Добычей хакеров в России в 2016 году, по экспертным оценкам, стали 2,5 млрд рублей. В 2017 году вирусные атаки по всему миру происходят все чаще. Апогеем стало распространение вируса WannaCry, создавшего в середине мая проблемы более чем 200 тысячам пользователей в 150 странах. Российские власти поспешили сообщить об успешном отражении атаки. DW решила выяснить, насколько в действительности развита система информационной безопасности в России, и почему, несмотря на немалые инвестиции в этот сегмент, конечные пользователи остаются незащищенными.

Высокие затраты на информбезопасность в РФ

По оценке директора департамента информационных технологий и облачных сервисов J’Son and Partners Consulting Александра Герасимова, объем рынка информационной безопасности в России превысил в 2016 году 85 млрд рублей. Точную сумму государственных расходов на обеспечение информационной безопасности эксперты озвучить не берутся. Как заявил DW директор Центра IТ-исследований и экспертизы РАНХиГС Михаил Брауде-Золотарев, "отдельной статьи расходов на информационную безопасность в федеральном бюджете РФ нет, сразу назвать точную сумму трат на эти цели не представляется возможным".

В то же время, по его словам, можно сказать, что расходы на информационную безопасность высоки, особенно когда речь идет о крупных государственных информационных системах. "Если полностью выполнять все требования регулирующих органов, расходы, по разным оценкам, могут доходить до 60-65 процентов от общих затрат на создание информационной системы", - отмечает он.

В качестве регулирующих органов выступают преимущественно спецслужбы - ФСБ и ФСТЭК (Федеральная служба по техническому и экспортному контролю). Они формулируют требования относительно того, как именно должны защищаться информационные системы в зависимости от рисков. "Выполнение этих требований осложнено тем, что они зачастую избыточны, а также тем, что число поставщиков, обладающих нужными лицензиями и могущих оказывать соответствующие услуги и поставлять средства защиты информации, ограничено, - говорит Брауде-Золотарев. - Двумя этими факторами (объемом требований и серьезной ограниченностью конкуренции на рынке) объясняются высокие цены".

Самые уязвимые сегменты для хакеров

Атака WannaCry напомнила о том, что целью преступников в интернете является получение максимальной выгоды при минимальном риске. "Как результат, почти 99 процентов всех киберпреступлений в мире так или иначе связаны с воровством денежных средств. А поскольку больше всего денег находится в банках, целевые атаки хакеров представляют для кредитных организаций наибольшую опасность", - говорит эксперт инвесткомпании "Церих Кэпитал Менеджмент" Олег Якушев.

По его мнению, более совершенный аналог WannaCry может полностью парализовать работу банка, поэтому работу над информбезопасностью следует постоянно совершенствовать.

Александр Герасимов считает, что "в наибольшей степени в защите нуждается бизнес, в значительной степени зависящий от цифровых каналов взаимодействия с клиентами и вообще от средств автоматизации бизнес- и производственных процессов". Это электронная и омниканальная торговля, банкинг, все виды провайдеров облачных и ОТТ-сервисов, госуслуги в электронном виде.

"Наибольшей угрозе подвержены сферы деятельности, оперирующие большим массивом информации персонального характера, например, финансовый сектор, здравоохранение", - продолжает Михаил Брауде-Золотарев. Правда, оговаривается эксперт, в России медицинские тайны с точки зрения бизнеса пока большого интереса не представляют, так как все понимают, что имеющиеся данные о здоровье человека зачастую расходятся с реальной картиной.

Главная проблема информбезопасности России

Другой, гораздо более опасный момент, касающийся здравоохранения, заключается в защищенности так называемой "критической инфраструктуры", например, медицинской аппаратуры, которая может выйти из строя в результате кибервмешательства.

"Здесь все серьезно. Пока массовых проблем нет, но в перспективе они могут возникнуть из-за того, что в России слишком большое внимание уделяется формальному соответствию информационных систем требованиям спецслужб, что влечет за собой большие расходы и - как следствие - недоинвестирование в более функциональную и соответствующую насущным потребностям информационную безопасность", - указывает директор Центра IТ-исследований и экспертизы РАНХиГС.

По его словам, контролирующие органы редко интересуются реальной информационной безопасностью. "Проверяющих обычно волнует наличие соответствующих "бумажек": сертификатов на софт и оборудование, например", - рассказывает он. Эксперт объясняет это двумя причинами. Помимо банальной - коррупционной, это психология людей, отвечающих за безопасность.

"Если выполнять все требования, у вас, фигурально выражаясь, все в жизни будет закатано в бетон - абсолютно безопасно, но не функционально. Такова функция этих людей, и надо стараться не допустить, чтобы только они правили бал", - считает Брауде-Золотарев. Эксперт отмечает, что "сейчас, к сожалению, в России наблюдается сильная диспропорция - людей, отвечающих за безопасность, намного больше, чем людей, отвечающих за развитие. И влияние у первых неадекватно высокое".

Клиенты остаются незащищенными перед кибератаками

Еще одна проблема, стоящая перед IT-отраслью, - нехватка льгот со стороны государства. Как говорит Александр Герасимов, "льготы разработчикам программного обеспечения есть, но этого недостаточно".

По его словам, разработчики испытывают финансовые трудности, поскольку одной из основных статей их расходов являются затраты на оплату труда квалифицированного персонала. На необходимости обращать повышенное внимание на подготовку специалистов настаивает и Олег Якушев. Он считает, что человеческий фактор в IT-сфере не менее важен, чем другие меры совершенствования систем безопасности.

Говоря о защите интересов конечных пользователей, эксперты указывают на еще одну проблему. "В России полностью отсутствует страхование рисков информационной безопасности, даже для корпоративных клиентов", - говорит Герасимов. Таким образом, гарантированной системы защиты от потенциальной хакерской атаки у россиян пока нет.

Смотрите также: