Интересы России в цифровом мире
Защита интересов граждан и бизнеса возможна только в ситуации сильного государства, не страдающего от проблем, связанных с информационными технологиями. Обеспечение информационной безопасности становится задачей государства, лежащей в сфере реализации его основных интересов.
Среди других интересов России в области обеспечения информационной безопасности Доктрина информационной безопасности называет следующие:
- обеспечение суверенитета и обороноспособности;
- достижение максимально возможного уровня внутренней стабильности;
- безопасность информации и информационной инфраструктуры;
- защита прав и свобод граждан;
- стабильность процесса социально-экономического развития;
- достижение полной независимости в области производства электронной техники и разработки национального программного обеспечения.
Современный цифровой мир и его влияние на национальную безопасность
За последние несколько десятилетий мир полностью изменился, и большинство коммуникаций, финансовых трансакций, информационных архивов попали в Интернет. Это увеличило их доступность для третьих лиц по сравнению с эпохой только материальных носителей, и, соответственно, вместе с доступностью повысилась и уязвимость.
Интересы личности и общества, выражающиеся в сохранности информации или в защите от деструктивного информационного воздействия, постоянно подвергаются угрозам, в основе которых лежит не только коммерческий, но и психологический или идеологический интерес.
Интересы государств в области информационной безопасности, в свою очередь, также находятся под ударом не только хакерских группировок, но и отдельных государств. Доктрина информационной безопасности, принятая в 2016 году, в числе угроз называет стремление отдельных государств доминировать в международном информационном поле. Это выражается не только в систематическом снижении значения международных организаций, в том числе в непризнании значимости принимаемых ими документов международного права в области информационной безопасности, но и в конкретных действиях.
Информационные технологии сегодня приобрели глобальный трансграничный характер, что создает невозможность как их регулирования на национальном уровне, так и безошибочного выявления источников угроз.
Проблемы и угрозы ИБ на международном уровне
Угрозы информационной в России и мире преимущественно экономического «происхождения». Кибертерроризм с целью подорвать политическую стабильность менее распространен, а мнимый масштаб ему придает широкое освещение в СМИ. Кроме того, громкие взломы чаще всего носят «рекламный» характер и служат своеобразной презентацией услуг той или иной хакерской группировки, которая планирует поставить навыки и умения на коммерческий «конвейер». Акты, носящие публичный характер, как, например, атака вируса WannaCry, выполняют еще и функции разведки, хакеры таким образом определяют степень защищенности мировых информационных ресурсов и готовятся к новым, более серьезным и масштабным операции.
По оценке американского Центра стратегических и международных исследований, ежегодный ущерб от преступлений, связанных с хищением компьютерной информации, по всему миру превышает 440 миллиардов долларов.
Информации корпораций, банков и правительственных организаций угрожают не только хакеры. Среди угроз безопасности:
- системные сбои, возникающие по различным причинам, в том числе из-за случайных ошибок или внедрения неверного кода в программное обеспечение;
- технические неисправности аппаратных средств, вызванные сбоями в системе электроснабжения, в том числе намеренными диверсиями, конструктивными проблемами или действиями пользователей;
- вирусы, которые постоянно совершенствуются и модифицируются, в частности, в начале 2017 года от вирусов-шифровальщиков NotPetya и WannaCry пострадали крупных международные компании и государственные учреждения, число жертв только WannaCry превысило 200 тысяч в 150 странах;
- деятельность сотрудников, направленная на разрушение систем безопасности, намеренный саботаж;
- внедрение в сеть неавторизованных пользователей, которые могут перепрограммировать компьютеры или похитить важные сведения;
- хищение данных любыми способами, включая кражу физических носителей информации, с различными целями.
На государственном уровне разрабатывается не только стратегия борьбы с угрозами, но и «наступательные» кибероперации, когда государственные структуры совершают акты кибершпионажа или повреждают сети государств-«конкурентов» с целью похить или повредить критическую информацию. Уже к 2014 году в США, например, власти взяли под контроль почти весь объем производства spyware (программы для кражи и перенаправления данных с компьютера пользователя) и adware (программы распространения «вирусной» рекламы).
Другие инструменты совершения атак на государственные, корпоративные и личные устройства включают:
, или программы-вымогатели. При запуске программы компьютер или мобильное устройство теряют работоспособность по различным причинам. Для возвращения работоспособности необходимо заплатить хакерской группировке. Особенность атак с помощью программ-вымогателей «новой волны» в том, что злоумышленники требуют выкуп в криптовалюте, оборот которой находится в теневой зоне, и отследить получателя которой крайне затруднительно.
. Версия программ-троянов. Пользователь добровольно устанавливает вредоносное ПО на компьютер, которое в дальнейшем или блокируют работу ПК и требуют заплатить деньги, или помогают проникнуть в систему другим вирусам.
. Нацелены на повреждение ПО мобильных устройств.
, или использование информационных атак для воздействия на психологию жертв.
Под постоянной угрозой находятся и компьютеры частных пользователей, которые бессистемно относятся к защите персональных данных, и тщательно охраняемые базы данных международных корпораций. Компании в США и Евросоюзе готовы платить за хакерскую атаку и похищение данных у конкурентов от 3 до 12 млн долларов. Притом, если атака производится на военный или промышленный объект, цена увеличивается в пять раз.
В России объем киберпреступлений частного характера существенно меньше, но это обстоятельство одновременно является и основанием неподготовленности систем безопасности большинства российских компаний, что отмечают на уровне МВД.
Еще по теме
Fake news как угроза информационной безопасности государства
Информационная безопасность государства: понятие, содержание и регулирующие законы
Современные риски и угрозы информационной безопасности государства
Роль современных СМИ в информационной безопасности государства
Интернет. Угрозы и уязвимость
Уровень информационной безопасности зависит в первую очередь от защищенности каналов, по которым сведения из информационной базы компании могут попасть в сеть Интернет. Специально разрабатываемые программные средства, например, DLP-системы, способны перекрыть эти каналы и снизить риск утечки, похищения или несанкционированного доступа к информации.
Но если со знакомыми угрозами – хакерами и спамерами – российские компании уже умеют бороться, используя, в том числе, SIEM- и DLP-системы, то такая новая тема, как Интернет вещей, создает совершенно новый уровень угроз безопасности информации граждан и организаций.
Под Интернетом вещей понимается повсеместное подключение к Интернету систем обеспечения быта – «Умного дома», холодильников, стиральных машин. Возможность бортового компьютера морозильника самостоятельно отправить в Интернет-магазин заказ на приобретение продуктов может стать целью, интересующей мошенников. Но риски не только в финансовых потерях одного гражданина. Неконтролируемые устройства Интернета вещей уже становятся основой бот-сетей, производящих, в том числе, DDoS-атаки.
Интернет вещей становится базой для совершения «физических атак» или атак, приносящих существенный материальный ущерб. Наиболее известным нападением такого типа стал Stuxnet, вирус-кибероружие, который был создан для нападения на центрифуги, обогащающие уран, и успешно решил эту задачу. Во время нападения на бизнес вирус может отключить климат-контроль в лаборатории, где необходимо поддерживать определенный температурный режим для сохранения препаратов, или сигнализацию перед совершением вооруженного ограбления. На конференции BlackHat (Конференция Черных Шляп), проходившей в 2013 году и посвященной проблемам компьютерной безопасности, уже были продемонстрированы атаки на системы управления нефтедобывающих предприятий и на системы водонапорной станции в США, совершенные китайскими «кибервоенными».
Количество угроз в Интернете возрастает, и никто не может точно сказать, не перехвачен ли уже контроль над критически важными инфраструктурными объектами.
Растущий уровень угроз приводит к необходимости искать собственные методы защиты, позволяющие системно решить задачу обеспечения информационной безопасности. С конца 2018 года правительством разрабатывается Концепция суверенного Рунета, внедрение которой способно существенно повысить уровень защиты информации. Эта тема привлекает повышенное внимание экспертного сообщества.
Обеспечение безопасности информации требует вложения серьезных финансовых ресурсов. Если компания может позволить себе соизмерять потенциальные расходы, связанные с внедрением современных информационных технологий, с ущербом, который может быть причинен утечкой информации, государство обязано обеспечить максимально возможную степень защиты. Реализация концепции национального Рунета, импортозамещение в области производства электронной техники и разработки ПО должны решить задачу обеспечения информационной безопасности в стране.
Кибергосударство
Digital-среда способствовала формированию таких феноменов как «кибергосударство», «киберуправление», «киберобщество». Различные стороны жизнедеятельности страны буквально переплетаются с онлайн-средой и любая нестабильность, незащищённость и вызовы здесь будут напрямую влиять на стабильность и безопасность.
Интеграция технологий в различные аспекты государственной системы, высокая степень уязвимости IT-инфраструктуры, в сочетании с глобализацией, в том числе инфосферы, где стираются территориальные и социальные границы, делают автоматизированные системы госаппарата и информационное поле (в особенности цифровое) объектом планомерных атак со стороны внешних и внутренних источников.
В условиях тотальной цифровизации ИТ активно переходят из сферы исключительно научно-технической конкуренции в военно-политическое противоборство, являясь инструментом геополитического влияния. Сегодня быть суверенным, стабильным, безопасным и процветающим государством — значит лидировать в технологической сфере.
Глобальные вызовы цифровой эпохи ставят перед государством важные задачи в области безопасности. Внутри страны необходима выработка конструктивных действий и принципов защиты стратегических информационных ресурсов, а на международном уровне — норм ответственного поведения в глобальном инфополе, и демилитаризация киберпространства для обеспечения международной информационной безопасности.
Виды угроз
Система информационных угроз существенно изменилась за последние годы. Помимо хакерских группировок и террористических организаций, а также традиционно противоборствующих иностранных разведывательных организаций, генерировать угрозы начали экстремистские организации и деструктивные секты, часто также направляемые службами разведки. Угрозы усилились, участились попытки перехвата управления объектами критической инфраструктуры, посягательства на государственные информационные ресурсы и сети. Самостоятельной проблемой стали действия, направленные на подрыв авторитета России на международной арене.
Нарастание угроз национальной безопасности вызвано такими факторами, как:
- стремление отдельных государств использовать программное и технологическое преимущество для доминирования в международном информационном пространстве;
- усиление действий, направленных на манипуляцию психологическим состоянием граждан, совершение ими действий, связанных с посягательством на суверенитет, территориальную целостность и внутреннюю стабильность РФ;
- давление на российские СМИ, сознательное ухудшение образа России, создание образа врага для американской и европейской общественности.
Основы национальной информационной безопасности служат базой для дальнейшего развития научных технологий, усиления присутствия России в мире, повышения ее роли в части выработки норм международного права.
Роль информационной безопасности в современном мире
Под информационной безопасностью понимается комплекс организационных и технических мер, которые принимаются для обеспечения защиты, целостности, доступности и управляемости массивов информации. В рамках общей концепции безопасности государства информационная безопасность обеспечивает связанное взаимодействие всех элементов системы.
Структурные элементы информационной безопасности на международном и внутригосударственном уровне включают:
- защиту сведений, содержащих государственную или коммерческую тайну;
- защиту серверов государственных учреждений и систем жизнеобеспечения;
- защиту безопасности данных как набор аппаратных и программных средств, которые обеспечивают сохранность информации от неавторизированного доступа, затруднения доступа, разрушения и перепрограммирования;
- информационно-психологический блок, который подразумевает реализацию системы мер, направленных на защиту от целенаправленного информационного воздействия на субъект нападения, его психологическое состояние или имидж на международной арене.
Защита всех составляющих требует разработки методического аппарата и создания собственной инфраструктуры. Задачи обеспечения информационной безопасности осложняются тем, что информационное пространство не имеет границ. Особенности работы сети Интернет и возможности беспроводной связи создают предпосылки для бесконтрольного и беспрепятственного переноса через рубежи государств огромных массивов данных, часто содержащих сведения, оборот которых в мире или в отдельных странах запрещен или ограничен.
Обеспечить безопасность внутреннего и внешнего периметров информационной системы компании могут «СёрчИнформ SIEM» и «СёрчИнформ КИБ».
Атакующие технологии развиваются быстрее защитных, поэтому даже государственные базы данных находятся в зоне риска. Для защиты государственной тайны применяются самые совершенные технологии. Но государственная тайна попадает в зону риска, как только выходит из наиболее охраняемого периметра и становится объектом взаимодействия государственных учреждений с коммерческими организациями или общественными институтами, степень защиты которых существенно ниже.
Однако и государственные защитные меры несовершенны, о чем говорят участившиеся взломы правительственных серверов в разных странах мира. Во время президентских выборов России в 2012 году на участках для голосования использовали систему веб-трансляции, чтобы фиксировать нарушения избирательного законодательства. Тогда на систему в течение суток было совершено до 1,2 млн атак. В этом же году злоумышленники атаковали государственные информационные сети Израиля 44 млн раз, Ирана – 28, США – 12 млн. Для сравнения: в течение 2016 года в России на государственные и частные ресурсы было совершено уже 70 млн кибернападений, что говорит о скорости возрастания и серьезности угрозы.
Проблема осложняется тем, что взломщики чаще всего не попадают под юрисдикцию государства, подвергшегося кибернападению. Преступники являются либо иностранцами, либо лицами без гражданства – «гражданами мира». Все это вынуждает искать общемировой консенсус в борьбе с угрозами и создавать общую систему информационной безопасности. Ведутся предварительные переговоры о возможности не только признавать кибератаки преступлениями, но и приравнивать их к вооруженным нападениям, когда целью являются государственные институты.
Еще пять лет назад министр обороны США Леон Панетта предложил приравнять кибератаки к вооруженным нападениям. Политик сравнил последствия от взлома компьютеров химических и ядерных предприятий и систем жизнеобеспечения городов с последствиями ядерного взрыва. Тогда американский конгресс поддержал идею министра, но пока инициатива не реализовалась в нормы права.
Редким примером систематизации норм в сфере защиты информационной безопасности служит правительственное соглашение между Россией и США, заключенное в 2013 году о сотрудничестве в научных исследованиях и разработках в ядерной и энергетической сферах. В документе в том числе перечислялись меры доверия и способы противодействия кибервойне, а также декларировалось создание общей системы информационной безопасности. Однако в 2016 году действие соглашения приостановили.
Дополнительным аргументом, который подтверждает необходимость создать международную нормативно-правовую базу по борьбе с киберугрозами, служит риск ущерба репутации государства. Использование информационных технологий в политической конкуренции стало привычным делом, и ущерб от «кибервыпадов» в адрес конкурирующего государства выражается не только в репутационных, но и в финансовых потерях. Информационная безопасность и защита репутации государства должны стать одним из инструментов в геополитическом противоборстве.
Все это укрепляет идею сосредоточить усилия мирового сообщества на выстраивании системы превентивных мер, одной из которых может стать криминализация преступлений в сфере информационной безопасности на максимально высоком уровне. Такой подход поможет в борьбе с киберпреступностью больше, чем преодоление последствий инцидентов.
Система обеспечения национальной информационной безопасности
Обеспечение национальной информационной безопасности возлагается на следующие службы и организации:
- Совет Безопасности РФ, разрабатывающий ключевые документы, обеспечивающий их реализацию и мониторинг результатов действия;
- Министерство обороны в части отражения угроз национальной безопасности, возникающих в военной сфере, в части воздействия на информационную оборонную инфраструктуру и в части идеологического воздействия, направленного на снижение боевого духа армии;
- органы внутренней безопасности в части отражения информационных угроз, направленных на нарастание сепаратизма, экстремизма, подрыва внутренней стабильности;
- государственные органы, устанавливающие стандарты в области защиты информации, безопасности информационных потоков, в том числе в части использования технических средств (Роскомнадзор, ФСТЭК, ФСБ);
- бизнес, на который возложена задача по импортозамещению в части производства цифровой техники и комплектующих к ней;
- научные организации, на чью долю приходится разработка новых технологий и программных продуктов;
- гражданское общество, призванное повысить информирование граждан в области их личной информационной безопасности.
Все участники процессов обеспечения информационной национальной безопасности в цифровом мире должны работать во взаимодействии, чувствуя потребности друг друга и изменение конъюнктуры. За общее планирование и стратегию отвечают Совет Безопасности и президент, которому руководитель ведомства регулярно докладывает обстановку в области национальной безопасности.
Единый процесс обеспечения информационной безопасности представляет собой непрерывное и взаимосвязанное применение превентивных, защитных и направленных на усиление позиции мер следующего характера:
- технических, в частности предпринимаемых в области контроля над российским сектором Интернета, импортозамещения в части программного обеспечения, повышения уровня защиты объектов критически важной инфраструктуры. Примером может стать защита государственной системы «Выборы», которая в ночь подсчета голосов отразила несколько миллионов DDos-атак;
- организационных, в том числе принятия нормативно-правовых актов, сертификации программных средств, ведения их реестров;
- производимых в сфере ОРД, например, выявление внутренних хакерских группировок или экстремистских сообществ;
- аналитических, проводимых силами общества и государства;
- пропагандистских, предпринимаемых и на внутреннем, и на международном уровне;
- международно-правовых, в частности, влияние на процесс принятия документов ООН и другими организациями, действующими в области обеспечения информационной безопасности на международном уровне;
- кадровых. На сегодняшний момент выявлен недостаток квалифицированных кадров в области IT-безопасности, предпринимаются меры по подготовке профессионалов в этой сфере;
- финансово-экономических, особенно в части направления инвестиций в сферу развития информационных технологий;
- разведывательных.
Все меры должны быть направлены на снижение уровня угроз, прогнозирование новых рисков, отражение нападений, ликвидацию их последствий, наращивание технического, идеологического и информационного потенциала, обеспечение информационной безопасности Российской Федерации, граждан и общества.
Понятие национальной информационной безопасности
Национальная информационная безопасность является комплексным понятием, по-разному раскрываемым в различных публичных документах, учебных пособиях, статьях экспертов. Она не ограничивается только информационной безопасностью государства, его органов, сфер обороны и внутренней политики.
Доктрина информационной безопасности рассматривает в качестве объекта защиты сбалансированные интересы личности, общества и государства. Без охраны информационных интересов личности и гражданина невозможно восприятие государства как субъекта общественного договора и носителя суверенитета, без которого невозможна защита граждан. Также внутри понятия находится и защита информационной инфраструктуры, осуществляемая программными, физическими и техническими средствами, обеспечение безопасности научных разработок и ноу-хау.
Таким образом, под национальной безопасностью в цифровом пространстве, включающей обеспечение информационной безопасности личности, общества, государства и инфраструктуры, понимается состояние защищенности информационной среды, гарантирующей соблюдение прав и законных интересов личности, общества и государства в информационной сфере, когда полностью обеспечиваются их защита, реализация и возможности развития вне зависимости от количества и качества внутренних и внешних угроз.
Доктрина информационной безопасности 2016 года дополняет, что в ситуации, когда национальная безопасность в сфере информации обеспечена, создается общество, в котором:
- происходит беспрепятственная и полная реализация конституционных прав человека;
- обеспечивается высокий уровень жизни;
- охраняется суверенитет, территориальная целостность и интенсивное экономическое развитие;
- угрозы обороне и безопасности государства своевременно и полностью отражаются.
Оценить состояние безопасности можно по объективным характеристикам. Развитая система информационной национальной безопасности определяется следующими основными параметрами:
- способность государства и органов государственной власти обеспечить сохранность и целостность информационных ресурсов и беспрепятственное движение информационных потоков, требуемых для нормального функционирования государственных и общественных систем;
- возможность адекватно противостоять всем видам угроз, возникающих в национальном и международном информационном поле, в том числе угроз информационной инфраструктуре, финансово-кредитной системе, компьютерным сетям, обеспечение безопасности научных разработок;
- способность в информационном поле противостоять психологическому воздействию на граждан и иные государства, направленному на подрыв внутренней стабильности и ухудшение образа страны на международной арене;
- реализованное намерение вырабатывать у граждан и организаций навыки самостоятельного противостояния информационным угрозам, умение использовать для этого все современные программные и технические средства;
- постоянная готовность противостоять любым типам угроз, в том числе созданным при помощи новейших технологий, обеспечение безопасности собственных инструментов защиты.
В основе национальной информационной безопасности находятся технические, программные и научные ресурсы, которые, с одной стороны, сами являются объектом защиты, с другой стороны, обеспечивают безопасность. Увеличение мощности этого ресурса становится одной из основных задач государства в цифровую эру.
ПОПРОБУЙТЕ «СЁРЧИНФОРМ КИБ»!
Полнофункциональное ПО без ограничений по пользователям и функциональности.
Цифровизация
За последние два десятка лет цифровые технологии совершили невероятную экспансию в жизнедеятельность государства, бизнеса и общества, и речь здесь не только об интернете, но и о различных компьютерных сетях и автоматизированных системах. В промышленном секторе они в разы интенсифицировали производство, увеличили количество и качество выпускаемых товаров, упростили логистику и коммуникации, предоставили компаниям новые эффективные маркетинговые инструменты влияния на целевые аудитории и возможность осваивать новые рынки и бизнес-модели, ускорили прогресс и мобильность во всех отраслях и сферах. Подавляющая часть производственных и бизнес-процессов сегодня ведётся посредством автоматизированных систем, баз данных и интернета, практически исчезли бумажные носители, которые в случаи сбоя IT-систем и программ позволили бы восстановить информацию.
Интернет, социальные сети и мессенджеры полностью изменили коммуникационные процессы, позволили человеку стать более независимым и автономным, быть всегда на связи, легко устанавливать социальные связи и контакты, иметь неограниченный доступ к ресурсам и информации. Но в то же время мы сталкиваемся с использованием киберпространства и для различных преступных действий, например, финансовое мошенничество, торговля людьми, контрабанда и терроризм. Цифровизация несёт в себе множество проблем и угроз, остро стоят проблемы сохранности персональных данных, хранящихся в различных узлах глобальной сети, безопасности присутствия и общения в сети. Возникают серьёзные противоречия между тем, чтобы данные и информация были быстро и легко доступны, и в то же время надёжно защищены.
В социуме, где уровень цифровизации и мобильности так высок, социальные и эконмические отношения всё больше зависят от слаженности и работоспособности технологий, они всегда должны быть доступны и готовы к работе, любой сбой буквально парализует деятельность и слаженность процессов, а несанкционированных доступ может привести к серьёзным последствиям. По мере того, как человечество находит больше способов технологического прогресса, должны быть приняты комплексные меры безопасности, чтобы гарантировать, что они не будут использоваться злонамеренно.
В условиях усиления цифровых коммуникаций, перемещения образовательных и рабочий процессов в онлайн-среду, постепенно стираются границы между реальным и виртуальным, межличностная коммуникация становится всё более фрагментарной, зависящей от технологической подключённости и соединения. Ввиду чрезвычайного роста информационного воздействия на пользователей, увеличения потоков контента, многоканальности коммуникаций, постоянного усложнения технологий, человек, с одной стороны, становится всё более отчуждённым от цифровых систем, а с другой более зависимым от них. В постоянном присутствии в digital, жизни в бесконечном «информационном шуме», снижаются навыки критического и логического мышления, становится всё сложнее отличить правду от лжи, люди всё более подвержены манипулятивным технологиям и массовому мышлению. В этой связи на них легко оказать информационное воздействие, сформировать негативные оценочные установки, манипулировать мнением и сознанием.
Сегодня наблюдается беспрецедентная зависимость от цифровой среды, и не только в промышленной, экономической и социальной сфере, но и в государственном управлении. В настоящее время ключевые государственные инфраструктуры и системы либо сами являются частью киберпространства, либо контролируются, управляются и эксплуатируются через это пространство, а большая часть информации создаётся или передаётся по цифровым каналам. В киберпространстве проходит передача финансовых потоков и транзакций, здесь функционируют системы управления различными механизмами, генераторами, энергетическими и транспортными системами, военными техниками, беспилотниками и ракетами различного радиуса действий.
Международные стандарты ИБ-сертификации
Двойная аббревиатура ISO/IEC указывает на то, что стандарты – это итог сотрудничества Международной комиссии по стандартизации (ISO), чьими нормативными актами определяется качество процессов производства и менеджмента, и Международной Энергетической комиссии (IEC). ISO/IEC 27000 содержат ряд рекомендаций и практических советов для внедрения системы менеджмента информационной безопасности (СМИБ). В России на базе ISO/IEC 27000 и внутренних разработок приняты около 22 тыс. внутренних стандартов аналогичных систем, некоторые из них утверждены в качестве ГОСТов, например, ГОСТ Р ИСО/МЭК 27000–2012.
Помимо стандартов серии ISO/IEC 27000 европейские государства разрабатывают и внедряют собственные нормативные документы, определяющие требования к обеспечению информационной безопасности. Зачастую национальные стандарты, разработанные для внутригосударственного применения, используются другими государствами. Национальный уровень перешагнули, например, разработанные в Великобритании Практические правила управления информационной безопасностью BS 7799.
Создание СМИБ с учетом стандартов
Компании, которые беспокоятся о защите собственной конфиденциальной информации и сертифицируют товары и услуги по системе ISO 9001, должны стремиться организовать собственную систему менеджмента информационной безопасности (СМИБ) на основе ISO/IEC 27000–2016 или более ранних версий, если внедрение СМИБ началось до введения новой редакции стандарта.
Согласно модели менеджмента ISO 9001, процесс создания и внедрения системы включает четыре этапа, которые обозначаются аббревиатурой PDCA:
При внедрении СМИБ путем PDCA система будет соответствовать требованиям международных стандартов сертификации.
Российские СМИБ
В России наиболее полные собственные стандарты СМИБ разработала банковская сфера. Документы, утвержденные в итоге как Стандарт Центрального банка России по информационной безопасности, вобрали лучшие мировые практики, включая методики оценки рисков CRAMM и OCTAVE.
Существует четыре стандарта, которые определяют общие положения, правила реагирования на инциденты и порядок аудита систем безопасности. Порой банки не могут определить, какой именно стандарт внедрять: стандарт ЦБ или ISO/IEC 27000. Если первый требует соблюдать регулятор, то сертификация в соответствии со вторыми требуется для полноценной работы на мировых рынках.
Российский банковский ИБ-стандарт отталкивается от идеи, что построение СМИБ основано на противоборстве собственника и злоумышленника за контроль над информационными активами. Основной источник угрозы стандарт видит не в лице внешнего врага, а в лице персонала организации. Соответственно выстраивается и комплекс защитных мер, который делает необходимым внедрение DLP-систем, разработанных для предотвращения внутренних инцидентов.
«СёрчИнформ КИБ» сертифицирована ФСТЭК России и включена в Единый реестр российских программ для электронных вычислительных машин и баз данных. Это 100% российская программа, которая соответствует всем требованиям отечественных регуляторов к средствам защиты информации.
В качестве основного инструмента борьбы с угрозами авторы стандарта предлагают использовать периодически пересматриваемый прогноз опасностей. Такая позиция во многом соответствует международному подходу в сфере кибербезопасности.
Преимущества СМИБ
По сравнению с обычными системами защиты СМИБ имеет несколько преимуществ:
- СМИБ прозрачна и для руководства компании, и для сотрудников. Сертифицированные методики позволяют упростить многие процессы, сделать их результат более предсказуемым, устранение повторяющихся и дублирующих элементов позволяет снизить затраты на защиту информации;
- СМИБ позволяет оптимизировать кадровый состав сотрудников, занятых в сфере защиты информации, снизить требования к количеству и квалификации специалистов за счет внедрения типовых процессов;
- СМИБ легко масштабируется на другие подразделения и филиалы компании.
При построении СМИБ важно учитывать, что обеспечение ИБ на международном, государственном и корпоративном уровне в первую очередь основывается на нормативно-правовой базе, стандартах, прогнозах и превентивных мерах и только во вторую – на практической реализации стратегий СМИБ. При этом от общества (если речь о государственном уровне) и от сотрудников (если речь о компаниях) закономерно ожидают понимания степени опасности и поддержки инициатив в направлении обеспечения ИБ.
Беззащитная цифровизация
Эксперт по информационной безопасности Лев Матвеев об опасности игнорирования проблемы незащищенности персональных данных в программе цифровой экономики
Лев Матвеев
, председатель совета директоров группы компаний SearchInform
Евгений Егоров / Ведомости
Защита персональных данных – нерешенный вопрос в цифровом мире. Чем активнее мы уходим в сеть, тем большему риску подвергаются персональные данные, потому что тех, кто их отдает, собирает и обрабатывает, становится слишком много. Но есть один сегмент, где порядок навести точно можно и нужно, – это госсектор.
Государственная сфера, которая обладает максимально критичными данными о населении, увы, гораздо хуже, чем корпоративный сектор, их защищает. Здесь пока видят только одну сторону медали цифровизации: условные медкарты наконец будут переведены в электронный вид, так станет удобнее. А то, что это отличная лазейка для мошенников, которые могут продавать данные или шантажировать ими пациентов, – к осознанию этой угрозы в госсекторе только приближаются.
Логично было бы предположить, что национальная программа «Цифровая экономика», которая описывает цифровую трансформацию в нашей стране, ставит задачу по защите персональных данных. В конце января текст программы появился в открытом доступе, в том числе профильный проект «Информационная безопасность». К своему удивлению, развернутого плана по защите персональных данных я там не обнаружил.
В проекте 13 ключевых инициатив, по заявлению создателей – «с максимальными эффектами для бизнеса и граждан». Только одна из них касается вопроса обращения персональных данных – это пункт 12. В нем говорится о разработке специализированного ресурса, обеспечивающего гражданам России доступ к информации о случаях использования их персональных данных, а также возможность отказа от такого использования.
Но нигде в нацпрограмме и ни в одном ее проекте нет прямой директивы, говорящей, что информацию пользователей нужно защищать. Более того, часть мер сделают обращение данных только более опасным. Взять хотя бы создание платформы «Цифровой профиль», которая предполагает хранение данных в едином сервисе. Так их, по идее, легче контролировать, но проще и украсть, тем более к системе будут иметь доступ сотни или даже тысячи госслужащих.
Зададимся главным вопросом: что делать? Есть юридический и технический путь решения проблемы. Нужно идти по обоим.
Сначала о технической стороне. В этой части должны появиться директивы, указывающие, какое защитное программное обеспечение должно стоять в госорганизациях, работающих с персональными данными. Это средства полного сканирования на предмет неправомерного хранения данных (класс решений eDiscovery); система мониторинга передачи информации по всем сетевым каналам и на внешние устройства хранения (DLP); системы контроля активности сотрудников; наконец, инструменты расследования – это обезопасит в первую очередь сами организации, чтобы в случае утечки ответственность легла на конкретного виновника, а не все ведомство целиком.
Нам не нужно изобретать велосипед, достаточно пойти по пути Европы с ее практикой исполнения требований GDPR (General Data Protection Regulation – Общий регламент о защите персональных данных). Но что делает эффективным GDPR и неэффективным наш закон о персональных данных? Принципиальное различие – в санкциях к нарушителям. На всех действует отрезвляюще, что даже неевропейская компания может отхватить штраф в миллионы евро. В этом смысле наш закон абсолютно беззубый.
И отдельно о контролерах. В пункте 12 проекта «Информационная безопасность» перечислены органы, ответственные за проект: Роскомнадзор, Минкомсвязи, МВД, ФСБ, ФСТЭК. Ни одно из этих ведомств не занимается вопросом утечки персональных данных. Больше всего задача подходит Роскомнадзору, ведь он и так отвечает за соблюдение ФЗ-152 и ведет реестр операторов персональных данных. Правда, как показывает практика, ведомство не совсем хорошо справляется с уже возложенными на него задачами. Но пока нет одного ответственного, не удивлюсь, если ситуация будет выглядеть как в поговорке: «У семи нянек дитя без глазу».
Конечно, требование к обеспечению ПО существенно увеличит бюджет на программу цифровизации. А ужесточение штрафов за утечку данных будет воспринято как драконовские методы устрашения. Но тогда странно вообще затевать дело, не отдавая себе отчета, кто имеет доступ к данным, как и для чего их использует.
Наведение порядка – решаемая задача. На приличном уровне эта работа организована некоторыми отраслевыми регуляторами, в частности Центробанком, который дает вполне конкретные рекомендации банкам, что защищать и какими средствами это можно сделать. Есть наработанная практика, которую можно использовать по принципу «бери и делай».
Рискну предположить, что отсутствие внимания к защите персональных данных в программе – это не сознательное решение, принятое с целью описать вопрос подробнее в подзаконных актах. Это бессознательное игнорирование проблемы. Точнее, представление, что защита данных – это само собой разумеющийся процесс.
В этом плане очень показательна прошлогодняя история с московскими многофункциональными центрами (МФЦ), которую обнаружил «Коммерсантъ». Сотни сканов паспортов на компьютерах МФЦ были в свободном доступе, а Роскомнадзор не обнаружил здесь нарушения, не признал ответственность и МФЦ. Граждане, мол, сами виноваты, что не догадались стирать файлы со сканами паспортов.
И тем не менее выводы из истории сделали. После скандала в СМИ на компьютерах в МФЦ появились напоминания о необходимости «удалять с рабочего стола и из корзины копии своих документов во избежание их попадания к третьим лицам».
Вопрос защиты не решится сам собой. Его нужно ставить сразу, как и строить фундамент для возводимого дома.
Автор — председатель совета директоров SearchInform
Постоянный анализ изменения ситуации в цифровом мире влияет и на вектор направления усилий политиков. В этой ситуации национальными интересами России в информационной сфере, как внутренней, так и международной, становятся:
- обеспечение прав и свобод человека, его личных интересов в информационной сфере;
- информационная поддержка институтов демократии и гражданского общества;
- обеспечение безотказного информационного взаимодействия гражданина, общества и государства;
- применение информационных технологий для сохранения национальной идентичности, ценностей и традиций;
- безопасное и бесперебойное функционирование информационной инфраструктуры и электросетей (как в мирное, так и в военное время), необходимое для обеспечения национальной безопасности;
- развитие в стране информационных технологий и электронной промышленности;
- доведение до мирового сообщества позиции России по тем или иным геополитическим вопросам;
- влияние на деятельность международных организаций, в том числе принимающих решения в сфере обеспечения безопасности.
Прямо не названы в Доктрине, но подразумеваются такие интересы, как поддержание экономической и финансовой стабильности, недопущение влияния некорректного использования информационных технологий на экономический рост.
Виды преступлений в сфере информации
Преступления, совершаемые в сфере информационной безопасности, описаны в отдельном разделе Уголовного кодекса РФ. Кроме того, введена отдельная статья в главе, рассматривающей преступления против имущества, – ст. 159.3, говорящая о мошенничестве, которое совершается с использованием электронных средств платежа, и 159.6, по которой преследуется мошенничество в сфере компьютерной информации.
В 2017-2018 годах наиболее часто в России фиксировались такие преступления, как:
- неправомерный доступ к компьютерной информации (ст. 272 УК РФ);
- создание, использование и распространение вредоносных компьютерных программ (ст. 273 УК РФ).
Но правоохранительные органы расследуют и другие дела. Так, достаточно часто стали возникать ситуации, связанные с использованием нелицензионного программного обеспечения.
Важность угроз информации в современном мире
Актуальность угроз целостности и конфиденциальности информации требует внимательного отношения к задаче ее защиты. 20 лет назад задача обеспечения безопасности информации решалась при помощи средств криптографической защиты, установления межсетевых экранов, разграничения доступа. Сейчас этих технологий недостаточно, любая информация, имеющая финансовую, конкурентную, военную или политическую ценность, подвергается угрозе. Дополнительным риском становится возможность перехвата управления критическими объектами информационной инфраструктуры.
Сведения о попытках хищения ресурсов информации, принадлежащих государству, в большинстве случаев закрыты. Исключением стало сообщение об атаке на систему ФАС РФ в 2018 году. А данные о количестве преступлений в кредитно-банковской сфере и в отношении граждан регулярно раскрываются МВД, Генеральной прокуратурой и Центральным Банком РФ. Так, в 2017 году число преступлений, совершаемых в сфере информационных технологий, выросло с 65 949 до 90 587, сейчас это каждое 20-е преступление. С января по ноябрь 2018-го было зарегистрировано уже 156 307 случаев криминального нарушения информационного безопасности, установить личности преступников удалось только в 38 773 ситуациях.
Количество случаев посягательства на информационную безопасность растет на 4-5 % каждые полгода. Интересно, что наибольшее число преступлений в сфере компьютерных систем и технологий фиксируется в Удмуртской республике. Проблемой становится то, что с ростом числа нарушений снижается их раскрываемость, она не превышает 41 %.
Банки далеко не всегда готовы раскрыть истинное число хакерских атак на их информационные системы, обнародование их числа может стать проблемой и подорвать репутацию кредитного учреждения. Также они не готовы сообщать общественности о количестве неправомерных списаний средств с карт. Статистика, предлагаемая Центральным банком РФ, складывается только из тех данных, которые банки могут безопасно обнародовать. Так, в 2018 году с карт граждан хакерами было похищено 1,4 миллиарда рублей.
Интересно, что для хакеров не существует авторитетов. Например, в ноябре 2018 года они разослали от имени ЦБ РФ письма с вирусами в 50 российских банков. При этом подразделение ЦБ РФ по работе с информацией, ФинЦЕРТ, отмечает, что в 2018 году существенно выросло количество атак на компании, информационные массивы которых защищены гораздо меньше, чем банковские или государственные. Все это говорит о растущей актуальности проблемы обеспечения безопасности информации.