Нужен ли план ИБ в условиях Цифровой экономики

Нужен ли план ИБ в условиях Цифровой экономики
По утвержденному в декабре 2017 года Правительственной комиссией Плану мероприятий по направлению "Информационная безопасность" программы "Цифровая экономика Российской Федерации" уже кто только не проехался каткомпорассуждал. Уверен, тот факт, что программа ЦИ в общем и ее ИБ составляющая в частности касается и будет касаться каждого из нас, не вызывает сомнений ни у кого. Безусловно, технологический прогресс не остановить, хоть пиши, хоть не пиши стратегии по этому поводу, но все же призываю посмотреть на драйверы роста через призму отечественной действительности. На простых примерах указанная специфика проявляется во всей красе, когда с каким крутым решением ни зайди в компанию, ответ очень часто простой: все супер, все нравится, но нет требований, извини. Не считая, что должен быть тотальный контроль всего и вся, в целом, я не против регулирования как такового, за что получаю множество камней в свой огород. Но давайте-ка вспомним, как так получилось, что за абсолютно вменяемый срок мы в стране получили огромную сеть МФЦ, где можно решать самые насущные вопросы. А подумать про систему госуслуг в масштабах России (кстати, одну из самых продвинутых в мире), которой реально удобно пользоваться, о чем я в очередной раз убедился на личном опыте, оформив загранпаспорт на ребенка меньше, чем за месяц. А система скидок на штрафы ГИБДД – это вообще бомба, наконец-то, что-то реально полезное переняли у злоумышленников, осталось только замутить акцию «заставь оплатить штраф друга – мы расшифруем спишем твой бесплатно». А ведь это все госпрограмма, сроки, контроль.
Отсюда я делаю следующий вывод: если «кому-то» реально нужен результат, то он будет обеспечен, весь вопрос в целях. Какой бы ни был кривой план по ИБ ЦИ, его нужно будет имплементировать. Взгляните на сами идеи. Есть ли теоретический риск отключения или компрометации критичных сервисов при маршрутизации интернет-трафика за пределами РФ – да. Нужно ли думать «за того парня» и на государственном уровне применять для критичных ресурсов разного рода «мультисканеры» - да, иначе никак. Надо ли делать свое оборудование и софт – без сомнений. Стоит ли думать о защите IoT, IIOT – вообще срочно, авось мы даже будем первой страной, кто реально что-то делает в этом направлении. Затронута очень важная тема киберграмотности, о которой я уже не раз говорил, даже само ее упоминание – уже звоночек. Про туманные технологии, дополненную реальность и прочее – это, на мой взгляд, пока что пиар чистой воды. Поддержка отечественных производителей – здесь грустная улыбка и тема для отдельного поста.
Да, можно объективно посмеяться над формулировками типа «установка отечественных антивирусов» или ужаснуться по поводу идеи создания единой точки потенциального отказа или подмигнуть совершенно случайному прослеживаемым вендорам. С чем я согласен на 100%, так это со спешкой, в которой все это готовилось властями и совершенно непонятной ситуацией с приглашением сначала экспертов, а потом почти с нуля написанием программы в одиночку. Отсюда и ошибки и ляпы и откровенный бред – это объективно, тут тоже соглашусь.

Итак, сам по себе факт появления концепции ИБ ЦИ - благо. Помните, поговорку про компенсацию строгости наших законов? Так вот, я оптимистично считаю, что шероховатость плана ИБ ЦИ будет нивелироваться гибкостью его исполнения. Как оно взлетит на практике – запасаемся попкорном, будет интересно. Оставайтесь на светлой стороне.
Alt text