ИнфоБЕРЕГ-2022

«Между бизнесом и нормативкой» — что обсуждали на ИнфоБЕРЕГе-2022

6-9 сентября Академия Информационных Систем провела XXI Всероссийский форум по информационной безопасности «ИнфоБЕРЕГ» в Сочи. В этом году в Форуме приняли участие госкорпорация «Ростех» и представители аппарата профильного вице-премьера Дмитрия Чернышенко.

«Учить ИБ нужно с четвертого класса, как в Германии»

— до столь радикальных идей добрались отдельные участники Форума к последней и самой неформальной сессии, которую провели представители «РТК-Солар». И это симптоматично.

Неожиданно дефицит кадров в сфере информационной безопасности оказался чуть ли не главной проблемой отрасли. Как отметил председатель оргкомитета академик Александр Баранов, не хватает не просто кадров — их «пруд пруди» — а квалифицированных кадров.

Тема тронула за живое, затмив собой заявленную в программе флагманскую сессию по обеспечению безопасности КИИ. О какой защите речь, если реализовывать её некому?

Претензии к образованию высказывали самые разные. По мнению замглавы Департамента обеспечения кибербезопасности Минцифры РФ Евгения Хасина, проблема в том, что у выпускников не хватает практического опыта. Но Александр Баранов убежден, всё ещё серьезней — нет фундаментальных знаний в области информационных технологий: «Когда выпускник бакалавриата не знает, что такое BIOS и какова его роль, говорить об информационной безопасности совершенно бесполезно».

Полномочия вузовских кафедр по ИБ нужно расширить, предложил замглавы «ИнофТеКс» Дмитрий Гусев, но не в привычном смысле: вместо выпуска сотен и тысяч малопригодных к реальной деятельности безопасников надо преподавать основы ИБ при подготовке по остальным специальностям:

«Иначе никогда специалист по ИБ не объяснит инженеру на предприятии, что он должен уделить внимание ИБ. Как бы мы не ужесточали статьи КоАП и УК РФ, эти люди приходят решать другие задачи. Им за шесть лет этого не объяснили — вот фундаментальная проблема».

Нужно также заниматься решением проблемы комплексно, в том числе на уровне регионов, считает начальник Управления по обеспечению безопасности КИИ ФСТЭК России Елена Торбенко, по словам которой, не во всех региональных центрах сейчас хватает экспертов, готовых выступить в качестве наставников для молодых специалистов.

Кибербезопасность через недопустимые события

Обсуждались на Форуме и другие вопросы.

Директор по информационным технологиям ГК «Росводоканал» Сергей Путин вместе с коллегами по пленарной дискуссии подняли тему цифровой трансформации и подходов к обеспечению кибербезопасности в условиях текущих ограничений.

Как считает эксперт Positive Technologies Алексей Лукацкий, отрасль «оказывается между бизнесом и нормативкой», пытаясь вместо непосредственного ИБ подгонять свою защиту под «бумажные» требования регуляторов и настаивая на ужесточении ответственности за их невыполнение, чтобы получить финансирование на эту деятельность у руководства.

Безопасность организации, по его мнению, следует выстраивать иначе — через выделение нескольких недопустимых для бизнеса событий. Именно такой подход, как считает эксперт, подразумевается методиками ФСТЭК России и позволит решить наиболее важные для предприятия проблемы в условиях ограниченных ресурсов.

Распространить эту концепцию следует и на импортозамещение, предложила в ходе стратегической сессии, посвященной технологической безопасности, директор экспертного центра разработки технологий кибербезопасности «РТК-Солар» Галина Рябова:

«Глубина импортозамещения должна определяться степенью желаемой нами независимости. Мы для себя как страна должны определить недопустимые события — это и есть глубина нашего импортозамещения»

Что первично: импортозамещение или технологический суверенитет

Рассуждая о технологическом суверенитете эксперты разошлись во взглядах. Это цель, к которой страна идет, но, по мнению Галины Рябовой, делать это нужно через импортозамещение, а Дмитрий Гусев настаивает, что технологический суверенитет должен «ставиться во главу стола», ведь «нельзя уйти в технологический суверенитет через то импортозамещение, которым мы сейчас во многом занимаемся», то есть локально замещая отдельные продукты.

«Мы замещаем, в том числе собирая что-то из Open Source-проектов, импортного железа и иногда запаеваем туда отечественный контроллер. Вот к чему приводит, когда на уровне больших деклараций нас всех гонят в импортозамещение. Нас должны гнать в технологический суверенитет», — уверен эксперт.

Необходимо понимать, что главная цель технологического суверенитета — «это обеспечение безопасности», добавляет генеральный конструктор центра «Баррикады» Игорь Коптелов. В России реализованы решения, аналогов которым в мире нет, а от каких-то продуктов вполне можно отказаться, считает эксперт. Поэтому импортозамещение и технологический суверенитет — «абсолютно разные вещи».

На практике же «вопрос глубинное импортозамещение или нет — очень вторичный», убежден замглавы «Газпром-Медиа» Александр Моисеев: «Главный вопрос, насколько мы хотим иметь катастрофоустойчивую систему и среду». Чтобы решить насущные вопросы, стоящие перед рядом отраслей, по его мнению, необходимо объединять усилия, создавая индустриальные центры компетенций и вырабатывая механизмы построения «доверенных сред на недоверенном оборудовании».

Указ всему голова

Впрочем, многие насущные проблемы можно решить, реализовав уже имеющиеся механизмы и требования. В частности, подключаясь к ГосСОПКА, о чем подробно рассказал представитель Национального координационного центра по компьютерным инцидентам Андрей Раевский, а также выполняя требования Указа Президента №250 о дополнительных мерах по повышению информационной безопасности, который распространился на более чем 100 тысяч организаций.

Речь идет не только о назначении ответственных за ИБ замруководителей предриятий, подготовке которых в своем докладе уделил отдельное внимание замдиректора Академии Информационных Систем Игорь Хайров, но и о принятии конкретных мер:

«Очень многие отрасли, на которые распространяется Указ, воспринимают меры по защите информации очень шаблонно, в достаточно формализованных решениях, не учитывая отраслевую специфику», — пояснил Евгений Хасин.

Зависит это в первую очередь от зрелости руководства организации и сектора экономики, к которой она относится. На уровне средних, малых компаний и муниципальных предприятий часто возникают сложности с реализацией мер, объяснила Елена Торбенко. И причины могут быть самые разные от нежелания или нехватки финансирования до уже упомянутого отсутствия кадров.

Отчасти это будет решаться развитием законодательства, но сыграют свою роль и проверки регуляторов, про которые ещё в ходе пленарной дискуссии говорила представитель ФСТЭК России. И хотя ужесточение контроля и ответственности за ИБ многими было воспринято неоднозначно, участники форсайт-сессии ИнфоБЕРЕГа согласились, что при более либеральном подходе, который существовал ранее, отношение бизнеса к безопасности оставляло желать лучшего.

Окончательные итоги Всероссийского форума ИнфоБЕРЕГ позднее подведет организационный комитет. Как заявил его представитель, директор Академии Информационных Систем Юрий Малинин, по результатам дискуссий оргкомитетом будет сформирована резолюция с конкретными предложениями для развития информационной безопасности в России.

Документ будет направлен в федеральные органы исполнительной и законодательной власти.