Генеральный директор компании Privacy Advocates Алексей Мунтян предложил создать единый портал для повышения осведомленности бизнеса в области информационной безопасности. По его мнению, это существенно снизит риски утечек персональных данных.
Вчера, 12 марта, прошло заседание комитета по информационным технологиям, где одним из спикеров выступил Алексей Мунтян. Он обсудил тему безопасности компаний и личных данных с коллегами и журналистами.
Алексей Мунтян говорил о том, как правильно реагировать на кражу персональных данных (ПДн), и приводил примеры утечек ПДн в РФ в 2022-2023 гг. Лидером в этом списке стало "СберСпасибо" с утечкой 52 млн ПДн, второе место занял "Спортмастер" - 46 млн ПДн, третье место досталось "СДЭК" за троекратную утечку информации (26 млн ПДн + 25 млн ПДн + 100 тыс. ПДн).
Алексей Мунтян считает, что создание государственной площадки может занять очень много времени и сил, при этом можно получить не совсем ожидаемый результат. "Если брать частную инициативу, то такие платформы уже существуют, но с привлечением внешней экспертизы. Обычно такие платформы создаются от трех до шести месяцев", - рассказал он и также отметил, что сейчас тот самый интересный период, когда компании понимают, что эти платформы очень выгодно промоутировать.
Алексей Мунтян пояснил, что под идеей создания портала для повышения осведомленности бизнеса в области информационной безопасности (ИБ) он имеет в виду инструмент, где компании малого и среднего звена, а также микробизнес смогут получать жизнеспособные реалистичные практики, с помощью которых получится минимизировать риски утечки ПДн. Он рассказал корреспонденту ComNews, что портал может быть как государственным, так и созданным группой компаний с поддержкой со стороны государства, а также может быть и гибридным - государственным ресурсом с отсылкой к практикам частных организаций.
Модели управления для повышения осведомленности бизнеса в области ИБ
Алексей Мунтян ответил корреспонденту ComNews, что в формате государственной модели частная компания может быть владельцем портала для повышения осведомленности в области ИБ, так как на правовой основе имеется механизм частно-государственного партнерства, однако заметил, что вряд ли государство захочет полностью делегировать управление в частные руки.
Генеральный директор компании-интегратора в области ИБ iTPROTECT Андрей Мишуков считает, что нет особой разницы, кому принадлежит портал о повышении осведомленности в области ИБ: частным компаниям или правительству. Он полагает, что наиболее эффективен будет тот, кто представит пользователям максимально доступную и при этом подробную информацию и чей продукт будет удобен в использовании.
Заместитель генерального директора российского разработчика систем защиты от угроз ИБ "Гарда" Рустэм Хайретдинов отметил, что в сфере отечественной кибербезопасности частные компании и государственные приблизительно одинаково эффективны.
Эксперт центра продуктов Dozor ГК "Солар" Руслан Добрынин считает, что для успеха создания единого портала для повышения осведомленности в области ИБ нужно, чтобы профильное ведомство при максимальном вовлечении всего экспертного сообщества разработало единый подход к ИБ и полностью описало ее онтологию.
Руководитель отдела технологической экспертизы ГК Softline Денис Чигин отметил, что повышение осведомленности - это мера, в первую очередь направленная на снижение влияния человеческого фактора на вероятность инцидента ИБ. "Утечка конфиденциальной информации, соответственно, относится к этому логическому множеству, поэтому мера окажет положительное влияние и на этот аспект, но не целенаправленно", - говорит он.
Создание единого портала
Эксперт ИБ-компании Angara Security считает, что успех единого портала для повышения осведомленности ИБ скорее будет зависеть от редакционной политики сильных партнеров в сфере кибербезопасности, которые смогут делиться практической экспертизой и продвижениями, чтобы обеспечить стабильный прирост аудитории на портале. "В любом случае дополнительные "точки касания" позволят повысить уровень киберграмотности пользователей сервисов, сотрудников компаний и государственных организаций и привести к снижению количества утечек информации из-за человеческого фактора", - отметили они.
Руководитель направления центра компетенций по информационной безопасности компании "Т1 Интеграция" Валерий Степанов высказал мнение, что создание единого портала для повышения осведомленности в области ИБ может значительно снизить риски утечки информации, поскольку подобный ресурс поможет пользователям и сотрудникам компаний получить актуальную информацию по потенциальным угрозам и атакам и, как следствие, предостеречь их от возможных рисков компрометаций.
Руслан Добрынин считает, что необходимость просветительской деятельности в области ИБ очевидна давно и подобный портал будет очень полезен всем участникам рынка. "Конечно, он поможет уменьшить риски утечек информации. Но возможная техническая сложность создания такого портала и серьезные финансовые вложения в его реализацию и поддержку - далеко не главные затруднения, с которыми предстоит столкнуться его авторам", - отметил Руслан Добрынин.
Он считает, что любые начинания в этом направлении упрутся в фундаментальную проблему: на российском рынке не существует единого комплексного подхода к ИБ, единой хорошо описанной онтологии этой сферы, которую (это самое важное) принимают все заметные игроки. "Грубо говоря, наш рынок до сих пор не определился с понятиями: терминологией, классами, подходами и т.д. В сфере ИБ мы существуем в состоянии некоторого хаоса. Безусловно, существуют и государственные стандарты, и нормативные акты, но относятся они к конкретным классам решений, а вот межклассовая логика и связи фактически отсутствуют. Понятия "событие", "инцидент", да и любые другие, каждый вендор определяет по-своему, часто даже и внутри одного вендора разные продукты осознают эти сущности по-разному. На сегодня эта проблема выглядит нерешаемой без государственного участия", - сказал Руслан Добрынин.
Рустэм Хайретдинов считает, что основной вектор атак на цифровые системы - воздействие на пользователей этих систем (фишинг, манипулирование, шантаж, подкуп и т.д.). "Поэтому, чем больше люди будут знать, как себя уберечь от этого, что делать в конкретных случаях, тем безопаснее будут цифровые системы", - отметил он.
Важные детали
Андрей Мишуков обращает внимание, что при создании единого портала важно помнить не только про его наполнение, но и об аудитории, до которой важно донести, что предназначенные сведения интересны и необходимы.
Директор дирекции кибербезопасности компании по ИТ-аутсорсингу и разработке ПО IBS Олег Босенко также говорит про пользовательскую принадлежность людей на портале. Он считает, что у портала может быть три разновидности: для специалистов по ИБ, для работников организаций и для простых граждан. Олег Босенко отметил, что в общем случае повышение осведомленности позволит снизить риск утечки информации и иных нарушений на 20-30% как минимум, а по мере повышения грамотности в ИБ обычных работников организаций и в целом гражданского общества, эффективность атак киберпреступников можно снизить на 50%-60%.
Валерий Степанов считает, что сложность создания портала зависит не только от его целевой функции, которая закладывается на старте работ, но и от аудитории, для которой он предназначен. "Наибольшая трудность заключается в актуальном содержании информации в связи с изменением угроз и технологий действий киберпреступников. Немаловажный фактор при создании портала - учет психологического портрета аудитории, для которой он создается", - отметил Валерий Степанов.
Он предполагает, что время создания портала будет зависеть от планируемого функционала. Валерий Степанов говорит, что на создание подобного портала может уйти несколько месяцев и техническое обслуживание может быть сложным в связи с тем, что потребует постоянного обновления контента и наличия компетентных профильных специалистов. "Последнее особенно актуально на фоне кадрового дефицита специалистов ИБ", - отметил он.
Рустэм Хайретдинов рассказал журналисту ComNews, что основные положения противодействия манипуляциям, сценарии реакции на них и другие материалы для подобного портала уже многократно описаны, нужно лишь собрать их в одном месте и категоризировать. "Вряд ли это потребует много времени, несколько месяцев будет вполне достаточно", - считает он.
Андрей Мишуков полагает, что сроки и сложность создания портала для повышения осведомленности в области ИБ целиком зависят от технологий, которые будут в нем применяться, а также контента и количества специалистов, которые будут заниматься разработкой и управлением. "С учетом этих факторов, такие проекты могут занять от месяца до года", - отметил он.
Ведущий аналитик "СерчИнформ" Леонид Чуриков отмечает, что большинство компаний обучают сотрудников основам ИБ при помощи письменных материалов и регламентов, которые, ко всему прочему, они должны изучать самостоятельно, а иные компании вообще не обучают сотрудников киберграмотности. "Мы более трех лет проводим обучение вопросам ИБ, и наши курсы построены совершенно иначе. Основной упор мы делаем на интерактивность, разбираем актуальные кейсы и отраслевую специфику. Все обучение проводится в формате вебинаров. Это позволяет в режиме реального времени отвечать на вопросы участников и выстраивать индивидуальное обучение с учетом уровня подготовки группы", - отметил Леонид Чуриков.