Регулирование в сфере информационной безопасности необходимо, однако инструменты, которые сегодня использует государство, в ряде случаев не только не помогают защищать бизнес, но и сдерживают совершенствование решений.

Отношение к инициативам регулятора в сфере информационной безопасности вызвали неоднозначную оценку у экспертов, участвовавших в круглом столе «Ландшафт безопасного бизнеса. Технологии защиты» РБК Петербург. С одной стороны, как отметили некоторые спикеры, ужесточение контроля за хранением персональных данных оказалось единственным способом обратить внимание бизнеса (особенно небольших компаний) на вопросы кибербезопасности. С другой стороны, некоторые требования регулятора настолько абсурдны, что крупные предприятия зачастую вынуждены создавать две системы безопасности: одну — для демонстрации проверяющим органам, а вторую — для реальной работы.

Защита от государства

Как отметил Кирилл Керценбаум, директор по развитию бизнеса Group-IB, специалисты в области информационной безопасности уже перестали стесняться задавать острые вопросы регулятору. «На проходившем недавно SOC-форуме представителей ФСБ и ФСТЭК спрашивали, не кажется ли им, что целью обеспечения информационной безопасности, в том числе критической инфраструктуры в России, часто является соответствие некому опросному листу и выполнение требований регулятора к использованию сертифицированных средств защиты, и поэтому не всегда ведет к внедрению средств защиты, соответствующих реальной модели угроз, — рассказал Кирилл Керценбаум. — И представители ФСБ и ФСТЭК подтвердили, что они понимают эту проблему и будут пытаться ее решить, особенно в связи с вступлением в силу с 1 января 2018 года закона о защите критической инфраструктуры. К сожалению, регуляторы во всем мире, не только в России, часто с опозданием работают в этом направлении. Однако тот факт, что понимание проблемы есть, уже является шагом вперед».

«Сейчас надо думать либо о замене подхода к сертификации, либо в принципе забыть о сертификации в таком виде — средства защиты должны соответствовать модели угроз, а не требованиям регулятора к версиям, прошивкам и т.д. Сертификация приводит к тому, что продукт нельзя обновлять, пока новая версия не сертифицирована, но это недопустимо в современных условиях, меняющихся с колоссальной скоростью», — добавил Кирилл Керценбаум.

Текущий подход к регулированию, к сожалению, является во многом сдерживающим фактором и препятствием, а не драйвером развития рынка, уверены многие эксперты. «Иногда руководители начинают защищаться не от злоумышленников, а от предписаний регулятора, что даже не рассматривается в модели угроз. Одна из важнейших задач сегодня — пройти проверку без наказаний и предписаний. Но мы должны защищаться не от регулятора, а от злоумышленников, — подчеркивает Василий Томилин, инженер-консультант Cisco. — И при этом мы чрезмерно любим прикрываться регуляторами. «Мы не обновляемся, потому что потеряем сертификат» — сомнительное оправдание, ведь мировая статистика говорит о том, что средний период «отставания» решений от актуального уровня исправлений — 5 лет. Люди по всему миру не обновляют свои системы — это статистика, и регулятор тут не виноват. Я уверен, что намерения нашего регулятора правильные, что эволюционным путем законодательство будет совершенствоваться. Ситуация уже существенно изменилась: пересмотрена «нормативка» по межсетевым экранам и т.д. Просто ИБ-сообществу надо чаще с регулятором разговаривать. Так что проблемы с состоянием защищенности больше в нас, чем в регуляторах».

Иногда руководители компаний начинают защищаться не от злоумышленников, а от предписаний регулятора. Одна из важнейших задач сегодня — пройти проверку без наказаний и предписаний.

«Я уверен, что нам необходимо больше отраслевое регулирование, нежели общегосударственное, — уверен Илья Веретенников, ведущий эксперт отдела информационной безопасности МРСК Северо-Запада. — То, как сейчас регулируется безопасность на критической инфраструктуре, приводит к проблемам, а не оказывает какую-то помощь. Если это будет сделано адресно по отраслям, это будет более эффективно».

Заграница нам поможет

Эксперты предлагают не только искать свой путь в регулировании, но и брать на вооружение лучшие зарубежные практики — они уже зарекомендовали себя, поэтому вполне можно аккуратно «пересадить» их в российскую почву.

«Если говорить про 152 ФЗ, то в европейском законодательстве используется более простая и эффективная схема, — рассказывает Александр Костин, руководитель отдела экспертов дирекции ИТ компании «Воздушные Ворота Северной Столицы». — Там есть готовый опросник. Отвечающему за безопасность необходимо лишь заполнить его, получив на выходе информацию о том, что должно быть внедрено на предприятии. И уже с этим списком можно идти к генеральном директору и требовать финансирования. В данном случае все наглядно: есть санкции — есть решение. Так что в этом плане Европа обогнала нас».

Есть и другие зарубежные практики, которые можно использовать. «Если вы за рубежом входите в контракт, то первое, что с вас требуют — это бизнес-страховка. Страховая компания задает ряд вопросов о характере бизнеса, в том числе по безопасности, и от ответов на них зависит размер страховки, — поясняет Александр Поздняков, генеральный директор First Line Software. — Возможно, одно из решений заключалось бы в том, чтобы предоставить бизнесу в РФ возможность действовать по-своему, но при этом покупать такую страховку, которая будет покрывать риски, связанные с информационной безопасностью, тогда есть денежное измерение — если меньше инвестируешь в информационную безопасность, страховка становится дороже и наоборот».

«Грозить уголовными статьями по поводу информационной безопасности почти бесполезно в плане мотивации к активной деятельности, — добавляет Александр Поздняков. — В России генеральным директорам грозят слишком много статей, по разным, зачастую более существенным поводам. После пятой-шестой уже не столь важно, сколько их — одной больше, одной меньше — острота восприятия теряется».

Понятно, что речь идет только о тех отраслях и направлениях, которые не связаны с угрозами жизни и здоровью людей: нельзя не чинить эскалатор, даже если у тебя хорошая страховка. Но в остальных случаях применение страхования может стать эффективной практикой, замещающей сложную сертификацию.

Эксперты подтвердили, что страховые компании, которые готовы работать по таким моделям, в России уже есть. Главное — не перегнуть палку и не допустить чрезмерного лоббирования интересов страховых компаний. Иначе может произойти как в США, где страховое лобби сдерживает, к примеру, совершенствование средств защиты банковских карт. «По объему рынка разработки решений информационной безопасности исторически лидером являются США, но с точки зрения потребления этих решений США очень консервативны и в этом их позиции не ведущие. Так что опыт перенимать надо, но с осторожностью: не стоит страховать все риски подряд», — объясняет Кирилл Керценбаум.

В ряде случаев применение страхования может стать эффективной заменой сложной сертификации.

В любом случае — без регулирования обойтись не удастся, иначе многие просто перестанут заниматься обеспечением безопасности. «В этом сегменте многое делается из-под палки. И если государство не будет вводить санкций, то не будут и внедрять решения, — уверен Андрей Христофоров, коммерческий директор ITV | AxxonSoft. — Заставить можно только силовыми методами и регламентами. И требовать исполнения также надо, но должны быть разные инструменты — в том числе и страховые, там, где нет угрозы жизни и здоровью. И сертифицировать надо не софт, а функциональные возможности. Но если регулятор не потребует, то предприятия ничего не будут делать по своей воле».

Request documents

Leave us an email and we'll send instructions

ХОТИТЕ УЗНАТЬ БОЛЬШЕ?

Заполните форму, чтобы связаться с нами

Владимир Литошенко
Старший вице-президент