В Якутии развивают добычу угля премиального качества Экс-президент Бразилии обжаловал обвинительный приговор по делу о коррупции Дагестан и Крым лидируют в СКФО и ЮФО по росту объема кредитов для бизнеса в 2017 году Знарок: российские хоккеисты сделали ставку на первый период в матче ОИ с норвежцами Легков: успех российских лыжников на ОИ-2018 закономерен, они очень сильные С подрядчика отеля Hyatt в Ростове намерены взыскать 767 млн рублей Индиан Кофе Хауз или индийские социалистические кофейни Фристайлист Ридзик принес команде олимпийских атлетов из России 12-ю медаль Игр Глава Ростуризма прогнозирует в 2018 году рост числа туристов в Крым на 10% ЦБ: годовая инфляция в РФ на конец 2018 г. может оставаться ниже 4% Эксперт: программы вузов надо менять вслед за потребностями рынка труда Forbes опубликовал рейтинг самых дорогих компаний рунета Российские фигуристки впервые в истории дважды побили мировой рекорд на ОИ В Китае придумали формулу гарантированного уничтожения США ФСБ сообщила о крупном хищении бюджетных средств в театре Льва Додина‍
Главная » Интервью » Экономика

Информационная безопасность и санкции: меры противодействия

Сегодня об информационной безопасности и санциях, мерах противодействия им рассказывает читателям Информационно-аналитического портала «Бизнес России, БРИКС и СНГ» Заместитель генерального директора группы компаний «Программный Продукт»Тимур Аитов.

Хочу затронуть важный аспект, связанный с влиянием санкций на информационную безопасность.

Как известно, читателям Портала, что такое информационная безопасность (ИБ) - это состояние защищенности информационных ресурсов ( ИТ-оборудования, средств обработки данных) и защищенность граждан в части их прав, которые информацией пользуются, и имеют свои персональные данные (ПД), которые тоже надо защищать. Инструментарий и технологии ИБ сегодня отражают огромное количество атак злоумышленников на компьютерные системы и до недавнего времени эти вопросы преимущественно волновали банкиров. Сегодня эта тематика все полнее встраивается в международную повестку, приобретает геополитический ракурс, а платежи как услуга уже стали инструментом воздействия и противодействия политическим решениям.

Напомню, в 2014 году были отключены от обслуживания карты международных платежных систем (МПС) ряда российских банков-эмитентов, Президент тогда выступил инициатором создания Национальной системы платежных карт (НСПК) с собственной платежной картой. Не могу сказать, что наша позиция выглядела проактивной - отключения от обслуживания случались и раньше. Так, в 1998 году карты МПС всех российских банков эмитентов внезапно перестали обслуживаться в Америке. Если бы мы тогда внимательнее к этому отнеслись, последствия нынешних санкций ощущались бы слабее.

Мы отреагировали на угрозу - но текущий проект НСПК не безукоризнен, если говорить о задачах ИБ . Ключевые элементы карты – микропроцессор (чип) и его операционная система - импортные, язык программирования карты (на котором написано рабочее приложение карты «Мир») - американский. Все средства шифрования - как самой карты, так и всей НСПК в целом, тоже импортные. Про подобные продукты известно, что они являются продуктами двойного назначения и в первую очередь подпадают под санкции. Поэтому уверенности, что используемые средства не будут внезапно отключены, либо в отношении них не будут предъявлены иски их правообладателей, на сегодня нет. Вся идеология нашей карточной системы не сильно отличается от МПС - это и понятно, пришлось делать быстро и использовать имеющуюся инфраструктуру - но правки вносить надо.

Платежи, которые я привел как пример - тема заметная, что называется на слуху. Но существует множество других объектов в стране, в определенной степени уязвимых и атака на которые может привести к серьезным последствиям.

Это так называемая критическая информационная инфраструктура (КИИ) - в нее попадают все крупные ИТ системы - здравоохранения, транспорта, энергетики, все банки вне зависимости от формы собственности – государственные или частные. Летом был принят закон о КИИ 187-ФЗ, разработан пакет подзаконных НПА . В нынешнем году грядет огромная перестройка всей работы с ИТ-системами. Сертификация, создание необходимых реестров всего того, что есть в отрасли. Необходимо проверить существующее оборудование и программы на отсутствие недекларируемых возможностей (НДВ), получить сертификаты ФСТЭК. Вся ИТ-подкладка любого бизнеса должна соответствовать значимости объекта.

Это огромная работа - она рассчитана примерно на полгода, но сделать ее за 6 месяцев вряд ли удастся, по крайней мере, многие не успеют и могут получить наказания. А наказания серьезные – за непринятие или принятие неадекватных мер защиты объекта КИИ предусмотрены уголовные наказания вплоть до лишения свободы для руководителя организации и лица ответственного за ИБ. Очень весомый аргумент сделать все в срок.

Во многом аналогичные по жесткости меры намечены в странах ЕЭЗ - там вступает в силу в мае этого года общеевропейский свод законов GDPR, General Data Protection Regulation, защищающий персональные данные (ПД) жителей ЕС. Штрафы за нарушения – до 20 млн евро или 4% оборота компании - в зависимости от того, какая цифра больше.

Под новое европейское законодательство подпадают и многие наши компании, которые оперируют с ПД европейцев. Достаточно одному европейцу попасть в список клиентов и сразу компания становится субъектом этого свода законов. Характерный пример ПЛАТОН – сервис, принимающий платежи от тяжелых грузовиков за проезд по дорогам. В зоне риска компании, занимающиеся мониторингом поведения европейцев, перемещений граждан ЕЭЗ, продажами, маркетингом и так далее.

GDPR тоже один из возможных выстрелов в наш адрес, новый инструмент конкурентной борьбы - до сих пор точно неясно, как будет построена работа, особенно, в части того, что касается нерезидентов ЕС. Многие компании к этому готовятся - консалтеры из большой четверки активно работают, хотя точных критериев, кто вызовет интерес «представительств регуляторов» (supervisory authorities) нет.

Отмечу, что общий мировой тренд также направлен на ужесточение законодательства в сфере защиты ПД. Так, сенат США недавно одобрил законопроект, в соответствии с которым 5 лет лишения свободы может получить глава компании, пытавшийся утаить факты компрометации ПД.

Это все, что касается Запада.

Вернемся к нашим многочисленным предложениям по улучшению непростой ситуации в стране. Предлагают: давайте не будем покупать западное ПО и оборудование, перейдем на свободное ПО, будем использовать российское ПО и так далее. Это выглядит разумно.

Однако и здесь есть серьезные подводные камни.

Если перейдем на открытый софт, то на нем нет ни одной современной операционной системы (ОС). Все, что есть - по сути образцы 2009 года и ранее. Сегодня совсем другие требования к ПО и, возможно, без Windows, нам не обойтись.

Windows важна и по другим причинам. Должно оставаться окно взаимодействия – чем-то придется обмениваться и линии коммуникаций с международным сообществом должны существовать. Поэтому к тотальной замене импортного ПО надо подходить аккуратно.

Что актуально для любого ПО, прежде всего? Необходимо поставить работу по сертификации и его проверке на эти самые НДВ. А если какая-то что ни на есть самая

российская компания будет предлагать свой софт, никакой гарантии, что там не поставлены закладки, нет. Гарантии даст только сертификат компетентных органов. Есть сертификат - есть защита, нет сертификата – нет защиты, так говорят спецслужбы.

Другие популярные предложения экспертов в части противодействия санкциям – налоговые льготы, дополнительные методы финансирования – на все эти меры тоже надо смотреть очень аккуратно и важно отслеживать - куда идут средства, когда денег у нас особенно и нет.

Напомню, только на финансирование работ по инновациям за последние 5 лет мы истратили около 1 трл. рублей, и это без какой-либо финансовой отдачи. Да, сегодня появилась новая имиджевая составляющая у страны, да, у молодежи появился ориентир - они ходят в Сколково, участвуют в массовых проектах типа Open Innovations и проч. Все это хорошо, но доходов от инноваций на сегодня нет.

В заключение о важности проактивной позиции.

Кибератаки приобретают глобальный характер. Вполне возможно, что команды, которые занимаются атаками на банки и банковские счета, вполне могут и атаковать иные серьезные объекты инфраструктуры, поэтому закон 187 –ФЗ станет серьезным ответом на подобные угрозы.

У нас полно участков, по которым также можно весомо ударить, как и по платежным системам – это те же системы резервирования авиабилетов, которые импортные и которые тоже могут быть остановлены. Система СВИФТ и возможное отключение от него, точнее, от его клиентской базы, существенно затруднит работу банковской сферы. Перечень угроз можно продолжить. Банки и не надеются на то, что для них будет выработана какая-то особая линия защиты - сами на свой страх и риск строят собственные стратегии, в которых стараются не давать поводов для негативных последствий для себя. Скажем, в Крыму сегодня нет госбанков, а недавно ПочтаБанк, наш новый развивающийся банк, имеющий свыше 12 000 филиалов на базе отделений почтовой связи Почты России заявил, что его стратегия развития не предусматривает открытия филиалов на этой территории.

Срочно нужна дорожная карта мер, учитывающая все ракурсы темы противодействия санкциям - включая технологические аспекты, организационные и даже средства GR и PR. С санкциями, видимо, жить придется долго.

Сведения об авторе

Тимур Аитов - заместитель генерального директора группы компаний «Программный Продукт», директор по международному развитию Ассоциации «Финансовые инновации», заместитель председателя подкомитета по платежным системам и информационной безопасности ТПП РФ

Окончил физико-механический факультет Санкт-Петербургского политехнического университета. Кандидат физико-математических наук. С 1991 по 1999 год — IТ-директор компании «Торговый дом ГУМ». С 1999 года — соучредитель и генеральный директор компании «ГУМ-Интернет». С 2003 по 2006 год — директор по развитию «РБК Софт» (группа компаний РБК). С 2006 по 2008 г — директор по развитию «Российской ассоциации электронных коммуникаций» (РАЭК). С 2009 по 2010 год — вице-президент Ассоциации региональных банков России. С декабря 2010 года — исполнительный директор Ассоциации российских банков. С августа 2012 года — вице-президент НП «Национальный платежный совет». В ноябре 2013 года назначен исполняющим обязанности председателя правления НП НПС. C 2014 года по н.в. — директор по международному развитию Ассоциации «Финансовые инновации». С 2016 года по н.в. — заместитель генерального директора группы компаний «Программный Продукт». Является заместителем председателя подкомитета по платежным системам и информационной безопасности Комитета Торгово-промышленной палаты РФ (ТПП РФ) по финансовым рынкам и кредитным организациям. Член экспертного совета по вопросам совершенствования правового регулирования в области использования электронной подписи, созданного Министерством связи и массовых коммуникаций РФ; член Экспертного совета по вопросам использования облачных вычислений при Министерстве связи и массовых коммуникаций РФ; член общественного редакционного совета журнала «Информационная безопасность банков»; член комитета Торгово-промышленной палаты Российской Федерации по финансовому рынку и кредитным организациям.

 



Источник: http://www.portalbisinfo.ru
Категория: Экономика | Добавил: tatsent (11.02.2018)
| Теги: Информационная безопасность и санкц | Рейтинг: 5.0/1
Всего комментариев: 0
Имя *:
Email:
Подписка:1
Код *:
Copyright © 2015 PORTALBISINFO/ Разработчик: Енин Владимир Николаевич /
Войти Зарегистрироваться
Свернуть
Развернуть
Необходима авторизация
0