ИБ как концепция

Конференция BIS Summit, посвященная практическим аспектам обеспечения безопасности бизнеса, прошла в текущем году в 14-й раз. В этот раз форум прошел в гибридном режиме, однако количество онлайн-участников было почти втрое больше, чем тех, которые участвовали в нем очно. Главной темой BIS Summit 2021 стала цифровая трансформация и то, как она влияет на кибер-риски. Не секрет, что цифровой мир, который сейчас строится, представляет собой, по большому счету, бета-версию с большим количеством ошибок и уязвимостей. А использование несовершенных технологий, как напомнил председатель правления Ассоциации руководителей служб информационной безопасности Виктор Минин, неизбежно ведет к росту кибератак и краж информационных активов. Тем не менее, начинает появляться опыт того, что компаниям удавалось построить устойчивую и безопасную цифровую инфраструктуру. Как напомнил заместитель министра цифрового развития, связи и массовых коммуникаций Российской Федерации Александр Шойтин, обеспечению информационной безопасности уделяется значительное внимание в концепции национальной безопасности. Там нашли отражение такие проблемы, как обеспечение киберустойчивости, защита КИИ, импортозамещение, борьба с киберпреступностью и противодействие деятельности зарубежных киберразведок. Также заместитель руководителя профильного ведомства анонсировал изменения в законодательство по защите персональных данных в плане введения регулирования оборота обезличенных данных, необходимых для работы сервисов с использованием искусственного интеллекта (ИИ). Главной проблемой, по мнению Александра Шойтина, является дефицит кадров. Профильное ведомство ведет соответствующую работу, в частности прием в вузы по профильным специальностям удвоился. Но результаты, по понятным причинам, будут позже. В итоге, как отметил Виктор Минин, имеет место жесткий дефицит сотрудников 1 и 2 линий в системных центрах обеспечения безопасности (SOC). Также, по его мнению, серьезным вызовом является отставание развития ИБ от ИТ, в итоге нападающая сторона получает преимущество. При этом встраивать механизмы безопасности часто приходится буквально на ходу, и многие при этом начинают воспринимать ИБ в качестве тормоза процессов цифровизации. Заместитель директора ФСТЭК Виталий Лютиков посетовал на то, что разработчики решений, которые поступают на сертификацию в испытательные лаборатории данного ведомства, очень неохотно внедряют методологии безопасной разработки. Но без внедрения этих методик невозможно добиться сертификации на соответствие более-менее высоким уровням. И целом культура безопасной разработки должна стать нормой. Как напомнил Виталий Лютиков, рекомендации применять методологии безопасной разработки появились в 2016 году. В 2018 году были введены проверки применения ряда процедур. В течение двух лет ФСТЭК, что называется, выдерживал паузу, но с текущего года, как предупредил заместитель директора ФСТЭК, количество процедур, связанных с контролем соблюдения процедур методологий безопасной разработки будет неуклонно расширяться. По мнению Виталия Лютикова, эти меры позволят выявлять уязвимости и критичные ошибки уже на стадии разработки, и это будет быстрее и дешевле, чем потом выявлять эти прорехи. Обратной стороной использования методологий безопасной разработки, как отметила президент ГК InfoWatch Наталья Касперская, является удлинение цикла создания программных продуктов. Особо Виталий Лютиков отметил риски, связанные с использованием компонентов с открытым кодом. Многие из них содержат множественные уязвимости. Но разработчики уделяют недостаточное внимание экспертизе и аудиту компонентов и библиотек с открытым кодом. В качестве положительного примера адаптации СПО было названо создание центра аудита исходных кодов компонентов ОС Linux на базе Института системного программирования РАН. Ссылка на источник