Алексей Лукацкий: «На госорганы нападает регуляторный кракен» Алексей Лукацкий: «На госорганы нападает регуляторный кракен»

Алексей Лукацкий: «На госорганы нападает регуляторный кракен»

Консультант по информационной безопасности, автор блога «Бизнес без опасности» — о новых трендах в сфере ИБ, о цифровой гигиене и о том, как не запутаться в многочисленных и меняющихся требованиях регуляторов

— Проблемы информационной безопасности общие у всего мира или каждая страна имеет свою специфику?

— На уровне базовой, фундаментальной информационной безопасности проблемы везде одни и те же. И задачи стоят похожие: построение защищенной инфраструктуры, предотвращение и обнаружение кибератак.

В сфере прорывных технологий — квантовых, в машинном обучении, биометрии — в России своя специфика. Есть направления, к которым мы только подступаемся, в отличие от американцев или китайцев, уже достаточно глубоко погрузившихся, например, в безопасность машинного обучения. А в других, например в биометрии, мы продвинулись дальше, чем зарубежные коллеги.

С точки зрения «бумажной» безопасности в разных странах отличаются действия регуляторов и сами регуляторы, а также выставленные ими требования. В России регуляторное поле исторически сложилось несколько иначе, чем во всем остальном мире.

Алексей Лукацкий (в центре) на вручении награды Ассоциации российских банков

— Чем мы отличаемся?

— Во всех продвинутых с точки зрения ИТ странах сейчас фиксируется очень много кибератак. Государство пытается взять на себя функцию проводника в установлении требований по защите государственных систем. Разница в том, что во многих странах мира регуляторы сферы информационной безопасности представлены одной организацией. Например, в США это CISA, в Европе — ENISA.

В России регуляторов несколько. Сначала это были ФСБ и ФСТЭК, позже добавился ЦБ (для финансовых организаций), затем Минцифры. Но есть еще и ФСО, отвечающая за сегмент интернета, к которому подключаются госорганы, за домен gov.ru. Есть Минобороны и СВР. А в сфере персональных данных сейчас добавляется Роскомнадзор.

Перед организацией возникает задача по выполнению самых разных требований многочисленных регуляторов. Разобраться в них непросто. За рубежом требований тоже немало, но они унифицированы, едины и понятны. В одних странах они расписаны более детально, в других задано лишь общее направление, и их можно реализовывать по-разному, но в случае нарушения наступает ответственность.

У нас регуляторов много, у каждого из них свои требования, и при этом жесткая ответственность за соблюдение как обязательных правил, так и общих рекомендаций. Все это сильно мешает. Проблема и в том, что у нас отсутствует практика пересмотра ранее выпущенных документов. Требования разных регуляторов зачастую противоречат друг другу или дублируются. Сейчас, когда у Минцифры стало больше полномочий в области безопасности государственных информационных систем, за которые традиционно отвечала и отвечает ФСТЭК, такие противоречия будут возникать еще чаще.

Из-за этих особенностей наше законодательство непросто сравнивать, например, с законодательством США, хотя наши регуляторы при создании своих требований ориентируются в том числе и на американские документы. У нас добавляется требование ФСБ по криптографии, потом Минцифры, потом вступает Роскомнадзор. Получается такой «регуляторный кракен». Он нападает на госорганы, которым сложно разобраться в хитросплетениях нашего постоянно меняющегося законодательства.

— И все-таки, опыт каких стран может быть нам полезен?

— Это вопрос геополитический. Рассматривать чужой опыт и признаваться, что мы его перенимаем, у нас не любят. Особенно в области инфобезопасности. На мой взгляд, есть два региона, к опыту которых нужно присматриваться: США, откуда родом многие технологии, и Китай с его технологиями управления интернетом.

В сфере защиты прав субъектов персональных данных и защиты самих персональных данных стоит обратиться к европейскому опыту, к законодательным актам Совета Европы, которые во многом служат образцом для наших законов и подзаконных актов по защите персональных данных.

— Сейчас госсектор массово переходит на отечественное ПО. Какие тут есть векторы развития и риски для инфобезопасности?

— На мой взгляд, в этой сфере мы пока отстаем. До недавнего времени программисты почти не думали о безопасности кода. Только сейчас, с выходом требований к объектам критической информационной инфраструктуры, даже к прикладному софту предъявляются требования, которым необходимо соответствовать. Многие локальные разработчики операционных систем и баз данных сейчас начинают об этом задумываться. При реализации облачных и других проектов безопасная разработка входит в число приоритетов. Код становится более надежным, безопасным, — меньше уязвимостей, меньше площадь для реализации атаки. Но подобные подвижки пока нельзя назвать массовыми.

При этом у нас есть сегменты типа VPN и средств криптографической защиты, антивирусы, решения по борьбе с утечками, которые на порядок лучше, чем зарубежные. А в остальных сегментах нам есть куда расти. Разработчикам не хватает опыта для создания масштабных высоконагруженных систем, территориально распределенных систем. Нужно учиться защищать данные в процессах, где высока скорость их обработки.

Сейчас разработчики семимильными шагами идут вперед, и главное, чтобы процесс не задохнулся под огромным количеством новых нормативных требований. Регуляторы хотят контролировать процесс и не допускать посторонних в сферу кибербезопасности. Поэтому есть вероятность, что небольшие стартапы, которые появлялись последние год-два, могут не выжить при недоступном международном рынке. Останется пять-шесть крупных игроков, которые поделят 80% рынка, особенно государственной кибербезопасности и крупных госкорпораций. Этого хотелось бы избежать, но неизвестно, получится ли.


— Возьмем среднестатистическую госорганизацию. О каких вопросах информационной безопасности ей нужно сейчас думать в первую очередь?

Ответ зависит от состояния информатизации в ней. Если организация несколько лет назад взяла курс на импортозамещение, на переход на «Астру», Postgress и, возможно, какие-то иные варианты с open source, логично сфокусироваться на безопасности этих платформ. Здесь есть нюансы с точки зрения применяемых технологий и российских вендоров. Если же организация только начала импортозамещение, то очевидно, что весь бюджет она будет тратить на более привычную для себя тему, связанную с ИТ, а не с ИБ.

Надо учитывать новый указ президента № 250 от 1 мая, в котором на руководителей организаций, в том числе государственных, возлагается персональная ответственность за безопасность: в обязательном порядке должно быть создано подразделение информационной безопасности, должен быть назначен заместитель руководителя, ответственный за кибербез. Это может быть CDTO, а может быть и ИТ-директор или директор по безопасности. По этой теме начинаются проверки, нужно уделять ей внимание.

Сейчас начался эксперимент по анализу защищенности государственных информационных систем. Это значит, что надо выстраивать процессы выявления уязвимостей, устранения уязвимостей, реагирования на атаки.

— Упомянутый вами указ президента о дополнительных мерах по обеспечению информационной безопасности также требует подключения государственных субъектов к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Что это означает на практике?

— Это значит, что надо выстраивать процессы мониторинга, реагирования на инциденты своими силами, то есть создавать ведомственные центры ГосСОПКА или обеспечивать подключение к корпоративным центрам, коммерческим SOCам типа BI.ZONE, «РТ-Солар», «Лаборатория Касперского» и т. д. Возникает задача контроля работы этих центров. При этом остается задача по размещению в инфраструктуре своей организации оставшихся от перехода в «ГосТех» сенсоров системы обнаружения компьютерных атак.

Если раньше акцент делался на предотвращении угроз, то сейчас — на обнаружении и реагировании. Это другие процессы, подходы, технологии. Самое главное — выстраивание процессов. То, чему раньше внимания не уделяли.

Есть требования по времени реагирования на выявленные инциденты — в течение суток. Это означает достаточно серьезные вливания и в персонал, и в технологии. Причем сутки — это максимум. На самом деле там говорится «незамедлительно». Очевидно, что сейчас могут появиться и требования ФСБ по мониторингу и реагированию на атаки. Встанут вопросы об обязательных бэкапах и резервном копировании. Даже если в систему проник вирус-шифровальщик, ее можно восстановить. Главное, чтобы было понятно, как локализовать этого шифровальщика внутри инфраструктуры, где находятся бэкапы (они не должны быть зашифрованы), как быстро восстановить систему из бэкапа, как общаться с пострадавшими гражданами.

— Что предстоит сделать для улучшения ситуации в области кибербезопасности?

— По большому счету вектор уже намечен. 20 мая прошло заседание Совбеза, на котором было заявлено о том, что реформируется государственная система защиты информации. Были названы три ключевых направления: импортозамещение и переход на отечественные технологии; радиоэлектроника и разработка своей микроэлектроники; развитие ГосСОПКА, непрерывный мониторинг кибератак и реагирование на них.

Сейчас подготовлен законопроект «Основы госполитики в области защиты критической информационной инфраструктуры», который должен быть подписан в ближайшее время. Помимо указа № 250, у нас еще два месяца назад был выпущен указ № 166 по импортозамещению в критической инфраструктуре, государственных организациях и госкомпаниях, госкорпорациях. Также ведутся разговоры об изменении программы обучения и вообще всей системы подготовки кадров по вопросам кибербеза.

Основные направления сейчас уже реализуются либо Минцифры, либо ФСТЭК, либо ФСБ. У Минцифры появляются новые полномочия. На мой взгляд, есть вероятность, что именно это более динамичное ведомство займет ключевые позиции в вопросах кибербезопасности.

— Какую роль будут играть «Гособлако» и «ГосТех» в новой системе?

— Ответственность за безопасность будет нести Минцифры или уполномоченный оператор, который начнет всем этим управлять, мониторить инциденты и реагировать на них. Это частично переложит ответственность на специалистов. Но, видя атаки, инциденты, утечки в Amazon, Azure, Google, мы понимаем, что государственное облако не панацея. Возникают вопросы: как реагировать, как найти виновников — того, кто допустил, и того, кто совершил, как работать с пострадавшими гражданами, чьи данные утекли. На этом уровне о безопасности тоже забывать нельзя.

— Предположим, организация перешла на «ГосТех», перевела туда свои критические ГИСы. Что останется на рабочем столе заместителя руководителя, отвечающего за инфобез?

— Останется общая ответственность за ту информацию, которую он помещает в «ГосТех» или иные централизованные системы, и за то, как его подчиненные, госслужащие, работают с этой информацией.

Останутся вопросы обеспечения безопасности на удаленке, безопасности мобильных устройств, которые есть у любого госслужащего. Вопросы с электронным документооборотом и электронной подписью, машиночитаемой доверенностью — это новые вопросы. Плюс вопросы, связанные с сайтами, ведением соцсетей. Недавно Госдума приняла в первом чтении законопроект об обязанности органов власти создавать и вести страницы в соцсетях.

Если бэкенд на себя возьмет Минцифры или выбранный оператор «ГосТеха» или «Гособлака», то для государственного органа важной задачей становится безопасность фронтенда.

— С точки зрения регулирования — какие меры могли бы стимулировать развитие ИТ-рынка?

— Если предлагать радикальные изменения, я бы убрал из процесса требования ФСТЭК — к сожалению, они сильно мешают. Если бы Минцифры отвечало за развитие не только ИТ-отрасли, но и отрасли ИБ, на мой взгляд, оно смогло бы сдвинуть ситуацию с мертвой точки. Эта идея слишком радикальна, она вряд ли найдет поддержку.

А вот чуть менее радикальные предложения. Во-первых, ввести мораторий на все проверки лицензиатов по вопросам разработки средств защиты. Причем как по линии ФСТЭК, так и по линии ФСБ. Во-вторых, убрать на время все лицензирование. Оно достаточно затратно для организаций, которые хотят стать игроками на рынке информационной безопасности. В-третьих, временно отменить сертификацию по требованиям безопасности. Она отнимает огромное количество усилий. Вместо этого можно сфокусироваться на разработке продукта или его новых функций.

Разработчики больше думают об удовлетворении требований регулятора, а не заказчика, рынка и т. д. Если сделать хотя бы эти три шага, на мой взгляд, рынок бы сильно поднялся. Даже без дополнительных вливаний, госзаказов и т. д. Ну а если бы еще появился госзаказ, как это было в советское время, то, вероятно, ситуация бы сдвинулась с мертвой точки. Главное, чтобы этот госзаказ не ушел к трем-четырем крупнейшим игрокам.

— Над чем еще предстоит работать: законодательство, культура, что-то другое?

— Культура, безусловно. Еще в 2013 году я участвовал в работе Совбеза по подготовке госполитики в области формирования культуры информационной безопасности в стране. Тогда эта идея не получила развития. Проблемы с культурой инфобезопасности у нас давние. В октябре во всем мире проходят месячники информационной безопасности, у нас эта идея не прижилась. Пока нет качественного обучения, хотя Минцифры делает определенные шаги в этой области. За гуманитарные аспекты информационной безопасности в России исторически никто никогда не брался.

— Сейчас госслужащим не рекомендуют брать на совещания мобильный телефон с фруктовым логотипом. Насколько эта мера обоснована?

— Вопрос о том, прослушивают ли нас наши устройства, не так прост. Все зависит от темы и формата совещания, того, где и как оно будет проходить. Очевидно, что есть требования по защите от утечек по техническим каналам при ведении особо важных и секретных разговоров. На секретные переговоры не стоит брать не только телефоны, но и компьютеры. Вообще таике переговоры рекомендуют вести в специализированных экранированных помещениях. В остальных случаях стоит просто отключить устройству доступ к микрофону, такая функция есть. Конечно, это не снимет все риски. Но, на мой взгляд, гораздо правильнее заниматься обновлением своих устройств, чем нагнетать ужас.

Даже использование отечественного смартфона не снимет опасность прослушивания. От голосовой волны вибрирует стекло, и даже со стены можно снять колебания. Это уже совсем другой уровень защиты.

Семь правил цифровой гигиены Алексея Лукацкого:

► Постоянное обновление ПО, начиная с уровня операционных систем, заканчивая приложениями, расширениями и плагинами этих приложений. Это устраняет уязвимости, через которые злоумышленники могут проникнуть в систему.
► Регулярная смена паролей, правильный их выбор.
► Введение многофакторной аутентификации, которая позволяет защититься при краже или подборе пароля.
► Резервное копирование.
► Обучение персонала основам информационной безопасности.
► Не подключаться к публичному Wi-Fi без VPN. VPN для государственного служащего, выходящего в сеть со служебного устройства, должен быть сертифицирован, кроме того, есть еще множество нюансов.
► Не ходить по ссылкам в сообщениях, даже если это сообщение от вашего руководителя. Но этой рекомендации сложно последовать без примеров, я обычно их привожу на обучении.

Если каждый государственный служащий будет соблюдать эти простые правила, служба ИБ или ИТ перестанет играть роль «бутылочного горлышка» в обеспечении безопасности.

— Есть мнение, что с появлением квантовых компьютеров все существующие механизмы шифрования станут неактуальны.

— Такое развитие событий вполне реально. Более того, уже есть работающие прототипы квантовых компьютеров (правда, пока всего на 127 кубитов, для взлома шифрования надо побольше). Но технологии развиваются быстро, поэтому в тех случаях, когда речь идет о долгосрочном хранении документов, уже сейчас надо задумываться о постепенном переходе на новые методы криптографии. Нужно помнить, что в крупной федеральной системе замена криптографии — задача не одного дня. К ней надо готовиться.

— Мы читаем блог Лукацкого, а что читает автор блога Лукацкого, что ему интересно?

— Из отечественных ресурсов — блог «Лаборатории Касперского», где простым языком описывают насущные угрозы, проблемы, задачи и пути их решения с точки зрения кибербеза. Остальные ресурсы либо рассчитаны на специалистов по кибербезопасности, либо обращаются к этой теме лишь эпизодически.

Из зарубежных источников можно отметить Help Net Security, Dark Reading, SC Magazine и CSO Online. Постоянно читаю публикации SANS — это американский институт кибербезопасности, он проводит много мероприятий, там большая библиотека. Смотрю на пока еще не заблокированном YouTube материалы с конференции RSA Conference, Black Hat и DEF CON, там появляется много рассказов зарубежных практиков безопасности, в том числе федерального и муниципального уровней. Очень многое похоже на то, что происходит у нас.

— Если разработчики и пользователи ГИС в один прекрасный день выполнят 100% всех требований и предписаний, это защитит нас от текущих и будущих угроз?

— Не выполнят. К тому же новые угрозы прилетают постоянно, так что обеспечение безопасности — это процесс. Если регулятор наметит какие-то шаги, эти шаги надо встраивать в существующие инфраструктуры, процессы работы с персоналом и регулярно их поддерживать. Например, мониторинг должен быть постоянным. Можно потребовать это реализовать, но без самого госоргана или иной структуры эту задачу не решить или ее надо отдавать на аутсорсинг. За аутсорсерами тоже нужен постоянный контроль. Поэтому регулятор может только установить требования. Реализация этих требований — задача организации, к которой они предъявляются. Далеко не все на это способны.

Мы уже говорили о таких масштабные проектах, как «ГосТех», «Гособлако» — это государственные системы, консолидирующие все. А, например, Минздрав сейчас создает у себя центр, который в том числе будет мониторить кибербезопасность по всей стране. В этом случае требования к организациям несколько снижаются, но раз и навсегда эту проблему не решить. Технологии постоянно меняются, развивается интернет вещей, к интернету подключаются совершенно нестандартные объекты. Буквально на днях я видел туалеты, подключенные к Microsoft Azure, зеркало, лифт, подключенный к облаку, кружки и даже стельки. Это новые объекты защиты, новые угрозы. Это непрерывная история.

Беседовали Павел Потеев и Мария Туманова