Эксперты: нужен закон о цифровой экономике

16.10.2017

Таково мнение участников панельной дискуссии, которая прошла в рамках Цифрового Инфофорума 3 октября. Ключевым субъектом процессов цифровой экономики остается человек и роль этого фактора не снижается. Человек все чаще становится «слабым звеном» - если говорить об атаках злоумышленников методами социальной инженерии. Именно социальные механизмы в процессах ИБ выходят на первый план и этому обстоятельству следует уделять первостепенное внимание.

Направление дискуссии задал ее ведущий, зампред подкомитета ТПП РФ по платежным системам и информационной безопасности Тимур Аитов. Цифровая экономика, определяя вектор развития страны, безусловно, укрепляет ее «информационный» суверенитет и уже этим затрудняет любые возможности препятствовать поступательному развитию страны. Однако, ситуация с точки зрения информационной безопасности (ИБ) в цифровой экономике не однозначная. Большая часть инновационных технологий при своем внедрении порождают риски и угрозы, о существовании которых разработчики не имели представления ранее. Парадокс в том, что аналоговая система часто менее подвержена атакам, чем цифровая. Слишком надежная защита затрудняет работу устройства, поэтому применяется риск-ориентированный подход, суть которого в балансе интересов пользователя, его защищенности и удобства сервиса.

Каков приемлемый уровень защиты от угроз новых технологий цифровой экономики? Кто и как должен определять этот уровень? Кто должен брать на себя ответственность, если произойдут крупномасштабные сбои? На эти вопросы нужны ответы уже сегодня. Роль и значение проблем ИБ по мере развития и совершенствования процессов цифровой экономики будет расти. Это касается также машинных систем искусственного интеллекта. Можно ли доверять искусственному разуму, и какова степень ответственности, которую можно делегировать роботам? В состоянии ли машина комплексно видеть картину происходящего в стране, в том числе, учитывая последствия с точки зрения этики, морали, геополитики, иных ограничений? Эти и другие подобные вопросы требуют и осмысления и формирования соответствующей законодательной базы, которой также, увы, нет.

По мнению Сергея Лебедя, руководителя службы кибербезопасности Сбербанка, главный вызов цифровой экономики - это высокая скорость цифровой трансформации бизнес-процессов и их моделей. Внедрение новых цифровых технологий и практик, создавая конкурентные преимущества для бизнеса, порой рушит традиционные подходы к обеспечению кибербезопасности. Нужно обеспечивать безопасность продукта или услуги на уровне идеи, дизайна – а для этого необходимо решить множество вопросов в области безопасной разработки в Agile, в процессах DevOps, автоматизировать SDLC. И здесь появляются новые области знания и практики управления безопасностью - новые мошенничества появляются практически каждый день. Преступная среда также развивается и кое-где успешно. Несмотря на то, что банки, создающие цифровые продукты, защищают их от атак, мошенники работают уже напрямую с клиентами. И настолько эффективно, что клиенты собственноручно переводят деньги туда, куда их просят – на счета злоумышленников. Еще вчера никто не мог предположить, что такой вид мошенничества станет популярным. Поэтому актуален и другой важный вызов – это ответственность, которую должен принять на себя современный бизнес цифровой экономики и управление связанными с ней рисками.

Доводы Лебедя поддержал глава управления безопасности АО «НСПК» Василий Окулесский. Безопасность должна начинаться еще на этапе постановки задачи и формирования функциональных требований к новому продукту или услуге разработкой частной модели угроз и соответствующих требований по снижению ущерба реализации риска. Затем, уже при непосредственной разработке и тестировании, необходимо проверить выполнение требований по ИБ, а при вводе в эксплуатацию сформировать систему контроля отклонений (выявления и анализа аномалий) и реагирования на них. Ну, и не забыть сформировать требования по ИБ при выводе из эксплуатации продукта, дал свои рекомендации эксперт.

Вступая в дискуссию, Дмитрий Фролов (ГУБЗИ Банка России), напомнил, что финансовая сфера, одна из самых продвинутых в использования цифровых технологий, а вопросы обеспечения киберустойчивости и противодействия информационным угрозам в национальной платежной системе (НПС) стали одними из приоритетных в Банке России.

Дорожная карта деятельности по повышению киберустойчивости НПС на 2017-2018 гг. предусматривает совершенствование законодательства РФ, формирование правовой основы противодействия мошенничеству на финансовом рынке, обеспечения возможности создания автоматизированной системы противодействия хищениям денежных средств на финансовом рынке; совершенствование оперативного обмена информацией Банка России, правоохранительных органов и организаций кредитнофинансовой сферы. В числе приоритетных - разработка проектов национальных стандартов Российской Федерации, устанавливающих технические требования к обеспечению защиты информации в финансовых организациях и определяющих методику оценки соответствия защиты информации, включая создание независимой системы подтверждения соответствия требованиям национальных стандартов (системы обязательного внешнего технического аудита).

Важны во всех этих процессах как экономические стимулы для повышения уровня информационной безопасности, так и высокий уровень финансовой грамотности пользователей электронных банковских технологий. В линейку мер ИБ внес весомый вклад Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере ГУБиЗИ Банка России (ФинЦЕРТ), созданный для обеспечения должной координации деятельности организаций кредитно-финансовой сферы по противодействию компьютерным атакам.

Тему финансовой отрасли поддержал партнер Группы экономико-правового консалтинга "Аудит Груп", председатель комитета ТПП РФ по финансовым рынкам и кредитным организациям Владимир Гамза. По его мнению, вопрос безопасности национального финансового рынка, независимо от формы собственности его институтов, прежде всего, является государственной проблемой и поэтому должен решаться с участием государственных институтов. Система институтов финансового рынка является важнейшим инфраструктурным элементом государства, безопасность которого непосредственно влияет на безопасность всего государства. Да, Банк России проводит большую работу в сфере борьбы с киберпреступностью, но это, в основном, работа по обеспечению безопасности деятельности самого Банка России и его государственных контрагентов. Считаю целесообразным расширить эту сферу работы Центробанка и совместно со Сбербанком организовать Национальный центр борьбы с киберпреступностью в финансовой сфере, сказал эксперт. Многочисленные малые и средние кредитные организации и небанковские финасовые институты не в состоянии самостоятельно решить эту масштабную задачу эффективного обеспечения безопасности финансового рынка России.

Георгий Лагода, советник по информационной безопасности ГК «Программный Продукт», напомнил, что актуальными проблемами ИБ цифровой экономики остаются формирование адекватной статической модели рисков и отсутствие объективного понимания текущего уровня безопасности любой информационной системы. В используемое ПО, порой, включают продукты, которые могли содержать в себе уязвимости более 10 лет (так называемые Shell Shock). Уверен, для минимизации подобных рисков в цифровой экономике необходимо постоянное проведение аудитов информационной безопасности и актуализация модели рисков экспертами извне, и никак не силами разработчиков. Подобный подход позволит получить объективную оценку безопасности информационных систем и оперативно выявлять новые угрозы, которые могли быть не учтены ранее.

В завершение дискуссии ведущий Тимур Аитов сформулировал основные ее итоги. Первое, что рекомендуют эксперты, во всех практиках перевода бизнес-процессов в цифровые форматы, вопросами ИБ надо начинать заниматься как можно раньше. Привлекать с этой целью экспертов, заранее закладывать в проекты устойчивые с точки зрения ИБ архитектуры, использовать защищенные программные среды разработки приложений и т.п. Ключевым субъектом процессов цифровой экономики, по-прежнему, остается человек, его роль не снижается. Более того, с точки зрения ИБ, человек все чаще становится слабым звеном - если говорить о многочисленных атаках злоумышленников методами социальной инженерии. Именно социальные механизмы в процессах ИБ сегодня выходят на первый план и этому обстоятельству следует уделять первостепенное внимание. И, наконец, эксперты оказались единодушными в следующем – срочно необходим отдельный закон о цифровой экономике, которого, увы, нет и момента появления которого ждать два года страна не в состоянии. Срочно нужны центры компетенции задач цифровой экономики, разъясняющие и пропагандирующие ее основы, имеющие на руках этот важный закон. Закон о цифровой экономике призван, в частности, снять риски с инноваторов, одним из которых стал КАМАЗ, осуществляющий разработку роботизированных автомобилей и  занимающий в этом направлении одну из лидирующих позиций. Однако, ввиду отсутствия законодательного регулирования в этой сфере, КАМАЗ не имеет четкого представления о зонах ответственности за последствия работы систем управления автомобилями с искусственным интеллектом.

В дискуссии также приняли участие Ильдар Шамилов, заместитель гендиректора по безопасности ПАО «КАМАЗ», Андрей Духвалов, директор департамента перспективных технологий «Лаборатории Касперского», Владимир Ефимушкин, замгендиректора по научной работе ФГУП «ЦНИИ Связи», Сергей Бондарев, замруководителя департамента банковской инфраструктуры ВЭБ и др.



© 2001 - 2017 НП "Инфофорум", infoforum.ru
Электронное СМИ, Эл. № ФС77-27767 Минпечати РФ
Разработка сайта: tushov.ru