ИБ как концепция

Конференция BIS Summit, посвященная практическим аспектам обеспечения безопасности бизнеса, прошла в текущем году в 14-й раз. В этот раз форум состоялся в гибридном режиме, однако количество онлайн-участников было почти втрое больше, чем тех, которые участвовали очно.

Главной темой BIS Summit 2021 стала цифровая трансформация и то, как она влияет на киберриски. Не секрет, что цифровой мир, который сейчас строится, представляет собой, по большому счету, бета-версию с большим количеством ошибок и уязвимостей. А использование несовершенных технологий, как напомнил председатель правления Ассоциации руководителей служб информационной безопасности Виктор Минин, неизбежно ведет к росту кибератак и краж информационных активов. Тем не менее начинает появляться опыт того, что компаниям удавалось построить устойчивую и безопасную цифровую инфраструктуру.

Как напомнил заместитель министра цифрового развития, связи и массовых коммуникаций Российской Федерации Александр Шойтин, обеспечению информационной безопасности уделяется значительное внимание в концепции национальной безопасности. Там нашли отражение такие проблемы, как обеспечение киберустойчивости, защита КИИ, импортозамещение, борьба с киберпреступностью и противодействие деятельности зарубежных киберразведок. Также заместитель руководителя профильного ведомства анонсировал изменения в законодательство по защите персональных данных в плане введения регулирования оборота обезличенных данных, необходимых для работы сервисов с использованием искусственного интеллекта (ИИ).

Главной проблемой, по мнению Александра Шойтина, является дефицит кадров. Профильное ведомство ведет соответствующую работу, в частности прием в вузы по профильным специальностям удвоился. Но результаты, по понятным причинам, будут позже. В итоге, как отметил Виктор Минин, имеет место жесткий дефицит сотрудников первой и второй линий в системных центрах обеспечения безопасности (SOC). Также, по его мнению, серьезным вызовом является отставание развития ИБ от ИТ, в итоге нападающая сторона получает преимущество. При этом встраивать механизмы безопасности часто приходится буквально на ходу, и многие при этом начинают воспринимать ИБ в качестве тормоза процессов цифровизации.

Заместитель директора ФСТЭК Виталий Лютиков посетовал, что разработчики решений, поступающих на сертификацию в испытательные лаборатории данного ведомства, очень неохотно внедряют методологии безопасной разработки. Но без внедрения этих методик невозможно добиться сертификации на соответствие более-менее высоким уровням. И в целом культура безопасной разработки должна стать нормой.

Как напомнил Виталий Лютиков, рекомендации применять методологии безопасной разработки появились в 2016 г. В 2018 г. введены проверки применения ряда процедур. В течение двух лет ФСТЭК, что называется, выдерживала паузу, но с текущего года, как предупредил заместитель директора ФСТЭК, количество процедур, связанных с контролем соблюдения процедур методологий безопасной разработки, будет неуклонно расширяться. По мнению Виталия Лютикова, эти меры позволят выявлять уязвимости и критичные ошибки уже на стадии разработки, и это будет быстрее и дешевле, чем потом выявлять эти прорехи. Обратной стороной использования методологий безопасной разработки, как отметила президент ГК InfoWatch Наталья Касперская, является удлинение цикла создания программных продуктов.

Особо Виталий Лютиков отметил риски, связанные с использованием компонентов с открытым кодом. Многие из них содержат множественные уязвимости. Но разработчики уделяют недостаточное внимание экспертизе и аудиту компонентов и библиотек с открытым кодом. В качестве положительного примера адаптации СПО названо создание центра аудита исходных кодов компонентов ОС Linux на базе Института системного программирования РАН.