Статья посвящена построению безопасной цифровой инфраструктуры в России.
Рассмотрен исторический опыт развития такой инфраструктуры в стране,
предложены институциональные решения в области создания
безопасной цифровой инфраструктуры
Ситуация в России непростая: вся страна прошла своего рода пен-тест («пенетрейшн тест», как его называют специалисты в
области безопасности, тест на проникновение, на поиск уязвимостей). Обнаружили, что эти уязвимости есть, но в целом ситуация под контролем. Как действовать дальше? Как строить и развивать инфраструктуру? За какую ниточку тянуть, чтобы решить все проблемы? Есть ли такая нитка?
Напомню: цифровая инфраструктура страны зарождалась в 1990-х гг., когда ФАПСИ занималось инфотелекоммуникационными системами (ИТКС), создавало локальные вычислительные сети для органов государственной власти и сети данных для более широкого круга пользователей. Тогда уже появились биржи, которые работали удаленно. В 1993 г. в банках уже можно было пользоваться сервисом электронно-цифровой подписи на каналах модемной связи (интернета еще не было). После реорганизации ФАПСИ в 2000-х гг. были приняты мало связанные между собой госпрограммы по созданию цифровой инфраструктуры: «Электронная Россия», «Электронная Москва», «Электронный округ» (Зеленоград). Наиболее ярко проблема слабого межведомственного взаимодействия проявилась в проекте создания универсальной электронной карты (УЭК). Под нее было выделено финансирование и оперативно принят специальный федеральный закон, но через несколько лет программу тихо свернули без каких-либо результатов. Эксперты уже тогда отмечали в этом проекте не только неэффективное межведомственное взаимодействие, но и отсутствие комплексного подхода к проектированию архитектуры цифровой инфраструктуры и четкого целеполагания. До сих пор в стране нет единого органа, который как регулятор ведал бы всеми процессами долгосрочного развития, проектирования и создания инфраструктуры цифровой экономики: некоторые важнейшие функции находятся под контролем ФСБ, некоторые – ФСТЭК, часть функций у Минцифры. Отдельные сферы вообще не имеют четкого регуляторного покрытия, например, защита банковских данных. В этой области ЦБ РФ делает много для обеспечения информационной безопасности, однако в стране сегодня не существует регулятора, отвечающего за защиту всех клиентских баз.
Можно отдельно отметить Банк России, который стал создателем цифровой инфраструктуры в финансовой отрасли: АО «НСПК» и карта «Мир», «СБП» и новая Система передачи финансовых сообщений (СПФС). Достижения ЦБ РФ на этом направлении значительны. Однако не все задачи финансистов совпадают по масштабам со стратегией развития цифровой инфраструктуры страны. Кроме того, даже при четком руководстве остаются узкие места, которые в случае усложнения обстановки при новых атаках могут превратиться в уязвимости. Упомяну программное обеспечение Oracle, на котором работают многие крупные банки. Разработчик этого программного обеспечения ушел из страны, и возникли потенциальные проблемы для банков.
Сейчас нужен особый регулятор, который отвечал бы за всю цифровую инфраструктуру, выражал общенациональные интересы в сфере ее развития, был бы равноудаленным от всех нынешних и будущих потребителей сервисов и который стал бы при этом главным архитектором инфраструктуры. Этим регулятором должен быть федеральный центр стратегического планирования, анализа и контроля (ФЦ СПАК) уровня Госплана СССР. Важно, что он не должен функционально заменять Госплан, а, скорее, делать акцент на целеполагании и проектировании целевой архитектуры.
В ФЦ СПАК будут работать эксперты, имеющие компетенции в основных областях экономики и при этом умеющие грамотно проектировать соответствующую инфраструктуру. Этот центр должен будет осуществлять авторский надзор и контроль за реализацией проектов. Он превратится в своего рода мозговой центр, который будет заниматься стратегическим целеполаганием и проектированием будущего цифровой инфраструктуры страны. Как главный архитектор этот центр обязан создать и отобразить общую картину – всю архитектуру, все ее уровни, отразить в соответствующих документах все направления долгосрочного развития. Должна быть создана и концепция развития технологической инфраструктуры на 5 или на 10 лет вперед (ее сегодня у нас нет).
ФЦ СПАК будет работать с субподрядны- ми организациями. В любом крупном проекте есть головная организация и субподрядчики, различного рода эксперты, которые выполняют частные, возможно даже, ведомственные задачи. Такова общепринятая практика, ничего нового здесь нет. Отдельные фрагменты инфраструктуры можно вообще полностью отдать на откуп министерствам, ведомствам, другим организациям, но при этом обязательно задать интерфейсы, с помощью которых эти «черные ящики» будут связываться и общаться друг с другом.
Каждый инфраструктурный проект в перечне «Госплана 2.0» должен иметь одну из трех меток.
■ Метка № 1: проект, который имеет особое значение для защищенности России и про который известна его окупаемость в масштабах страны. Проект с такой меткой делаем обязательно самостоятельно, никому не передаем.
■ Метка № 2: проект, который ведем с дружественными нам странами из ШОС, БРИКС, ОДКБ и других содружеств. Пример проекта с меткой № 2 – сервис СПФС. Как мы его делали? СПФС сделали сами, скопировали при этом СВИФТ, а теперь приглашаем других. Надо было наоборот – сначала обсудить в сообществе стран, снять ограничения и недостатки СВИФТ (а они у него есть), а потом уже делать.
■ Метка № 3 («черна я») – это сервисы недружественных стран, ими все равно придется пользоваться. Не сможем мы обойтись сразу без многих инфраструктурных сервисов мирового масштаба уровня GAFA (Google, Amazon, Facebook, Apple). Вот Android нам грозят выключить – но сразу ничего не произойдет, и надо пользоваться тем, что сегодня дают провайдеры западных стран. Но при этом диверсифицировать, дублировать сервисы и помнить, что в любой момент их могут отключить.
В заключение хочу сказать: надо проанализировать все сделанное и найти недостатки, понять, почему что-то не выполнено полностью. А в будущую программу создания инфраструктуры заложить историю и опыт того же ФАПСИ, которое сделало много хорошего.
1 Статья написана на основании тезисов выступления автора на круглом столе в рамках XVI Международного форума
по проблемам международной безопасности, который прошел 19–21 сентября 2022 г. в Дипломатической академии
МИД России.