Рекомендации по повышению информационной безопасности как элемента государственного управления в цифровом государстве



В статье автор рассматривает информационную безопасность, как элемент государственного управления в цифровом государстве и предлагает рекомендации по ее повышению.

Ключевые слова: информационная безопасность, киберпреступления, цифровое государство.

В современном мире, где IT-технологии занимают неотъемлемую часть жизни каждого человека, вопрос об информационной безопасности стоит на первом месте, поскольку она является также и компонентом национальной безопасности страны. В процессе использования услуг каждый второй человек сталкивается с угрозой утечки информации, возможностью взлома и распространения конфиденциальной информации. Также, с этими проблемами сталкиваются государственные органы и бизнес. Ущерб для России от киберпреступности в 2021 году составил около 90 млрд рублей, а динамика прироста преступлений в сфере информационных технологий за прошедшие три года составила 188 процентов. Так, в 2019 году их было совершено 180 тысяч [10], в 2020 году — 510 тысяч [3], в 2021 году — уже более 518 тысяч [4]. Именно поэтому необходимо создать безопасную и устойчивую информационную инфраструктуру для граждан, представителей бизнеса и государства в цифровом пространстве, так как кибер-риски могут подорвать доверие и устойчивость в цифровом государстве, и помешать стране или региону полностью реализовать свой цифровой потенциал.

Современные вирусы опасны тем, что из-за своей способности постоянно изменяться, возможность их обнаружения снижается. Злоумышленники становятся все совершеннее и находят все больше уязвимостей для совершения преступления. Несмотря на то, что в Российской Федерации есть уголовная ответственность за киберпреступления, урон, нанесенный вредоносными системами, не снижается, а только увеличивается. Согласно исследования каждые 14 секунд в мире появляется новое вирусное программное обеспечение, способное атаковать не только маленькие организации, но и крупные, такие как Microsoft [11].

Государственные организации также подвержены подобным угрозам. Чаще всего атаки происходят на небольшие государственные организации, потому что их информационная безопасность слаба из-за недостаточного финансирования. А данные, которые хранятся в таких организациях могут быть очень ценными, например государственные реестры, базы данных и т. д. Именно за такой информацией «охотятся» преступники. Данная проблема касается не только России, а большинство стран с цифровым государством. Например, в США около 70 % всех атак приходятся именно на государственный сектор. Кроме этого, когда у преступников получается блокировать сеть, тогда государству приходится им платить, чтобы возобновить свою работу.

Федеральный проект «Информационная безопасность», созданный в рамках национальной программы «Цифровая экономика Российской Федерации» нацелен на повышение уровня кибербезопасности страны. На реализацию проекта выделено 28 млрд рублей [6]. Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации совместно с компанией «Ростелеком» создали специальный киберполигон, где IT-специалисты смогут обучаться современным практикам обеспечения информационной безопасности. Главное предназначение киберполигона — моделирование развития киберугроз и тестирование безопасности ПО. Киберполигон используется для проведения учений и тренировок, в ходе которых IT-специалисты смогут отрабатывать ответные действия на случай кибератак. Созданный киберполигон может существенно повысить уровень информационной безопасности в стране. Многие компании отмечают, что именно нехватка квалифицированных кадров, а также отсутствие опыта в решении ответных действий ставит под сомнение безопасность информационных систем.

Одним из показателей федерального проекта «Информационная безопасность» является то, что доля граждан, повысивших грамотность в сфере информационной безопасности, медиапотребления и использования интернет- сервисов к 2024 году должна составить 50 %. Был проведен опрос, где респондентам предлагали определить официальное банковское приложение и фейковое. По результатам 24 % респондентов определили официальный интерфейс приложения для мобильного банкинга как мошеннический, а 29 % ошибочно приняли поддельный интерфейс за настоящий.

Проводимый в апреле 2021 года цифровой диктант показал, что пользователи заботятся о цифровой гигиене своих данных, так как в акции приняли участие 919 тыс. человек, что в три раза больше, чем в 2020 году [2]. Пробелы в знаниях зависят от возрастной группы участников диктанта. Например, у подростков с 14 до 17 лет существуют трудности с использованием цифровых ресурсов и знаний базовых программ, приложений и сервисов. У детей с 7 до 13 лет трудности цифровыми компетенциями (вопросы о навыках и умениях эффективно выбирать и применять технологии в жизни). У участников с 18 до 24 лет проблемы возникли со знаниями в сфере цифровой безопасности, а лучше всего с вопросами в данной сфере справились дети от 7 до 13 лет и подростки от 14 до 17 лет. По сравнению с диктантом, проводимым в 2020 году уровень знаний в сфере кибербезопасности и защите персональных данных, оказался ниже на 5 %. Несмотря на то, что в настоящее время люди оставляют очень много личных данных на интернет-платформах, иногда не задумываются настоящий сайт или фейковый, уровень кабергигиены в целом растет.

Недостаточно развитое отечественное программное обеспечение также влияет на информационную безопасность страны. В 2016 году был создан реестр отечественного ПО. Доля российского ПО в закупках госорганов за время существования реестра (по 2021 год) увеличилась с 20 % до 35 %, хотя на 2021 г. для госкомпаний был запланирован показатель на уровне не менее 50 % [5]. По расчетам Минцифры к 2024 г. доля российского ПО будет доведена до 90 % в закупках госорганов, и до 70 % — в закупках госкомпаний, а расходы на российское ПО увеличат в 3,4 раза [9]. В современных условиях темпы развития российского софта необходимо увеличивать, поскольку зарубежный софт становится недоступным из-за введенных санкций.

Разработчики попросили господдержку для внедрения российского ПО вместо зарубежного, и рабочая группы проекта выделила несколько классов ПО, которым нужна дополнительная поддержка:

– Операционные системы;

– Офисные приложения, поисковые системы, браузеры и коммуникационное ПО;

– Системы управления базами данных (СУБД);

– Системы управления предприятиями и прочие.

С проблемой кибератак стоит бороться не только внутренними силами, но и на международном уровне. В конце 2001 года была создана конвенция о киберпреступности (Будапештская конвенция), которая предусматривает 9 видов преступлений [1]. В настоящее время данная конвенция устарела, потому что видов преступлений уже более 30. В связи с этим Россия в декабре 2019 года вынесла на рассмотрение Генассамблеи ООН резолюцию для выработки новой конвенции по борьбе с киберпреступностью. Было предложено создать комитет, который занимался бы этим вопросом. В резолюции было предложено прописать тему кибертерроризма; объединить усилия ведомств и выработать взаимные договоренности по борьбе с информационными преступлениями. Документ был одобрен Третьим комитетом и в скором времени будет рассмотрен всеми членами Генассамблеи [7].

Можно предложить универсальную систему возможного пути решения проблем в вопросе об информационной безопасности со стороны государственного управления. (см. рис. 1)

Рис. 1. Универсальная система обеспечения информационной безопасности со стороны государства [8]

1. Создать агентство/ведомство на национальном уровне и вести повестку дня кибербезопасности — на начальном этапе на государственном уровне необходимо создать группу экспертом (рабочую группу), которые будут взаимодействовать со всеми отраслями и разрабатывать политику информационной безопасности;

2. Установить диалог на уровне субъектов — наладить связь в решаемом вопросе в регионах для формирования полной информации об информационной безопасности;

3. Разработать национальную стратегию и связанную с ней дорожную карту реализации — создание стратегии информационной безопасности, которая включает в себя конкретные цели, задачи и мероприятия, учитывающая все особенности отраслей экономики;

4. Принять оценку рисков на уровне секторов, отраслей, субъектов — стратегия должна также включать в себя критерии для оценки рисков, чтобы в случае их возникновения была возможность оптимально среагировать;

5. Определение критической информационной инфраструктуры — обеспечение функционирование системы, например, качественный доступ к сети «Интернет»; покрытие федеральных дорог сотовыми сетями связи; платформы работы с данными и т. д.;

6. Обновить законодательство о кибербезопасности — усовершенствование нормативно-правовой базы, создание новых пунктов из-за ежедневного появления новых видов угроз, которые не отражены уже в существующем законодательстве об информационной безопасности. Данный этап должен быть непрерывном процессом и постоянно отслеживать актуальные провалы в законодательной базе страны;

7. Обновить закон о киберпреступности — после усовершенствования правовой базы об информационной безопасности, следует проделать тоже самое и с киберпреступностью;

8. Установить или развить механизмы сообщения об инцидентах — для качественного анализа и создания путей решения проблемы, необходимо обеспечить достоверный сбор информации о случаях нарушения информационной безопасности;

9. Установить возможность реагирования на инциденты — развитие навыков для ответных действий на кабератаки;

10. Повысить осведомленность общества — всевозможное информирование граждан о возможных попытках кражи их личной информации;

11. Определить глобальные стандарты и адаптировать региональное внедрение — в рамках разработанной стратегии и с учетом всех особенностей нужно принять региональные стандарты для обеспечения кибербезопасности;

12. Выявить и устранить пробелы в навыках кибербезопасности с помощью национальной стратегии развития кадров — развитие образовательной системы в сфере информационной безопасности, поскольку для защиты от постоянно появляющихся угроз необходимы специальные кадры.

Таким образом, в цифровом государстве есть определенные риски и угрозы, которые влияют на все сферы жизни и с каждым днем только увеличиваются. В эпоху цифрового общества на первом месте стоит вопрос об информационной безопасности, поскольку каждый день непрерывно все человечество пользуется сетью «Интернет». Без кибербезопасности не будет и эффективного становления цифрового государства, так как нужно обеспечивать сохранность баз данных, различных государственных реестров, банковских счетах и т. д. Из-за совершенствования различных вирусов, атаки на информацию становятся почти неуязвимыми и частыми, поэтому возникают сложности их устранения. Именно поэтому необходимо постоянно модернизировать систему информационной безопасности не только страны, государственных учреждений и коммерческих компаний, но и всего мира.

Литература:

1. Будапештская конвенция о киберпреступности.. — Текст: электронный // coe.int: [сайт]. — URL: https://www.coe.int/ru/web/impact- %20convention-human-rights/convention-on-cybercrime/ (дата обращения: 06.09.2022).
2. В «Цифровом Диктанте 2021» приняли участие почти миллион человек. — Текст: электронный // Цифровой диктант.рф: [сайт]. — URL: https://digitaldictation.ru/news/view?alias=v-cifrovom-diktante-2021-prinali-ucastie-pocti-million-celovek (дата обращения: 30.08.2022).
3. В Генпрокуратуре заявили, что киберпреступность стала представлять угрозу нацбезопасности. — Текст: электронный // ТАСС: [сайт]. — URL: https://tass.ru/obschestvo/11451173 (дата обращения: 29.08.2022).
4. В России зарегистрировали более 500 тыс. преступлений в цифровой среде в 2021 году. — Текст: электронный // ТАСС: [сайт]. — URL: https://tass.ru/obschestvo/14468125 (дата обращения: 29.08.2022).
5. Доля российского софта в госкомпаниях оказалась вдвое ниже нормативов. — Текст: электронный // РБК: [сайт]. — URL: https://www.rbc.ru/technology_and_media/27/12/2021/61c21e289a79479e8562641b (дата обращения: 05.09.2022).
6. Паспорт федерального проекта «Информационная безопасность». — Текст: электронный // АНО «Цифровая экономика»: [сайт]. — URL: https://files.data-economy.ru/Docs/Pass_Cybersecurity.pdf (дата обращения: 30.08.2022).
7. Россия добивается выработки ООН новой Конвенции по борьбе к киберугрозами. — Текст: электронный // ТАСС: [сайт]. — URL: https://tass.ru/politika/7353211 (дата обращения: 06.09.2022).
8. Составлено автором на основе/ Cybersecurity in ASEAN: An Urgent Call to Action. [сайт]. — URL: https://www.cisco.com/c/dam/m/en_sg/cybersecurity/cybersecurity-in-asean/files/assets/common/downloads/publication.pdf (дата обращения 02.09.2022).
9. Таиров, Р. Минцифры спрогнозировало рост расходов госсектора на российский софт в 3,4 раза / Р. Таиров. — Текст: электронный // Forbes: [сайт]. — URL: https://www.forbes.ru/tekhnologii/475173-mincifry-sprognozirovalo-rost-rashodov-gossektora-na-rossijskij-soft-v-3–4-raza (дата обращения: 05.09.2022).
10. Шмырова, В. Киберпреступность в России растет быстрее любых других видов преступлений / В. Шмырова. — Текст: электронный // cnews: [сайт]. — URL: https://safe.cnews.ru/news/top/2019–09–27_kiberprestupnost_v_rossii (дата обращения: 29.08.2022).
11. Eye Opening Cyber Security Statistics for 2019. — Текст: электронный // CPO Magazine: [сайт]. — URL: https://www.cpomagazine.com/tech/11-eye-opening-cyber-security-statistics-for-2019 (дата обращения: 30.08.2022).