Андрей Коротков: «Когда Россия и США имеют схожие точки зрения, весь остальной мир вынужден прислушаться» |
«Если не удастся создать среду, в которой персональные данные и информация о процессах будут надежно защищены, ИТ будут скомпрометированы, что приведет к их неизбежной стагнации», — заявил Андрей Коротков, член правления Союза директоров ИТ России на V съезде СоДИТ, состоявшемся 27-28 мая. Доверие в современном мире становится ключевым понятием, поэтому кибербезопасность является необходимым условием развития информационного общества. Между тем ИТ — это сфера, где уровень доверия ничтожно мал и не существует практически никаких норм.
Одной из международных инициатив, поддержанных СоДИТ в прошлом году, стало создание российско-американской группы с целью «осмысления возникающих проблем, связанных с урегулированием киберконфликтов». Среди рекомендаций, представленных группой на Мюнхенской конференции по безопасности в феврале 2011 года, можно выделить несколько ключевых.
Первой из них является выделение защищенных объектов в киберпространстве. Как известно, Женевская конвенция обеспечивает защиту во время боевых действий объектов чисто гуманитарного назначения. Однако в киберпространстве объекты тесно переплетены, что подвергает защищенные объекты опасности. До сих пор эта тема подвергалась анализу лишь в рамках национальной безопасности внутри отдельных государств; данная рекомендация выводит ее на международный уровень.
Второй рекомендацией стало применение в киберпространстве Женевской концепции опознавательной эмблематики. Способность воюющей стороны распознать защищенный объект крайне важна для соблюдения конвенций. Но в киберпространстве не существует ясно видимых указателей, аналогичных, например, красному кресту. Необходима разработка системы маркеров для обозначения защищенных объектов.
Третья рекомендация говорит о растущем влиянии негосударственных структур. Исторически основными участниками военных конфликтов являлись государства. Появление цифрового пространства позволило вступить в боевые действия негосударственным структурам, что радикально влияет на расстановку сил.
Рассмотрение принципов Женевского протокола для кибервооружений стало темой еще одной рекомендации. Фактически речь идет о разработке приложений к данному протоколу для применения в киберпространстве. Если конвенция запрещает применение химического и бактериологического оружия, то почему к ним нельзя приравнять активные вирусы, которые распространяются, не утруждая себя распознаванием цели?
Наконец, комиссия рекомендовала к изучению третье, «иное, нежели война и мир» состояние. На международном уровне отсутствует согласованное определение кибервойны. Возможно, что парадигма «либо мир, либо война» слишком проста для эпохи Интернета.
Гаагская и Женевская конвенции — уникальные достижения человечества, устанавливающие определенные рамки поведения даже в условиях войны. Их нарушитель будет осужден либо трибуналом, либо как минимум судом истории. Сейчас совместными усилиями сделан первый шаг к их переносу в киберпространство. Впоследствии будет возможно создание кибернетического трибунала.
«Отсеять безобразие»
Одним из важных внутрироссийских проектов СоДИТ является разработка стандартов оценки поставщиков ИТ-услуг, находящаяся в настоящий момент в начальной стадии.
«Необходимо сформулировать тот минимум, которому должен удовлетворять поставщик», — пояснила Марина Аншина, директор по ИТ компании «Сибур — Русские шины». Стандарт, даже в минимальной комплектации, будет чрезвычайно важен. Как считают многие участники съезда, лучше выпустить несовершенный стандарт и потом его дорабатывать, чем задержать его выпуск. Но для начала, по их убеждению, следует отсеять полное безобразие, происходящее на рынке.
Тем не менее при создании стандарта существует риск с помощью некорректных критериев незаслуженно отсечь добросовестных поставщиков (например, молодые компании, не обладающие большим опытом). Еще более рискованным является создание репутационных рейтингов. Как известно, за проектные неудачи ответственны обе стороны. Далеко не всегда вину разумно взваливать исключительно на плечи поставщика.
«Начинать создание стандарта следует с рисков привлечения того или иного поставщика», — уверен Михаил Потоцкий, генеральный директор компании IT Expert. По его словам, выбор конкретного решения и объяснение поставщиком ценности своего предложения сродни искусству, а в искусстве, как известно, стандарты неприменимы. Именно поэтому в первую очередь имеет смысл минимизировать риски.
«Риски компаний при реализации ИТ-проектов гораздо выше, чем просто стоимость заключенного контракта. Поэтому учет рисков обязателен для включения в оценку поставщика», — согласен Дмитрий Иншаков, ИТ-директор компании PricewaterhouseCoopers.
Разумеется, поставщики — даже наиболее добросовестные — вовсе не заинтересованы в разработке стандартов оценки своей деятельности. Однако при развитии этой инициативы они будут вынуждены подстраиваться под нее. К слову, на Западе именно поставщики вкладывают большую часть средств, необходимых для разработки стандартов.