Минцифры — не стартап, Дия — не тетрис. Почему нельзя пренебрегать кибербезопасностью
Министерство цифровой трансформации представляет себе кибербезопасность так, как будто бы они стартап, который собирается выпустить новую версию тетриса, а не государственную систему, построенную на доверии и взаимодействии миллионов людей, а не серверов с телефонами.
Охранник в супермаркете и начальник службы безопасности на предприятии могут сказать одно и тоже слово "безопасность" и подразумевать очень разные вещи, не говоря уже о мнении таксистов, диджитализаторов и курьеров по доставке пиццы.
И пока вы читаете про билинейные спаривания в группах ежей и ужей, к вам в аккаунт может залезть бывшая (тут достаточно поставить сильный пароль), а может и мошенник.
Во втором случае, вдобавок к сильному паролю, желательно не кликать на подозрительные ссылки. А может залезть и Моссад, и тогда не поможет ничего, но вы им неинтересны.
Хотя, не знаю как у вас, но после того, как ФБР изъяло содержимое моего почтового ящика, СБУ отжало компьютеры, а ФСБ набрасывает в эфире "Россия 24", я бы уже не был так уверен. И у меня нет иллюзий по поводу собственной значимости, ведь в Украине есть цели и поинтереснее, в том числе и для Моссада.
Стоит понимать, что нет одной для всех "кибербезопасности" — их десятки и сотни, и все они отличаются ответами на вопросы: "Для кого?" "От кого?" и "Что, если нет?"
Ущерб от инцидентов составляет 1-5% мирового ВВП (смотря как считать и то и другое), примерно столько же (эквивалентные суммы) тратят на безопасность крупные компании.
Но кража интеллектуальной собственности — отнюдь не единственный риск. Понятно, что землетрясения, цунами, экономические кризисы и твиты Илона Маска могут тряхнуть сильнее, но с ними (кроме Маска) люди привыкли жить со времен неолита, а с компьютерными угрозами — не очень.
Если бы Федоров, Выскуб и подозрительно молчаливый Chief Information Security Officer Минцифры дочитали бы статью математика, доктора наук Эндрю Одлыжко "Cybersecurity is not very important" до конца, включая контекст, то начали бы фиксировать системную информацию о работе Интегрированной системы электронной идентификации.
Той самой, на сервера которой заносятся все действия пользователей/программ, чтобы найти ответственного за цифровую подпись "Biden Joe", не устраивали бы короткое замыкание в реестрах, а архитектор "Дії" Илья Родин не полагался бы на security through obscurity (security through obscurity — "безопасность через неясность", — принцип, используемый для обеспечения безопасности в различных сферах деятельности.
Основная идея заключается в том, чтобы скрыть внутреннее устройство системы или реализацию для обеспечения безопасности, — Ред.). Тем более, что в obscurity тоже нужно уметь, если об obscurity говорит доктор наук, то он имеет в виду совсем не рассылку битых файлов вместо документации, и не липовые сертификаты КСЗИ.
Да, среди экспертов есть и такое мнение, которое совпадает с названием статьи Одлыжко ("Cybersecurity is not very important" — "Кибербезопасность не очень важна") и с печально известной цитатой Михаила Федорова, сказавшего, что "роль кибербезопасности преувеличена".
Но даже уважаемые специалисты по этой самой кибербезопасности имеют в виду совсем не то, о чем говорит министр и его присные. Одлыжко говорит о том, что мы сможем пережить "электронный Перл Харбор" (мощная атака, способная парализовать деятельность в масштабах страны, — ред.), потому что уже пережили Перл Харбор обычный — человечество приспосабливается к искусственным катаклизмам точно так же, как и к естественным, но это не значит, что безопасностью можно пренебречь полностью. Тем более не в частном, а в публичном секторе.
Министерство цифровой трансформации представляет себе кибербезопасность как будто бы они стартап, который собирается выпустить новую версию тетриса, а не государственную систему, построенную на доверии и взаимодействии миллионов людей (а вовсе не серверов с телефонами).
И что даже явные (пока) преувеличения вроде "цифрового Перл Харбора" не только возможны, но и рано или поздно произойдут, пока Минцифры пытается обезопасить от возгорания собственный зад (единственный вид безопасности, который их по-настоящему интересует).
Сейчас Минцифра с бездумной "диджитализацией", слабоумным оптимизмом и отрицательной эффективностью сама по себе угроза национальной безопасности.
Публикуется с согласия автора.