Информационная безопасность в программе «Цифровая экономика», принятой этим летом (Распоряжение Председателя Правительства Российской Федерации Д.А. Медведева от 28 июля 2017 г. № 1632-р), выделена в отдельный – пятый – раздел, который сегодня активно обсуждается в экспертных группах.

Это, пожалуй, самое массовое в новейшей истории обсуждение проекта государственного документа в области информационной безопасности: только зарегистрированных в рабочих группах экспертов – более восьмисот, а ведь многие предприятия выдвигали в экспертную группу всего одного представителя, консолидирующего в своих предложениях опыт еще десятка специалистов из его компании.

Месяц активного обсуждения в группах позволил сделать несколько выводов, которыми хотелось бы поделиться.

Прежде всего, информационная безопасность в России является зрелой и вполне успешной отраслью экономики, понимающей не только свои задачи, но и методы их решения. Отрасль развивалась в «тепличной среде», поскольку ввиду государственной значимости регулировалась гораздо жестче, чем считающаяся смежной отрасль информационных технологий. В результате в отрасли функционируют десятки успешных специализированных игроков – производителей, интеграторов, сервис-провайдеров, – что лишний раз доказывает эффективность разумного протекционизма, связанного с локальными требованиями регулятора, особенностями национальных законов и даже спецификой русского языка.

Также стало ясно, что информационная безопасность захватывает многие отрасли, так или иначе связанные с информационными технологиями.

Ни телемедицина, ни финтех, ни электронные госуслуги, ни «умные города» не смогут эффективно существовать без информационной безопасности – слишком серьезны последствия потенциальных угроз нарушения их деятельности в результате хакерских и инсайдерских атак.

Соответственно, решая проблемы своей отрасли, экспертное сообщество решает и проблемы цифровой экономики в целом.

Возьмем, к примеру, биометрию. Эта область информационной безопасности сейчас переживает второе рождение. После того как электронные услуги стали массовыми и сложные способы идентификации и аутентификации, допустимые для энтузиастов Интернета, перестали устраивать обычных пользователей, биометрия стала одним из способов подключения к сервисам Всемирной сети. Именно поэтому сегодня ведется столько исследований в области биометрии. И если раньше биометрия занималась в основном идентификацией людей по отпечаткам пальцев или рисунку радужной оболочки глаз и была уделом избранных ученых, то в последние несколько лет к базовым технологиям добавились «3D-селфи», анализ голоса, рисунка вен ладони и формы лица, а датчики и камеры уже встраиваются в смартфоны и становятся привычными не только у гаджетоманов, но и у пользователей, далеких от высоких технологий. Сегодня однозначно причислить биометрию к информационной безопасности уже нельзя – она стала неотъемлемым элементом большинства систем обслуживания b2c и b2b, сочетающим безопасность и удобство.

Чем интенсивнее бизнес или государство автоматизируются, тем больше рисков переносится из реальной жизни в виртуальную, при этом причиняя полноценные реальные убытки в случае инцидента. Можно неплохо сэкономить, если закрыть большинство офисов обслуживания клиентов, а работу с ними перенести в Интернет: последние пять лет эта тенденция прослеживается у банков, телекоммуникационных компаний и розничных магазинов. Однако это требует множества дорогих «игрушек» для защиты веб-сервисов от хакерских атак, DDoS-атак, мошеннических действий и других ранее неизвестных рисков.

И нужны не только «игрушки», нужны люди, умеющие управлять этими инструментами, анализировать защищенность постоянно обновляющихся приложений, аналитики, специалисты по безопасной разработке. Если оборудование или сервис – это только деньги, то найм и особенно удержание дефицитных специалистов по безопасности – это не только деньги, но и создание в компании особенной культуры, поиск интересных задач. И – да, постоянное увеличение зарплаты по мере профессионального роста, ведь чем опытнее специалист по безопасности, тем с большей настойчивостью его будут переманивать интернет-гиганты.

Информационная безопасность – все более и более дорогое удовольствие. Противостояние даже обычным киберпреступникам для небольшой компании – тяжелая ноша. А противостояние политически мотивированным хакерам, частным или государственным киберармиям – непосильная. Оправдание вроде «Да кому мы нужны, чтобы нас ломать?» сегодня уже не работает – можно стать жертвой, и не будучи целью: возможно, вас взломают, чтобы подобраться к конкретному пользователю или смежному сервису, а возможно, вам просто не посчастливится оказаться на одном IP-адресе или в одном дата-центре с объектом атаки.

Поодиночке задачу защиты не решить даже гигантам индустрии, поэтому надо объединяться. И лучше – под эгидой государства.

Еще одним результатом обсуждения информационной безопасности в рамках программы «Цифровая экономика» стало понимание, что стратегические технологии не могут быть разработаны частными структурами исключительно на рыночной основе: внутренний рынок не настолько большой, чтобы прокормить несколько конкурирующих наукоемких разработок. В связи с этим ключевые, базовые технологии должны реализовываться в частно-государственном партнерстве и при этом быть доступными всем участникам рынка. Речь в данном случае идет не о конечном продукте типа операционной системы, СУБД и прочих, а о базовых технологиях, вроде той же биометрии или систем искусственного интеллекта, нацеленных на решение определенных задач.

Такие технологические наукоемкие разработки должны быть доступны в виде сервисов или библиотек всем участникам рынка. Можно использовать опыт американского агентства DARPA, которое самостоятельно или с помощью частных подрядчиков разрабатывает ключевые технологии и затем делает их доступными всем государственным подрядчикам. Можно найти и свою приемлемую схему. Государство уже выступает инициатором движения в эту сторону, например, с криптобиблиотеками или базами знаний ГосСОПКА. Давайте развивать этот опыт.

Вопросы технологий сегодня неотделимы от кадровых вопросов: кто-то должен будет эти технологии создавать и обслуживать. Вполне может быть, что обслуживание скоро будет поручено искусственному интеллекту, но он у нас должен быть тоже свой – иначе потенциальные противники смогут отработать сценарии атак на своих же моделях.

Какой вывод можно сделать?

Цифровая экономика существовать без информационной безопасности просто не сможет, а значит, информационная безопасность – это не дело узких специалистов-антихакеров, а забота всех стейкхолдеров: архитекторов, проектировщиков, разработчиков, тестеров и самих пользователей.

Р.Н. Хайретдинов