Бюджетам цифровой трансформации нужна ревизия
В ходе своего выступления в Совете Федерации исполнительный директор АРПП "Отечественный софт" Ренат Лашин предложил перераспределить бюджет региональных программ цифровой трансформации на реализацию мероприятий по кибербезопасности. По его мнению, ряду регионов может потребоваться выделение дополнительного финансирования.
Заседание секции "Обеспечение технологического суверенитета и информационной безопасности Российской Федерации" Совета по развитию цифровой экономики при Совете Федерации было посвящено оценке технологической защищенности и обеспечению информационной безопасности.
"В 2021 г. каждый российский регион создал собственные стратегии цифровой трансформации. В текущем году они действуют, если требуется - обновляются. Поэтому необходимо подсветить фокус, чтобы наглядно было видно, что внутри этих стратегий происходит и в каких количествах. Это связано с тем, что имеют смысл процедуры перераспределения бюджета на информационную безопасность. Вполне возможно, что в текущих условиях каким-то отдельным регионам потребуется дополнительное финансирование для обеспечения требуемого уровня кибербезопасности. У регионов практически всегда наблюдается нехватка денег на информационные технологии и информационную безопасность", - предложил Ренат Лашин.
Затраты на реализацию программы "Цифровая экономика" на период 2018-2024 гг. запланированы на уровне 3,5 трлн руб. Ассигнования на проект "Информационная безопасность" на тот же период - 30,5 млрд руб., что составляет менее 1%. Бизнес, для сравнения, выделяет на ИБ, по данным опроса "Лаборатории Касперского", 15-25% от ИТ-бюджета. Региональный представитель компании УЦСБ, автор блога Zlonov.ru Алексей Комаров оценивает оптимальный уровень затрат на ИБ в 10% от ИТ бюджета. Но это при условии, что речь идет о зрелой компании. Если же процесс информатизации только начинается или необходимо срочно выполнять требования регуляторов, то данный уровень должен быть выше, вплоть до 50%.
Также, как обратила внимание первый зампред Комитета Совета Федерации по конституционному законодательству и госстроительству Ирина Рукавишникова, программы по цифровой трансформации хронически недофинансируются. Большинство муниципалитетов являются дотационными, и у них отсутствуют свободные средства. Также влияют такие факторы, как отсутствие методического обеспечения и недостаток подготовленных кадров. Хотя в целом бюджет программы "Цифровая экономика" за 2021 г., по данным Министерства финансов, исполнен на 95,6%.
"В процессе проведения проверок экспертами обнаружено более 670 уязвимостей в системах органов публичной власти. По статистике, только 8% региональных государственных ресурсов озаботились подключением к системам выявления киберугроз", - такие данные привел секретарь Совета Безопасности России Николай Патрушев в ходе совещания по вопросам национальной безопасности в Хабаровске 5 июля.
"Ренат Лашин предлагал обратить внимание, что в стратегии цифровой трансформации регионов должны быть предусмотрены мероприятия по цифровой безопасности. Думаю, что эти вопросы неотделимы от разработки и внедрения ПО, они должны быть непременной составной частью любой разработки. Это предусмотрено и новыми требованиями ФСТЭК по безопасной разработке", - прокомментировал предложения Рената Лашина председатель совета директоров "Базальт СПО", член правления АРПП "Отечественный софт" Алексей Смирнов.
"Для предложений, озвученных руководителем АРПП, сейчас, по сути, сразу несколько серьезных причин: это и резко участившиеся случаи кибератак, утечек чувствительных данных, особенно персональных, и ужесточения требований регуляторов в связи с этим. Только в первом полугодии президент (России Владимир Путин - прим. ComNews) выпустил два указа - обязал повсеместно создать отделы безопасности и форсировать процесс перехода на отечественные средства ИБ. Нет сомнений, что тенденция будет иметь продолжение", - полагает руководитель отдела аналитики "СерчИнформ" Алексей Парфентьев.
"Хотелось бы уточнить, что в первую очередь предлагается не перераспределять бюджеты, а проанализировать ход исполнения стратегий ЦТ в регионах на предмет безопасности внедряемых цифровых решений, - уверен руководитель комитета по инновациям ГК ICL Тимур Кайданный. - Предпосылки к подобному анализу понятны: череда скандалов с проблемами в области кибербезопасности диктует острую необходимость в защите информации, агрегируемой в виртуальном пространстве России. А если учесть, что в адрес нашей страны развязана полноценная информационная война, обеспечение безопасности цифровых активов РФ должно в обязательном порядке учитываться в реализации цифровых проектов".
"Если говорить о программе "Цифровая экономика", то там кибербезопасность занимает, увы, незначительную долю в бюджете. Если говорить про субъекты Федерации, то на распределение статей бюджета, в том числе на задачи кибербезопасности, во многом влияет сам регион. И таким образом на местах формируются собственные программы цифровой трансформации, - считает Алексей Парфентьев. - Тем не менее мы давно говорим о необходимости оценить, где регионам необходима помощь. Знаем несколько примеров, когда потребности в ИБ-решениях есть, но финансирование недоступно. Знаем об инициативе субсидирования КИИ на региональном уровне, которая тоже, к сожалению, не завершилась успехом. Поэтому так важно предусмотреть не только KPI в рамках региональных программ по цифровизации, но и финансирование".
По мнению Тимура Кайданного, предложение Рената Лашина стоит рассматривать как запрос на выделение дополнительного финансирования, а не перераспределение статей уже принятых бюджетов. При этом, по его мнению, доля расходов на информационную безопасность не является значимым показателем уровня кибербезопасности. "Как это ни странно прозвучит, но оценивать качественный уровень кибербезопасности по доле в общем бюджете на проекты ЦТ - крайне неверно. Доля должна быть ровно такой, чтобы злоумышленники не смогли нанести защищаемому активу вред, несовместимый с его дальнейшим использованием - в этом смысле необязательно уничтожить такой актив, иногда достаточно простой дискредитации. Где-то это может быть и 5%, а где-то и 95%. Все зависит от конкретного случая или проекта. При этом никакими статьями пренебрегать не надо, но сами решения должны проектироваться таким образом, чтобы требования в области кибербезопасности однозначным образом удовлетворялись", - отметил он.
"Распределение бюджетов на эти цели стоит принимать, исходя из объективной оценки ситуации: где-то необходимо расширение и модернизация системы, где-то замещение иностранных технологий, а где-то первое внедрение и масштабирование. Дополнительные средства можно изыскать, если сократить или вовсе прекратить закупки зарубежного ПО и оплату техподдержки иностранных продуктов, - такие пути экономии предлагает Алексей Парфентьев. - Еще одна возможность более эффективного расходования средств бюджета - ревизия комплексных контрактов на предоставление пакета услуг ИТ-поставщиками, особенно монополистами рынка. Необходимо четко определить, какие продукты и услуги из таких пакетов действительно нужны заказчику, возможно по отдельным направлениям провести отдельные госзакупки. Госзаказчику нужно дать больше гибкости в принятии решений, чтобы расходование средств, в том числе на задачи киберзащиты, соответствовало объективной реальности и первоочередным задачам. Чем точно нельзя жертвовать, так это образованием технических кадров. Чем меньше у нас ИТ- и ИБ-специалистов, тем более бессмысленны все мероприятия по кибербезу. ПО без людей не работает".
"Любая цифровая трансформация сопровождается увеличением требований как к самой информации, так и к методам ее обработки и использования в цифровых сервисах. Однако стоит уточнить и конкретизировать предложение по части обеспечения информационной защиты и отдельно по кибербезопасности - это два совершенно разных, хоть и взаимосвязанных направления в ИТ, - предлагает генеральный директор iPavlov, исполнительный директор НИЦ АО "Швабе" в МФТИ Лоран Акопян. - Существенные изменения в регуляторную базу вносить не придется, но нужно будет смотреть на ситуацию в каждом регионе отдельно и очень скрупулезно: смысл не в расчете отдельных долей в бюджете на информационную или кибербезопасность, а в выделении критически необходимых массовых сервисов, которые сегодня бурно трансформируются процессами цифровизации. Очевидно, в первую очередь речь идет об ИТ в здравоохранении, транспорте, оказании госуслуг и других социально важных сферах, в которых нужно внедрять обновленные подходы и технологии защиты, хранения, обработки информации".