Глава Roshen заявил, что активам в Липецке лучше "сгнить", чем быть дешево проданными Путин одобрил продление амнистии капитала Володин рассказал, почему Путина поддерживают большинство россиян Иркутская область ожидает роста индекса промышленного производства Миллиардер Ричард Брэнсон предложил построить в Индии транспортную систему Hyperloop Лавров сообщил о сомнениях РФ в желании США бороться с «Джебхат ан-Нусрой» Похороны погибших при стрельбе возле храма в Кизляре пройдут во вторник Спецпредставитель ЕС по Южному Кавказу обсудит в Баку карабахский конфликт Золотовалютные резервы Узбекистана за год выросли на два миллиона долларов Минтранс создает "зеленый коридор" для транзита грузов через Россию Российские спортсмены завоевали в воскресенье две медали на Олимпиаде в Пхёнчхане Визит канадского премьер-министра в Индию на фоне прохладных отношений Украина запретила поставлять в Россию двигатели Д-436 для гражданских самолетов Во Владивостоке начали производство новой Mazda CX-9 Сбербанк открывает кредитную линию для АФК "Система" на 105 млрд руб. под залог акций МТС
Главная » 2018 » Февраль » 11 » Информационная безопасность и санкции: меры противодействия

Информационная безопасность и санкции: меры противодействия

11.02.2018 в 13:52 Интервью

 

Сегодня об информационной безопасности и санциях, мерах противодействия им рассказывает читателям Информационно-аналитического портала «Бизнес России, БРИКС и СНГ» Заместитель генерального директора группы компаний «Программный Продукт»Тимур Аитов.

Хочу затронуть важный аспект, связанный с влиянием санкций на информационную безопасность.

Как известно, читателям Портала, что такое информационная безопасность (ИБ) - это состояние защищенности информационных ресурсов ( ИТ-оборудования, средств обработки данных) и защищенность граждан в части их прав, которые информацией пользуются, и имеют свои персональные данные (ПД), которые тоже надо защищать. Инструментарий и технологии ИБ сегодня отражают огромное количество атак злоумышленников на компьютерные системы и до недавнего времени эти вопросы преимущественно волновали банкиров. Сегодня эта тематика все полнее встраивается в международную повестку, приобретает геополитический ракурс, а платежи как услуга уже стали инструментом воздействия и противодействия политическим решениям.

Напомню, в 2014 году были отключены от обслуживания карты международных платежных систем (МПС) ряда российских банков-эмитентов, Президент тогда выступил инициатором создания Национальной системы платежных карт (НСПК) с собственной платежной картой. Не могу сказать, что наша позиция выглядела проактивной - отключения от обслуживания случались и раньше. Так, в 1998 году карты МПС всех российских банков эмитентов внезапно перестали обслуживаться в Америке. Если бы мы тогда внимательнее к этому отнеслись, последствия нынешних санкций ощущались бы слабее.

Мы отреагировали на угрозу - но текущий проект НСПК не безукоризнен, если говорить о задачах ИБ . Ключевые элементы карты – микропроцессор (чип) и его операционная система - импортные, язык программирования карты (на котором написано рабочее приложение карты «Мир») - американский. Все средства шифрования - как самой карты, так и всей НСПК в целом, тоже импортные. Про подобные продукты известно, что они являются продуктами двойного назначения и в первую очередь подпадают под санкции. Поэтому уверенности, что используемые средства не будут внезапно отключены, либо в отношении них не будут предъявлены иски их правообладателей, на сегодня нет. Вся идеология нашей карточной системы не сильно отличается от МПС - это и понятно, пришлось делать быстро и использовать имеющуюся инфраструктуру - но правки вносить надо.

Платежи, которые я привел как пример - тема заметная, что называется на слуху. Но существует множество других объектов в стране, в определенной степени уязвимых и атака на которые может привести к серьезным последствиям.

Это так называемая критическая информационная инфраструктура (КИИ) - в нее попадают все крупные ИТ системы - здравоохранения, транспорта, энергетики, все банки вне зависимости от формы собственности – государственные или частные. Летом был принят закон о КИИ 187-ФЗ, разработан пакет подзаконных НПА . В нынешнем году грядет огромная перестройка всей работы с ИТ-системами. Сертификация, создание необходимых реестров всего того, что есть в отрасли. Необходимо проверить существующее оборудование и программы на отсутствие недекларируемых возможностей (НДВ), получить сертификаты ФСТЭК. Вся ИТ-подкладка любого бизнеса должна соответствовать значимости объекта.

Это огромная работа - она рассчитана примерно на полгода, но сделать ее за 6 месяцев вряд ли удастся, по крайней мере, многие не успеют и могут получить наказания. А наказания серьезные – за непринятие или принятие неадекватных мер защиты объекта КИИ предусмотрены уголовные наказания вплоть до лишения свободы для руководителя организации и лица ответственного за ИБ. Очень весомый аргумент сделать все в срок.

Во многом аналогичные по жесткости меры намечены в странах ЕЭЗ - там вступает в силу в мае этого года общеевропейский свод законов GDPR, General Data Protection Regulation, защищающий персональные данные (ПД) жителей ЕС. Штрафы за нарушения – до 20 млн евро или 4% оборота компании - в зависимости от того, какая цифра больше.

Под новое европейское законодательство подпадают и многие наши компании, которые оперируют с ПД европейцев. Достаточно одному европейцу попасть в список клиентов и сразу компания становится субъектом этого свода законов. Характерный пример ПЛАТОН – сервис, принимающий платежи от тяжелых грузовиков за проезд по дорогам. В зоне риска компании, занимающиеся мониторингом поведения европейцев, перемещений граждан ЕЭЗ, продажами, маркетингом и так далее.

GDPR тоже один из возможных выстрелов в наш адрес, новый инструмент конкурентной борьбы - до сих пор точно неясно, как будет построена работа, особенно, в части того, что касается нерезидентов ЕС. Многие компании к этому готовятся - консалтеры из большой четверки активно работают, хотя точных критериев, кто вызовет интерес «представительств регуляторов» (supervisory authorities) нет.

Отмечу, что общий мировой тренд также направлен на ужесточение законодательства в сфере защиты ПД. Так, сенат США недавно одобрил законопроект, в соответствии с которым 5 лет лишения свободы может получить глава компании, пытавшийся утаить факты компрометации ПД.

Это все, что касается Запада.

Вернемся к нашим многочисленным предложениям по улучшению непростой ситуации в стране. Предлагают: давайте не будем покупать западное ПО и оборудование, перейдем на свободное ПО, будем использовать российское ПО и так далее. Это выглядит разумно.

Однако и здесь есть серьезные подводные камни.

Если перейдем на открытый софт, то на нем нет ни одной современной операционной системы (ОС). Все, что есть - по сути образцы 2009 года и ранее. Сегодня совсем другие требования к ПО и, возможно, без Windows, нам не обойтись.

Windows важна и по другим причинам. Должно оставаться окно взаимодействия – чем-то придется обмениваться и линии коммуникаций с международным сообществом должны существовать. Поэтому к тотальной замене импортного ПО надо подходить аккуратно.

Что актуально для любого ПО, прежде всего? Необходимо поставить работу по сертификации и его проверке на эти самые НДВ. А если какая-то что ни на есть самая

российская компания будет предлагать свой софт, никакой гарантии, что там не поставлены закладки, нет. Гарантии даст только сертификат компетентных органов. Есть сертификат - есть защита, нет сертификата – нет защиты, так говорят спецслужбы.

Другие популярные предложения экспертов в части противодействия санкциям – налоговые льготы, дополнительные методы финансирования – на все эти меры тоже надо смотреть очень аккуратно и важно отслеживать - куда идут средства, когда денег у нас особенно и нет.

Напомню, только на финансирование работ по инновациям за последние 5 лет мы истратили около 1 трл. рублей, и это без какой-либо финансовой отдачи. Да, сегодня появилась новая имиджевая составляющая у страны, да, у молодежи появился ориентир - они ходят в Сколково, участвуют в массовых проектах типа Open Innovations и проч. Все это хорошо, но доходов от инноваций на сегодня нет.

В заключение о важности проактивной позиции.

Кибератаки приобретают глобальный характер. Вполне возможно, что команды, которые занимаются атаками на банки и банковские счета, вполне могут и атаковать иные серьезные объекты инфраструктуры, поэтому закон 187 –ФЗ станет серьезным ответом на подобные угрозы.

У нас полно участков, по которым также можно весомо ударить, как и по платежным системам – это те же системы резервирования авиабилетов, которые импортные и которые тоже могут быть остановлены. Система СВИФТ и возможное отключение от него, точнее, от его клиентской базы, существенно затруднит работу банковской сферы. Перечень угроз можно продолжить. Банки и не надеются на то, что для них будет выработана какая-то особая линия защиты - сами на свой страх и риск строят собственные стратегии, в которых стараются не давать поводов для негативных последствий для себя. Скажем, в Крыму сегодня нет госбанков, а недавно ПочтаБанк, наш новый развивающийся банк, имеющий свыше 12 000 филиалов на базе отделений почтовой связи Почты России заявил, что его стратегия развития не предусматривает открытия филиалов на этой территории.

Срочно нужна дорожная карта мер, учитывающая все ракурсы темы противодействия санкциям - включая технологические аспекты, организационные и даже средства GR и PR. С санкциями, видимо, жить придется долго.

Сведения об авторе

Тимур Аитов - заместитель генерального директора группы компаний «Программный Продукт», директор по международному развитию Ассоциации «Финансовые инновации», заместитель председателя подкомитета по платежным системам и информационной безопасности ТПП РФ

Окончил физико-механический факультет Санкт-Петербургского политехнического университета. Кандидат физико-математических наук. С 1991 по 1999 год — IТ-директор компании «Торговый дом ГУМ». С 1999 года — соучредитель и генеральный директор компании «ГУМ-Интернет». С 2003 по 2006 год — директор по развитию «РБК Софт» (группа компаний РБК). С 2006 по 2008 г — директор по развитию «Российской ассоциации электронных коммуникаций» (РАЭК). С 2009 по 2010 год — вице-президент Ассоциации региональных банков России. С декабря 2010 года — исполнительный директор Ассоциации российских банков. С августа 2012 года — вице-президент НП «Национальный платежный совет». В ноябре 2013 года назначен исполняющим обязанности председателя правления НП НПС. C 2014 года по н.в. — директор по международному развитию Ассоциации «Финансовые инновации». С 2016 года по н.в. — заместитель генерального директора группы компаний «Программный Продукт». Является заместителем председателя подкомитета по платежным системам и информационной безопасности Комитета Торгово-промышленной палаты РФ (ТПП РФ) по финансовым рынкам и кредитным организациям. Член экспертного совета по вопросам совершенствования правового регулирования в области использования электронной подписи, созданного Министерством связи и массовых коммуникаций РФ; член Экспертного совета по вопросам использования облачных вычислений при Министерстве связи и массовых коммуникаций РФ; член общественного редакционного совета журнала «Информационная безопасность банков»; член комитета Торгово-промышленной палаты Российской Федерации по финансовому рынку и кредитным организациям.

 

 

 

 

 

 

 

 

 

Фото: http://www.radiorus.ru/brand/episode/id/57087/episode_id/921391/

Фотографии по теме
Комментарии 0
Имя *:
Email:
Подписка:1
Код *:
Copyright © 2015 PORTALBISINFO/ Разработчик: Енин Владимир Николаевич /
Войти Зарегистрироваться
Свернуть
Развернуть
Необходима авторизация
0