Отношение к инициативам регулятора в сфере информационной безопасности вызвали неоднозначную оценку у экспертов, участвовавших в круглом столе «Ландшафт безопасного бизнеса. Технологии защиты» РБК Петербург. С одной стороны, как отметили некоторые спикеры, ужесточение контроля за хранением персональных данных оказалось единственным способом обратить внимание бизнеса (особенно небольших компаний) на вопросы кибербезопасности. С другой стороны, некоторые требования регулятора настолько абсурдны, что крупные предприятия зачастую вынуждены создавать две системы безопасности: одну — для демонстрации проверяющим органам, а вторую — для реальной работы.
Защита от государства
Как отметил Кирилл Керценбаум, директор по развитию бизнеса Group-IB, специалисты в области информационной безопасности уже перестали стесняться задавать острые вопросы регулятору. «На проходившем недавно SOC-форуме представителей ФСБ и ФСТЭК спрашивали, не кажется ли им, что целью обеспечения информационной безопасности, в том числе критической инфраструктуры в России, часто является соответствие некому опросному листу и выполнение требований регулятора к использованию сертифицированных средств защиты, и поэтому не всегда ведет к внедрению средств защиты, соответствующих реальной модели угроз, — рассказал Кирилл Керценбаум. — И представители ФСБ и ФСТЭК подтвердили, что они понимают эту проблему и будут пытаться ее решить, особенно в связи с вступлением в силу с 1 января 2018 года закона о защите критической инфраструктуры. К сожалению, регуляторы во всем мире, не только в России, часто с опозданием работают в этом направлении. Однако тот факт, что понимание проблемы есть, уже является шагом вперед».
«Сейчас надо думать либо о замене подхода к сертификации, либо в принципе забыть о сертификации в таком виде — средства защиты должны соответствовать модели угроз, а не требованиям регулятора к версиям, прошивкам и т.д. Сертификация приводит к тому, что продукт нельзя обновлять, пока новая версия не сертифицирована, но это недопустимо в современных условиях, меняющихся с колоссальной скоростью», — добавил Кирилл Керценбаум.
Текущий подход к регулированию, к сожалению, является во многом сдерживающим фактором и препятствием, а не драйвером развития рынка, уверены многие эксперты. «Иногда руководители начинают защищаться не от злоумышленников, а от предписаний регулятора, что даже не рассматривается в модели угроз. Одна из важнейших задач сегодня — пройти проверку без наказаний и предписаний. Но мы должны защищаться не от регулятора, а от злоумышленников, — подчеркивает Василий Томилин, инженер-консультант Cisco. — И при этом мы чрезмерно любим прикрываться регуляторами. «Мы не обновляемся, потому что потеряем сертификат» — сомнительное оправдание, ведь мировая статистика говорит о том, что средний период «отставания» решений от актуального уровня исправлений — 5 лет. Люди по всему миру не обновляют свои системы — это статистика, и регулятор тут не виноват. Я уверен, что намерения нашего регулятора правильные, что эволюционным путем законодательство будет совершенствоваться. Ситуация уже существенно изменилась: пересмотрена «нормативка» по межсетевым экранам и т.д. Просто ИБ-сообществу надо чаще с регулятором разговаривать. Так что проблемы с состоянием защищенности больше в нас, чем в регуляторах».
Иногда руководители компаний начинают защищаться не от злоумышленников, а от предписаний регулятора. Одна из важнейших задач сегодня — пройти проверку без наказаний и предписаний.
«Я уверен, что нам необходимо больше отраслевое регулирование, нежели общегосударственное, — уверен Илья Веретенников, ведущий эксперт отдела информационной безопасности МРСК Северо-Запада. — То, как сейчас регулируется безопасность на критической инфраструктуре, приводит к проблемам, а не оказывает какую-то помощь. Если это будет сделано адресно по отраслям, это будет более эффективно».
Заграница нам поможет
Эксперты предлагают не только искать свой путь в регулировании, но и брать на вооружение лучшие зарубежные практики — они уже зарекомендовали себя, поэтому вполне можно аккуратно «пересадить» их в российскую почву.
«Если говорить про 152 ФЗ, то в европейском законодательстве используется более простая и эффективная схема, — рассказывает Александр Костин, руководитель отдела экспертов дирекции ИТ компании «Воздушные Ворота Северной Столицы». — Там есть готовый опросник. Отвечающему за безопасность необходимо лишь заполнить его, получив на выходе информацию о том, что должно быть внедрено на предприятии. И уже с этим списком можно идти к генеральном директору и требовать финансирования. В данном случае все наглядно: есть санкции — есть решение. Так что в этом плане Европа обогнала нас».
Есть и другие зарубежные практики, которые можно использовать. «Если вы за рубежом входите в контракт, то первое, что с вас требуют — это бизнес-страховка. Страховая компания задает ряд вопросов о характере бизнеса, в том числе по безопасности, и от ответов на них зависит размер страховки, — поясняет Александр Поздняков, генеральный директор First Line Software. — Возможно, одно из решений заключалось бы в том, чтобы предоставить бизнесу в РФ возможность действовать по-своему, но при этом покупать такую страховку, которая будет покрывать риски, связанные с информационной безопасностью, тогда есть денежное измерение — если меньше инвестируешь в информационную безопасность, страховка становится дороже и наоборот».
«Грозить уголовными статьями по поводу информационной безопасности почти бесполезно в плане мотивации к активной деятельности, — добавляет Александр Поздняков. — В России генеральным директорам грозят слишком много статей, по разным, зачастую более существенным поводам. После пятой-шестой уже не столь важно, сколько их — одной больше, одной меньше — острота восприятия теряется».
Понятно, что речь идет только о тех отраслях и направлениях, которые не связаны с угрозами жизни и здоровью людей: нельзя не чинить эскалатор, даже если у тебя хорошая страховка. Но в остальных случаях применение страхования может стать эффективной практикой, замещающей сложную сертификацию.
Эксперты подтвердили, что страховые компании, которые готовы работать по таким моделям, в России уже есть. Главное — не перегнуть палку и не допустить чрезмерного лоббирования интересов страховых компаний. Иначе может произойти как в США, где страховое лобби сдерживает, к примеру, совершенствование средств защиты банковских карт. «По объему рынка разработки решений информационной безопасности исторически лидером являются США, но с точки зрения потребления этих решений США очень консервативны и в этом их позиции не ведущие. Так что опыт перенимать надо, но с осторожностью: не стоит страховать все риски подряд», — объясняет Кирилл Керценбаум.
В ряде случаев применение страхования может стать эффективной заменой сложной сертификации.
В любом случае — без регулирования обойтись не удастся, иначе многие просто перестанут заниматься обеспечением безопасности. «В этом сегменте многое делается из-под палки. И если государство не будет вводить санкций, то не будут и внедрять решения, — уверен Андрей Христофоров, коммерческий директор ITV | AxxonSoft. — Заставить можно только силовыми методами и регламентами. И требовать исполнения также надо, но должны быть разные инструменты — в том числе и страховые, там, где нет угрозы жизни и здоровью. И сертифицировать надо не софт, а функциональные возможности. Но если регулятор не потребует, то предприятия ничего не будут делать по своей воле».
