Top.Mail.Ru
мнения

«Уроки кибербезопасности дались российскому бизнесу дешево»

Фото: пресс-служба ГК «Гарда» Фото: пресс-служба ГК «Гарда»

Полтора года непрерывных атак на российские компании не прошли даром. Сотни миллионов утекших записей, терабайты зашифрованной и потерянной навсегда информации, тысячи часов простоя популярных сервисов — с таким количеством и интенсивностью атак раньше не сталкивалась ни одна страна. Согласно популярной пословице, грянул гром — вот мы и перекрестились. Подходы к решению злободневных задач информационной безопасности регуляторы, бизнес, эксперты ИТ-, экономической, юридической и коммуникационной индустрий обсудили на конференции «Защита данных: сохранить всё». О реалиях сегодняшнего дня, трендах и о том, к чему готовиться бизнесу, рассказывает Рустэм Хайретдинов, заместитель генерального директора группы компаний «Гарда». 

Что не убивает — делает сильнее

С практической стороны сегодня российские эксперты обладают огромным опытом в отражении кибератак. Крупнейшие цифровые сервисы встретили атаки «армией мирного времени» без достаточных ресурсов, с отключенными иностранными средствами защиты, но платежи совершались, светофоры не погасли, связь работала. Были и серьезные сбои, но они вылились в самом худшем случае в неудобство части сервисов, не сказавшись на экономике и тем более на здоровье и жизни граждан. Как говорится: нас это не убило, а значит — сделало сильнее. Здорово продвинулись не только эксперты, но и российские средства защиты, можно сказать, что экспертиза закрепилась в программном коде. 

Государство стало требовательнее

Не осталось в стороне и государство — оно начало гораздо строже относиться к устойчивости цифровых систем и нетерпимее — к утечкам персональных данных, поэтому стало жестче регулировать кибербезопасность. Многие требования по защите информации из рекомендательных стали обязательными, к административным мерам ответственности добавились уголовные, а штрафы за утечки информации вот-вот увеличатся многократно: окончательный проект закона, предполагающий ввести оборотные штрафы до 500 млн рублей на бизнес за утечку персональных данных (ПДн), внесен на рассмотрение правительства. Документ предусматривает изменения в Уголовный кодекс, предполагающие лишение свободы на срок до десяти лет за преступления, связанные с трансграничной передачей ПДн. 

Риски, регулирование и проверки

Как и в любых других областях строгого регулирования (например, противопожарное, опасные производства и т. п.), бизнес оказывается «между молотом и наковальней»: с одной стороны, реальные риски, которые могут критически сказаться на бизнесе, а с другой — регулирование и проверки.

Сокращение рисков стоит недешево — кроме довольно дорогих и сложных средств защиты, страна сегодня испытывает острейший дефицит специалистов в области информационной безопасности. Серьезная эшелонированная защита по карману только крупным компаниям. Однако и для малого и среднего бизнеса доступны десятки разных сервисов защиты, которые позволяют как защитить собственную инфраструктуру, так и расположить свою цифровую систему целиком или ее элементы сразу в арендуемой защищенной инфраструктуре.

В идеале выполнение требований регулятора на основе его же методических рекомендаций должно радикально снизить риски успешных атак, и наоборот — решение практических задач безопасности должно приближать компанию к выполнению соответствующих требований регуляторов. Но это только в идеале — никакое внедрение не даст гарантий отсутствия успешных атак. И решение вопросов по практической безопасности не приведет автоматически к выполнению требований. Здесь скорее подходит параллельный подход: раз уж все равно предстоит потратить деньги на выполнение требования регуляторов, то давайте сделаем это не только для бумаг, а с максимально возможной практической пользой. 

Лучше меньше, да лучше

Любые требования бизнес воспринимает как еще один вид налога, а налоги в бизнесе принято минимизировать легальными способами. Возможно ли это при требованиях по безопасности критической инфраструктуры и защите персональных данных? Возможно. Прежде всего, надо понять, а точно ли вам нужны все данные, которые вы собираете, храните и обрабатываете? Точно ли вы хотите хранить собранные данные бесконечно долго? Довольно часто при расследовании утечек возникает вопрос к виновнику: зачем вы хранили эти данные? Вы оказали клиенту услугу один раз и оставили его данные на бесконечное хранение, потому что хотите сэкономить клиенту время на ввод данных при гипотетической повторной услуге? Вам точно это нужно, вы измеряли конверсию? А самому клиенту это нужно или он предпочтет ввести свои данные второй раз, поскольку они у него заполняются автоматически из преднастроенных веб-форм? 

То есть первый шаг — понять, что сбор любых доступных данных и их бесконечное хранение — это риск ответственности и дорого с точки зрения защиты. Часто нужны не сами сырые данные, а аналитика на их основе или скоринг по определенному параметру (брал уже кредит, менял паспорт и т. п.). Нужно найти оптимальное с точки зрения бизнеса количество хранимых данных. 

Меньше данных — меньше инфраструктура, в которой они хранятся и обрабатываются, как следствие, придется меньше тратиться как на саму инфраструктуру, так и на ее защиту. Можно вообще делегировать ответственность, поместив данные в коммерческое защищенное и аттестованное облако, сам хостинг в таком облаке обойдется дороже, чем обычный, однако избавит не только от расходов на защиту, но и разделит ответственность. 

Стоит отдельно сказать, что жесткая позиция регуляторов в основе («данные и КИИ должны быть под надежной защитой») не исключает того, что регулятор чутко прислушивается к экспертному сообществу и адаптирует тактические требования к реальной практике — не секрет, что сегодня те, кто ежедневно отражают сотни атак, обладают бесценной экспертизой, которую и стремится учитывать в своих рекомендациях регулятор. 

Цифровизация вышла на плато

Можно констатировать, что период безудержного и неконтролируемого роста цифровизации закончен, запуск цифровых сервисов стал рискованней и дороже. Предприниматель так устроен, он в первую очередь смотрит на возможности, а не на риски. Если бы он ставил риски во главу угла, то не был бы предпринимателем. Каждый риск, не равный 100%, предприниматель оценивает в 50% либо случится или не случится, а после этого откладывает решение задачи уменьшить риск на потом.

Но сегодня риски информационной безопасности приближаются именно к 100% — любой выставленный в Сеть сервис попадает под сканирование хакерскими группировками в течение десятков минут, а через сутки он уже будет атакован. Поэтому расходы на безопасность, как финансовые, так и людские, и временные, сегодня просто становятся частью расходов на цифровые системы, и системы безопасности уже проектируются одновременно с проектированием цифровых систем. Соответственно, цифровизация идет дольше и стоит дороже — внедряются элементы безопасной разработки, встраивается требуемый регуляторами контроль и т. п.

Безопасность как функция

Через какое-то время безопасность перестанет быть отдельным продуктом, а станет функцией любой цифровой системы и будет по умолчанию включена в ее стоимость. Зеркала, ремни, подушки безопасности и антиблокировочная система тормозов стали сегодня такими же обязательными частями конструкции автомобиля, как колеса или руль. Без них машина просто не конструируется, поскольку нет никаких шансов продать товар, не соответствующий требованиям безопасности. За эти требования в автостроении своими жизнями заплатили жертвы автокатастроф, которых могло бы и не быть, если бы требования были введены раньше. В кибербезопасности знание рисков и способов их уменьшения достались нам гораздо дешевле — всего лишь длительными простоями цифровых сервисов и массовыми утечками данных, но и тут главное — не израсходовать эти знания понапрасну.

Еще по теме