоподготовки и самомотивации, на которые было выделено достаточно времени, но не все захотели реализовывать вопросы ИБ в добровольном порядке. Так, только в 2023 г. было более 20 публикаций об утечках персональных данных, хотя законодательство по этому вопросу существует давно.

«Вопрос самомотивации в виде штрафов и мониторинга — гораздо сложнее», — считает Артем Сычев. — «За утечку положен штраф, но есть презумпция невиновности. Нужна доказательная база для представления в арбитражный суд, что и как произошло. Наличие нормативных актов, доказательства, что они не были реализованы, и что та компания, которая допустила утечку, не приняла меры».

«Ситуация начет меняться при появлении экономических механизмов, отраслевых регламентов, лицензий и требования по ИБ, — считает эксперт Positive Technologies. — Пример Банка России и финансовой отрасли доказывает: экономические рычаги надежнее, чем право регулятора потребовать устранить недостатки. Специалисты всегда найдут лазейку в законе и оставят все как есть. Когда затронута экономика организации, идет совсем другой разговор».

Подводя итог дискуссии, модератор сессии Алексей Бобровский попросил участников кратко описать перспективы «безопасной цифровизации».

По мнению Артема Сычева, «безопасная цифровизация — это командная работа всех служб от проекта и заканчивая запуском в эксплуатацию сервиса в безопасном исполнении».

Евгений Гурарий считает, что процесс цифровизации должен быть безопасным и кибербезопасность должны быть сквозной задачей. Важную роль в безопасной цифровизации играет и подготовка кадров.

«Кибербезопасность должна стать синонимом цифровизации», — полагает Владимир Бенгин. — «И на требования дать денег на ИБ должен быть ответ: есть деньги на ИТ, значит есть и на кибербезопасность».

По мнению Сергея Корелова, «уровень защищенности на момент окончания цифровизации должен быть выше, чем в ее начале». При цифровизации обеспечение информационной безопасности должно быть на всех этапах жизненного цикла систем, полагает Юрий Ногинов.

Закрывая сессию, Алексей Бобровский вспомнил девизы первых пятилеток: «Техника решает все» и «Кадры решают все». Тема подготовки кадров, актуальная в 1920-1930-х гг. повторяется на другом технологическом витке — цифровизации, но по прежнему остается актуальной.

9 марта, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
28.03.2024
Почему путешествовать «налегке» не всегда хорошо
28.03.2024
«Тинькофф»: Несколько платёжных систем лучше, чем одна
28.03.2024
В РФ готовят базу для «усиленной блокировки» незаконного контента
28.03.2024
Термин «риск ИБ» некорректен по своей сути
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных