Group IB

Цифровое государство: системные и новые вызовы на пути прогресса

Цифровое государство: системные и новые вызовы на пути прогресса
Цифровое государство: системные и новые вызовы на пути прогресса
21.11.2022

В этом году импортозамещение стало главным трендом как всей IT-отрасли, так и сферы кибербезопасности. Вместе с этим, усилилось внимание государства к информационным технологиям. Это выражается как в появлении новых законов, приказов и разъяснений от регуляторов, так и в появлении новых государственных информационных систем, ориентированных на те или иные сферы жизни или коммерческой деятельности.

Все это – важный шаг на пути цифровизации государства. Сервисы становятся ближе и доступнее, получить те или иные государственные услуги все проще. Вместе с тем, «обрастание» государства информационными системами сопряжено с множеством рисков, от социально-политических до рисков кибербезопасности.

В этой статье мы разобрали основные тренды цифровизации государства, степень влияния внешней среды на этот процесс и актуальность рисков информационной безопасности в нем.

Из чего состоит концепт цифрового государства

В обществе распространены два полярных заблуждения о цифровом государстве, каждое из которых базируется на конкретном свойстве:

  1. IT-государство как сервис. С точки зрения рядового гражданина, « умное» государство – это набор баз данных и услуг, поскольку он взаимодействует с его институтами через Госуслуги и МФЦ.

  2. Государство как «цифровой гегемон». Эта категория людей считает цифровые ресурсы государства элементом контроля за гражданином, поскольку оно оперирует избыточным количеством данных о конкретном человеке.

На самом деле оба суждения частично верны, цифровизация базируется на вполне традиционных институтах и функциях государства. Например, для реализации надзорной функции существуют ГИС, связанные с МВД, системы видеомониторинга и ряд других систем.

Валерий Сидоренко

Генеральный директор digital-агентства «Интериум», член Общественного совета при Минцифры России

Прежде всего важно понимать: цифровое государство — это не просто о борьбе с бюрократией через умные машины. Это модель управления обществом, кардинально меняющая его устройство. Перемены эти, как и сам тренд на диджитализацию государства, — долгосрочные и положительные.

Главная из таких перемен — смена роли государства. Как еще до пандемии писали мировые консалтинговые гиганты вроде EY, госаппарату предстояло стать одним (где-то, вероятно, крупнейшим) из провайдеров общественных услуг для граждан, децентрализовавшись и передав часть своих полномочий машинам (например, решения о присуждении судебных штрафах в западных странах уже давно принимают роботы, а алгоритмы «помощи судьям» в вынесении приговоров применяются от США и Бразилии до Эстонии). Пандемия лишь ускорила этот переход.

Один из самых обсуждаемых инструментов — блокчейн. Перевод государственных систем (например, системы защиты электронного документооборота) на открытые контракты позволит избежать централизации и повысить устойчивость баз данных к атакам — не зря о перспективах блокчейна в госуправлении рассказывает даже Фонд капитального развития ООН (UNCDF).

Другая технология — цифровые валюты центральных банков (CBDC). Эти контролируемые государством токены могут выпускаться и циркулировать в экономике наравне с обычными деньгами, делая денежные потоки прозрачнее и помогая бороться с «серым» и «черным» секторами.

Наконец, самый эффективный инструмент — международное сотрудничество. В мире действуют десятки международных групп по цифровым реформам в госсекторе вроде «цифровой девятки» государств (D8), а в конце этой недели в Евросоюзе наконец вступил в силу прошедший долгий путь согласований и поправок Акт о цифровых услугах (Digital Services Act), обязывающий европейские компании и государства соблюдать строгие нормы обращения с персональными данными. Правда, не для всех стран этот инструмент актуален по политическим причинам.

Для реализации управленческой функции применяется подход Data-driven, который заключается в принятии решения на основе огромного количества объективных данных, для сбора и обработки используются цифровые системы.

В образовательной системе элементы цифровизации используются для организации удаленного обучения, обработки результатов итоговых экзаменов, систематизации знаний и контроля за оценками учеников.

В судебных системах разных стран нередко применяются как элементы обработки «больших данных», так и элементы искусственного интеллекта, который выступает аналогом « цифрового помощника» и потенциально может стать полноценным судьей.

Таким образом, концепт цифрового государства не ограничивается надзорной функцией или предоставлением услуг населению – он в разной степени развивается сразу во всех направлениях деятельности государства и его институтов.

Россия как цифровое государство

Ландшафт российской ИТ-инфраструктуры представляет собой мозаику из сервисов, баз данных и отдельных систем, которая существует наравне с крупными, объединяющими платформами.

Павел Коростелев

Руководитель отдела продвижения продуктов компании «Код Безопасности»

Надо понимать, что у нас нет единой государственной инфраструктуры. У нас имеется некая платформенная часть, а также отдельные системы, которые автоматизируют те или иные процессы госуправления, например, ГИС, «Электронный бюджет», «Госуслуги». Что касается ИБ-инструментов, то здесь все стандартно: это требования к безопасности, сформулированные ФСТЭК, ФСБ и отраслевыми регуляторами; это сертификация средств защиты; и это подготовка специалистов, которые эксплуатируют и настраивают государственные системы. Также сюда можно отнести Национальный координационный центр по компьютерным инцидентам (НКЦКИ) и систему ГосСОПКА, то есть централизованный сбор информации об атаках, на основе которой можно делать определенные выводы.

Важный тренд этого года с точки зрения информационной безопасности заключается в появлении отраслевых центров кибербезопасности при разных государственных институтах. О создании таких центров уже заявили ряд министерств, среди которых, например, Минцифры и ФСИН.

Наравне с огромным количеством преимуществ, которые влечет за собой цифровизация государства, возникают и объективные проблемы. В этой статье мы сосредоточимся на тех, которые наиболее актуальны в контексте кибербезопасности, однако стоит упомянуть, что ряд не менее сложных проблем связаны как с экономическими, так и с чисто социально-политическими факторами.

Проблемы цифровизации государства

Самая главная проблема, с которой сталкивается государство – это цифровое неравенство. Ряд территорий просто не имеют доступа к сети, либо он серьезно затруднен ввиду отсутствия достаточно мощной инфраструктуры. 

Для борьбы с этой проблемой государство реализует программу устранения цифрового неравенства (УЦН), к которой привлечены ведущие операторы связи и другие представители телеком-сферы страны. Нельзя сказать, что этот процесс лишен недостатков или идет опережающими темпами, но важный маркер заключается в том, что он непрерывен, несмотря на все геополитические сложности и оптимизации бюджетов.

Если же говорить о технических аспектах проблем цифровизации, то они актуальны для любого государства или уровня систем – это невозможность достижения абсолютной защищенности информационных систем. Даже если исключить человеческий фактор, любая инфраструктура будет иметь ранее не выявленные уязвимости. Если помножить это на несвоевременное обновление и слабое насыщение инструментами кибербезопасности – проблема становится еще острее.

Александр Новиков

Руководитель службы исследований, кибераналитики и развития Группы Т1

Информационную безопасность в современных реалиях невозможно обеспечить одним средством защиты, стоит придерживаться концепции эшелонированной защиты, при которой используется несколько средств обеспечения ИБ. При таком подходе охватываются все аспекты ИБ, а избыточность в свою очередь усиливает безопасность путем создания нескольких уровней защиты. При успешном обходе одного средства защиты атака может быть остановлена другим.

Но даже такой подход поможет лишь снизить риски, а не исключить их полностью. Постоянно обнаруживаются новые уязвимости, меняются методы реализации угроз. Наиболее действенным решением в таких условиях является своевременный обмен информацией между участниками рынка ИБ. Это позволит службам ИБ стать осведомленными о самых новых релевантных угрозах и выстроить превентивную защиту. Чтобы сподвигнуть участников рынка к такому обмену, государство и регуляторы должны создать необходимые условия и механизмы. Осознание эффективности подобного рода обмена гораздо эффективнее штрафов.

Второй аспект, с которым сталкивается государство на пути цифровизации – это нехватка кадров. Здесь также стоит упомянуть о недостаточном уровне осведомленности об ИТ-технологиях среди уже существующих специалистов в ряде отраслей. Например, это касается судей, которые нередко в один день рассматривают дела о порче имущества, краже софта, нарушении правил пребывания в стране и мошенничестве с использованием защищенных мессенджеров. 

Дарья Зубрицкая

Директор по маркетингу и коммуникациям компании Ракета, цифровой платформы для организации командировок и управления расходами

На текущий момент видится одна проблема – это нехватка профессиональных кадров в ИТ-сегменте в государственных органах. А без профессионалов, управляющих системой безопасности, какой бы прогрессивной и эффективной она не была, такая система останется лишь набором программ, которые сами по себе не могут ничего сделать. Данная проблема влечет за собой другую: мы все больше процессов в государстве переводим в цифру и их наращение может привести к проблемам для обычных людей.

Другой аспект, который также частично связан с социально-политическими факторами – это низкий уровень цифровой гигиены у граждан. В условиях низкого уровня осведомленности о правилах кибербезопасности развитие государственных цифровых сервисов может привести к критически высокому уровню взломов учетных записей граждан. 

Однако, работа в этом направлении со стороны государства достаточно заметна. В первую очередь, она проявляется в появлении профильных занятий в образовательных учреждениях: школах и институтах. Второй элемент – это создание профильных обучающих программ общего доступа, одной из которых стала программа Минцифры на Госуслугах. Однако, стоит понимать, что самая качественная обучающая программа не даст результата, если она будет располагаться во вкладке ресурса, на которую никто никогда не зайдет.

Наравне с систематическими проблемами, которые имеют объективный характер и обусловлены самыми разными факторами, от низкого уровня осведомленности о работе с информационными системами, до специфического географического положения конкретных пользователей, существуют и конкретные риски, которые актуальны на данном уровне развития цифровых государств.

Риски цифровизации государства

Поскольку в этой статье рассматриваются только те риски, которые связаны с информационной безопасностью, большинство из них напрямую связаны и с главной проблемой кибербезопасности: балансом между комфортом использования и защищенностью информационных систем.

Сергей Черномашенцев

Исполнительный директор ООО «Смарт-Софт»

Здесь классическая парадигма и она будет всегда неизменной – чем удобнее пользоваться сервисом, тем более он уязвим, тем легче его взломать. И наоборот, чем неудобнее сервис (за счет многофакторной аутентификации, например), чем больше сложностей, проблем и неудобства будет доставлять пользователям использование этого сервиса, тем более защищенной будет система.

Когда потери и риски от кибератак превысят затраты на информационную безопасность, будут наращивать штат безопасников. После того, как затраты на защиту превысят потери от взломов, государство придет к выводу, что ИБ-специалисты не нужны, а злоумышленники начнут наращивать свои мощности, и такие качели будут всегда.

Второй аспект, на котором базируются риски кибербезопасности на уровне государства – это разность подходов. Существуют определенные стандарты и нормы, которые диктуются регуляторами (ФСБ, ФСТЭК и другие), но всегда остается место для специфичных решений, которые обусловлены отраслью или особенностями инфраструктуры компании.

Андрей Ремесленников

Специалист по обеспечению экономической безопасности, спикер и руководитель грантового направления независимой консалтинговой компании Get-grant.ru.

Я бы не стал выделять здесь именно государство в целом, так как все-таки каждый отдельный государственный орган или корпорация выстраивают свою внутреннюю защиту самостоятельно, но делают это на основе рекомендаций подготовленных на государственном уровне. Поэтому если говорить на уровне государства – то здесь все упирается в обеспечение внутренних ( на территории РФ) серверов для хранения информации. Если говорить о каждом отдельном органе, который является звеном государственной машины, то наиболее эффективен комплексный подход к безопасности информации – это одновременное использование нескольких инструментов защиты. В любом органе должны быть разработаны документы, регламентирующие работу с информацией.

Важно информировать персонал о возможных угрозах и необходимых мерах безопасности. Ведь технические средства защиты не всегда могут спасти от человеческого фактора. Например, особое внимание стоит уделить вопросу использования различных интернет-ресурсов, скачиванию файлов, следованию по ссылкам в получаемых письмах, использованию цифровых носителей информации (флешек, дисков, плееров, карт памяти и т.д.). Все это может быть источником компьютерных вирусов и вредоносных программ. Полезный инструмент — разграничение доступа пользователей к программам и базам данных.

Важное достижение этого года в контексте стандартизации безопасности – это отказ от «бумажной кибербезопасности», который декларируется в Указе Президента №250 и ряде последующих нормативных документов от регуляторов.

На данном этапе высокий приоритет имеют риски, связанные с импортозамещением. К ним можно отнести:

  • риски, связанные с интеграцией в инфраструктуру новых систем, которые заменяют иностранные решения;

  • риски, связанные с разработкой новых продуктов и пользователей.

Например, широко разошлась история с подключением военных комиссариатов к ряду баз данных других ведомств, в первую очередь – МВД. С одной стороны, это позволит актуализировать и упростить работу с устаревшими «физическими базами», с другой – может привести к утечкам данных, поскольку практики взаимодействия с ГИС у представителей военкоматов до этого не было.

Александр Партин

Юрист, эксперт в области вопросов обработки персональных данных

“Монетизация" от взлома государственных IT-ресурсов может выражаться по-разному. В частности, могут обогащаться ранее утекшие базы данных от коммерческих компаний, и полученные из государственных ресурсов персональные данные могут использоваться для мошенничеств, преступлений с использованием социальной инженерии, шантажа или обнародования личных и семейных тайн.

Создание новых больших баз данных или объединение существующих баз, принадлежащих разным государственным ведомствам, повышает риск утечки по нескольким причинам: во-первых, взлом такой базы становится более привлекательным для злоумышленников за счет большего количества людей, чьи данные это может затронуть. Во-вторых, разовая утечка приводит к компрометации большего объема информации о человеке.

И самая громкая группа рисков, которую можно упомянуть в контексте цифрового государства – это хакерская активность. Атаки на государственную инфраструктуру могут иметь множественные последствия. В качестве примера того, к чему могут привести атаки хакеров на государство с высоким уровнем цифровизации, можно привести два примера:

  1. Атака на ресурсы полиции Шанхая, которая закончилась кражей данных миллиарда граждан Китая.

  2. Атака Stuxnet на объекты ядерной энергетики Ирана, которая едва не привела к техногенной катастрофе.

Важно помнить о том, что единственный гарантированный способ избежать кибератаки – это отсутствие сетевой инфраструктуры либо ее изолированность от внешнего мира. Такой архаичный подход в ряде критически важных отраслей останется еще надолго, просто ввиду того, что цена ошибки кратно превосходит потенциальный рост эффективности.

Алексей Парфентьев

Руководитель отдела аналитики «СерчИнформ»

В этом году мы видим развитие такого явления, как «хактивизм», когда киберпреступники атаковали организации для того, чтобы причинить вред, а не получить финансовую выгоду. Но хактивисты – явление непостоянное, поэтому тренд пойдет на спад.

Несмотря на это число таких инцидентов, как утечки данных вряд ли будет снижаться, так как помимо хактивизма хватает и других причин: внешние атаки «коммерческих» мошенников, инсайдерские сливы, ошибочные настройки оборудования и ПО и так далее. А массовый процесс цифровизации только способствует тому, что данные регулярно утекают. Госсектор сейчас как раз проходит активный этап цифровизации, и очень важно, чтобы внедрение цифровых инструментов сопровождалось сопоставимым уровнем защиты. Пока, к сожалению, основной упор в организациях делается на защиту от внешних атак, а не внутренних.

Если же говорить о долгосрочных рисках кибербезопасности цифрового государства, то к ним можно отнести дисбаланс между тремя ключевыми показателями:

  • количество ИБ-специалистов в госсекторе;

  • уровень насыщенности инфраструктуры государственных институтов цифровыми система, устройствами и софтом;

  • объем доступного сетевого оборудования и другого железа, на котором размещена инфраструктура.

«Перекос» в любую из сторон может привести к «откату» всей системы назад. Такой процесс, как минимум, уже стал вопросом с точки зрения безопасности российского бизнеса, о чем высказалась Наталья Касперская.

Итоги

Цифровое государство – это логичный путь развития государственных институтов в сторону сервисной модели предоставления услуг и упрощения взаимодействия между разными органами внутри государственного аппарата.

Однако, для успешной реализации программы цифровизации важно не только правильно оценить силы, потенциал и возможности к внедрению разного рода ИС, но и перспективы вовлечения граждан во взаимодействие с этими сервисами.

Второй важный аспект заключается в устойчивости этих систем к планомерно растущей нагрузке как с точки зрения увеличения данных и пользователей, так и с точки зрения роста внимания злоумышленников. При неправильной оценке велика вероятность, что сопряженные с эксплуатацией цифровых систем риски станут причиной для их сворачивания, что придет к стагнации процесса.


Комментарии 0