Проблемы новоиспеченной доктрины в смешении реальных киберугроз и проблем, которые не имеют никакого взаимоотношения к информационной безопасности
Утверждение президентом России обновленной Доктрины информационной безопасности сделалось итогом работы, которая велась как минимум с осени 2015 года. Задача заключалась в модернизации доктрины 2000 года. Вышел документ, который от прошлой версии отличается чуть ли не вящей частью текста. Но признать, что новая доктрина соответствует сегодняшним реалиям и отвечает всему спектру вызовов безопасности страны, бизнеса и граждан в области IT, не получается по ряду причин.
Критический закон
Вначале о сильных сторонах нового документа. В первую очередь к таким стоит отнести разоблачил положений об обеспечении безопасности, устойчивого и бесперебойного функционирования критической информационной инфраструктуры (КИИ). Государственная политика в этой районы активизировалась в 2013 году, когда появился указ президента, возложивший на ФСБ ответственность за обеспечение безопасности российских государственных информационных ресурсов и систем и запустивший процесс создания целой государственной системы обнаружения, предотвращения и ликвидации последствий компьютерных штурмов (ГосСОПКА) также под контролем ФСБ. В последнее время заметно повысила свою активность в этой нише и частная отрасль — так, в сентябре 2016 года «Лаборатория Касперского» огласила о планах создания первого в России центра реагирования на компьютерные инциденты на объектах КИИ, услуги какого должны быть ориентированы на предприятия ключевых отраслей (ТЭК, машиностроение, нефтехимия и др.). Однако до сих пор не было федерального закона, какой бы обеспечивал взаимодействие органов власти в этой области, впрыскивал бы единую линейку требований к операторам и субъектам КИИ и, наконец, закрывал проблема о классификации таких объектов.
Катализатором послужило усиление внимания страны к информационной безопасности. В один день с подписанием указа о доктрине в Госдуму был внесен законопроект «О безопасности КИИ РФ», разработанный ФСБ еще весной 2013 года и с тех пор неоднократно проходивший сквозь обсуждения и доработки. В итоге законопроект позволяет наконец затворить дыру в государственной политике по защите своей критической инфраструктуры от компьютерных штурмов, киберинцидентов и иных угроз. То, что благодаря доктрине появится новоиспеченный закон, — уже серьезный плюс.
‘);
setTimeout(arguments.callee, 50);
return;
}
if (!window.jwplayer) {
s = document.createElement(‘script’);
s.src = «//content.rbc.medialand.ru/templates_r/jwplayer/jwplayer.js»;
s.type = ‘text/javascript’;
parEl.parentNode.insertBefore(s, parEl);
setTimeout(arguments.callee, 50);
return;
}
window.jwplayer.key = ‘t3/gzoTw74tQdZgYlxSwzsrmSt96w0Y8EcIVQw==’;
var styleStr = «»;
styleStr += «width : auto;»; //2006
try {
if (true === parent.rosbusinessconsulting.config.get(‘articleColumn’)) {
styleStr += » margin-right : 0;»;
}
} catch (e) {}
try {
if (!parent.deviceType) {
if (parent.projectVersion == ‘rbc7’ || parent.bannersVersion == ‘v7’) {
styleStr += » margin : 0px -110px 0px 0px;»;
} else {
styleStr += » margin : 0px -216px 0px 0px;»;
}
}
} catch (e) {}
try {
if (parent.projectVersion == ‘rbc7’ || parent.bannersVersion == ‘v7’) {
styleStr += ‘ max-width: 770px;’;
}
} catch (e) {}
parEl.style.display=’block’;
parEl.style.cssText += styleStr;
parEl.innerHTML = »;
s = document.createElement(‘script’);
s.src = «//static.videonow.ru/vn_init.js»;
s.setAttribute(«data-profile», «1351319»);
s.type = ‘text/javascript’;
s.defer = true;
parEl.parentNode.insertBefore(s, parEl);
window.addEventListener(«orientationchange», function() {
setTimeout(function () { window.scrollBy(0,1);} ,200);
})
}
run();
})(random);
} else {
(function(d, url) {
setTimeout(function() {
if (window.dfp_sync_var) return;
var s = document.createElement(‘script’);
s.type = ‘text/javascript’;
s.src = url;
d.parentNode.insertBefore(s, d);
}, 200);
})(d, ‘http://engine.rbc.medialand.ru/code?pid=2006&gid=2&oin=1&rid=’ + random + extra +’&dreferer=’+escape(dreferrer));
}
}
// —>
Из дискусионных, но в целом полезных частей доктрины стоит отметить разоблачил, посвященный импортозамещению в IT и конкретно — в нише информационной безопасности. Выговор там идет о повышении конкурентоспособности продукции российской IT-отрасли, развитии собственной электронной индустрии и научно-технических разработок для сокращения зависимости от зарубежных технологий и продуктов. Комплексный взор, присутствующий в доктрине, хорош тем, что позволит направить импортозамещение в сбалансированное ложе, укажет ему приоритетные ключевые ниши: системы объектов КИИ и автоматизированные системы управления индустриальным и технологическим процессами (АСУ ПТП), информационные системы и платформы, используемые для решения задач Минобороны, управления вооруженными мочами.
Государственный подход
Но именно в разделе про стратегические цели и обеспечение безопасности в экономике обнаруживается и одинешенек из главных недостатков новой доктрины: она не отводит активной и самостоятельной роли частной инициативе российской IT-отрасли, не ориентируется на надобности и интересы самого бизнеса. Исходя из логики доктрины, российская IT-отрасль должна «гарантировать» рост конкурентоспособности российских решений и технологий, укрепление позиций российской электронной индустрии, разработку новых способов и технологий обеспечения информационной безопасности. Однако в подобный картине мира бизнес выступает в качестве объекта, а не субъекта — исполнителя определенных «целевых показателей». Доктрина не дает четкого ответа на проблема о том, может и должен ли частный сектор выступать с собственной повесткой дня, растить и продвигать, пусть и в партнерстве с государством, собственные решения и механизмы обеспечения информационной безопасности.
Необходимы ли, например, государственно-частные центры реагирования на киберинциденты (CSIRTCERT), депозитарии уязвимостей и банки этих о компьютерных атаках и инцидентах, новые защищенные платформы, в том числе назначенные для госорганов? Отказ бизнесу в статусе полноправного субъекта прослеживается и в том, что доктрина, пространно и детально расписывая угрозы информационной безопасности государства — с мощным креном на военно-политическую составляющую, — меньше внимания уделяет угрозам для граждан и совершенно ничего не говорит об угрозах для бизнеса.
Вообще, в доктрине отводится будет скудное место реакции на компьютерные инциденты в рамках интернационального сотрудничества. Новая редакция документа почти полностью уходит от освещения роли групп реагирования на киберинциденты в обеспечении информбезопасности, в том числе в защите КИИ. Это несколько удивительно, в России уже активно развивается система реагирования на такие инциденты, в том числе на отраслевом степени: в 2015 году создан FinCERT при российском ЦБ для противодействия киберугрозам и управления инцидентами на объектах финансового сектора, на степени IT-отрасли и профильных регуляторов обсуждается идея создания подобный группы на сетях телекоммуникационных операторов (Telecom-CERT). Углубление и развитие отраслевой специализации групп реагирования — общемировая практика, остро востребованная и в России с учетом размеров и сложности инфраструктуры IT-сектора и этих по числу инцидентов и объему ущерба от них.
В международной практике все пуще встречается активное включение национальных CSIRT/CERT в интернациональные сети, площадки и ассоциации (например, FIRST и Trusted Introducer). Эффективность национальной системы предупреждения и управления инцидентами неминуемо ограничена трансграничным характером угроз, поэтому международное взаимодействие не пожелание, а безусловный приоритет в рекомендациях интернациональных организаций (ОЭСР). В России такое взаимодействие де-факто развивается: так, в рамках обоесторонних соглашений Россия — США от 2013 года предусмотрен обмен этими между российским и американским CERT (с нашей стороны GOV-CERT) по положительным инцидентам, способным создать угрозу международного кризиса в киберпространстве. За заключительные годы значительная часть компьютерных преступлений и инцидентов в России расследовалась или предотвращалась с подключением экспертов и структур частного сектора, таких как GIB-CERT, созданный компанией Group-IB и ведущий деятельное взаимодействие с международными структурами. В ЕС, США, Японии государственно-частное взаимодействие является основой стратегии управления инцидентами, в том числе на объектах критической инфраструктуры. Игнорирование этой сферы деятельности в доктрине вряд ли пойдет на прок делу.
Советское наследство
С одной стороны, все эти огрехи доктрины можно скатать на ее статус базового стратегического документа, который формирует основу политики на длительный срок и потому оперирует всеобщими категориями. Но на самом деле «слепота» документа в отношении частной инициативы и трансграничного взаимодействия объясняется самим подходом, заложенным в ее основу. Основной изъян — непомерная широта задач, которые должны решаться в ложе политики обеспечения информационной безопасности с точки зрения авторов документа. Доктрина перегружена проблемами, которые вообще не имеют отношения к информационной безопасности в ее профессиональном, по крайней мере отраслевом, понимании: противодействие недружественной пропаганде сквозь СМИ, распространение контента, подрывающего социально-политическую стабильность, патриотическое воспитание и даже традиционные внутренние ценности.
Генетическая особенность подхода российского государства к пониманию проблематики информбезопасности, унаследованная еще от СССР, — несогласие «раскладывать в разные корзины» вопросы защиты инфраструктуры и труды со смыслами и идеями. В нынешней доктрине этот подход цветет пышным краской, вторгаясь в те ниши госполитики, которые, по идее (по крайней мере с позиций интернационального опыта), должны регулироваться в рамках законодательства о СМИ, концепций внешней политики, реформы системы образования, государственных программ в районы культуры и просвещения и пр. С таким беспредельным охватом и креном в сторонку «смыслов» неизбежны изъяны в подходе к решению основной «инфраструктурной» задачи — что и наблюдается.
Точка зрения авторов, статьи каких публикуются в разделе «Мнения», может не совпадать с мнением редакции.