ENGНа данный момент в РФ нет единого центра по противодействию киберугрозам, нет профильного эффективного законодательства и нет понимания на государственном уровне, как бороться с киберпреступностью.
Вестерн forever
Сегодня российские киберпреступники пребывают в эйфории и чуть ли не в открытую вербуют новобранцев. А число попыток зловредного получения доступа к банковским хранилищам, даже если судить только по зафиксированным утечкам, стабильно растет из года в год. Ситуация буквально напоминает Дикий Запад, где на фоне беззакония злодей грабит одно ранчо за другим. И останавливается, только если встретит достойный отпор. Что происходит, как учит Голливуд, далеко не всегда.
«То, что кибербезопасность является важнейшей проблемой, в РФ еще очевидно не всем, — рассуждает заместитель председателя правления Сбербанка России Станислав Кузнецов. — В российском обществе осознание угрозы в полной мере еще не произошло. А в государственных институтах и во многих компаниях нет понимания необходимости инвестирования в данную сферу».
Соответственно, при сохранении текущих подходов Россия обречена наступать на одни и те же грабли. Кибератаки будут проходить по тем же самым каналам и слегка модифицированным принципам, что и год-два-три назад. Правда, к старым методам преступники добавят новые.
«Я не перестаю удивляться, почему у госинститутов до сих пор не хватило административного ресурса собрать всю информацию о кибератаках и проанализировать, нащупать наши слабые места и принять регулятивные меры для защиты», — рассуждает Станислав Кузнецов.
То есть шерифы заняты личными делами, банки подвергаются грабежам, а вестерн превращается в бесконечный, как в рассказе Роберта Шекли.
«Народная» самооборона
В вестернах нередко встречается сцена, когда жители городка собираются совместно дать отпор бандитам. А новости о передвижении банды шлют из поселения в поселение по телеграфу. Аналог такого решения встречаем и в отечественном онлайне. Напомним, Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере при ЦБ в онлайн-режиме поставляет банкам информацию о всех известных ему хакерских атаках и размере ущерба. Число участников системы обмена информации растет и сейчас приближается к 500. Кстати, это российские кредитные организации (КО), Пенсионный фонд РФ и другие госструктуры, операторы связи и даже иностранные КО.
«В рамках информационного обмена к нам приходят большие массивы информации, это позволяет достаточно быстро и эффективно давать аналитику по происходящему и предупреждать коллег, какие угрозы на текущий момент наиболее актуальны и от чего имеет смысл защищаться прежде всего», — констатирует заместитель начальника Главного управления безопасности и защиты информации Банка России Артем Сычев.
«В интернете существуют площадки, где и сами участники рынка обмениваются информацией об выявленных угрозах», — добавляет Станислав Кузнецов.
Но все это носит добровольный, то есть близкий к любительскому характер. Тогда как добросовестным участникам рынка нужна единая платформа, к которой могла бы присоединиться любая компания и получить полную защиту от атак — «экосистема кибербезопасности». И кто, как ни Банк России, обязан такую платформу создать?
Артем Сычев соглашается: в Российской Федерации единого государственного центра, который занимался бы вопросами кибербезопасности, — нет. И это является одной из причин крупных масштабов хакерской активности.
«На мой взгляд, проблема не в том, что атаки есть. Они были, есть и будут. Требующая оперативного решения задача — скоординировать работу всех участников рынка по противодействию атакам», — рассуждает эксперт.
Иными словами, без руководящей роли шерифа отряд самооброны малоэффективен.
Всадник без головы
Таким образом, не теряет остроты вопрос: как заставить шерифов выполнять обязанности? Проще говоря: как государству превратить Дикий Запад в цивилизованное пространство? Ответов несколько, но в первую очередь решение упирается в работающие законы. Каковых нет.
«Мы продолжим без конца повторять, что нам необходимо изменение законодательства, и как можно быстрей», — сетует Станислав Кузнецов.
«Мы — сторонники того, чтобы все, касающееся цифровой идентичности клиентов, граждан, любых сделок и пересылки данных, относилось к компетенции государства», — добавляет заместитель президента Банка ВТБ Ольга Дергунова.
Точнее говоря, определенные подвижки в законодательной плоскости произошли. Как уточняет Артем Сычев, в недавно (26 июля) подписанном президентом законопроекте ФЗ №47571-7 «О безопасности критической информационной инфраструктуры РФ» есть новация — должен появиться федеральный орган, который устанавливает единые правила и требования для сферы. При этом соответствующие решения для финансового рынка должны согласовываться с Банком России. Напомним, закон вступает в силу с 1 января 2018 года. Его все критикуют — на всякий случай, — поскольку он добавляет определенные неудобства участникам рынка. Тем не менее, документ определяет ряд правил, по которым должно жить общество в онлайне. И эти правила позволяют Банку России подзаконными актами обеспечить появление в стране единой системы кибербезопасности.
Впрочем, еще не известно, в какую сторону этот закон будет развернут подзаконными актами в итоге: против бандитов, гринго, индейцев или добрых фермеров.
Запад есть Запад
Подчеркнем, нужны не просто законы, а работающие законы. Тогда как, по словам Ольги Дергуновой, сегодня как гражданам в массе, так и административным институтам в РФ катастрофически не хватает понимания ответственности за кибернарушения. Неизбежность наказания даже выявленного преступника остается под большим вопросом.
«Как ни странно, слабым звеном системы защиты от кибепреступлений оказываются не регуляторы или банки, а судебная система, — говорит представитель ВТБ. — Например, она фундаментально не готова рассматривать цифровые доказательства в качестве аргументов ни в арбитражных, ни в уголовных процессах».
Огромный пласт людей, каждый день принимающих важнейшие решения, ничего не понимает в киберпроцессах. Да что там возмущаться — не всегда с должной ответственностью к данного рода преступлениям относятся силовые структуры. Так, Станиславу Кузнецову известны случаи, когда в хакерстве обвинялись именно сотрудники правоохранительных органов.
В общем, Дикому Западу отечественного киберпространства нужна цивилизация.
«В общественном сознании должно сформироваться представление, что нарушения против информационных систем так же недопустимы, как недопустимо нарушение других, «обычных» законов», — настаивает Ольга Дергунова.
Автор: Игорь Чубаха
