29 марта 2017, среда

Цифровой щит. Техдиректор Microsoft Украина - о кибервойнах, соцсетях и облаках

комментировать
Шмелев усматривает в
Фото: Майкрософт Украина

Шмелев усматривает в "государственном облаке" решение многих проблем с безопасностью

Какие опасности стоят перед Украиной в цифровом пространстве сегодня и каким образом можно с ними бороться, НВ выяснило у директора по технологической политике Microsoft Украина Михаила Шмелева

В начале ноября Кабмин одобрил в рамках решения СНБО по усилению кибербезопасности Украины постановление Об утверждении Плана мероприятий программы защиты государственных информационных ресурсов. По словам чиновников, задача документа - защитить информационные сети госорганов, в том числе - для исключения вмешательства в работу технических систем страны иностранными спецслужбами.

Здесь Украина ощутимо отстала от многих государств. Впервые стратегии кибербезопасности принимают в начале прошлого десятилетия. В 2003 Национальную стратегию безопасности в киберпространстве приняли США, в 2005 - аналогичный документ появляется в Германии, в 2006 - Швеции, 2007 - Эстонии. Киев же к этому шагу подтолкнул неявный военный конфликт с Россией.

Почему на фоне кризисного состояния экономики и войны в Донбассе государство должно заниматься кибербезопасностью?

- Именно на этом фоне как никогда важно заниматься кибербезопасностью, а также усиливать прозрачность работы государства. В течение прошлого года мы сделали выбор в пользу определенных ценностей. Это в первую очередь верховенство права и демократия. В основе их – доверие нас как граждан к государству. Оно – всего лишь машина, которую вы и я наняли, чтобы она оказывала нам какие-то услуги в наших интересах. Главным фактором доверия является прозрачность. Мы хотим знать и быть уверенными в том, что государство делает то, на что мы с вами его уполномочили.

В первую очередь, государство должно перед нами отчитываться. Мы хотим понимать, на что тратятся деньги, которые мы платим как налогоплательщики, а также получаем как страна в виде займов. Второе – государственные ресурсы должны быть защищены от искажения и вмешательства.

- Каким рискам подвергается Украина в виртуальной среде?

В цифровом мире мы постоянно подвержены угрозам, которые каждый день меняются. Украина подвергается гигантскому количеству сетевых атак. Они бывают самого разного типа и класса – от стандартных DdoS-атак, делающих сервис или сайт недоступным, до атак класса low and slow – они целенаправленные, их сложнее обнаружить, с ними сложнее бороться. К примеру, они могут заблокировать skype-трафик, SMTP [доступ к электронной почте - НВ].

Вы помните фильм «Крепкий орешек 4.0» [хакеры взламывают госсети и отключают энергоснабжение в стране - НВ]. Фантастика, конечно, но заставляет задуматься – ведь у нас тоже есть критическая инфраструктура. И речь идет не о данных со статусом гостайны, которые должны быть защищены по дефолту, а о критически важной инфраструктуре – аэропортах, газопроводах, энергосетях, атомных станциях, банковской системе, реестрах имущества, образования. Представьте, что вдруг начнется вмешательство в их работу – это приведет к хаосу. Представьте, что будет, если, к примеру, остановится система электронных платежей в стране? Паралич. Поэтому защите подлежит информация, которая принадлежит государству, элементы критической инфраструктуры, и, на самом деле, мы сами.

- С учетом этих угроз, что нужно властям сделать в первую очередь для цифровой защиты?

- Не поверите: выполнять наше законодательство. На самом деле, у нас хорошее законодательство, в том числе в области киберзащиты. Другой вопрос, что, как и многие другие наши законы, они не очень исполняются. У нас есть Госслужба специальной связи и защиты информации, которая является регулятором в этой области и отвечает за кибербезопасность, но с точки зрения стратегии и философии применяемых методов. А за защиту каждого конкретного государственного ресурса ответственность несет руководитель ведомства, которому ресурс принадлежит. К сожалению, у нас слишком много финансируется по остаточному принципу, в том числе и системы защиты информации. Непонимание важности этого вопроса и последствий, к которым это может привести, и поставило нас под угрозу как государство.

- Усилия властей по киберзащите могут перерасти в "закручивание гаек" по российскому сценарию?

Не стоит путать киберзащиту и, например, регулирование интернета. Речь идет только о защите государственных инфоресурсов. Блокирование же контента – таких функций у госорганов сейчас нет. В то же время, защита персональных данных – это вопрос каждого из нас.

- Рекомендация СБУ не пользоваться российскими почтовыми ресурсами и соцсетями актуальна?

- Не хочу обсуждать чужие коммерческие проекты, и кто за ними стоит, но по косвенным признакам – я бы не очень хотел, чтобы какие-либо мои данные хранились в стране, политика которой в отношении моей страны вызывает у мировой общественности массу вопросов. И у СБУ это все же рекомендация, а не запрет – никакой цензуры нет.

- В число рисков входит компьютерная безграмотность чиновников и рядовых пользователей? Как с ней можно справиться?

- Люди должны понимать, что такое киберзащита. На сегодня это органичная часть нашей жизни: мы привыкли, что запираем квартиру или ставим авто на сигнализацию. В цифровом мире вопросы безопасности такие же важные, как и обычном мире – необходимы базовые меры предострожности. Насчет образования — да, у нас с этим проблемы. Образование у нас хорошее, фундаментальное, дающее широкий кругозор, но оно вообще не имеет никакого отношения к реальным требованиям цифрового мира. Цифровые тренды генерируются гораздо быстрее, чем к ним способна адаптироваться образовательная система. Но это не значит, что мы сами не должны себя обучать.


Гаджетами следует пользоваться с умом

Гаджетами следует пользоваться с умом


Гаджет – это удобство, но это и шлюз в сторону цифрового мира, и нужно понимать опасности, который он таит. Молодежь, которая сейчас идет в чиновники, уже понимает, что это и к чему. Может, не сильно оценивают мировые киберугрозы и природу их происхождения, но для них это уже инструмент, с которым они могут работать. А пока еще многие чиновники предпочитают карандаш и лист А4. Нужно только время.

- Каким образом тогда Украине строить обещанный многими политиками e-governance?

- Сам термин E-governance – довольно сложный, это целая электронная экосистема, призванная сделать государство прозрачным, а информацию – доступной гражданам, а также наладить предоставление ряда услуг в электронной форме.

Государство перед нами должно отчитываться и предоставлять открытые данные. Как это работает сейчас? Представьте, что вы купили машину, но не купили право видеть скорость, уровень масла, бензина, состояние двигателя, и каждый раз нужно обращаться за этой информацией к производителю в письменной форме. А данные-то эти принадлежат вам и более того – они вам необходимы. Поэтому сегодня мы ведем речь о таком понятии как открытые государственные данные. И они должны генерироваться и становится доступными автоматически. Вот для чего нужны электронные решения.

И важно, чтобы эти данные были защищены от искажения. Помните, как в мае российские СМИ публиковали скриншот якобы с ЦВК о победе Дмитрия Яроша [на президентских выборах]? Так вот здесь тоже есть вопросы киберзащиты и кибербезопасности – открытые данные тоже должны быть защищены.

- Некоторые страны делают выбор в пользу open source решений для своих цифровых систем. Как вы оцениваете такие решения?

Как инженер, я скажу, что я сторонник использования релевантных продуктов для релевантных задач. Плюс Open source в том, что система открытая, ее можно быстро адаптировать и решить необходимую задачу – например, в исследовательской среде, в науке. Однако как только речь заходит об открытом коде и его тиражировании, можно попасть в две ловушки. Во-первых, как правило, требования к лицензиям open source – распространение внесенных в код изменений по открытой лицензии. Тогда, получится, решения для киберзащиты будут доступными всем. Второе — это «эффект парикмахера»: когда приходишь не к своему парикмахеру, и тот спрашивает: «А кто же вас так подстриг?». Каждый специалист настраивает так, как он хочет, и тому, кто приходит после него, очень сложно адаптироваться.

Как только специалист приложил руку к open source продукту – он становится проприетарным; его мозги вложены в то, как это сконфигурировано, и документации на это нет. В итоге я на бесплатной лицензии сэкономил, а с точки зрения total cost of ownership (общая стоимость владения продуктом) – это еще вопрос, будет ли экономия. И, кроме этого, я зависим от одного системного администратора и от поставщика решения на базе этой платформы, потому что рынок специалистов вот таких индивидуальных решений вообще не может существовать, в то время как рынок специалистов по унифицированным решениям велик и все они взаимозаменяемы. Миром правит унификация, поэтому в рамках государства тиражированные решения на открытом коде невозможны.

- А переход в облако?

Облако, в то же время, это ресурс, который позволяет снять «головную боль» – закупку серверов, другого оборудования, их обслуживание и так далее. Кроме этого, облачные ресурсы во многих случаях позволяют практически безболезненно и быстро отбивать кибератаки. Наше облако также предоставляет защиту нескольких уровней и часто она крепче, чем защитные инструменты компаний, финансовых учреждений и госорганов. Единственный вопрос, который стоит сейчас: можно ли это делать госорганам. Я надеюсь, что евроинтеграция приведет к тому, что законодательство будет гармонизировано с европейским. Сейчас у нас слишком много разночтений, законы нечеткие и непонятные. Но это только вопрос времени. Как гражданин, я больше заинтересован в том, чтобы государство брало с меня налоги на прогнозируемые оперативные расходы, чем на капитальные – например, на закупку оборудования, которое будет использоваться только на 20%.

- То есть, государству зачастую выгоднее отдавать IT-услуги на аутсорс?

- Да, в том числе на государственный аутсорс. Если есть что-то общее, что есть во всех органах власти, то почему бы это не централизовать – собрать 50 высокопрофессиональных сисадминов с серьезной зарплатой, которые будут поддерживать [веб-системы органов власти] на высоком уровне. Это и будет государственное облако, и его можно построить – нет никаких запретов.

- Насколько реально это в сегодняшней Украине?

- Думаю, что процесс реформ и гармонизация законодательства, а также взгляд более молодой и профессиональной команды – по крайней мере, нынешнее правительство производит такое впечатление – приведут к тому, что все у нас будет хорошо.

Новое Время

Комментарии

1000

Правила комментирования
Показать больше комментариев

Последние новости

ТОП-3 блога

Фото

ВИДЕО

Читайте на НВ style

Статьи ТОП-10

Подписка на новости
     
Погода
Погода в Киеве

влажность:

давление:

ветер: