Олег Демидов: Надо, чтобы мы варились в мировом котле инноваций, которые во многом исходят из разработки новых IT-стандартов

Гости
Олег Демидов
координатор проекта ПИР-Центра «Международная информационная безопасность и глобальное управление интернетом»

Антон Алфимов: Ну, а далее к теме этого часа. Поговорим о информационной безопасности. Президент России Владимир Путин утвердил своим указом новую доктрину. Национальными интересами в сфере информационных технологий является обеспечение прав и свобод граждан, а также неприкосновенность частной жизни. 


Но, помимо таких общих формулировок, есть там и довольно конкретные вещи, касающиеся действительно неприкосновенности личной информации, а также, что немаловажно, разработке российского программного обеспечения, к чему очень давно, ну, пытаемся идти. Сейчас  будем выяснять, насколько мы далеки от этого прорыва. У нас в студии Олег Демидов, консультант программы ПИР-Центра "Международная информационная безопасность и глобальное управление интернетом". Здравствуйте,

Ольга Арсланова: Здравствуйте, Олег.

Олег Демидов: Добрый день.

Антон Алфимов: Ну, вы, наверное, документ этот изучили.

Олег Демидов: Естественно.

Ольга Арсланова: По крайней мере, то, что касается вашей области. Мы вас не будем там внешними врагами пытать и оборонкой. Но то, что касается, хотя было бы интересно узнать, кого же имеют в виду.

То, что касается якобы тотальной зависимости России от зарубежных IT-компаний, действительно на сегодня это так? Нам же уже несколько лет рапортуют о том, что создаются отечественные системы, в том числе и системы безопасности. Где они?

Олег Демидов: У России активная политика в области импортозамещения в информационных технологиях стартовала несколько лет назад. Хотя  на самом деле упоминания о необходимости такой политики были ещё в прошлой редакции доктрины от 2000 года. У нас сейчас развивается политика импортозамещения в ряде направлений, т.е. это создание российских аналогов и систем защиты информации, это продвижение систем основанных на российских стандартах и российских разработках в области шифрования. Это попытки создать аналоги ключевых сервисов, таких как поисковые движки,  таких как коммерческие сервисы, для коммуникации в интернете, для массового использования коммерческим сектором и для массового клиента, пользователя. Ну и конечно это всё касается в первую очередь критической информационной структуры.

Ольга Арсланова: Это что такое?

Олег Демидов: Это то, как раз, чему в доктрине нынешней редакции уделено повышенное внимание. Это информационная инфраструктура тех объектов, которые критически важны для экономики, для обеспечения обороноспособности, для социальной, экономической устойчивости Российской Федерации. Т.е. это ключевые промышленные компании, это ключевые там объекты государственного управления и сервисы, предоставляющие гражданам ключевые государственные услуги. Это инфраструктура атомной отрасли, оборонной отрасли, химической и так далее. Вот здесь есть приоритет. В этих нишах нужно обеспечивать приоритет российских технологий просто по соображениям безопасности в первую очередь. Это делается, но это завязано на целый ряд проблем. Это действительно проблемы, связанные с ограничением российских возможностей в разработке собственной микроэлектронной компонентной базы, т.е. железа компьютера…

Антон Алфимов: А чем ограничены эти возможности?

Олег Демидов: Ну, это доступ к передовым технологиям.

Антон Алфимов: Ну, т.е. нет технологий, проще говоря, да?

Олег Демидов: Технологией нет по ряду сегментов. Т.е. например, российские процессоры, российские высокопроизводительные системы хранения данных, российские высокопроизводительные системы обработки анализа трафика сетевого и так далее. Или, например, есть проблема, связанная с зависимостью тех же самых критических объектов и вообще промышленных инфраструктур информационных от иностранных технологий в сегменте так называемых автоматизированных систем управления технологическим процессом. Это специфическая ниша информационных систем, которые напрямую управляют работой промышленного оборудования, к примеру. И вот там как железо, так и программное обеспечение в значительном количестве случаем, в значительном количестве вот тех решений, которые устанавливаются, используются на объектах Российской Федерации, они иностранные. Потому что здесь есть отставание, здесь есть по каким-то конкретным нишам вот в этой сфере, ну, просто дефицит конкурентоспособных отечественных решений.

Антон Алфимов: А что такого произошло, что нам срочно понадобилось защищаться от иностранного софта?

Олег Демидов: Произошел ряд вещей, которые отражены в доктрине в части описания ключевых угроз информационной безопасности РФ. Какие это вещи. Во-первых, после введения санкций в отношении РФ обострился вопрос о том, насколько мы зависимы от воли международных вендоров, т.е. компаний, предоставляющих, продающих нам услуги и продукцию в области программного обеспечения. В том случае, если эти вендоры находятся в юрисдикции государств, которые вводят санкции в отношении России, и могут ли эти компании быть принуждены своими правительствами к тому, чтобы прекратить предоставлять свои технологии, свои сервисы, свою продукцию Российской Федерации, каковы будут последствия.

Ольга Арсланова: Это же коммерческие компании, зачем им это нужно? На них же вряд ли могут оказать такое давление, это бизнес.

Олег Демидов: Им самим это, в общем, не нужно. Но не надо забывать о том, что каждая коммерческая компания находится в юрисдикции в законодательном поле той страны, в которой зарегистрирована её штаб-квартира, в которой она существует юридически. И подчиняясь законодательству своей страны, компания может быть вынуждена  действительно там по декретам, указам высшего руководства, принятым законам прекратить поставлять какие-то свои услуги, продукцию и так далее в стране, в отношении которой её государство ввело режим санкций. Была, например, история, она напрямую не связана никак  с критической информационной структурой и подобными вещами, но она связана с предоставлением сервисов гражданам РФ. Когда провайдер услуг DNS, т.е. услуг доменной системы, GoDaddy, вскоре после событий в Крыму и начала конфликта на Украине в 2014 году, подчиняясь решениям американских властей, просто прекратил предоставлять свои услуги для лиц, зарегистрированных на территории Крыма. И людям  пришлось искать, переводить свои услуги на другие домены, обращаться к другим провайдерам услуг и так далее. Вот возникло опасение, что подобные ситуации могут повторяться в гораздо большем масштабе. В отношении гораздо более  чувствительных критических для национальной безопасности сервисов, продуктов и услуг, в которых мы зависим от иностранных компаний.

Антон Алфимов: Ну, понятно, да. Но всё равно это какая-то загадочная история. Например, половина Европы зависит от российского газа, но при этом они не начинают срочно у себя этот газ искать, добывать, создавать какие-то альтернативные источники энергии, которые бы помогли им заменить это. Я это всё к тому, что хватит ли у нас сил денег, мозгов, чтобы эту инфраструктуру заменить хотя бы частично, если вы говорите что технологическое отставание, конечно, огромное.

Олег Демидов: Оно сокращается, но оно значительное. Если искать ответ на ваш вопрос, то, к сожалению, мы вынуждены констатировать, что в полной мере в тексте новой доктрины найти его нельзя. Таково мое мнение, почему. Потому что ответ на этот вопрос в первую очередь должен искать бизнес. А практические все передовые продукты, передовые технологии, передовые решения в области защиты информации, обеспечении устойчивости инфраструктуры, вообще создание информационных систем нового поколения, в том числе критически важных информационных структур -  это в первую очередь задача бизнеса  и направлений бизнеса, связанных с инвестированием в research and development, т.е. в научные разработки.

Антон Алфимов: Ну, вот вы видели, бизнес уже создал первый российский смартфон, но как-то… неудобно получилось.

Олег Демидов: Ну, вот как бы да. Вы сейчас сами отвечаете на то, насколько это успешно. Значит, российский бизнес в IT-сфере обладает большим потенциалом. У нас есть компании, являющиеся региональными лидерами, входящими в число мировых лидеров ( - "Лаборатория Касперского") или, если мы уходим чуть в сторону от сектора IB просто в IT-технологии, то это "Яндекс", ну и так далее. Но для того чтобы решать вот эту проблему, поставленную государством, бизнесу должна быть отведена инициативно-приоритетная роль и обеспечены меры поддержки со стороны государства. Не меры принуждения и требования. Вот как бы "волшебным способом возьмите и поднимите конкурентоспособность российской электронной промышленности и российской сферы информационных технологий, информационной безопасности в соответствии с требованиями доктрины". Нет. Должно быть констатировано и прописано, что бизнесу отводится ключевая роль в решении этих проблем, что государство должно поддерживать бизнес такими-то, такими-то мерами. Например, содействовать тому, чтобы российские компании, их представители участвовали в работе, разработке и продвижении ключевых стандартов в области информационной безопасности. В том, чтобы мы варились в глобальном котле инноваций в информационной отрасли, вот который во многом исходит от разработки новых стандартов. Например, сейчас есть вещи, связанные с тем, что разрабатываются новые стандарты промышленного интернета вещей, и вообще интернета вещей. В доктрине, к сожалению, роль бизнеса, роль частной инициативы, скорее пассивная. Т.е. он должен что-то сделать. Нужно поднять конкурентоспособность российской отрасли, российских разработок в сфере информационных технологий информационной безопасности, но никакой активной роли, никаких мер поддержки со стороны государства там четко не просматривается.

Ольга Арсланова: Т.е. подождите. Там четко в доктрине просто написано о тех планах, которые ставит перед собой государство. Но о том, как именно собираются этого достигать, вообще ничего нет что ли?

Антон Алфимов: Это же доктрина.

Олег Демидов: Это особенность формата документа.

Ольга Арсланова: Т.е. это особенность. Хорошо. Может быть, вам известно о том, что разрабатываются уже какие-то более конкретные документы, потому что интересно, как они собираются это делать, на какой платформе, на какие деньги, с какими специалистами, на каких условиях.

Олег Демидов: Значит да, доктрина является документом наиболее фундаментальный, она документ стратегического планирования и уже  в развитие, в конкретизацию, в уточнение её положений, в приближение их к практической реальности, разрабатываются сначала документы более детализированные, содержащие временные горизонты планирования, такие как стратегии, программы. Вот у Минсвязи есть программа "Информационное общество", есть стратегия и концепция российской политики по различным вопросам, связанным, в том числе, с информационной безопасностью. А есть конкретные форматы взаимодействия государства с бизнесом, например, государственное частное партнерство, которое в сфере информационной безопасности в России тоже недоразвито. Причем есть большой простор для продвижения в перед и опять же инициатива должна и может исходить от бизнеса. Вот пример, актуальный конкретный простой: недавно "Лаборатория Касперского" объявила о намерении создать свой, отраслевой, частный, но ориентированный на взаимодействие с государством "Центр реагирования на компьютерные инциденты" на объектах критической информационной структуры. Центр реагирования на киберинциденты – это  формат, получивший давно международное признание, распространение, и являющийся одним из ключевых вообще механизмов того, как различные организации – частные, государственные – управляют инцидентами информационной безопасности. Предотвращают их, снижают ущерб от их наступления, восстанавливаются после того, как инцидент произошел, и организуют взаимодействие в рамках отрасли, чтобы компании организации, подразделения государственных органов обменивались друг с другом информацией по поводу инцидентов, угроз, уязвимостей и так далее. Вот хороший пример. Причем они изначально заявляют о том, что центр ориентирован на взаимодействие с государственной системой обнаружения, прекращения, ликвидации последствий компьютерных атак, которые также упомянуты в доктрине на самом деле. Но можно было бы вот этот формат закрепить и отвезти ему какое-то отдельное место в положениях доктрины.  Что мы делаем ставку на развитие государственной частной инициативы партнерства в области информационной безопасности, в области защиты критических информационных инфраструктур, где инициатива исходит от бизнеса, а государство готово её поддерживать, развивать и в неё вкладываться.

Ольга Арсланова: Ну это такой зеленый свет бизнесу. Вы нам нужны, мы готовы к сотрудничеству.

Олег Демидов: Да. И это дефицитный, остродефицитный момент в тексте доктрины, к сожалению.

Антон Алфимов: Ну, я не знаю, допустят ли бизнес к стратегическим объектам каким-то…

Олег Демидов: При условии того, что это российский бизнес, при условии того, что он существует в российской юрисдикции и имеет давний опыт взаимодействия правоохранительными органами, органами, обеспечивающими правопорядок и безопасность, имеет лицензии на соответствующие виды деятельности, связанные с защитой информации, созданием безопасных, защищённых информационных систем и так далее. Почему нет? Причем речь идет не только про лабораторию Касперского, у нас значительное количество компаний переводовых в секторе информационной безопасности (Infowatch, Positive Technologies),  есть компании, занимающиеся тестированием…

Антон Алфимов: Ну, Касперского мы хотя бы знаем в лицо, здесь такой немаловажный вопрос.

Олег Демидов: Государство знает в лицо на самом деле всех своих ключевых контрагентов в сектора информационной безопасности. И все эти российские компании хорошо знакомы российским органам, которые причастны и уполномочены в области обеспечения информационной безопасности. Но вот почему-то это, на мой взгляд, в недостаточной степени отражен в доктрине и закреплен потенциал взаимодействия в формате, когда инициатива идет от частного сектора.

Ольга Арсланова: Наши зрители подозревают, что у нас просто нет хороших специалистов. Но это же не так, правда? У нас достаточно специалистов, только их нужно как-то мотивировать, вероятно?

Олег Демидов: Здесь такой момент, специалистов  в области информационной безопасности в России, в общем и целом, достаточно. Понятно, что по каждым конкретным нишам – по АСУТП ( - Автоматизированным системам управления техпроцессом), по каким-то передовым направлениям разработки средств криптографической информации, ну по каждому сегменту, по каждому конкретному кусочку есть дефицит кадров. Он всегда есть. Он есть практически во всех странах мира сейчас. Это не какая-то уникальная ситуация. В целом, ситуация в России приемлемая. У нас сильная хорошая отрасль информационной безопасности,  не идеальная, со своими проблемами, но выше среднего, я бы сказал.

Здесь именно вопрос отладки механизмов взаимодействия, на мой взгляд, прежде всего. Отдельный вопрос, связанный с дефицитом компетенции, касается не специалистов. Он касается общего уровня компьютерной грамотности в отношении угроз информационной безопасности обычных граждан, неспециалистов.

Ольга Арсланова: Как мы можем здесь на что-то влиять, простые граждане?

Олег Демидов:  На самом деле, вот я критиковал доктрину…

Антон Алфимов: Приучить себя не сохранять пароли на компьютерах?

Олег Демидов: Нет, нет. Вот сейчас частично я реабилитирую документ. Там упомянуто (вскользь, кратко, недостаточно подробно, но упомянуто опять же), что одна из задач – это повышение уровня личной осведомленности граждан  об угрозах информационной безопасности. На самом деле это деятельность тоже возможна в нескольких форматах. Первый – это внесение соответствующих коррективов и дополнений в программы образования. Но это уже не то, что должна сама доктрина прописывать. Это отдельная вещь. Второе – это разработка государственной политики, повышение так называемой культуры информационной безопасности. Эта деятельность велась несколько лет по инициативе Совета Безопасности РФ, готовился проект документа. Если я не ошибаюсь, он назывался "Основы политики в области повышения культуры информационной безопасности РФ". Он, к сожалению, на данный момент вот почему-то то ли застопорился, то ли не был, в конце концов, опубликован и доведен до статуса действующего документа. Но там есть комплексная сетка мер, опять же связанная с образованием, с деятельностью коммерческих организаций по просвещению населения, с распространением информацией госорганами. С просто-напросто внедрением целевых программ государственных, которые должны охватывать широкий круг пользователей, предоставлять им информацию об угрозах, предотвращать им выработку базовых навыков компьютерной гигиены. Т.е. как работать с подозрительными email, как действительно вести свою личную политику паролей и средств защиты своих личных данных. Как вести себя в ситуации, когда вы подозреваете, что являетесь жертвой компьютерной атаки. Ну, это банальные вещи, но они остро нужны на уровне масс.

Ольга Арсланова: Олег, вопрос, который интересует очень многих наших зрителей, да и нас, я думаю, тоже. Не вводится ли каких-то ограничений в интернете? Потому что у нас тут некоторые зрители вообще предлагают ограничить…

Антон Алфимов: Заблокировать Youtube.

Ольга Арсланова: Заблокировать в принципе весь иностранный интернет, и сделать рунет изолированным от остального мира. Но к счастью, таких немного и большинство всё-таки опасается таких ограничений в этой сфере.

Олег Демидов: Если отвечать на этот вопрос исходя из текста новой доктрины, целый ряд положений так или иначе его касаются. Первый  - это то, что в список приоритетов государственной политики в рамках доктрины вынесено управление обеспечение устойчивости национального сегмента сети интернет. Это новая формулировка. И она в принципе отражает развитие последних лет, когда у нас были в 2014 году в июле первые масштабные киберучения по тестированию устойчивости функционирования российского сегмента сети в условиях направленных компьютерных атак и внешних воздействий. Это один пласт вопросов. Т.е.  предполагается, что нужно обеспечивать некое резервирование той структуры, благодаря которой работает национальный сегмент интернета, но которая сама по себе является трансграничной, распределённой и в полной мере Российской Федерацией не контролируется.  Это инфраструктура глобальной системы доменных иен, это инфраструктура распределения ресурсов нумерации интернета - IP-адресов и номеров автономных систем.

Антон Алфимов: Давайте попроще…

Олег Демидов:  Хорошо. В общем, это те ресурсы, благодаря которым работает глобальный интернет, и в том числе и его российский сегмент. И они распределенные, т.е. Российская Федерация полностью этим не управляет. Вот задача – не меняя существующую глобальную, скажем так, технологию, сделать так, чтобы эти ресурсы были дублированы как-то на территории России, и чтобы в случае кризиса, в случае каких-то проблем с работой глобальной системы, российский сегмент продолжал чувствовать себя устойчиво и функционировать. К ограничению это…

Антон Алфимов: Но при этом, если глобальная система чувствует себя нормально, повлиять на российский сегмент государство всё равно не может?

Ольга Арсланова: И на глобальный вероятно тоже? Отсечь его, например?

Антон Алфимов: Скажем так, если рассмотреть ситуацию с обратной стороны.

Олег Демидов: Сценарий с возможностью нарушения доступа российских операторов, российских государственных органов, в общем, российских субъектов к глобальным ресурсам, он рассматривался на киберучениях, но это некий сценарий крайнего случая, какого-то острого кризиса, который маловероятен. Но в том числе с ориентацией на этот черный день, дорабатывается цель, вырабатываются технические меры обеспечения, возможности дублировать свои критические  ресурсы.

Ольга Арсланова: Т.е. альтернативная российская платформа, да? Информационная?

Олег Демидов: Не изолированная от глобального интернета, но на черный день имеющая функцию краткосрочного поддержания автономной работы, даже если в мире всё легло. Вот так. Сформулируем это так. Теперь, что касается ограничений на другом уровне, не на уровне физической связанности, а на уровне распространения контента в российском сегменте интернета. Здесь целый блок вопросов в доктрине посвящен угрозам с распространением той или иной информации, имеющей деструктивные смыслы. Т.е. подрывающей социальную, политическую стабильность. Информация, угрожающая территориальной целостности РФ, информация даже угрожающая патриотическим основам воспитания.

Ольга Арсланова: Да, здесь очень спорный момент, потому что по поводу угроз неким традиционным ценностям, …

Олег Демидов: Традиционным и духовным ценностям, да.

Ольга Арсланова: …которые настолько являются размытым понятием, что, честно говоря, пугают.
Олег Демидов: Да, понятия очень широкие. Более того, внесения всего этого пласта проблем, связанные с угрозами исходящими от контента на уровне смыслов и на уровне социально-политических воздействий, они ведут к тому, что теоретически во исполнение вот этих пунктов в реализацию политики, которая должна нас всех защитить, появляются основания ограничивать достаточно…

Антон Алфимов: Всё, что угодно.

Олег Демидов: …широкий объем информации в интернете по достаточно широкому перечню оснований. В принципе у нас эта тенденция уже развивается за последние годы  в рамках деятельности Роскомнадзора, но пока там основания немножко другую природу имеют, там противоправная информация, связанная...

Ольга Арсланова: Ну, т.е. всё, что связано с уголовным кодексом, с нарушением уголовного кодекса.

Олег Демидов: Да, с наркотиками, суицидом, откровенно террористическим, экстремистским контентом. А здесь добавляется некий новый пласт контента, который объявляется потенциально опасным, угрожающим информационной безопасности и даже территориальной целостности РФ ( - это слова з доктрины). И, соответственно, возникает подозрение, что в процессе разработки последующих документов и практических мер реализации  государственной политики появится соблазн действительно ввести новые категории, ограничение информации по таким критериям, по таким параметрам. Я не готов прогнозировать, как это точно может выглядеть, но постановка вопроса, изложенная в тексте доктрины, она свидетельствует скорее в пользу развития такого сценария.

Ольга Арсланова: Олег, т.е. правильно я поняла, что вот эта категория новая потенциально опасной информации и ресурсов, несущих эту информацию, появилась впервые в доктрине официальной вот такой? Т.е. в 2000 году её не было выделено?

Олег Демидов: Это не совсем так, там были обозначены угрозы, исходящие от контента вот тоже на уровне смыслов, на уровне социально-политической стабильности. Но, во-первых, вопросов в тексте предыдущей редакции было существенно, на порядок меньше,  ему уделялось на порядок меньше внимания. И он был на порядок уже. Т.е. там не было вопросов связанных с тем, что, например,  зарубежные СМИ… Возрастает число случаем, когда зарубежные СМИ транслируют искаженную негативную картину, негативную оценку деятельности государственных органов, государственной политики РФ.

Ольга Арсланова: Т.е. не исключено, что доступ к ресурсам иностранных СМИ можно будет легко закрыть, ориентируясь на эту доктрину?

Олег Демидов: Такой вывод нельзя сделать напрямую из текста доктрины, потому что она не является документом прямого действия, но направление мысли оно задается в определённую сторону.

Ольга Арсланова: Понятно, спасибо.

Антон Алфимов: Понятно. Олег Демидов был в студии ОТР, консультант программы ПИР-Центра "Международная информационная безопасность и глобальное управление интернетом". Обсуждали мы новую доктрину информационной безопасности России.