Цифровое пространство содержит много потенциальных угроз для бизнеса, экономики и населения. Поэтому достижение цифрового суверенитета обозначается как один из национальных интересов любого государства. Россия не исключение. Тем более, что последние 1,5 года нашей стране пришлось столкнуться с массовыми кибератаками и привыкать к информационному противоборству. Серьезным вызовом стал также уход с российского рынка иностранных компаний, которые поставляли ПО и системные решения.
По какому пути стоит идти РФ: делать ставку на федеральные IT-проекты и причесывать отрасль под одну гребенку или же выбирать стратегические отраслевые партнерства, результативную кибербезопасность и лучшие практики и не изобретать велосипед? Ответ на этот вопрос вызвал дискуссию в рамках сессии «Цифровой суверенитет и безопасность: курс на альянсы или конкуренцию», прошедшей в рамках ПМЭФ.
Затишье перед бурей
Начиная с 2022 года российский рынок кибербезопасности переживает как никогда динамичную трансформацию. На фоне возросшего числа хакерских атак и внимания к отрасли со стороны государства, включившего ИБ в число в число ключевых потребностей, запрос на результативную безопасность формируется особенно четко. В 2023 году отрасль, судя по всему, продолжит поступательное развитие, решая одну из наиболее насущных сегодня проблем – эффективное отражение хакерских атак, которые вышли на совершенно новый уровень массовости и качества.
В марте в Минцифры говорили, что с начала 2023 года число кибератак на российские системы уже выросло на 65%. По наблюдениям Кирилла Меньшова, старшего вице-президента по информационным технологиям Ростелекома, «количество кибератак выросло примерно в тысячу раз и продолжит увеличиваться». Он отметил, что сегодняшнюю ситуацию серьезные группировки хакеров используют для подготовки дальнейших атак: ищут уязвимые места, чтобы в нужный момент эти уязвимости реализовать. Поэтому главная задача и бизнеса, и государства сегодня – работать на опережение.
Борис Симис из Positive Technologies видит эволюцию кибератак в том, какие силы атакуют российские структуры. «Если в прошлом году в основном это были малокомпетентные группировки, своего рода «школьники», то сейчас и далее, как я предполагаю, могут быть привлечены настоящие профессионалы. И это будет уже совсем другая история. Профессионал не атакует ради шумного пиара – он заберется в систему, тихо просидит там несколько месяцев (а то и лет), изучит ее полностью, найдет самые уязвимые места и, в нужный момент, оставит после себя полный разгром. Главное в следующем: сейчас все понимают, что взломать компанию можно. Вопрос лишь в том, как быстро и эффективно ты это увидишь и устранишь», – прокомментировал представитель Positive Technologies.
Поэтому государству важно обеспечить развитие конкурентной среды для рынка кибербезопасности нового типа, ориентированной на результат. В данном случае речь идет и о создании, и широком применении продуктов (средств защиты, ориентированных на достижение реального результата. Один из удачных примеров в данном случае – запуск Минцифрой публичной программы поиска уязвимостей в инфраструктуре электронного правительства (Госуслуги) за вознаграждение. В рамках этой программы практически любой исследователь безопасности может попытаться найти уязвимости и получить за это денежное вознаграждение. Такой подход демонстрирует гибкость и адаптивность госсистемы.
«Самое правильное в нашей отрасли — это позвать независимое сообщество, комьюнити, и предложить ему проверить качество защиты. При этом чем большее число исследователей поучаствуют в процессе – тем лучше: когда тебя изучает не 1-2 десятка глаз, а сотни – результат будет неизмеримо выше. У себя, в Positive Technologies, мы так и поступили, когда объявили багбаунти на недопустимое для себя событие с призовым фондом в несколько десятков миллионов рублей: тот исследователь, который в рамках нашей программы сможет продемонстрировать, что с расчетного счета нашей компании можно вывести деньги, получит 30 млн рублей, а мы сможем скорректировать систему своей защиты в сторону еще большей эффективности», – добавил Борис Симис.
В свою очередь на базе результативной кибербезопасности каждой отдельно взятой корпорации, ведомства, предприятия и персоны выстраивается национальный цифровой суверенитет. С одной стороны, здесь необходимы системные технологические решения и федеральные инициативы. С другой стороны, важно учитывать специфику работы каждой отрасли и компании, поскольку только они могут точно определить, от чего им нужно защищаться, какие недопустимые события будут критичны для всего бизнеса.
Есть мнение
Тот факт, что бизнес заинтересован идти по пути достижения цифрового суверенитета, подтверждает его вовлеченность в тему. Еще год назад главным в обсуждении стал бы вопрос господдержки на уровне кредитов и льгот. В этот раз спикеры мероприятия говорили больше о трендах и строили прогнозы на будущее. За год стало понятно: цифровой суверенитет – это не про отгораживание от внешнего мира, а про конкуренцию, возможность реагировать на внешние угрозы и гарантированную защиту от кибератак, которые приводят к недопустимым событиям.
Поэтому бизнесу и крупным корпорациям важно создавать альянсы, которые бы позволяли представителям разных индустрий решать задачи комплексно. Роль государства при этом должна заключаться в стимулировании таких альянсов, создании национальных стандартов в области ИБ. Об этом заявил Дмитрий Харитонов, генеральный директор группы Иннотех. По его мнению, государство сделало беспрецедентный шаг в части помощи компаниям. Появился индустриальный центр и компетенции, льготные кредиты. Но эти меры не создают почвы для долгосрочного развития. «Бизнес подчиняется законам экономики, а экономика циклична. Ушли компании, открылся рынок, переделали мы свои системы, заняли освободившиеся ниши и получили помощь от государства. Но через какое-то время все вернется, и мы будем обязаны с вернувшимися компаниями конкурировать», – отметил эксперт.
Важность выстраивания партнерств в области ИБ подчеркнул и Антон Думин, IT-директор Газпром нефти. Компания, по его словам, готова выступать заказчиком продуктов, которые впоследствии смогут конкурировать с мировыми. «Я вижу два ключевых направления для развития цифрового суверенитета. Первое начнет развиваться в рамках индустриальных центров компетенций. Там будут создаваться технологии, которые обеспечат наш цифровой суверенитет в тех отраслях, где нам критически важно быть независимыми. И второе направление – партнерства, которые позволят создавать продукты, которые в будущем, когда все вернется на свои места, обеспечат нам возможность конкурировать со всем миром», – полагает Думин.
Цифровой реализм
В Минцифре заявляли, что комплекс мер, принятых еще в 2019 году, позволил отрасли устоять под натиском негатива. Ведомство называло создание защищенных информационных систем и их жизнеобеспечение ключевыми задачами. Одной из целей декларировался 100-процентный переход на отечественное ПО в ведомственных информационных системах.
Однако бизнес сигнализирует государству: цифровой суверенитет не должен строиться на запретительных мерах. Об опасности превратить цифровой суверенитет в цифровую самоизоляцию говорил и Сергей Демидов, директор по информационной безопасности Московской биржи. «Мы потихоньку скатываемся в цифровой мезозой. Невозможно взять и переписать то, что весь мир создавал 30 лет. Это как Минкультуры потребовало бы переснять в 2 года все зарубежные фильмы и с Безруковым в главной роли», – отметил эксперт. Он привел в пример опыт Московской биржи, который сочетает в себе собственные передовые разработки и при этом задействует лучшие доступные мировые практики. «Мы обрабатываем 100 тыс. заявок в секунду. Наш программный продукт во многом опережает мировые торговые системы. Тут нам импортозамещение не нужно. Но у нас есть веб-технологии, где много опенсорса, мы бы хотели использовать то, что разрабатывается сообществами во всем мире», – отметил Сергей Демидов.
В целом путь 100-процентного импортозамещения, если речь идет о технологиях, участники дискуссии назвали тупиковым. Показателен комментарий представителя Positive Technologies – ключевого игрока рынка кибербезопасности. Компания является ведущим разработчиком решений в сфере ИБ и на регулярной основе выходит на рынок с новыми уникальными разработками.
Заместитель генерального директора Positive Technologies Борис Симис полагает, что разработка цифровой стратегии должна учитывать реальное положение дел и не скатываться в формальные KPI. «Есть решения, которые точно нужно импортозамещать, и они должны быть отечественными, а есть такие, которые мы совершенно точно в ближайшие годы импортозаместить не сможем», – отметил представитель Positive Technologies. По его словам, многие компании продолжают покупать зарубежные технологии, используя серые схемы. Это нужно принимать в расчет и работать на то, чтобы построить доверенную информационную среду из недоверенных компонентов, которые все равно внедряются повсеместно. Эту «доверенность», по мнению Positive Technologies, можно обеспечить уже сегодня, используя эффективные инструменты кибербезопасности.