5 сентября 2022 finversia.ru Аитов Тимур
Беспрецедентное количество санкций, из-за которых всей экономике страны пришлось пройти своего рода пентест (penetration test – тест на проникновение, или анализ системы на уязвимости), мы выдержали. Да, выявлены узкие места, но в целом ситуация осталась под контролем. Что дальше? Как эффективнее противодействовать возможным атакам на цифровую инфраструктуру (ЦИ) страны? В чем специфика момента?
Что такое ЦИ
Цифровая инфраструктура экономики обеспечивает возможность совершения в цифровой форме всех видов сделок, всех транзакций – платежей, контрактов и др. ЦИ обеспечивает и управление государством. Без нее ничего не работает, без нее нет собственно цифровой экономики. Заменить ЦИ, увы, не могут отдельно стоящие «островки» в виде модных экосистем, создаваемых сегодня банками и технологическими компаниями с мощным цифровым бекграундом. ЦИ это не отдельная экосистема – это всё то, что нужно объединять во всей экономике.
ЦИ начали создавать еще в 90-х.
ЦИ и ФАПСИ
Упомянем здесь активность ФАПСИ (упразднено в 2003) как регулятора в вопросах безопасности передачи, хранения и обработки как несекретных, так и секретных данных, правил построения защищенных цифровых областей, применения ИИ и др. В ФАПСИ занимались созданием информационно-телекоммуникационных систем (ИТКС) специального назначения. ИТКС включала как ЛВС, создаваемые в органах государственной власти, так и интегрированную сеть передачи данных «Деловая сеть России», предназначенную для обеспечения потребностей широкого круга пользователей. ИТКС была предтечей организации и создания ЦИ страны. Бизнес в массе тогда еще не начал использовать «цифру», хотя такие инструменты как ЭЦП, работающие на базе модемной связи, в некоторых банках уже были. В дальнейшем процессы формирования ЦИ страны получали неоднократные импульсы для развития. Так, в начале 2000-х появилась «Электронная Россия», параллельно с ней существовала «Электронная Москва». С шумом была запущена, а потом, получив господдержку, свернута программа по созданию универсальной электронной карты «УЭК». Нельзя сказать, что эти проекты отличались особой успешностью. Единого ведомства, которое, как регулятор, вело бы все процессы создания инфраструктуры цифровой экономики не существовало: его нет и сегодня. Некоторые важнейшие функции находятся под контролем ФСБ, некоторые у ФСТЭК, некоторые сферы не имеют четкого регуляторного покрытия. Как пример, защита банковских данных. В отрасли ЦБ делает много по части ИБ, но именно регулятора по защите всех клиентских баз при построении и операций с ними сегодня не существует.
ЦБ как созидатель
Если говорить о ЦБ, о финансовых организациях и финансах в целом, здесь, конечно, ЦБ взял на себя роль активного создателя ЦИ отрасли. АО «НСПК» и карта «Мир», «СБП» и новая Система Передачи Финансовых Сообщений (СПФС), а также все грядущее проекты по линии Ассоциации Финтех – всё находится в надежных руках ЦБ и здесь достижения ЦБ значительны. Но даже в этом случае четкого руководства до сих пор остаются узкие места, которые при усложнении обстановки и новых атаках могут превратиться в уязвимости. Например, дело касается систем управления базами данных – в отрасли 100% банков из ТОП10 (а, возможно, и все банки из ТОП100) используют до сих пор СУБД Oracle в наиболее нагруженных и критичных системах. Если Oracle решит, он сможет привнести в этой части весомые проблемы, причем, и самому ЦБ.
Кто в доме хозяин
Проблем с ЦИ много и очевидно – стране нужна надежно защищенная ЦИ, не разбросанная по ведомствам, а находящаяся под управлением единого госвладельца как ее регулятора. Нужен главный владелец ЦИ – несущий ответственность за её развитие в целом и за выработку архитектуры. Понятно, что владелец ЦИ должен быть равноудалённым от всех нынешних и будущих потребителей сервисов.
Нас ждут другие приятные плюсы появления этого единого владельца: появится общее целеполагание, критерии правильности принимаемых решений, механизмы координации и контроля и проч.
Необходимость наличия хозяина продукта (владельца) давно поняли в бизнесе. У каждого крупного ИТ-приложения (программы) он есть.
Владелец будет по сути представлять некий орган Стратегического планирования, и решения этого Органа будут обязательны для исполнения, в том числе, министерствами и ведомствами. Постановка задач по развитию ЦИ будет напоминать централизующую активность Госплана, но не повторять его прежние функции. Важный акцент должен быть сделан именно на целеполагании.
По Сеньке ли шапка
Справимся ли мы с созданием полноценной ЦИ в условиях санкций? Да, конечно. Но!
Не всё целесообразно создавать самостоятельно. Что-то сделаем сами, что-то – как элемент технологической инфраструктуры – разумно и выгоднее создавать в соавторстве, в содружестве стран. И эти Содружества есть сегодня – я имею в виду и ОДКБ, и ШОС, и БРИКС, и подобные. Какие-то содружества придется создавать заново, искать общие интересы.
Иными словами:
– многое мы должны делать и продолжать делать сами – особенно, если дело касается безопасности и защищённости страны, и еще – если конкретное решение экономически рентабельно в наших масштабах РФ (как не самой крупной экономики мира);
– что-то делать в содружестве с группой стран – эти процессы идут;
– что-то использовать как сервисы со стороны совсем уже недружественных стран – будут и такие варианты – и это тоже реально, и надо к этому с пониманием подходить. Все это потому, что в реальные сроки мы не сможем некоторые глобальные сервисы (масштаба GAFA) реализовать самостоятельно – даже если очень захотим. Конечно, сервисы недружественных стран надо стараться максимально диверсифицировать, дублировать, а когда этими сервисами пользоваться, всегда иметь в виду, что в критический момент их просто-напросто отключат.
Надо проанализировать и все предыдущие попытки создания ЦИ – когда дело не довели до конца. Конечно, выделить целевым образом необходимые средства на создание ЦИ в рамках программы. Ждем. Труды ФАПСИ в помощь.
http://www.finversia.ru/ (C)
Не является индивидуальной инвестиционной рекомендацией | При копировании ссылка обязательна | Нашли ошибку - выделить и нажать Ctrl+Enter | Отправить жалобу
Что такое ЦИ
Цифровая инфраструктура экономики обеспечивает возможность совершения в цифровой форме всех видов сделок, всех транзакций – платежей, контрактов и др. ЦИ обеспечивает и управление государством. Без нее ничего не работает, без нее нет собственно цифровой экономики. Заменить ЦИ, увы, не могут отдельно стоящие «островки» в виде модных экосистем, создаваемых сегодня банками и технологическими компаниями с мощным цифровым бекграундом. ЦИ это не отдельная экосистема – это всё то, что нужно объединять во всей экономике.
ЦИ начали создавать еще в 90-х.
ЦИ и ФАПСИ
Упомянем здесь активность ФАПСИ (упразднено в 2003) как регулятора в вопросах безопасности передачи, хранения и обработки как несекретных, так и секретных данных, правил построения защищенных цифровых областей, применения ИИ и др. В ФАПСИ занимались созданием информационно-телекоммуникационных систем (ИТКС) специального назначения. ИТКС включала как ЛВС, создаваемые в органах государственной власти, так и интегрированную сеть передачи данных «Деловая сеть России», предназначенную для обеспечения потребностей широкого круга пользователей. ИТКС была предтечей организации и создания ЦИ страны. Бизнес в массе тогда еще не начал использовать «цифру», хотя такие инструменты как ЭЦП, работающие на базе модемной связи, в некоторых банках уже были. В дальнейшем процессы формирования ЦИ страны получали неоднократные импульсы для развития. Так, в начале 2000-х появилась «Электронная Россия», параллельно с ней существовала «Электронная Москва». С шумом была запущена, а потом, получив господдержку, свернута программа по созданию универсальной электронной карты «УЭК». Нельзя сказать, что эти проекты отличались особой успешностью. Единого ведомства, которое, как регулятор, вело бы все процессы создания инфраструктуры цифровой экономики не существовало: его нет и сегодня. Некоторые важнейшие функции находятся под контролем ФСБ, некоторые у ФСТЭК, некоторые сферы не имеют четкого регуляторного покрытия. Как пример, защита банковских данных. В отрасли ЦБ делает много по части ИБ, но именно регулятора по защите всех клиентских баз при построении и операций с ними сегодня не существует.
ЦБ как созидатель
Если говорить о ЦБ, о финансовых организациях и финансах в целом, здесь, конечно, ЦБ взял на себя роль активного создателя ЦИ отрасли. АО «НСПК» и карта «Мир», «СБП» и новая Система Передачи Финансовых Сообщений (СПФС), а также все грядущее проекты по линии Ассоциации Финтех – всё находится в надежных руках ЦБ и здесь достижения ЦБ значительны. Но даже в этом случае четкого руководства до сих пор остаются узкие места, которые при усложнении обстановки и новых атаках могут превратиться в уязвимости. Например, дело касается систем управления базами данных – в отрасли 100% банков из ТОП10 (а, возможно, и все банки из ТОП100) используют до сих пор СУБД Oracle в наиболее нагруженных и критичных системах. Если Oracle решит, он сможет привнести в этой части весомые проблемы, причем, и самому ЦБ.
Кто в доме хозяин
Проблем с ЦИ много и очевидно – стране нужна надежно защищенная ЦИ, не разбросанная по ведомствам, а находящаяся под управлением единого госвладельца как ее регулятора. Нужен главный владелец ЦИ – несущий ответственность за её развитие в целом и за выработку архитектуры. Понятно, что владелец ЦИ должен быть равноудалённым от всех нынешних и будущих потребителей сервисов.
Нас ждут другие приятные плюсы появления этого единого владельца: появится общее целеполагание, критерии правильности принимаемых решений, механизмы координации и контроля и проч.
Необходимость наличия хозяина продукта (владельца) давно поняли в бизнесе. У каждого крупного ИТ-приложения (программы) он есть.
Владелец будет по сути представлять некий орган Стратегического планирования, и решения этого Органа будут обязательны для исполнения, в том числе, министерствами и ведомствами. Постановка задач по развитию ЦИ будет напоминать централизующую активность Госплана, но не повторять его прежние функции. Важный акцент должен быть сделан именно на целеполагании.
По Сеньке ли шапка
Справимся ли мы с созданием полноценной ЦИ в условиях санкций? Да, конечно. Но!
Не всё целесообразно создавать самостоятельно. Что-то сделаем сами, что-то – как элемент технологической инфраструктуры – разумно и выгоднее создавать в соавторстве, в содружестве стран. И эти Содружества есть сегодня – я имею в виду и ОДКБ, и ШОС, и БРИКС, и подобные. Какие-то содружества придется создавать заново, искать общие интересы.
Иными словами:
– многое мы должны делать и продолжать делать сами – особенно, если дело касается безопасности и защищённости страны, и еще – если конкретное решение экономически рентабельно в наших масштабах РФ (как не самой крупной экономики мира);
– что-то делать в содружестве с группой стран – эти процессы идут;
– что-то использовать как сервисы со стороны совсем уже недружественных стран – будут и такие варианты – и это тоже реально, и надо к этому с пониманием подходить. Все это потому, что в реальные сроки мы не сможем некоторые глобальные сервисы (масштаба GAFA) реализовать самостоятельно – даже если очень захотим. Конечно, сервисы недружественных стран надо стараться максимально диверсифицировать, дублировать, а когда этими сервисами пользоваться, всегда иметь в виду, что в критический момент их просто-напросто отключат.
Надо проанализировать и все предыдущие попытки создания ЦИ – когда дело не довели до конца. Конечно, выделить целевым образом необходимые средства на создание ЦИ в рамках программы. Ждем. Труды ФАПСИ в помощь.
http://www.finversia.ru/ (C)
Не является индивидуальной инвестиционной рекомендацией | При копировании ссылка обязательна | Нашли ошибку - выделить и нажать Ctrl+Enter | Отправить жалобу