«Киберриски могут помножить на ноль все усилия и громадные инвестиции в цифровую трансформацию». PHDays 11 о кибербезопасности цифровой трансформации
Даже сами устроители мероприятия до сих пор называют Positive Hack Days «форумом по практической безопасности», а его старожилы используют ещё и такое просторечное определение, как «хардкорное хакерское мероприятие». Однако уже не год и не два Форум выделяет часть своих площадей для обмена мнениями и между «безопасниками в пиджаках».
В 2022 году наряду с оперативным обсуждением проблем «практической безопасности», возникших из-за весеннего обострения в среде некогда традиционных партнёров России, устроители Форума сочли необходимым обсудить и долгосрочную стратегию обеспечения кибербезопасности процессов, которые рамочно обозначаются словосочетанием «цифровая трансформация». Для этого была организована специальная панельная дискуссия, спикерами которой выступили представители «Росатома», Ростелекома, Центра компетенций по импортозамещению в сфере ИКТ (ЦКИ ИКТ), АНО «Цифровая экономика».
«Панелистами» выступили люди, выполняющие в силу своих должностных обязанностей широкий спектр представительских функций, входя в многочисленные Советы и Рабочие группы, участвуя в разнообразных отраслевых конференциях, в тематике которых есть словосочетания «цифровая трансформация», «цифровая экономика» и/или слово «цифровизация». Это, а также базовое «техническое образование» позволяет им быть в курсе всех современных тенденций и здраво оценивать их, не впадая в раж или эйфорию, свойственную менеджменту с гуманитарным, экономическим или юридическим образованием при встрече с ИТ.
Под стать уровню экспертного состава панели был и модератор, который вполне логично и обоснованно начал мероприятие с вопроса о текущем статусе актуальности для нашей страны самого процесса «цифровой трансформации». Ведь, как отметил модератор, при всех достоинствах «цифровой трансформации» киберриски, ей сопутствующие, могут помножить на ноль все усилия и громадные инвестиции в этот процесс. Добавим, что и всю ту экономику, которую «цифровая трансформация» призвана поддерживать.
В ответ ведущий получил сначала заверения о том, что процесс идёт, потом к этому оптимистическому утверждению пришли дополнения о смене фокусов и приоритетов, о наличии «фундаментальных проблем, которые недооценивали», а потом Илья Массух чуть было не «похоронил» дискуссию, напомнив присутствующим о том, что лично он всегда говорил о том, что приход «цифры» в организации и на предприятия страны должен поддерживаться отечественным оборудованием. Тогда как его оппоненты, навешивая на будущего директора ЦКИ ИКТ ярлык консерватора, внедряли иностранную технику, предполагая «by default» любые киберриски, кроме недобросовестности вендора.
К счастью для дискуссии Илья Массух отказался от немедленного проецирования этих воспоминаний на текущую ситуацию, что фактически спасло дискуссию. Лишь несколько позже, «под занавес», директор ЦКИ ИКТ не удержался от оценки текущей ситуации с «предательством» вендоров словами о лишь предварительных «играх». Вполне логично предполагая ИМХО что «ягодки» могут появиться впереди.
Благодаря политичности директора ЦКИ ИКТ на первом этапе дискуссии упомянутая и очевидно недооценённая фундаментальная проблема отечественной «цифровой трансформации» была положена под спуд, и модератор направил дискуссию (несколько провокационно ИМХО) в русло обсуждения сосуществования ИТ и ИБ в процессах цифровой трансформации. И получил от своей компетентной «панели» полный, что называется «отлуп» в том смысле, что в процессах «цифровой трансформации» речь может идти только об использовании технологий, приёмов и архитектур информационной и кибербезопасности (ИБ&КБ), встраиваемых в ИТ с самого начала.
И тут блеснул своими способностями к поиску образных иллюстраций Илья Массух, сравнив кибербезопасность «цифровой трансформации» с защитой АЭС, у которой помимо видимого наружного забора «есть много чего внутри для обеспечения безопасности».
К сожалению, мнение экспертов не совпало с текущей ситуацией в целом, которую позволил оценить онлайн-опрос слушателей панельной дискуссии. Оказалось, что лишь около 60% аудитории включают по умолчанию противодействие рискам для информационной и кибербезопасности (ИБ&КБ) в разработку ИТ-решений для «цифровой трансформации», а организации почти четверти респондентов об этих рисках и не задумываются.
В ответ на обнародование таких результатов директор по цифровой трансформации «Росатома» эмоционально заявил, что и о цифровой трансформации в таких «легкомысленных» организациях речь идти не может (передаю общий смысл заявления директора).
Но со стороны слушателей дискуссии вполне логично ожидать вопроса о том, а что же происходит в этой четверти, а может и в 40% (или больше?) организаций, находящихся де-факто в общем цифровом инфо-коммуникационном контуре страны? И с учётом воспоминаний директора ЦКИ ИКТ о прошлом цифровизации страны и его оценок настоящего, возникает и второй вопрос о том, а не закладывают ли рьяные апологеты «цифровой трансформации» мину в цифровую инфраструктуру экономики страны? И мина эта может оказаться почище Фауста Гёте, то бишь почище случившегося ранее перевода экономики страны на рельсы сырьевого экспорта и надежд на покупку технологий за рубежом.
Однако впрямую такой контекст не обсуждался на панельной дискуссии «Кибербезопасность для цифровой трансформации» на PHDays 11.
Более того, представитель АНО «Цифровая экономика» упомянул о нежелании ряда организаций раскрывать свой положительный опыт и свои промахи на поприще «цифровой трансформации» на широкой публике. Что в текущих условиях выглядит более чем обоснованно.
Тем не менее, упомянутая АНО отчиталась презентацией о переводе на русский иностранного пособия по «цифровой трансформации», о разработке и размещении в сети Интернет электронного СМИ, на котором отечественные директора по «цифровой трансформации» могут представлять свой опыт, и о создании Интернет-портала, на котором собрано около 500 «кейсов» по успешной (?) реализации проектов по «цифровой трансформации.
При этом уместно заметить, что самооценка успешности не снимает с повестки дня вопрос об объективном подтверждении качества этих «кейсов» с позиции обеспечения требований ИБ&КБ.
О необходимости такого рода «метрологии качества» ИБ&КБ уже говорилось на страницах BIS Journal, а на PHDays 11 об этом же как об одной из фундаментальных проблем обеспечения успешности «цифровой трансформации» упомянул на панельной дискуссии «Кибербезопасность для цифровой трансформации» представитель Ростелекома, говоря о «нормировке» результатов работы нейронных сетей, задействованных в процессах «цифровой трансформации».
Надо сказать, что представителем Ростелекома на этой дискуссии вполне обоснованно были подняты на щит ещё ряд вопросов в числе фундаментальных проблем обеспечения кибербезопасности «цифровой трансформации». Среди них было упомянуто и переосмысление самих технологий ИБ&КБ в контексте парадигмы «цифровой трансформации».
И в связи с этим возникает задача об уточнении представлений о «цифровой трансформации», вопрос о том, где можно ставить знак равенства между такого рода трансформацией и компьютерной автоматизацией деловых и технологических процессов, а где реализация идей «цифровой трансформации» тесно связана с правами и свободами личности и где, в связи с этим, необходима предварительная тщательная проработка вопросов правового сопровождения «цифровой трансформации».
.jpg)