Украина остро нуждается в новых подходах для обеспечения информационной защиты и кибербезопасности. Нам только предстоит построить систему, которая сможет своевременно выявлять риски в этой сфере и адекватно на них реагировать.
Я бы выделил 5 ключевых проблем, которые должны быть решены в первую очередь.
Отсутствие единого государственного органа, который в масштабах страны координировал бы вопросы, связанные с информационной безопасностью и IT. К чему это приводит? Во-первых, нет единой государственной стратегии развития в сфере информационной безопасности. Это не позволяет выстроить эффективную систему защиты информации и сдерживает развитие системы управления IT и электронного правительства. В результате законопроекты и программы, инициированные разными госорганами, как правило, не скоординированы. Во-вторых, деньги могут быть израсходованы неэффективно. В третьих, отсутствуют ответы на базовые вопросы. Например, почему нет единой концепции использования электронной подписи? Какие стандарты для электронной подписи будут использовать в Украине — национальные либо международные?
Система национальных стандартов защиты информации безнадежно устарела. Она оторвана от бизнес-практики, не гарантирует финансово обоснованных и надежных мер защиты. В Украине для технической защиты информации применяется так называемая комплексная система защиты информации, согласно которой систему нужно один раз построить, потом специальные организации проверяют ее и выдают сертификат о безопасности. Предполагается, что после этого система остается неизменной. Однако на практике это не работает. В других странах есть специальные отраслевые стандарты по защите бизнеса в области информационной безопасности, в том числе для энергетических предприятий, финансовых учреждений, СМИ. Инструкции по обеспечению непрерывности вещания медиа при чрезвычайных ситуациях являются стандартной мировой практикой. В Украине таких стандартов нет, исключение — банковский сектор, в котором идеология безопасности «спущена» Национальным банком. В США, Канаде, Великобритании и ряде других стран есть отдельные инструкции для малого бизнеса, которые определяют, как предпринимателю правильно выстроить кибербезопасность бизнеса.
Отсутствие обмена деталями кибератак на государственные организации и частный бизнес. В результате — невозможность их детально исследовать. У нас практически никто не обменивается информацией об атаках. Никто не говорит друг другу: нас атаковали с этого сервера, давайте посмотрим, что там происходит, внесем его в черный список. Только в рамках международных платежных систем начинается обмен информацией о том, с какого сервера осуществлялась атака на интернет-банкинг, откуда производятся DDoS-атаки. Недавно на базе Государственной службы специальной связи и защиты информации Украины была создана команда реагирования на киберугрозы (CERT). Был организован координационный центр для предупреждения случаев нарушения информационной безопасности, однако этого недостаточно. Нужны отраслевые центры, реагирующие на кибератаки, специфические для разных отраслей — медиа, энергетика, телекоммуникации и пр. Нужны CERT для армии и МВД.
Использование нелицензированного программного обеспечения. По оценкам экспертов, в Украине есть тысячи зараженных и неправильно сконфигурированных систем, которые используются при DDоS-атаках на другие компании.
Отсутствие процесса эффективного публичного обсуждения государственных инициатив в области информационной безопасности среди экспертов отрасли. Это проблема, потому что специалисты в государственных органах не всегда имеют достаточно компетенций и знаний для реализации мер по обеспечению кибербезопасности.

01.12.2014
Что нового
Популярно
комментарии
Блоги
ЭКСПЕРТЫ РЫНКА
ТОП-МНЕНИЕ
АВТОРЫ БИЗНЕС-КНИГ
Обзоры бизнес книг
Лекции
WATCH&SHARE
Рынок
ОБЗОР РЫНКОВ
ОТРАСЛЕВЫЕ ТРЕНДЫ
ЭКСПЕРТЫ
ИДЕИ
ИННОВАЦИИ
ВДНГ TECh
ПРАКТИКА
БИЗНЕС-ПЛАНЫ
ЗНАНИЯ
ИСТОРИИ УСПЕШНЫХ
ТЕЛЕКОМ ДЛЯ БИЗНЕСА