Вы наверняка слышали о принятии в Узбекистане закона «О персональных данных». Широкими кругами общества он мог быть не замечен, т.к. был принят в разгар сезона отпусков.
Сам закон вводит множество новелл в различные кодексы да и сам содержит важные моменты.
Так закон определяет:
- Что такое биометрические и можно ли их обрабатывать.
- Определяет специальный уполномоченный орган по вопросам ПДн.
- Даёт указание какие базы данных нужно регистрировать, а какие - нет.
- Описывает права субъектов ПДн (т.е. наши с вами, как простых граждан).
- Обязывает операторов ПДн (а это почти все сервисные предприятия, в первую очередь - банки) вести работы и документы по обработке ПДн, выделять на это персонал.

Мероприятия в рамках подготовки к соответствию закону «О персональных данных» состоят и из технических и из организационных аспектов, нужно будет разрабатывать новые инструкции.
Напомним, что сам закон вступает в силу 1 октября 2019 года. Времени на подготовку остаётся совсем мало. Поэтому предлагаем ознакомиться с законом, а ещё лучше - заказать экспресс-экспертизу ваших систем на соответствие этому закону. Сейчас мы готовим статьи для СМИ с нашим видением закона «О персональных данных» и дополнительное занятие для проведения индивидуальных консультаций по теме ПДн в Узбекистане.
Подписывайтесь на наш канал в Telegram и страничку на Facebook - там мы оперативно разбираем интересные моменты связанные и с персональными данными тоже.

Сотрудник ITTS Антон Ракитский принял участие в конференции «Кибербезопасность для уверенности в будущем: роль ОБСЕ в укреплении региональной стабильности» («Cyber/ICT Security for a safer future: The OSCE’s role in fostering regional cyber stability») которая прошла 17-18 июня 2019 года в Братиславе (Словакия).
В диалог с участниками конференции вступили генеральный секретарь ОБСЕ Томас Гремингер, вице-премьер Словакии Ричард Раши, эксперты со всего мира. Отдельно на полях конференции состоялась консультация с группой правительственных экспертов Организации Объединенных Наций (ГПЭ ООН - UN GGE), в рамках которой представители ряда стран поделились опытом совместного внедрения (имплементации) рекомендаций экспертов и мер укрепления доверия ОБСЕ.
Джон Франк, вице-президент Microsoft по связям с правительствами ЕС, отметил, что киберпространство стало полноценным полем экономической, технической и политической борьбы. В то время, как выстрел Гаврило Принципа в эрц-герцога Франца Фердинанда стал поводом для начала Первой мировой войны, так и любой инцидент в киберпространстве может стать поводом для конфликтов самого высокого уровня. Приведены примеры возможных подобных триггеров (спусковых крючков) - вирусы WannaCry, NotPetya. Особо докладчик подчеркнул, что своевременное обновление ПО является важнейшим элементом любой современной системы управления информационной безопасности.
Мелисса Хатэвей, эксперт по ИБ, один из авторов киберстратегии США, отмечает, что при внедрении ИТ-продуктов всегда приоритет отдаётся скорости. Вопросы безопасности и исправления обнаруженных ошибок почти всегда - вторичны, т.е. следуют с большим запаздыванием. Результат такого подхода - огромное число инцидентов ИБ.
Эрнест Чернухин, специальный координатор по проблемам политического использования ИКТ из МИД РФ в свою очередь призвал ответственно относится к политической деятельности в киберпространстве. Фейковая, непроверенная, недостоверная информация, будучи распространённой и принятой на веру, может привести к катастрофическим последствиям. Киберпреступность перешла к шантажу в промышленных масштабах. Как итог - инциденты онлайн могут привести к полноценным конфликтам оффлайн. Появилась практика применения асимметричных мер - реальных мер, санкций, ударов в ответ на предполагаемые угрозы в ИКТ. Усугубляются тенденции «права сильного» и диктат в киберпространстве. И самое важное - на международном уровне конфликты с использованием ИКТ никак не регулируются, отсутствует нормативная база.
Александр Эванс, кибердиректор министерства иностранных дел и по делам Содружества Великобритании. Нормы незаметны и хорошо работают, когда соблюдаются всеми членами общества. Как только кто-то нарушает правила - они становятся заметны (и болезненны) всем. Это как идти/стоять не с той стороны эскалатора в лондонском метро или ехать не по положенной стороне улице - нарушение правил будет замечено всеми и приведёт к тяжелым последствиям. И особенно важно - современный политик может не быть программистом, но если он не понимает особенностей киберпространства и угроз от него исходящих - он обречён на провал.
Конференция продолжилась панельными дискуссиями. На панели «Важность разностороннего подхода (multi-stakeholderism) для обеспечения киберстабильности», на которой все докладчики пришли к выводу, что стабильность и устойчивость возможна только при учёте всех заинтересованных сторон - правительств, крупных компаний, частного бизнеса, неправительственных организаций, академического сообщества. Именно такой многосторонний постоянный диалог является залогом стабильности и успешного решения конфликтов.
На панельной дискуссии «Влияние искусственного интеллекта на вызовы кибербезопасности: источник страха или новые возможности?» докладчики отметили появление новых инструментов в давно существующих отраслях, например, распознавание лиц и автоматизированный поиск преступников. Но кроме безусловно положительных моментов, существуют и опасности, в том числе и реально угрожающие жизни людей. Так, например, обсуждались этические и юридические моменты при автоматизированном управлении транспортными средствами. Если автомобилем управляет искусственный интеллект, то в сложной ситуации, чья жизнь будет в приоритете - пассажира или пешехода? Кто будет нести ответственность в случае аварии? Готовых ответов на эти вопросы пока нет.
На панельной дискуссии «Выстраивание доверия вокруг защиты критической инфраструктуры: внедрение мер доверия» участники поделились опытом решения проблем в такой чувствительной сфере. Представители Казахстана рассказали о постепенном формировании понятия «критическая инфраструктура», уведомительном характере отнесения к ней, ведении соответствующих реестров. Член делегации Узбекистана Шахрат Саттаров отметил особую важность взаимной координации между странами на примере Центральной Азии и её энергосистемы. Т.к. энергосистемы стран сильно связаны, любой инцидент (в т.ч. в киберпространстве) может привести к тяжелым последствиям в масштабах региона.

Статья начальника отдела ИБ ООО "IT-TEAM SERVICE" Антона Ракитского вышла в журнале «Управление предприятием», издаваемом Международным центром финансово-экономического развития - Узбекистан. Статья вышла в журнале №5 (143) за 2019 г.
Полную версию статьи можно прочитать на сайте издания, в электронной версии журнала. Ниже приводится авторская редакция статьи. Предыдущая статья эксперта на эту тему выходила в СМИ в 2014 году.

Осознание проблемы и её масштабов - первый шаг в её решении. Так насколько же актуальна проблема обеспечения информационной безопасности для современного предприятия в Узбекистане?
Во-первых - на любом современном предприятии вопросами информационной безопасности занимаются в лучшем случае несколько человек, а чаще всё тот же один единственный штатный специалист по информационным технологиям. При этом число различных хакеров, злоумышленников и потенциальных недоброжелателей очень велико - десятки и сотни тысяч, а благодаря развитию ИКТ, им для атак на предприятие даже не требуется приезжать в Узбекистан. Сотрудники предприятия работают по 8 часов в день, 5 дней в неделю. А злоумышленники - круглосуточно.
Во-вторых - предприятию необходимо обеспечить защиту всех своих систем, а чем больше организация, тем различных систем больше и они сложнее. А злоумышленнику достаточно найти одну единственную уязвимость, брешь в защите, и воспользоваться ей.
В-третьих - штатные специалисты очень редко повышают свою квалификацию, а злоумышленники обучаются постоянно и осваивают новые методы взлома и хищений.
В-четвёртых - мотивация персонала. Какова мотивация штатных специалистов? Как они заинтересованы в улучшении защиты предприятия? В лучшем случае получают премию к празднику или подарки для детей к новому году. Да и эти выплаты никак не связаны с результатами их работы. У злоумышленников прибыль напрямую связана с результатами их работы, больше взломов - выше прибыль.
В-пятых - чем сложнее системы, тем сложнее их защищать от злоумышленников. А сложность всех систем только возрастает, от простейших бухгалтерских программ, до огромных автоматизированных банковских систем.

На государственном уровне на безопасность (в т.ч. информационную) тратятся колоссальные деньги, и всё равно результаты далеки от ожидаемых. В любом выпуске новостей мы слышим темы связанные с ИБ - от хищения средств со счетов, до вмешательства хакеров в выборы. Таким образом, перед любым собственником бизнеса или руководителем предприятия всё острее становится вопрос - как защитить в таких условиях свои системы и, в конечном счёте, сам бизнес. Очень действенный метод управления в таких случаях - риск-менеджмент.
Риск - влияние неопределённости на цели бизнеса. Когда мы говорим, что какой-то бизнес высоко рискованный, значит, понимаем, что можем понести убытки. Поэтому совсем упрощая можно считать, что риск это и есть потенциальные убытки. Чем выше риск - тем больше убытки. Задача руководителя - снижать риски.
Очень наглядно сущность риска в сфере информационной безопасности можно представить, если изобразить его как куб, который может изменять свой объём по трём измерениям. Управляя каждым из факторов можно изменять объём куба - увеличивая или уменьшая риск.
Первое измерение - уровень угрозы, внешние неблагоприятные воздействия. Если бы удалось сразу исключить действия хакеров, злоумышленников, ошибки сотрудников и стихийные бедствия, то риск был-бы практически исключён. Но практика показывает, что уровень угроз только возрастает с каждым годом - хакеров становится больше, появляются конкуренты, обиженные сотрудники. Управлять этим измерением невозможно.
Второе измерение - влияние на бизнес. Чем больше влияние технологии на бизнес - тем больше риски. Например, в любом современном банке все операции производятся в автоматизированных банковских системах (АБС), если банк снизит долю ИТ в своём бизнесе, то потеряет рынок. Наоборот, все современные предприятия запускают всё больше сервисов с использованием ИКТ. Более-менее независим от информационных угроз разве что пункт по выпечке лепёшек. Т.е. в целом влияние ИКТ на бизнес только возрастает, как и риски в целом.
Третье измерение - уровень уязвимостей. Иначе говоря, чем более наши системы беззащитны к внешним угрозам, тем более они уязвимы. Отсутствие антивирусной защиты, необученный и неквалифицированный персонал, слабая охрана, частые перебои с электроснабжением - всё это уязвимости информационных систем. Но это единственное измерение, на которое можно влиять силами самого предприятия. Если провести аудит, выявить свои уязвимости и устаранить их, обучить специалистов действиям в случае ЧП - то предприятие будет защищено от внешних угроз и существенно снизит риски.

Проактивные и реактивные меры информационной безопасности.
Все меры обеспечения информационной безопасности можно разделить на две категории.
Проактивные меры - предпринимаемые до инцидента и призванные его предотвратить или снизить негативные последствия.
Реактивные меры - предпринимаемы после инцидента и призванные снизить негативные последствия и ускорить восстановление работы.
Проще всего объяснить различие подходов на бытовых примерах.
1-й пример, из повседневной жизни. Перед человеком стоит задача снизить вероятность и тяжесть последствий от заболевания, например гриппом. Для этого можно сделать прививку и снизить вероятность заболевания. Или не делать прививку и в случае заболевания лечить симптомы. Первый подход - проактивный, второй - реактивный.
2-й пример   перед работником стоит задача пройти через стройку и обеспечить защиту работника от падающих сверху кирпичей. Если выбрать реактивный подход, то нужно закупить специальную систему с видеокамерами, которая будет отслеживать пространство над головой и в случае появления там падающего кирпича, будет предупреждать сотрудника звуковым сигналом или через SMS. Успеет ли сотрудник отреагировать? Это реактивный подход. Но ведь значительно проще применить проактивный подход - заранее надеть каску и существенно повысить защиту сотрудника. Этот пример ещё и показывает, что даже очень дорогие реактивные меры не могут обеспечить тот уровень защиты, который обеспечивают простые и недорогие проактивные меры.
В сфере информационной безопасности реактивные меры всегда дороже, чем реактивные. Если на предприятии случилась эпидемия компьютерного вируса, то восстановление данных будет стоить очень дорого, да и не всегда возможно восстановить данные в полном объеме. Значительно проще заранее проинструктировать всех сотрудников - не открывать ссылки из подозрительных писем, не запускать файлы с флешек без их предварительной проверки антивирусным ПО.
Применение риск-ориентированного подхода к управлению и внедрение проактивных мер позволит повысить эффективность инвестиций в информационные технологии и информационную безопасность.

Статья начальника отдела ИБ ООО "IT-TEAM SERVICE" Антона Ракитского вышла в журнале «Управление предприятием», издаваемом Международным центром финансово-экономического развития - Узбекистан. Статья вышла в журнале №3 (141) за 2019 г.
Полную версию статьи можно прочитать на сайте издания, в электронной версии журнала. Ниже приводится авторская редакция статьи.

Передача части функций сторонним исполнителям практикуется давно. Чаще всего «на сторону» передаётся уборка помещений, организация питания сотрудников, а в последние годы всё чаще на эту модель переходит ещё и бухгалтерский учёт и, конечно же, услуги в области информационных технологий и безопасности. В рамках данной статьи попытаемся рассмотреть некоторые аспекты передачи на аутсорсинг услуг в области информационно-коммуникационных технологий (ИКТ) и информационной безопасности (ИБ). Статья в большей степени касается долгосрочных сервисных договоров, а не разовых услуг.

Если организация занимается выпечкой хлеба, то зачем ей заниматься несвойственными функциями - транспортировкой, маркетингом, информационными технологиями?
Минусы традиционной схемы, когда всей работой занимаются штатные специалисты:
1. Значительная часть сотрудников будет заниматься непрофильной для организации работой. Кадровой службе нужно искать сотрудников и иметь резерв по десяткам позиций - от бухгалтера до электрика.
2. Часть функций, при их выполнении своими сотрудниками, потребует получения лицензий, разрешений - допуски для работ с электроустановками, допуск к высотным работам, медицинская деятельность и т.д.
3. Резкое изменение штатной численности очень дорого обходится - нужно заранее оповещать людей о сокращении штатов, выплачивать им компенсации. Теряется гибкость.

С чего же начать проработку вопроса по переходу на аутсорсинг?
1. Разработать форму соглашения о неразглашении или о сохранении конфиденциальности (англ. non-disclosure agreement, NDA). Ещё лучше согласовать её с юридической службой, ведь в случае нарушений NDA, заниматься разбирательствами в суде и взысканием убытков придётся именно юристам. Кстати, с самими юристами тоже нужно подписывать NDA, ведь они часто знают о предприятии больше руководства и учредителей. Подписывать утверждённую форму NDA со всеми потенциальными поставщиками ещё на этапе переговоров, до начала работ. Тогда на все переданные им данные будут распространяться обязательства по неразглашения. Из практики: эскалация конфликта с применением NDA случается редко. Это во многом вспомогательная мера «на всякий случай». Но она, как минимум, показывает исполнителю, что заказчик задумывается о безопасности. Если заказчик не требует от исполнителя услуг подписания NDA - это явный знак, что процесс взаимодействия с поставщиками не регламентирован, имеет бессистемный характер. Без подписанного NDA остаётся надеяться только на порядочность поставщика. Текст NDA должен быть понятным и разумным по размеру. В нашей практике случае был случай, когда текст NDA был составлен на множестве страниц с указанием всевозможных случаев, исключений, а бывали случаи, когда прямо в тексте указывались суммы компенсаций - это уже явный перебор. Необходим разумный компромисс.
2. Сформулировать, что именно планируется передать на аутсорсинг. Нужно, что называется, «договориться на берегу», что входит в перечень услуг, а что нет. Очевидная, кажется, вещь, но после подписания договора может выясниться, что исполнитель под обслуживанием компьютерной техники понимает только сопровождение системного программного обеспечения, а чистку корпусов от пыли или замену деталей не делает. Или делает, но только за отдельную плату.
3. Определить, кто будет основным контрагентом поставщиков на предприятии. Проще говоря - кто будет принимать их работы и подписывать акты? Доверяет ли руководство этому сотруднику? Из практики: часто таким ответственным лицом назначается завхоз, который может быть совершенно некомпетентным в вопросах ИКТ и ИБ. Что ему дали, то и подписывает. Да и существует риск коррупционной составляющей.
4. Соглашение об уровне предоставления услуги (англ. Service Level Agreement, SLA). Или в договоре или в каком-то приложении к нему прописать в какое время оказывается услуга. Если услуги предоставляются по требованию - специалиста вызывают по телефону, то необходимо явно определить механизмы такого взаимодействия, альтернативные каналы связи (вдруг основной телефон не будет работать) и скорость реакции на заявку. Например, выезд на место в течение суток после звонка, решение проблемы в течение двух суток и т.д. Важно понимать, чем выше скорость реакции и быстрее выполняются заявки, тем дороже будет услуга. Заказчика должно насторожить, если исполнитель соглашается на все условия и круглосуточную поддержку без выходных. Ведь элементарный подсчёт показывает, что для круглосуточной работы нужно минимум три смены специалистов, да ещё резерв на случай отпусков и т.д. Если не закрепить эти моменты письменно, то исполнитель может на словах пообещать что угодно, лишь бы заполучить контракт. Критически оцените необходимость немедленной реакции и очного присутствия специалистов исполнителя - так ли она важна для вас на самом деле? Если по каким-то вопросам достаточно будет удалённой консультации или прибытия специалиста без спешки, то и исполнитель, скорее всего, пойдёт навстречу в плане цен.
5. Постарайтесь добиться от исполнителя на регулярной основе подробных отчётов о проделанной работе. Необязательно вписывать всё в акт выполненных работ или бухгалтерские документы. Удобнее вести отчётность в электронном виде. Необходимо фиксировать: когда обращались к специалисту, по какому вопросу, как быстро последовала реакция, что именно было сделано. Лучше вести эту отчётность на стороне заказчика, но если предприятие совсем маленькое, то можно поручить и эту работу исполнителю. Со временем анализ этой информации позволит понять - выполняются ли в целом условия договора, появится такая ценная статистическая информация о типовых проблемах, для решения которых привлекался внешний исполнитель. Или наоборот - будет видно, что из месяца в месяц внешний исполнитель практически не задействовался, или привлекался только по специфическим вопросам вроде заправки картриджей для принтера. В результате - через год можно будет пересмотреть договор, в зависимости от потребностей изменить уровень предоставления услуги (тот самый SLA). Для самого предприятия появится ясность - что именно нужно и в какие сроки. Это именно то, чего так не хватает всем в начале работы с аутсорсингом.
6. Проверять работу поставщика услуг. Особенно если поставляемые им услуги связаны с взаимодействием с клиентами заказчика. Пример - очень часто крупные организации, банки, интернет-провайдеры передают на аутсорсинг функции колл-центра. Получается, что «лицом» компании становятся совершенно чужие люди. Ведь потребитель услуг не знает, где работает само предприятие, а где подрядчики. Все огрехи аутсорсинга ложатся пятном на репутации основного бизнеса. Регулярно проверяйте, как работают такие службы, совершайте «контрольную закупку». Ещё важнее - не потерять обратную связь от клиентов. Чтобы не получалось, что все жалобы попадают в руки тех, на кого жалуются.
7. Обеспечить независимость от поставщика услуг. Нужно с самого начала последовательно требовать от поставщика услуг стандартизированного подхода. Проще всего понять этот момент на примерах. Предположим, ваша организация планирует автоматизировать бухгалтерский учёт. Что выберите - новое, специально для вас созданное решение или известную систему 1C? Риски понятны - программа, созданная для вас, может быть удобнее и дешевле. Система 1C более громоздкая, дороже, но зато множество компаний в разных странах её поддерживают, накоплен большой опыт эксплуатации. Это решение стало стандартом де-факто, с ней работают все - от программистов до аудиторов. А главное - вы всегда сможете сменить поддерживающую организацию.
Иногда предприятие вынуждено разрабатывать свои информационные системы, а не пользоваться готовыми решениями. Бывает, что на рынке просто нет готовых решений. Это различные инновационные сервисы или специализированные системы. Задача заказчика - отслеживать, чтобы разрабатываемая система имела хорошее описание, полный комплект документации - инструкции пользователей, администраторов. А в техническом плане использовались стандартизированные решения - популярные базы данных и распространённый язык программирования. Только в этом случае можно будет со временем или поручить поддержку информационной системы своим собственным специалистам (отказаться от аутсорсинга) или сменить исполнителя. Из практики: нам известны случаи, когда поставщик услуг на весьма выгодных для заказчика условиях разрабатывал сложную информационную систему, а затем, когда весь бизнес был построен вокруг неё, стал буквально «выкручивать руки» заказчику постоянно повышая стоимость своих услуг. Отказаться от разработанной системы и сменить её на другую - колоссальные затраты. Сменить исполнителя работ тоже невозможно, никто не возьмётся за поддержку чужих поделок и разработок, если они разрабатывались бессистемно, не документировались. Даже в такой упорядоченной науке как бухгалтерия, новый бухгалтер может долго разбираться в бумагах предшественника, поминая его недобрым словом. А кто и как сможет разобраться в сотнях тысяч строк исходного кода программ? Допустив такую ошибку, может сложиться парадоксальная ситуация, когда желая сэкономить и «не кормить» своих специалистов, попадаем в зависимость и «кормим» уже чужих.
8. Включить поставщика услуг в свою систему обеспечения безопасности. Если на предприятии разработана политика информационная безопасность - с ней должен быть ознакомлен исполнитель работ и дать обязательства по соблюдению установленных правил. На государственных предприятиях и в банках очень сложная система проверки благонадёжности сотрудников, пропускной режим. А сотрудники аутсорсинговой компании никак и никем не проверяются, но получают доступ к самым важным и ценным ресурсам - информационным системам, базам клиентов. Как минимум нужно затребовать у исполнителя списки его сотрудников, привлечённых к проекту и выполнить для них те же проверочные мероприятия, что и для штатных специалистов.
9. Очень действенной мерой по контролю за эффективностью аутсорсинга и защите интересов заказчика является проведение независимой экспертизы информационной инфраструктуры и информационной безопасности. Эксперт изучит все указанные выше аспекты и подскажет, как быть конкретно в вашей ситуации.

    Реальность такова, что собственные службы информационных технологий и безопасности могут позволить себе только очень крупные организации. В случае Узбекистана яркими примерами являются Главный центр информатизации при центральном банке, информационно-вычислительный центр министерства финансов, центр новых технологий при ГНК. Нам раньше сложно было представить, как можно платить за питьевую негазированную воду, платить за просмотр телевизионных передач, даже ремонт квартиры и машины многие делали своими силами. Сейчас все эти сферы уже давно являются сервисом, даже такая любимая многими детьми забава как стирка ковров.
    Аутсорсинг придёт ко всем, нужно быть к нему готовым. И уж точно, единственным критерием выбора поставщика не должна быть цена.

Статья начальника отдела ИБ ООО "IT-TEAM SERVICE" Антона Ракитского вышла в журнале «Управление предприятием», издаваемом Международным центром финансово-экономического развития - Узбекистан. Статья вышла в журнале №2 (140) за 2019 г.
Полную версию статьи можно прочитать на сайте издания, в электронной версии журнала. Ниже приводится авторская редакция статьи.

С развитием информационных технологий растёт и проблема информационной безопасности (далее по тексту ИБ). Угроз безопасности становится особенно много в последнее время. Ещё в конце 90-х, начале 2000-х годов компьютерные вирусы и особенно хакеры казались экзотикой. Теперь же каждый слышал о хищении средств с банковских счетов, сталкивался с утратой данных из-за действия вирусов. Вывод - с появлением новой реальности - современных информационных технологий, появились и неведомые ранее угрозы. И если удобство ИКТ осознали все, то необходимость в обеспечении ИБ «доходит» до многих после первых потерь.
Простои систем из-за сбоев, ошибок в программном обеспечении и в действиях сотрудников, утечка данных, заражение компьютерными вирусами и мн. др. - всё это угрозы информационной безопасности. Каждый раз, когда вы задумываетесь о конфиденциальности данных, их целостности и доступности по первому требованию - знайте, эта классическая задача, решаемая при обеспечении информационной безопасности.
Зачем заниматься вопросами ИБ? Как минимум это требования регулирующих органов. Особенно проработана эта тема в банковской отрасли, ЦБ выпускает свои инструкции по многим аспектам ИБ, да ещё и проверяет их выполнение. Не выполняете инструкции ЦБ - штраф. Кроме этого, у международных платёжных систем (VISA, MasterCard) есть свой стандарт по ИБ - PCI DSS. Если банк хочет работать с этими системами, то вынужден соответствовать требованиям стандарта и регулярно проводить внешний аудит на соответствие. Для всех госорганов Узбекистана независимо от сферы деятельности принят отдельный документ - «Требования обеспечения информационной безопасности органов государственного и хозяйственного управления, государственной власти на местах».
Для частного бизнеса информационная безопасности в большей степени вопрос существования на рынке. Не смог сохранить данные заказчиков в тайне - потерял репутацию. Информационный сервис надолго вышел из строя - все пользователи перебежали к конкурентам.
Если не начать заниматься вопросами ИБ заранее, то проблемы не заставят себя ждать. Не раз в нашей аудиторской практике встречались случаи, когда сотрудники, не получившие должное вознаграждение за выполненные работы, удаляли базу данных, файлы. А работодателю заявляли: «базу съел вирус». Т.к. никаких особых мер ИБ на предприятии не было, то руководству приходилось принимать такие оправдания и объяснения. Ведь часто сотрудникам приходится покупать за свой счёт носители данных (флешки), обращаться к услугам мастеров, консультантов по настройке систем. В итоге - всю информацию, накопленную в ходе работы, они считают своей и уносят её при увольнении. Часто таким образом «уходит» сначала база клиентов, а потом и сами клиенты у турфирм, банков, служб такси и т.д. Вы застрахованы от таких сценариев? Как?
На конкурентном рынке (для Узбекистана это банки, такси, платежные системы, службы доставки) любой инцидент с ИБ, связанный с раскрытием данных пользователей, приведет к массовому оттоку клиентов к конкурентам. Озаботиться ИБ нужно до этого, восстановить уже утраченный авторитет вряд ли удастся.
С чего же начать? Для предприятий, у которых существуют обязательные требования регуляторов, можно начать с GAP-анализа. Для тех, кто хочет управлять ИБ с использованием анализа рисков подойдёт SWOT-анализ. (Эти методики, наверняка, уже освещались на страницах издания. Их подробное описание весьма объемно и выходит за рамки статьи). Для знакомых с системой менеджмента качества, представить проблематику ИБ будет проще, т.к. существует профильный стандарт ISO 27001, основанный на хорошо известном процессном подходе.
У крупных предприятий давно уже существует не только отдел охраны, но и отдел информационной безопасности. Но и тут не всё так просто. На рынке вакансий специалист по ИБ сейчас одна из самых востребованных специальностей. Отделы ИБ открылись во всех банках, госорганах, а где взять сразу столько специалистов? Готовых специалистов по ИБ очень мало, а с опытом работы – и того меньше. Все они, как правило, уже хорошо трудоустроены в крупных компаниях или сами работают консультантами, аудиторами. Существующая в Узбекистане система образования не может подготовить необходимое число компетентных специалистов по ИБ. Предприятиям некогда ждать, пока ВУЗы разработают программу, обучат за 4 года бакалавров, пока те наберутся опыта. Программы ВУЗов просто не успевают подстраиваться под быстро меняющиеся технологии. Блокчейн, большие данные (Big Data), интернет вещей (IoT), виртуализация, облачные вычисления - эти технологии вовсю применяется в бизнесе, но этому не учат в ВУЗах. Поэтому предприятию придется способствовать повышению компетенции имеющихся специалистов – направлять на профильные курсы, способствовать самообразованию. Вывод - растить и воспитывать специалиста по ИБ нужно самим.
Часто говорят, что затраты на ИБ это прямые убытки - от внедрения различных защитных механизмов информационные системы работают медленнее. Антивирус «тормозит» компьютеры, пароли нужно придумывать, менять, запоминать. Это все потери времени, а значит и денег. Но, делая прививку или придерживаясь здорового образа жизни, мы считаем эти мероприятия убыточными? Нет - мы инвестируем в себя.
Многие компании гордятся внедрением СМК, тем, что выпускают продукцию по ГОСТу, сертификатом «Халол». Так и с ИБ   при грамотном подходе можно подать внимание к безопасности как конкурентное преимущество. Если какой-то банк заявит, что провёл аудит ИБ, инвестирует в безопасность миллионы и миллиарды, обучает своих специалистов   ведь мы же будем больше доверять такому банку? Особенно по сравнению с тем, кто об этом не заявил, а потратил все деньги на наружную рекламу и розыгрыш очередного автомобиля.

В качестве резюме. Начало процесса обеспечения информационной безопасности можно в целом обозначить следующими шагами:
• Ключевой момент   необходимо, чтобы высшее руководство понимало и было главным заинтересованным в обеспечении информационной безопасности.
• Определение ответственных лиц, наделение их полномочиями, выделение им отдельного бюджета, создание кадрового резерва.
• Очень эффективной мерой является проведение независимого внешнего аудита ИБ - нужно осознать масштабы проблемы, получить экспертную консультацию.
• Внедрение технических средств, разработка регламентов и инструкций, обучение/инструктаж всех сотрудников.
• Внедрение ИБ как постоянного элемента всех производственных процессов. Появился даже термин - кибергигиена. Для специалиста по ИБ важно построить отношения с рядовыми сотрудниками, чтобы они знали его в лицо и воспринимали как коллегу и помощника, а не как «большого брата», который исподтишка следит за ними и «стучит» начальству. Задача очень непростая. Как и в вопросах пожарной безопасности, в ИБ задействованы все сотрудники, правильные действия рядового пользователя могут предотвратить возникновение больших проблем.

И на всех этапа необходимо постоянное обучение и повышение квалификации. Казалось бы, стандартная схема, цикл PDCA (Plan-Do-Check-Act). Но всё это на фоне сложнейших постоянно меняющихся технологий, множества внешних (вирусы, конкуренты, проверяющие) и внутренних угроз (от протечек и кражи оборудования до элементарного отсутствия электроснабжения). Пора начинать - дорогу осилит идущий.

Эпоха великих географических открытий изменила карту мира, популяризировала и табак и картофель. Изобретение радио, транзисторов - позволило мгновенно передавать информацию на огромные расстояния. Современные информационные технологии также бесповоротно меняют нашу жизнь, только в сотни раз быстрее. Если раньше на адаптацию, привыкание уходили долгие годы, то теперь технологии врываются в жизнь постоянно. В этой стремительности кроются и риски. А так как все технологии глобальные, то и риски такого же всемирного масштаба.
    Если методы обеспечения кибербезопасности в быту, на прикладном уровне более-менее понятны, то как быть на высшем - государственном, межстрановом уровне? Как эти проблемы решаются в более понятном и привычном военном измерении? Ответ - страны определяют свою оборонную доктрину, формируют войска, а потом уже на политическом уровне делают всё, чтобы войска никогда не пришлось отправлять в бой. Над этим работают политики, государства вступают в различные блоки и организации, объединяются с союзниками. Самые известные примеры организаций по обеспечению безопасности на разных уровнях - ОБСЕ, НАТО, ШОС, ОДКБ.
    Но незаметно для седовласых политиков поле конкуренции и противодействия переместилось в киберпространство. Прежде было понятно, что такое вторжение, захват территорий, нападение. Сформировались механизмы защиты - охрана, стены, вооружение. Были понятны и действующие стороны (т.н. а́кторы) - государства, сепаратисты, террористы, пираты. Вся привычная картина мира переворачивается с перемещением в киберпостранство. Где здесь граница? Что считать нападением, вторжением? Как ответить на атаку а, главное, кому противодействовать? Согласитесь, когда такая напряженность возникает между крупнейшими мировыми державами, членами ядерного клуба, то это провоцирует эскалацию всех конфликтов и обостряет разногласия, существовавшие и до информационной революции.
    Даже тысяча танков и самолётов не защитит от кибератаки на критическую инфраструктуру. Так что же делать? Путь к решению глобальных проблем тоже известен - общение между всеми участниками киберпространства на разных площадках. Как создание ООН призвано объединить нации во имя мира, так и проблемы кибербезопасности лучше решать объединяясь, принимая решения силами коллективного разума.
    Как это делается сейчас в мире и что нужно делать Узбекистану для укрепления кибербезопасности?
    Хотя, как отмечалось выше, киберпространство не имеет традиционных границ, именно оно часто становится полем выяснения отношений в застарелых конфликтах. Отсюда всем известные обвинения в атаках на инфраструктуру, вмешательства в выборы, кража госсекретов.
    Поэтому первое и одно из важнейших условий успеха - интенсификация диалога с ближайшими странами-партнёрами по диалогу. Предлагаем рассмотреть это на примере такой довольно бюрократизированной, но экономически весьма эффективной системы как Евросоюз. В Евросоюзе и на уровне парламента и исполнительной власти (Еврокомиссия) вопросы кибербезопасности давно рассматриваются как полноценная составляющая политики. Подтверждением этого является общее политическое регулирование сферы ИБ. Так, самыми известными документами в области защиты критической инфраструктуры является директива NIS, а в области защиты персональных данных это GDPR. Проще говоря - все члены ЕС договорились и придерживаются общих правил в таких чувствительных сферах.
    Но ещё большая работа делается каждым государством самостоятельно. Страны понимают важность кибербезопасности и выносят эти вопросы на очень высокие уровни (т.е. не считают это сугубо техническими проблемами). Так в случае Нидерландов - центр кибербезопасности подчиняется министерству безопасности и юстиции, а в Бельгии и вовсе - премьер-министру. Для определения позиции в этом вопросе и выбора вектора развития каждой страной создаётся стратегия кибербезопасности. В ней в общих чертах определяются приоритеты и направления развития на ближайшие годы. Этот документ - основа развития кибербезопасности.
    Необходимо уже сейчас сформировать команду людей, создать механизмы связи внутри страны, с иностранными партнёрами по вопросам кибербезопасности. Чтобы во время кризисных ситуаций не тратить время и силы на определение того, кто и за что отвечает. Эта же группа должна заниматься распределением ответственности в сфере кибербезопасности, чтобы каждое министерство и ведомство понимало свою роль в реализации национальный стратегии кибезопасносности. Проще говоря, каждый знает за какой участок киберфронта отвечает его ведомство.
    Использование механизмов государственно-частного партнёрства в сфере кибербезопасности. Особенно это актуально в условиях рыночной экономики, когда значительная часть киберактивов (сети связи, ресурсы, системы) находятся в частом секторе. В Евросоюзе широчайшим образом применяется государственно-частное партнёрство - ГЧП (там используется термин Public-private cooperation). На всех уровнях создаются сообщества из госорганов, частного сектора и академических кругов, которые все проблемы ИБ обсуждают и принимают коллегиальное взвешенное, а не волюнтаристское решение. Так, например, работает система подготовки специалистов по ИБ. Госсектор формирует запрос на специалистов, который при помощи академического сообщества и частного сектора оперативно реализуется - обучают молодых специалистов и переподготавливают опытных. Государству и обществу некогда ждать, пока ВУЗы разработают программу, обучат за 4 года бакалавров, пока те наберутся опыта. Существующая в Узбекистане система никогда не сможет подготовить необходимое число компетентных специалистов по ИБ. Кстати, именно подготовка специалистов по кибербезопасности должна стать одним из приоритетов.
    Большим удивлением для нас стало привлечение частных компаний в сферы обороны и безопасности, куда у нас частный сектор чаще не подпускают «на пушечный выстрел». Так, например, частная компания была привлечена для реализации киберигры по заказу министерства обороны Нидерландов. Т.е. оборонное ведомство не испугал ни частный статус исполнителя, ни наличие у него в штате бывших сотрудников спецслужб зарубежных стран. Наоборот, все иностранные эксперты охотно делятся своим опытом и "отвечают" за результат работы - это их конкурентное преимущество. У нас же привлечение частных компаний в силовые ведомства это целая история. Чаще всего это делается через субподряды и другие схемы, которые приводят к бюрократизации процесса, повышению налоговой нагрузки, но не защищают никого ни от чего.
    Важно понимание кибербезопасности со стороны общества. В Евросоюзе это становится таким же элементом культуры, как напоминание о соблюдения чистоты, мытья рук, раздельного сбора мусора, гигиены. Подготовлены ролики социальной рекламы в которых реальные люди рассказывают о своих ошибках в киберпространстве и чего это им стоило. Чем-то это отдалённо напоминает ролики о вреде курения и им подобные. Подобным же образом ведётся работа и с сотрудниками, которые работают в различных информационных системах. Для них существуют различные регулярные инструктажи, памятки, инструкции действий, по аналогии с планом действий при пожаре. В целом кибербезопасность и забота о ней стала частью производственного процесса.
    Вопросы кибербезопасности в Европе обсуждаются на всех уровнях власти и в обществе. Да, мы постоянно слышали и в Европе об их проблемах, об острой нехватке кадров ИБ. Но главное у них есть план на ближайшие годы, в реализацию которого вовлечены те самые, упомянутые выше госорганы, частный бизнес и академическое сообщество.
    Надеемся, что нам удастся учесть опыт наших европейских коллег. Со своей стороны, как представители частного сектора, готовы и далее оказывать содействие в совершенствовании обеспечения кибербезопасности в Узбекистане.

Ссылки по теме:
Стратегия кибербезопасности Нидерландов Dutch National Cyber Security Agenda
Национальная киберстратегия США National Cyber Strategy
Директива о мерах общего порядка по безопасности сетей и информационных систем в Евросоюзе (NIS Directive)
Общий регламент по защите данных General Data Protection Regulation

Автор аналитической статьи - начальник отдела ИБ ITTS Антон Ракитский.