Экспертное заключение подготовлено по итогам сессии ПМЭФ-2023 «Развитие критической информационной инфраструктуры: угрозы и перспективы».
Технологический суверенитет на фоне турбулентного мира
С изменениями глобального мироустройства, началом Специальной военной операции, запуском односторонних санкций (рестрикций), противостоянием азиатских и западных стран, отказом от доллара как глобальной валюты, прежний мировой порядок претерпевает масштабные изменения. Эти изменения сопровождаются разрушением старых кооперационных связей и одновременно созданием новых между хозяйствующими субъектами. В результате, по геополитическим причинам экономики стран получают некоторый ущерб, но при этом и новые перспективы развития. Государственные органы должны управлять этим процессом, сокращая величину ущерба для экономики и «расчищая» путь новым перспективам. Каждая из глобальных и региональных держав стремится получить конкурентные преимущества, позволившие бы ей существовать в новом мире. Такие преимущества часто ищут в сфере цифровой экономики и информационных технологий.
В рамках цифровой экономики данные и информация становятся «золотом XXI века». Владеющий «большими данными», потоками информации может принимать релевантные стратегические решения, извлекать из этой информации прибыль, влиять на принятие политических решений, поведение людей и потребительские предпочтения. Таких узлов информационных потоков не мало, цифровизация сегодня охватывает практически все сферы человеческой деятельности: это и банковский сектор, и государственное управление, и наука, и энергетика, и многие другие. Информационные потоки, связанные с теми или иными отраслями необходимо надежно защищать.
Вмешательство третьих лиц извне способно нанести огромный ущерб функционированию отдельных организаций и целых государственных институтов. Однако количество кибератак не снижается. Россия продолжает находиться в состоянии гибридной войны. Как отметил в ходе своего выступления на сессии «Развитие критической информационной инфраструктуры: угрозы и перспективы» генеральный директор АО «Лаборатория Касперского», Е.В. Касперский, атакам хакеров начали подвергаться не только банковский сектор и крупные офисные сети, но и индустриальные объекты. Похожую позицию высказал заместитель генерального директора ОАО «Российские железные дороги», Е.И. Чаркин, сообщив, что РЖД на некоторое время возглавляла рейтинг по количеству кибератак, соревнуясь по этому показателю с платформой «Госуслуги». Такие атаки на инфраструктурные объекты в большинстве своем совершаются извне, за пределами Российской Федерации. Атаки совершаются, в том числе и на небольшие гражданские структуры: ВУЗы во время приемных компаний и даже сайты муниципальных образований.
Поиск инструментов защиты от кибератак с помощью иностранного ПО становится все менее эффективным. В иностранном закрытом ПО могут быть заложены гораздо большие уязвимости, о которых потребители даже не подозревают. Таким образом, продукт из решения может превратиться только лишь в новую проблему. Внедряемая российскими властями концепция «технологического суверенитета» как раз направлена на то, чтобы снизить зависимость России от импортного оборудования, уменьшить количество уязвимостей, создать такие продукты в сфере кибербезопасности, которые были бы надежны, прозрачны и понятны. Уход с российского рынка ряда иностранных компаний еще более актуализировал эту ситуацию.
Регулирование полного цикла создания цифровых продуктов качественно изменит возможность защитить эти продукты и их пользователей от кражи персональных данных, информации о работе пользователя в системе, от распространения вредоносного ПО. Не все может быть импортозамещено, но там где российские специалисты имеют сопоставимые с мировыми компетенции, это необходимо сделать. Начало серийного производства отечественных банкоматов на процессорах «Эльбрус» в индустриальном парке «Руднёво» в Москве [1] — большой шаг в данном направлении. Как минимум все объекты критической информационной инфраструктуры (КИИ) должны полностью контролироваться с территории России.
Взаимосвязь критической информационной и физической инфраструктуры
Ввиду преимуществ цифровой трансформации в ряде отраслей некоторые производства или институты уже полностью «оцифрованы», созданы их цифровые двойники, позволяющие управлять всеми процессами дистанционно. Цифровые двойники создаются практически для всего: от памятников до продуктов питания. Активно развиваются цифровые двойники сложных систем, таких как города. С помощью таких двойников можно управлять одновременно режимом работы светофоров и территориальным или стратегическим планированием развития города. Естественно, проникновение злоумышленника в данную систему может нанести огромный вред и перечеркнуть все преимущества цифровизации. Осознание этой угрозы заставляет обращать все большее внимание на защиту, как самих инфраструктурных объектов, так и их цифровых двойников. То есть объект должен быть безопасным в физическом пространстве и в киберпространстве одновременно. Наличие уязвимости где-либо в этой двучастной системе потенциально дестабилизирует ее работу сразу в обоих пространствах. Особенно это касается объектов транспортной инфраструктуры.
Насколько сильно пересекается физическая критическая инфраструктура и КИИ точно сказать сложно, поскольку ситуация очень динамично меняется. Совсем недавно для запуска беспилотного движения по трассе М-11 был создан цифровой двойник скоростной дороги [2]. Следует ожидать, что и многие другие федеральные трассы в ближайшие 5-10 лет приобретут таких двойников, а значит возникнет вопрос об обеспечении их кибербезопасности. Вероятно, в долгосрочной перспективе только некоторые объекты физической инфраструктуры не будут иметь проекции в киберпространстве (или это будут очень закрытые системы): военная инфраструктура, приграничные объекты, космодромы, атомные электростанции и т.п.. Остальных нужно будет защищать от хакеров.
В связи с уже названной концепцией «технологического суверенитета» обсуждается создание «санкционно-устойчивых цифровых двойников». Специалисты из IBS утверждали, что российские решения GIBBS и AEROSYM пока не подходят для создания цифровых двойников в сфере добычи нефти и газа. Только открытый программный продукт DWSIM может быть использован для этого, особенно при внесении дополнений с помощью суррогатного моделирования [3]. Очевидно, для сохранения конкурентоспособности отечественного бизнеса в глобальном масштабе необходимо внедрять передовые IT-решения. Создание таких решений в пределах России позволит сначала закрыть собственные потребности, например, в разработке цифровых двойников, а затем нарастить экспортный потенциал программных продуктов.
Принцип конструктивной безопасности и критическая информационная инфраструктура
Российские власти нацелены на повышение защищенности критической инфраструктуры. Законодательно уточняются понятия, появляются требования к аппаратно-программным комплексам для КИИ, приняты Основы государственной политики Российской Федерации в области международной информационной безопасности, Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации и другие документы, создан реестр отечественного ПО. Однако необходимо работать на перспективу, отвечая на вызовы завтрашнего дня. На сессии неоднократно было сказано о внедрении стандартов квантовой защиты, создании доверенной защищенной среды разработки, доверенной экосистемы. Все это необходимо внедрять уже сегодня в соответствии с принципом конструктивной безопасности, сформулированным на сессии заместителем Министра промышленности и торговли Российской Федерации В.В. Шпаком: «Любая создавая система должна создаваться по модели угроз таким образом, чтобы она могла противостоять тем угрозам, которые даже не закладываются в этой модели». Конкретные угрозы предсказать очень сложно. «Черные лебеди» в условиях трансформации глобального мира могут появляться периодически, но нужно стремиться адаптировать наши системы к любым возможным ситуациям. С внедрением искусственного интеллекта в разработку цифровых продуктов, эта задача, вероятно, несколько упрощается.
Проблемы «цифрового неравенства» и востребованности отечественного ПО
Говоря о защите критической информационной инфраструктуры, нельзя забывать о так называемой проблеме «цифрового неравенства». То, что не попадет под категорию КИИ, не должно быть отброшено в сторону. Необходимо предлагать эффективные отечественные решения по кибербезопасности для малого и среднего бизнеса, гражданских институтов и платформ, НКО, социально ориентированных, образовательных, научных организаций и так далее, многие из которых не могут создавать собственные продукты в сфере кибербезопасности и не нацелены на это. Не мало важен и вопрос стоимости приобретения отечественных программных продуктов, здесь государство может предусмотреть инструменты субсидирования или иные формы поддержки для закупки отечественного ПО.
Указанная проблема связана в целом с востребованностью отечественного программного обеспечения у граждан России. Во время сессии старший вице-президент, сто-руководитель блока «Технологии» ПАО Сбербанк, А.А. Белевцев, отметил, что российские сертификаты безопасности есть только на 25-30 % пользовательских устройств. Здесь также необходимо принять меры по изменению данной ситуации, в том числе просветительского характера, рассказывая об угрозах использования иностранных цифровых продуктов.
Таким образом, в вопросах обеспечения кибербезопасности российских организаций особенно важен системный подход. Усилия со стороны крупного бизнеса и отечественных IT-компаний должны дополняться комплексной государственной политикой и вовлечением общества в обеспечение технологического суверенитета России. Новые решения по кибербезопасности должны создаваться в соответствии с принципом конструктивной безопасности, с недопущением роста цифрового неравенства внутри страны и включением мер государственной поддержки при переходе на отечественное ПО.
Рекомендации для органов государственной и муниципальной власти по тематике сессии:
· Рассмотреть возможность внедрения искусственного интеллекта при разработке продуктов в сфере кибербезопасности для приведения таких продуктов в соответствие принципам конструктивной безопасности. Принять меры по стимулированию или ограничению такого использования российскими разработчиками.
· При обеспечении защиты критической информационной инфраструктуры не допустить роста цифрового неравенства, предусмотреть решения по кибербезопасности для отечественных организаций, которые не будут соотнесены с категорией критической информационной инфраструктуры.
· Обеспечить гражданское участие на всех этапах повышения защищенности российских организаций от кибератак, предусмотреть комплекс мероприятий по популяризации знаний в сфере кибербезопасности для граждан России.
· Предусмотреть инструменты субсидирования и/или налоговых вычетов для приобретения российскими организациями программных продуктов отечественного производства для обеспечения собственной кибербезопасности.
Список источников.
1. В Москве начали серийное производство отечественных банкоматов // https://www.ixbt.com/news/2023/05/22/v-moskve-nachali-serijnoe-proizvodstvo-otechestvennyh-bankomato... , 27.06.2023
2. На М-11 показали первый в России высокоточный цифровой двойник магистральной трассы // https://www.kommersant.ru/doc/6043643, 26.06.2023
3. Построение гибридных цифровых двойников объектов подготовки нефти и газа на основе открытых программных продуктов // https://ibs.ru/media/media/postroenie-gibridnykh-tsifrovykh-dvoynikov-obektov-podgotovki-nefti-i-gaz..., 27.06.2023
Экспертные аналитические заключения по итогам сессий деловой программы Форума и любые рекомендации, предоставленные экспертами и опубликованные на сайте Фонда Росконгресс являются выражением мнения данных специалистов, основанном, среди прочего, на толковании ими действующего законодательства, по поводу которого дается заключение. Указанная точка зрения может не совпадать с точкой зрения руководства и/или специалистов Фонда Росконгресс, представителей налоговых, судебных, иных контролирующих органов, а равно и с мнением третьих лиц, включая иных специалистов. Фонд Росконгресс не несет ответственности за недостоверность публикуемых данных и любые возможные убытки, понесенные лицами в результате применения публикуемых заключений и следования таким рекомендациям.
