Поделиться
Александр Шойтов, замглавы Минцифры в интервью CNews: К 2025 году появятся российские стандарты постквантовой криптографии
В 2022 году российские госведомства, социальные учреждения и крупные компании России столкнулись со значительным ростом кибератак. Одновременно с этим страну покинули зарубежные вендоры решений в области информационной безопасности. Как сейчас работают над созданием национальной системы борьбы с кибератаками, чем будут защищать «Гостех» и каких ИБ-специалистов сейчас не хватает стране — на эти и другие вопросы в интервью CNews ответил Александр Шойтов, заместитель министра цифрового развития, связи и массовых коммуникаций РФ.
«О кратном росте говорить не приходится»
СNews: Представители крупных коммерческих компаний сегодня отмечают резкий рост количества ИБ-угроз. Что вы можете сказать о динамике атак на информационную инфраструктуру ведомств и госкомпаний?
Александр Шойтов: Увеличение угроз началось в прошлом году. Впоследствии атаки усложнялись: стали целевыми, более сложными, иногда их прикрывают DDoS-атаки. Но говорить, что сейчас есть кратный рост в сравнении с тем, что было, начиная с февраля марта 2022 года, я бы не стал. Хотя есть и рост, и усложнение векторов атак.
СNews: Что делает министерство для борьбы с киберугрозами?
Александр Шойтов: Это большой комплекс работ, которым занимается и Минцифры, и Совет Безопасности, и силовые структуры. Наше министерство активно работает с федеральными и региональными органами исполнительной власти — за технологическую часть в нашем оперативном штабе отвечает подведомственный Минцифры научно-исследовательский институт «Интеграл».
СNews: В октябре прошлого года вы говорили, что отечественные ИБ-решения занимают 90% рынка, но 10% остаются за иностранными, аналогов которым нет. Не могут ли они стать проблемой, например, если перестанут выполнять свои функции без какого-либо уведомления об этом со стороны вендора? Когда ждать появления отечественных продуктов для замены этих 10%?
Александр Шойтов: Большая часть таких решений — это высоконагруженные интеллектуальные межсетевые экраны (Next Generation Firewall, NGFW). Примерно раз в квартал мы собираемся с заказчиками и разработчиками этих средств и как бы «расслаиваем» проблему — NGFW ведь тоже разные. Под какие-то цели у крупных компаний есть 6–7 проектов, которые мы поддерживаем.
CNews: Все федеральные системы планируется перевести на платформу «Гостех». Единая платформа хороша всем, кроме того, что она же — и единая точка отказа. Какими средствами планируется защищать платформу?
Александр Шойтов: Система изначально правильно защищается, ведь мы прекрасно понимали, что на ней будет сосредоточено большое количество важных государственных данных. Когда было принято решение о создании «Гостеха» на базе разработок «Сбера», мы сразу подключились с работами в сфере информационной безопасности.
У нас три линии защиты: первая — это комплексная система защиты информации (платформа аттестована ФСТЭК). Вторая — многоуровневый мониторинг противодействия компьютерным атакам с государственным центром, который координирует эту работу. Третья — безопасная разработка ПО. С точки зрения устойчивости и надежности можно также выделить использование геораспределенных ЦОДов.
Здесь мы с регулятором прошли большой путь и считаем, что все эти системы будут защищены не хуже, чем были защищены по отдельности.
CNews: В США уже появилась госпрограмма, обязывающая ведомства перейти на постквантовое шифрование до 2030 года для лучшей защиты информации. У нас эта тема как-то обсуждается?
Александр Шойтов: Нужно смотреть, насколько это обязательный документ для всех госорганов США. Кроме того, они планируют принять соответствующий стандарт только в 2024 году. Пока же в стране ни одного стандарта по постквантовой криптографии принято не было.
У нас на данный момент есть три вида шифрования. Первое — предварительное, симметричное, и квантовый компьютер не может вскрыть симметричную криптографию. Второе — квантовое распределение ключей, которое сейчас внедряется. Третье — открытое распределение ключей (ассиметричной криптографии), которое подвержено квантовой угрозе при построении квантового компьютера с более чем 5 тыс. кубитов. Его в перспективе необходимо заменить. Возможно, симметричной криптографией, однако это может быть дорого. Квантовое — перспективно, но подходит не для всех отраслей. Можно рассмотреть и постквантовую криптографию. Работы в этом направлении ведутся.
В целом, криптография — это компетенция ФСБ. Я как президент Академии криптографии РФ тоже этим занимаюсь и, думаю, в 2025 году Академия криптографии совместно с АНО НТЦ ЦК уже представят российские стандарты в области постквантовой криптографии.
CNews: Что сейчас стоит на повестке у Центра гражданской криптографии, который не так давно начал работу?
Александр Шойтов: АНО «Национальный технологический центр цифровой криптографии» был учрежден в конце 2022 года. Он будет заниматься внедрением гражданской криптографии в информационные системы компаний. Но это именно вопрос внедрения, разработка остается у ФСБ и у Академии криптографии РФ.
Это важная задача, использование наложенных средств криптографической защиты информации может быть сложным и дорогостоящим. Здесь появляется задача технологической и экономической эффективности.
CNews: Расскажите, как в новых условиях изменились цели и задачи у Департамента обеспечения кибербезопасности Минцифры, который вы курируете? Изменились ли приоритеты федерального проекта «Информационная безопасность»?
Александр Шойтов: Я бы выделил следующие приоритеты: развитие «Национального удостоверяющего центра», выпускающего сертификаты безопасности; АНО «Национальный технологический центр цифровой криптографии». Первые результаты мы ожидаем уже в конце 2023 года. А в 2024 году будет создана вся инфраструктура.
В этом году у нас уже планируется выпуск девяти решений. Это, например, платформа цифрового доверия персональных данных, макет — развитие национального удостоверяющего центра, мультисканер, аналог американской системы VirusTotal и ряд других проектов.
Центр кибербезопасности платформы «ГосТех», который мы создаем на базе «Интеграла», будет заниматься обеспечением функции ГосСОПКА (государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак — прим.ред).
Мы также ведем системную работу по защите персональных данных — с одной стороны, это вопрос, связанный с обезличиванием, с другой — введение оборотных штрафов.
CNews: Как вы оцениваете работу системы ГосСОПКА на данный момент? Где еще есть недоработки, как планируется ее развивать?
Александр Шойтов: Работы системы ГосСОПКА сопровождает Национальный координационный центр по компьютерным инцидентам — это территориально распределенная система, организованная иерархически. Чаще всего так устроены подобные системы и в других странах мира.
Перспективной задачей ГосСОПКА является организация более плотного взаимодействия с ИБ-отраслью — хотя есть объективная сложность в том, что это технологии двойного назначения. То есть очевидно, что нельзя открыто публиковать все рекомендации Национального координационного центра.
Кроме того, требуется построение крупных верхнеуровневых центров ГосСОПКА, аккредитованных ФСБ, отраслевых и других, эффективность системы будет зависеть именно от них, так как фактически они будут заниматься мониторингом атак. Важно, чтобы они развивались быстрее.
Министерство тоже видит свою роль в построении мощной инфраструктуры ГосСОПКА на базе ФГБУ «Интеграл». Отрасль в этом направлении должна расти, это важный аспект ИБ нашей страны.
CNews: Участники отрасли обсуждают создание альтернативы ГосСОПКА. Как вы к этому относитесь?
Александр Шойтов: Есть банковская инициатива по построению единой платформы для противодействия мошенничеству. Но это другая система. Разумеется, она тоже должна взаимодействовать с ГосСОПКА, когда появится. И строить отдельные мощные центры для мониторинга кибератак в финансовом секторе, как и в других, конечно, необходимо.
CNews: Участники рынка ИБ говорят, что под действие указа №250 о критической информационной инфраструктуре подпадает 90–95% российской экономики, включая средний и малый бизнес. То есть изменения в законодательстве могут коснуться и маленького банка, и частной медицинской клиники. Верна ли такая трактовка? Какое количество предприятий подпадает под действие указа?
Александр Шойтов: Конечно, не только крупные организации подпадают, но все зависит от того, владеют ли они критической информационной инфраструктурой, базовой с точки зрения безопасности для нашей экономики. Это очень важно, и ее надо защищать.
Субъектами этого указа являются около 12 тысяч компаний. Какая это доля от экономики, сложно сказать, это достаточно большой объем выручки.
«Когда речь идет о выходе на международный уровень, государству отводится большая роль»
CNews: Мы говорили о том, что около 10% ИБ-решений не имеют отечественной альтернативы. Нельзя ли их заменить продуктами дружественных стран? Например, Индии или Китая?
Александр Шойтов: Согласно указу №250, мы не можем брать решения у недружественных стран. У дружественных – можем, но только те, что сертифицирует ФСБ и ФСТЭК. У Китая есть продукты такого рода, и гипотетически использовать их получится — но лишь в том случае, если к защите информации предъявляются не очень высокие требования.
Если уровень значимости и критичности информации выше, нужно, чтобы партнеры представляли исходные коды своих изделий, локализовывали производство у нас в стране, предоставляли доступ. Это сложная процедура. Но потенциально такая возможность есть — и это вопрос к перспективному сотрудничеству с нашими коллегами. Такие переговоры идут.
CNews: Насколько рынки Латинской Америки, Ближнего Востока и Африки могут заменить рынки западных стран? Планируются ли какие-то дополнительные меры поддержки экспортеров ИБ-продукции?
Александр Шойтов: Да, это наши перспективные направления экспорта. Понятно, что у стран разные запросы и разный уровень, но вместе с Совбезом, который координирует работы по информационной безопасности, мы в этой области работаем.
Здесь много тонких вопросов: технологии двойного назначения имеют определенные государственные ограничения. По вывозу надо прорабатывать конструктивный механизм, чтобы во время экспорта технологий было невозможно передать критическую информацию.
При этом процедура экспорта должна быть быстрой и простой — конечно, нам нужно делиться своими компетенциями с международным сообществом, помогать нашим партнерам и занимать соответствующие позиции на рынке.
CNews: Сейчас обсуждается сотрудничество России с Ираном в области кибербезопасности и телекоммуникаций. Заседание между российским Минцифры и Министерством связи и технологий Ирана прошло в июне 2023 г. в Тегеране. Есть ли в этой стране интересные нам продукты, в частности в сфере ИБ?
Александр Шойтов: Мы активно сотрудничаем с коллегами из Ирана по линии ИТ, особенно в области технологической независимости. Нам интересно, в частности, иранское телекоммуникационное оборудование. Но, к примеру, сложные решения типа NGFW они пока не умеют делать. Однако мы видим возможность совместного развития технологий.
У них же большой интерес к нашим платформенным решениям по противодействию компьютерным атакам. На встрече присутствовали представители наших ведущих ИБ-компаний, взаимодействие уже выстраивается. Мы здесь видим большие перспективы, и договоренности уже есть.
«ИБ-специалисты из страны не уезжали»
CNews: В 2022 г. по оценке «Сбера», на рынке ИБ наблюдалась «кадровая катастрофа», дефицит составлял около 20 тыс. специалистов. Согласны ли вы с такими цифрами сейчас? Какие меры предпринимаются министерством, чтобы преодолеть дефицит и подготовить новые кадры?
Александр Шойтов: По нашей информации, ИБ-специалисты из страны почти не уезжали, по крайней мере, не массово. Они тут были и остаются, и возвращать кого-то не требуется. Что касается привлечения иностранных ИБ-специалистов — это тоже не приоритетная задача. С точки зрения обмена опытом и технологиями — да, но в целом у нас другая нормативная база и совсем иначе все устроено.
CNews: Вы хотите сказать, что дефицита совсем нет?
Александр Шойтов: Ситуацию с ИБ-кадрами в госсекторе анализировали и Минцифры, и Минтруд, и ФСТЭК — действительно есть некоторые трудности с квалифицированными специалистами. Много людей, которые только что отучились и теоретически представляют, что и как делать, но, чтобы получить хорошего специалиста, нужно иногда не меньше 10 лет.
CNews: А такую проблему можно решить быстро или все же нет?
Александр Шойтов: Это межведомственный вопрос. Совет безопасности координирует работы по ИБ в целом, за высшее образование отвечает Минобразования, мы с ними тоже взаимодействуем в этой области. Однако важно ведь не только хорошее базовое образование дать, требуется и на старших курсах сделать его практикоориентированным.
Минцифры занимается кадрами, которые уже получили высшее образование, и их нужно подтягивать дальше. Так, Сколковский университет недавно разработал курсы для топ-менеджеров компаний, чтобы дать им общее понимание информационной безопасности. Также мы поддерживаем проекты по обучению преподавателей ИБ, есть механизмы их финансовой поддержки.
Что касается бюджетных мест — их достаточно. Крупные компании своими силами решают проблемы со специалистами, берут их на работу и по ходу обучают. Минцифры же ориентировано на повышение качества специалистов после получения ими высшего образования. К примеру, Национальный киберполигон — это еще один механизм практического обучения, командная работа в условиях, максимально приближенных к реальным.
CNews: Наталья Касперская предлагала заморозить цифровизацию, пока не будет решена проблема с нехваткой специалистов ИБ. Согласны ли вы с такой точкой зрения?
Александр Шойтов: Цифровизацию проводить надо, мы не можем ее останавливать, это один из ключевых векторов развития нашего государства. Но важно, чтобы перед внедрением кардинально новых технологий был организован аудит того, какие риски они несут в плане ИБ. Разрабатывать решения и внедрять механизмы защиты нужно параллельно.
Короткая ссылка
