Экспертное заключение подготовлено по итогам сессии ВЭФ-2024 «Цифровая безопасность и ответственность бизнеса».
Почему мы говорим про цифровую безопасность сейчас?
С каждым годом количество совершенных преступлений в области кибербезопасности увеличивается в разы. По информации модератора сессии «Цифровая безопасность и ответственность бизнеса» в рамках ВЭФ-2024 Марины Мишункиной, первого заместителя генерального директора АО «Аргументы и факты», более 170 млн записей с персональными данными клиентов банков «утекло» в 2023 году. Если сравнивать этот показатель с 2022 и 2021 годами, то количество увеличилось в 3,3 и 50 раз соответственно.
Другая угрожающая статистика на сессии была озвучена Данилом Филипповым, заместителем начальника следственного департамента Министерства внутренних дел Российской Федерации: количество зарегистрированных преступлений в области цифровой безопасности увеличилось на 37% в 2023 году по сравнению с предыдущим. Но стоит отметить, что по данным проведенного исследования, 80% пострадавших от кибермошенников, не обращаются в правоохранительные органы. Можно сделать неутешительный вывод о латентной статистике и только предполагать, сколько реально человек столкнулись с данной проблемой.
Если перевести эти показатели в денежное выражение, то ущерб от киберпреступлений в 2023 году составил 156 млрд рублей при том, что объем рынка информационной безопасности за этот же период составил 145 млрд рублей [1].
По прогнозам экспертов в области цифровой безопасности данные показатели будут увеличиваться в ближайшие годы. Создание инновационных технологий приводит к тому, что каждый год появляются новые способы кибермошенничества. Например, дипфейки (deepfake — подделка с использованием искусственного интеллекта). Данная технология несет в себе серьезные риски для бизнеса и населения. Фиксируется все больше случаев, когда с использование дипфейка (поддельного видеозвонка) совершаются преступления в финансовом секторе [2].
Развитие технологий, в том числе искусственного интеллекта, является благом для бизнеса и населения, но, с другой стороны, и угрозой, с которой необходимо работать в «режиме реального времени» и на регулярной основе разрабатывать и внедрять новые подходы к предотвращению киберпреступлений.
Обеспечение цифровой безопасности в России
По состоянию на 2024 год отрасль информационной безопасности регулируют различные структуры, такие как Федеральная служба по техническому и экспортному контролю РФ, Федеральная служба безопасности РФ, Министерство цифрового развития РФ и Центральный банк. Однако текущая организация приводит к тому, что некоторые вопросы остаются вне зоны внимания или приводят к асинхронным действиям между ведомствами [7]. Ведущие эксперты обсуждают с органами государственной власти создание специализированной структуры, которая будет заниматься вопросами кибербезопасности.
Основным документом, в котором установлены ключевые аспекты обеспечения безопасности в области информационных технологий, является «Доктрина информационной безопасности Российской Федерации» (утверждена Указом Президента РФ № 646 от 5 декабря 2016 г.) [3].
Кроме этого, необходимо выделить еще несколько базовых федеральных законов, которые регламентируют область кибербезопасности: «О персональных данных», «Об информации, информационных технологиях и о защите информации», а также закон о критической информационной инфраструктуре [4,5,6]. Безусловно, это не исчерпывающий список законов, которые обеспечивают цифровую безопасность в стране. Существует более 40 нормативных документов, регламентирующих отдельные аспекты и прописывающие «правила» игры для бизнеса и населения.
Также реализуются программы, помогающие разрабатывать новые способы реагирования на угрозы в области информационной безопасности. Например, в рамках национальной программы «Цифровая экономика Российской Федерации» выделен федеральный проект «Информационная безопасность», целью которого является обеспечение устойчивости и безопасности информационной инфраструктуры, конкурентоспособности отечественных разработок и технологий информационной безопасности и построение эффективной системы защиты прав и законных интересов личности, бизнеса и государства от угроз информационной безопасности [8].
Проанализировав существующие мероприятия, обеспечивающие цифровую безопасность, можно сказать, что их действие направлено на 3 ключевые заинтересованные стороны:
1. Государственные органы власти и системы.
2. Население.
3. Бизнес.
Кроме этого, можно выделить несколько категорий мероприятий по типу воздействия:
1. Регламентирование процессов. К данной категории можно отнести инициацию, актуализацию и утверждение нормативной базы с учетом вновь возникающих вызовов.
2. Информирование и образование. Наличие программ, которые информируют население и бизнес о кибермошенничестве и способах предотвращения угроз. Например, всероссийская программа кибергигиены, в которой по состоянию на апрель 2023 года приняло участие более 7,7 млн человек, получивших знания о том, как обеспечить свою безопасность в интернете [9].
3. Поддержка. Программы финансовой поддержки, направленные на развитие ИТ компаний, которые разрабатывают и внедряют отечественное программное обеспечение (ПО) в области информационной безопасности.
4. Исследования и разработки. Гранты и другие меры финансовой поддержки, которые помогают научным коллективам и стартапам на начальной стадии развития в области кибезбезопасности.
Но если количество преступлений и ущерб от них увеличивается с каждым годом в разы, тогда возникает вопрос: чего не хватает, чтобы обеспечить максимальный уровень цифровой безопасности в стране?
Предложения по повышению уровня цифровой безопасности
Рассмотрим несколько предложений и аспектов по повышению уровня цифровой безопасности в России:
1. Разработка и утверждение унифицированного стандарта работы с персональными данными в компаниях. Данное предложение было озвучено Элиной Сидоренко, генеральным директором АНО «Белый интернет», на сессии ВЭФ-2024 «Цифровая безопасность и ответственность бизнеса».
2. Разработка решений, которые будут делать взлом и кражу персональных данных намного дороже, чем выгода от их незаконного приобретения. Данное предложение внесли эксперты сессии ВЭФ-2024 «Цифровая безопасность и ответственность бизнеса».
3. Разработка и утверждение нормативного документа, регламентирующего интеллектуальную собственность и ответственность за ее нарушение в части цифровой безопасности.
4. Увеличение количества бюджетных мест в образовательных организациях высшего образования по направлению подготовки «Кибербезопасность».
5. Разработка и масштабирование программ дополнительного профессионального образования для ИТ специалистов в части перепрофилизации в область кибербезопасности. Сейчас в России наблюдается дефицит таких специалистов, и нет времени ждать, пока абитуриент пройдет четырехлетний цикл высшего образования. Поэтому короткие программы, позволяющие быстро переквалифицироваться, позволят закрыть существующие разрывы в отрасли.
6. Проработка вопроса объединения ключевых баз данных на государственном уровне. С одной стороны, кажется, что данное предложение скрывает в себе значительные риски (если взломают одну базу, то потеря большего количества данных приведет к большему ущербу). С другой стороны, концентрация ресурсов (интеллектуальных, финансовых и других) на совершенствовании одной системы, а не отдельных сервисов, должно привести к достижению синергетического эффекта.
7. Масштабирование просветительских проектов и лучших практик по вопросам цифровой безопасности как для населения, так и для бизнеса.
8. Поддержка развития верифицированных сообществ и форумов, обсуждающих вопросы цифровой безопасности.
Стремительное развитие технологий повышает риск возникновения преступлений в области информационной безопасности. Для реагирования, предотвращения и прогнозирования угроз необходимо продолжать и усиливать тесное взаимодействие государственных органов власти, крупного бизнеса, ИТ стартапов, научного и экспертных сообществ, образовательных организаций и других акторов на регулярной основе. Но всегда необходимо помнить о том, что обеспечение цифровой безопасности касается каждого: населения, бизнеса и государства в целом.
Список источников.
1. Ущерб от киберпреступлений в России превысил объем рынка информационной безопасности //
https://www.comnews.ru/content/233687/2024-06-11/2024-w24/1008/uscherb-kiberprestupleniy-rossii-prev..., 16.09.2024.
2. Дипфейки — новые риски для компаний //
https://bit.samag.ru/archive/article/2834, 16.09.2024.
3. Доктрина информационной безопасности Российской Федерации //
http://www.scrf.gov.ru/security/information/document5/, 16.09.2024.
4. Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ //
https://www.consultant.ru/document/cons_doc_LAW_61801/, 16.09.2024.
5. Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ //
https://www.consultant.ru/document/cons_doc_LAW_61798/, 16.09.2024.
6. Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 N 187-ФЗ //
https://www.consultant.ru/document/cons_doc_LAW_220885/ , 16.09.2024.
7. В России появится отдельное ведомство по кибербезопасности //
https://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%98%D0%BD%D1%84%D0%BE%D1%8..., 16.09.2024.
8. Федеральный проект «Информационная безопасность» //
https://digital.gov.ru/ru/activity/directions/874/#section-materials, 1.09.2024.
9. Минцифры подвело итоги первого этапа всероссийской программы кибергигиены //
https://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%9F%D1%80%D0%BE%D0%B3%D1%8...0%B0%D0%BC_%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%BE%D0%B9_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8, 16.09.2024.
Экспертные аналитические заключения по итогам сессий деловой программы Форума и любые рекомендации, предоставленные экспертами и опубликованные на сайте Фонда Росконгресс являются выражением мнения данных специалистов, основанном, среди прочего, на толковании ими действующего законодательства, по поводу которого дается заключение. Указанная точка зрения может не совпадать с точкой зрения руководства и/или специалистов Фонда Росконгресс, представителей налоговых, судебных, иных контролирующих органов, а равно и с мнением третьих лиц, включая иных специалистов. Фонд Росконгресс не несет ответственности за недостоверность публикуемых данных и любые возможные убытки, понесенные лицами в результате применения публикуемых заключений и следования таким рекомендациям.
