Безопасное развитие экосистем — что лежит в основе?
Ключевые выводы
ейчас экосистемы активно развиваются
«Экосистемы и государство, все IT-системы государства — это далеко не разрозненные, отдельные какие-то кубики и элементы. Это, действительно, уже одна большая экосистема. <…> И это тоже большой вызов <…> они еще не до конца осознали, что они экосистема. В этом смысле атака на один из элементов ведет к поражению всей системы»
вице-президент по информационной безопасности ПАО «Ростелеком» Игорь Ляпунов

«За счет развития экосистем общий уровень безопасности в стране будет расти, потому что экосистему формируют лидеры рынка, у которых уровень безопасности намного выше среднего, поэтому те практики и подходы, которые эти компании используют, будут распространяться на все цепочки, и в общем и целом весь бизнес будет намного устойчивее»
директор по информационным технологиям, вице-президент, заместитель председателя правления АО «Тинькофф Банк» Вячеслав Цыганов

Для развития экосистем существует много рисков, в том числе кибератаки
«Нужно понимать, что любое наше IT-развитие очень быстрое, в день, в неделю появляются десятки новых, даже не инструментов атак, а типов атак, и, конечно, скорость вот такого развития предполагает соответствующую защиту, которую в большинстве случаев невозможно достичь в государственных институтах»
вице-президент по информационной безопасности ПАО «Ростелеком» Игорь Ляпунов

«Цифровизируемся не только мы. Не только компании, не только государство, но и киберпреступность, то есть технологии становятся доступными»
директор по информационным технологиям, вице-президент, заместитель председателя правления АО «Тинькофф Банк» Вячеслав Цыганов

«Здесь дело не только в технологиях, не только в технологическом риске, но в значительной степени это еще и политический компонент, и мы как компания боремся с этим комплексным образом»
технический директор Huawei Enterprise BG Винг Кин Леунг

«Если у нас есть эти данные (чувствительные. — Прим. ред.), мы, естественно, должны их защищать. Это данные о людях, данные, которые мы получаем путем наблюдения, данные, которые мы не хотим, чтобы кто-то использовал в злонамеренных целях»
директор по цифровой трансформации и данным Международного Комитета Красного Креста Бальтазар Штелин

Есть достаточная нормативная база, которую нужно реализовывать и совершенствовать при необходимости
«Кибербезопасность — это очень зарегулированная область. Там вот этих нормативных документов, определяющих правила защиты, их прям много, и когда происходит какой-то очередной инцидент, разговаривая с регулятором, регулятор занимает простую и понятную позицию: „Слушайте, правила разве какие-то плохие?“ Да нет, правила отличные, все рекомендации прям прекрасные, только их нужно руками реализовывать»
вице-президент по информационной безопасности ПАО «Ростелеком» Игорь Ляпунов

«Если Женевская конвенция запрещает кинетическую атаку на, скажем, больницу, вполне логично прописать в конвенции запрет на кибератаку, которая приведет к серьезному ущербу для этой больницы, когда люди не получат медицинскую помощь»
директор по цифровой трансформации и данным Международного Комитета Красного Креста Бальтазар Штелин
Проблемы
Чем больше экосистема, тем выше риск утечки данных и кибератак
«Для меня, как для безопасника, экосистема опасна, скорее, в двух разрезах: первое — это, действительно, накопление больших объемов данных, которые концентрируются в одной точке, и это еще часто <…> усугубляется всевозможными партнерскими программами экосистем. <…> А второе — это зависимость и все возможные скрытые зависимости от этих экосистем»
вице-президент по информационной безопасности ПАО «Ростелеком» Игорь Ляпунов

«В экосистему входят не только компании. Это и клиенты, и граждане, и участники разные. <…> Проблема этого телефонного мошенничества <…> во многом, мне кажется, находится в том, что мы не смогли между собой договориться, то есть не смогли договориться банки, не смогли договориться телекомы, не смогло договориться и быстро отреагировать государство»
директор по информационным технологиям, вице-президент, заместитель председателя правления АО «Тинькофф Банк» Вячеслав Цыганов

Недостаточный уровень грамотности людей и бизнеса в области кибербезопасности
«У нас категорически отсутствует какая-либо мотивация для бизнеса обеспечивать безопасность критической инфраструктуры или пользовательских данных»
вице-президент по информационной безопасности ПАО «Ростелеком» Игорь Ляпунов

«На самом деле, с чем связаны все эти угрозы и социальная инженерия? С тем, что, на самом деле, клиенты и пользователи плохо понимают, что в принципе происходит»
директор бизнес-группы поиска, рекламных и облачных сервисов группы компаний «Яндекс» Андрей Стыскин

«В скором времени люди станут все более просвещенными в этом вопросе, и они будут требовать от институтов, организаций, банков, бизнеса, расширять свой инструментарий защиты данных»
директор по цифровой трансформации и данным Международного Комитета Красного Креста Бальтазар Штелин
Решения
Создание единой экосистемы по безопасности
«Когда мы говорим о том, как защищать, принцип достаточно простой: экосистемы должны защищаться экосистемами. Невозможно порознь защищать экосистемы. <…> Мы сейчас выступаем с инициативой по созданию единого центра, единой инфраструктуры, можно сказать security operation центра, который будет защищать и государственную экосистему, государственную IT-инфраструктуру. Это, на мой взгляд, сейчас единственный реальный способ защитить уже вот такого размера экосистему»
вице-президент по информационной безопасности ПАО «Ростелеком» Игорь Ляпунов

«Сейчас действительно большая дилемма, как обеспечивать безопасность государственных систем, и мы действительно считаем, что крайне важно эту функцию на уровне государства централизовать. Централизовать это в руках, не знаю, специальных служб или делать это на коммерческой основе, сейчас мы смотрим на международный опыт, и там по-разному. <…> Но это сейчас большая дилемма, без этого решения невозможно обеспечить безопасность государственной экосистемы»
вице-президент по информационной безопасности ПАО «Ростелеком» Игорь Ляпунов

Обеспечение конфиденциальности и поддержание доверия клиентов
«У нас есть ключевой базовый принцип, что все персональные данные наших пользователей находятся строгого внутри контура „Яндекса“»
директор бизнес-группы поиска, рекламных и облачных сервисов группы компаний «Яндекс» Андрей Стыскин

«Мы исповедуем принцип минимальных привилегий, то есть использовать данные исключительно там, где они действительно нужны. <…> В подавляющем большинстве случаев данные не нужны вообще (пользовательские данные. — Прим. ред.). Они могут быть заменены обезличенными, либо агрегированными данными»
директор по информационным технологиям, вице-президент, заместитель председателя правления АО «Тинькофф Банк» Вячеслав Цыганов

«Данные — это основа доверия. Если компания не достаточно уделяет внимания защите данных, то это во многом поставит крест на развитии этой компании в дальнейшем»
директор по информационным технологиям, вице-президент, заместитель председателя правления АО «Тинькофф Банк» Вячеслав Цыганов

«Не только законодательство заставляет, но и сам рынок, то есть тот контракт, который называется доверие пользователей к экосистеме, — лучший регулятор в этом месте»
директор бизнес-группы поиска, рекламных и облачных сервисов группы компаний «Яндекс» Андрей Стыскин

«Применительно к экосистемам нам нужно задуматься, как организовать киберпространство. <…> Очень важно доверие — значит, нужен диалог, нужно понимание технологий, это значит, что нужно пытаться найти решение. И драйвером всего этого является наше желание защитить людей, помочь людям»
директор по цифровой трансформации и данным Международного Комитета Красного Креста Бальтазар Штелин


Подробнее читайте в Информационно-аналитической системе Фонда Росконгресс
www.roscongress.org