Шойтов Александр Михайлови ... Александр Шойтов, Минцифры России: Создание отраслевых центров – это взрослый подход к кибербезопасности
Александр Шойтов, Минцифры России: Создание отраслевых центров – это взрослый подход к кибербезопасности...
Шойтов Александр Михайлович – заместитель Министра цифрового развития, связи и массовых коммуникаций Российской Федерации, президент Академии криптографии Российской Федерации рассказал порталу Cyber Media о том, как Минцифры работает над реализацией концепции реальной кибербезопасности в России и какие процессы станут ключевыми в ближайшие годы.
Cyber Media: Уходящий год принес множество изменений в обеспечении ИБ не только для коммерческого сектора, но и для государственных сервисов. Одно из таких новшеств – появление отраслевых центров кибербезопасности при отраслевых центрах и ведомствах. На Ваш взгляд, как такая практика скажется на уровне кибербезопасности государственной инфраструктуры и поднадзорных компаний?
Александр Шойтов: В Российской Федерации сложная, распределенная система информационной безопасности. В других развитых странах она, в целом, не проще и обусловлена сложностью, неравномерностью киберпространства, которое необходимо защищать.
Уже в прошлом году в ряде государственных документов появились соответствующие рекомендации и правовые требования по созданию таких отраслевых центров. Они объединяют в себе большую часть отраслевых компетенций по информационной безопасности:
- центры ГосСОПКА;
- центры аттестации;
- центры обучения информационной безопасности.
Такая система необходима, так как в каждой отрасли есть запрос на решение специфических задач и проблем в области ИБ, которые характерны только для нее. Профильный отраслевой центр кибербезопасности способен выступать «проводником» между представителями отрасли и федеральным органом исполнительной власти (ФОИВ).
При этом, с моей точки зрения, есть две значимые задачи, которые нужно решить. Первая – это обеспечение независимости и самостоятельности информационной безопасности от информационных технологий. ИБ – это давно уже отдельное направление, которое может и должно существовать самостоятельно.
Второй вопрос – это координация непосредственно отраслевых центров на уровне нашего государства. Компетенции в рамках каждого конкретного центра сейчас координируются разными структурами. Например, за ГосСОПКА отвечает ФСБ России, за обучение – это вообще комплексная история. Ряд компетенций находятся в области ФСТЭК России, Минцифры России, следовательно, фактически, этот центр координируется из разных ФОИВов. Важно грамотно в рамках самого центра организовать взаимодействие с соответствующими практиками. Сама практика отраслевых центров – правильная, это «взрослый подход» к информационной безопасности.
Cyber Media: Одна из систематических проблем кибербезопасности – это невысокий уровень цифровой гигиены рядовых пользователей. Как Минцифры решает эту проблему со своей стороны?
Александр Шойтов: Конечно, повышение уровня цифровой гигиены – это одна из неотъемлемых составляющих информационной безопасности. И мы совместно с другими профильными ведомствами проводим системную работу по нескольким направлениям.
Первое – это традиционное обучение специалистов: руководителей компаний, руководителей направления цифровой трансформации, ИБ-директоров. Здесь важно отметить роль киберполигонов, поскольку они дают возможность вести практикоориентированное обучение.
Применительно к обучению государственно-гражданских служащих у нас была запущена программа обучения через Госуслуги. В прошлом году мы повысили квалификацию в области информационной безопасности 200 000 гражданских служащих.
Если говорить о широких слоях населения, то здесь мы разработали проект “КиберЗОЖ”, в котором ориентируемся на различные возрастные группы:
- 12-18 лет. Программа для подростков включает в себя такие темы, как поведение в социальных сетях и общение в игровых чатах, где они проводят больше всего времени. Отдельно разбирается тема буллинга и противодействия ему, как специфическая подростковая проблема.
- 18-45 лет. Для этой группы разработан спецпроект, в который входят такие темы, как создание надежных паролей, антифишинг, защита от телефонного мошенничества и фрода.
- 45+. Старшая возрастная группа имеет свою специфику. Для нее разработаны курсы, в том числе в формате офлайн, для тех, кто минимально знаком с цифровой средой.
Нельзя не отметить роль бизнеса в этой, во многом социальной, работе. Некоторые крупные ИБ- и ИТ-компании разрабатывают свои программы обучения цифровой гигиене и продвигают их. В 2022 году мы разработали концепцию формирования развития культуры информационной безопасности граждан России в соответствии с указом Совета Безопасности Российской Федерации. В этом году ее будем реализовывать в рамках периодических информационных кампаний при участии крупных компаний, у которых свои курсы. Например, СБЕР, компания VK и Лаборатория Касперского. Но основной груз работы, безусловно, несет Министерство.
Cyber Media: Одной из громких новостей прошлого года стал возможный выход госсервисов на программы bugbounty. Благодаря чему это стало возможно и какую пользу может принести регуляторам?
Александр Шойтов: Это известная зарубежная практика, которую мы пробуем применять в Российской Федерации. Пока началась реализация пилотного проекта на ресурсах Минцифры России с привлечением нескольких коммерческих компаний.
В данный момент багхантеры исследуют сервис Госуслуги и Единую систему идентификации и аутентификации (ЕСИА). Тестовый запуск только начался, по мере набора опыта и решения каких-то небольших сложностей, которые неизбежно возникают при запуске любого проекта, мы будем планомерно расширять программу.
Cyber Media: Комъюнити багхантеров, в большей степени, приветствует выход госсервисов на программы bug bounty. Однако, ряд исследователей отмечают потенциальные риски, связанные с пробелами в законодательстве по этому вопросу. На ваш взгляд, какие сложности предстоит решить, чтобы программы bug bounty проходили максимально эффективно?
Александр Шойтов: Как я сказал ранее, у нас пока пилот. Общее государственное регулирование ожидается впереди. В настоящее время мы ориентируемся на зарубежный опыт, а он довольно различен. В некоторых странах такие платформы полностью подконтрольны государству, а где-то государство практически не вмешивается в регулирование деятельности таких программ. Нам нужно найти правильное место и правильное регулирование, «баланс» применительно к нашей стране и к текущей геополитической ситуации. Каких-то принципиальных проблем я здесь не вижу, просто необходимо понимать, что потребуется определенное время.
Cyber Media: В уходящем году также запустился Национальный киберполигон, который позволяет реализовывать практико-ориентированный подход в обучении ИБ-специалистов. Если смотреть на первый опыт его работы, насколько меняется уровень готовности специалистов по кибербезопасности после киберучений?
Александр Шойтов: Да, у нас есть Национальный киберполигон на базе Ростелекома, есть и другие площадки, которые мы тоже планируем привлекать, она не одна. Киберполигон представляет собой один из видов практикоориентированного обучения с учетом отраслевой специфики. Обучение проходит в обстановке максимально приближенной к реальному противодействию компьютерным атакам.
В течение 2023 года мы планируем провести региональные учения по стране с привлечением нескольких киберполигонов. Важно понимать, что уровень развития ИБ в регионах может сильно отличаться друг от друга по ряду причин. Естественно, проще выстроить сильную ИБ-службу в тех регионах, где есть достаточное финансирование для привлечения квалифицированных кадров. В этой связи киберполигон может способствовать нивелированию образовавшегося неравенства, которое, действительно, имеет место быть.
Важно также отметить, что киберучения – это только один из элементов обучения, который наиболее эффективен в комплексе с другими теоретическими и практическими методами обучения, например, общим повышением уровня цифровой грамотности населения, специализированным обучением для руководителей.
Cyber Media: Предыдущий год заложил законодательный фундамент для серьезных изменений в ИБ-отрасли. В этой связи, какие задачи ставит перед собой Минцифры по направлению кибербезопасности и чего ждет от участников отрасли?
Александр Шойтов: В прошлом году было принято несколько закрытых и открытых нормативных документов, которые мы реализуем прямо сейчас. Самые знаковые и фундаментальные - это:
- Указ Президента Российской Федерации № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации»;
- Указ Президента Российской Федерации № 250 «О дополнительных мерах по обеспечению информационной безопасности в Российской Федерации».
Существует такой подход к оценке экономической эффективности государства, при котором выделяют три фактора: институционный (подразумевающий развитие государственных и коммерческих институтов), технологический и культурный. Эффективность экономики в случае ее оценки зависит от их развития и сбалансированности. Полагаю, что применительно к информационной безопасности, тоже можно использовать такую оценку.
Про повышение культуры я уже говорил ранее. По поводу технологий отмечу, что у нас в России еще с советских времен сформирована сильная криптографическая школа. Для полномасштабного внедрения и развития ее достижений в конце 2022 года была учреждена Автономная некоммерческая организация «Национальный технологический центр цифровой криптографии». Эта организация реализует частное и государственное партнерство, формируя при этом новый институт информационной безопасности в Российской Федерации. В состав АНО уже вошли три ведущие компании из сферы защиты информации - это «ИнфоТекс», «Код Безопасности» и «КриптоПро». Основная задача организации – это внедрение современной криптографии в информационные системы цифровой экономики.
Разумеется, инструментарий ИБ гораздо шире криптографии и относительно других технологий дела у нас обстоят достаточно хорошо. Многие специалисты отмечают узкое направление, связанное с высоконагруженными интеллектуальными межсетевыми экранами (NGFW). Однако этот вопрос прорабатывается, и задача стоит не просто заменить иностранные решения, а создать инструмент с высоким уровнем производительности, надежности и универсальности, который будет конкурентноспособным. Такие технологии должны создаваться поэтапно и при активной поддержке государства.
Если вернуться к институтам, то я бы выделил две основные группы.
Первая группа – это критически значимые объекты, где есть и полноценное регулирование, и функционирующие институты ИБ. Подтверждением эффективности такой модели служит тот факт, что за 2022 год эта инфраструктура выдержала все кибератаки, ни одно недопустимое событие не было реализовано.
Вторая группа – это массовая информационная инфраструктура, к которой можно отнести незначимые объекты КИИ, государственные информационные системы, СМИ, крупные коммерческие компании и иные организации. Стоит отметить, что в уходящем году были сложности, в частности, с массовыми утечками данных у ряда компаний.
Это свидетельствует о том, что эффективное обеспечение ИБ возможно только при комплексном подходе, который включает в себя полный цикл мероприятий от предварительного аудита и создания модели угроз информации до внедрения средств защиты информации, а также внедрения методик реагирования на компьютерные инциденты.
Программы багбаунти, аутсорсинг ИБ, независимый анализ – все эти элементы должны найти свое место в политике обеспечения информационной безопасности. В связи с чем связанные с обеспечением ИБ мероприятия необходимо увязать в единую линию, включающую в себя правильные институты частного и государственного партнерства. Именно при таком подходе государство будет осуществлять общее руководство процессами, а коммерческий сектор получит возможность проявить все необходимые компетенции в сфере ИБ.
На мой взгляд, выполнение данных мероприятий способно привести к совершенствованию экономики процессов информационной безопасности. Совершенствование процессов и создание комплексного подхода – это и есть одна из приоритетных задач на ближайшие годы, над которой мы будем работать.