11:00 28.06.2023
(обновлено: 15:40 03.10.2023)
Александр Шойтов: кибератаки на Россию усложняются, но страна выдерживает
© Фотохост-агентство РИА Новости / Екатерина Чеснокова | Перейти в медиабанкЗаместитель министра цифрового развития, связи и массовых коммуникаций РФ Александр Шойтов
© Фотохост-агентство РИА Новости / Екатерина Чеснокова
Заместитель министра цифрового развития, связи и массовых коммуникаций РФ Александр Шойтов
Читать ria.ru в
Россия обладает практически полным спектром собственных решений в сфере кибербезопастности, но угроз в отрасли меньше не становится. Насколько изменился этот рынок после ухода из России зарубежных разработчиков, как Минцифры оценивает работу "белых" хакеров и видит ли угрозу в развитии искусственного интеллекта, рассказал в интервью РИА Новости замглавы министерства Александр Шойтов. Беседовал Алексей Чалов.
– Как идет импортозамещение в сфере кибербезопасности, и насколько изменилась здесь доля иностранных вендоров?
– В начале 2022 года было не более 40%. Сейчас мы оцениваем долю иностранных средств защиты информации как 10%, то есть российские – около 90%.
– Есть сферы, где импортозамещение проходит сложно?
– У нас существовали практически все аналоги иностранных решений. Все применяемые средства криптографической защиты информации были отечественными. По крайней мере, в государственном секторе. Сертифицированных иностранных средств таких не было.
По средствам защиты информации была одна достаточно узкая ниша – так называемые высоконагруженные интеллектуальные межсетевые экраны – NGFW, прямых российских аналогов, которых, наверное, все-таки не было.
То есть, с точки зрения самого механизма защиты такие средства были, а вот по некоторым техническим характеристикам: скорость работы, скорость обработки одного пакета – прямых аналогов, наверное, не было. Но как раз по этому направлению была проведена большая работа и в начале этого года они появились.
– Нужно ли заменять все зарубежные решения в кибербезопасности, или это невозможно? А если возможно – то к какому сроку?
– Нет, это вполне возможно. Собственно, до конца этого года у нас появится полная номенклатура соответствующих средств защиты информации, которыми мы можем замещать иностранные.
Другой вопрос, насколько конкретное средство универсально. Потому что есть крупнейшие разработчики, например, Cisco. Одну Cisco можно поставить, и она в различных компаниях будет обеспечивать их потребности. А у нас для этого будет различная линейка. Остаются вопросы, связанные с эффективностью поддержки работы этого средства со стороны компании, вот над этим надо работать.
– В начале года глава "РТК-Солар" Игорь Ляпунов говорил, что некоторые российские разработчики после ухода западных конкурентов начали завышать цены на свои продукты. Фиксирует ли такое Минцифры и борется ли с этим?
– Нужно создавать условия для того, чтобы появлялись конкурентные компании. У нас здесь нет каких-то ограничений, это все-таки рыночная история. Какие-то определенные, наверное, повышения цен были, но мы применяем меры поддержки для компаний сектора и, я думаю, что ситуация постепенно выравнивается, каких-то перекосов здесь не будет.
– Можете рассказать про DDoS-атаки на Россию за последние полтора года, когда были их пики и какое сейчас положение дел? Ожидаете ли вы усиления данных атак?
– В начале 2022 года мы наблюдали очень большие DDoS-атаки. За DDoS-атаками идут более сложные – шифровальщики, атаки с установкой закладок и так далее. В целом, сейчас ситуация сложная, пики появляются, но того, чтобы DDoS-атак стало кардинально больше, мы не ожидаем.
В России появится национальная система защиты от DDoS-атак
26 октября 2022, 13:04
– То есть сейчас атаки усложняются?
– Атаки действительно становятся сложнее. В том числе они маскируются под DDoS-атаки. Хакеры используют достаточно сложные уязвимости. Но страна выдерживает, мы эффективно работаем, повышаем фронт своей безопасности.
– А какие меры вы принимаете против фишинговых атак?
– Мы ведем работу по двум направлениям. Первое – у нас существует центр антифишинга на базе "Интеграла", который прямо занимается, в том числе, выявлением фишинговых ресурсов и проводит анализ по всей стране, и передает данные уполномоченным органам для блокировки соответствующих ресурсов.
И второе направление – это повышение киберграмотности граждан. Это наша всероссийская программа кибергигиены, где мы учим, в том числе, правильно реагировать на фишинговые рассылки.
В первую очередь мы повышали грамотность государственных служащих, в 2022 году у наспрошли обучение более 200 тысяч госслужащих. Мы разработали специальный курс: в нем затронули вопросы, связанные с фишингом, а также другими аспектами личной информационной безопасности, это такое комплексное обучение.
Второе направление – это информационная кампания для граждан. Здесь тоже комплексное повышение грамотности: как обезопасить себя от телефонного мошенничества, как правильно создавать надежные пароли, и, в том числе, как правильно относиться к рассылкам, которые, возможно, делают мошенники.
Мы оцениваем, что на данный момент материалы программы кибергигиены изучили более 7,7 миллиона человек.
Минцифры: доля зарегистрированных в России фишинговых сайтов уменьшилась
16 февраля 2023, 15:02
– Видите ли вы угрозу в области кибербезопасности со стороны искусственного интеллекта?
– Любая высокая технология несет с собой параллельные риски. Поэтому при использовании ИИ нужно находить баланс между безопасностью и экономической эффективностью.
Например, совсем недавно вышло решение в Евросоюзе, которое кардинально ограничивает искусственный интеллект, но при этом экономическая эффективность тоже будет потеряна, очевидно. Даже известно, что ряд стартапов уходят оттуда, например, в Соединенные Штаты или в Китай, где политика несколько другая.
– А какое регулирование должно быть в России?
– Очевидно, что нужно регулировать эту сферу, и мы этим занимаемся, соответствующее регулирование готовится. Одно из направлений – это обезличивание данных. Речь идет о том, чтобы поэтапно в пилотных проектах, наращивая технологии, переходить к общему регулированию, расширять, масштабировать правильные решения.
– То есть будут какие-то законопроекты, связанные с регулированием искусственного интеллекта?
– Сначала должен быть полноценный закон об искусственном интеллекте, у нас такого закона пока нет.
– А он разрабатывается?
– Да, разрабатывается.
В России сокращается госфинансирование исследований в сфере ИИ
22 июня 2023, 04:37
– Недавно в Минцифры заявляли, что ведомство планирует создать макет обезличивания данных. Можете рассказать о нем?
– У нас в планах построение центра обезличивания – специальной инфраструктуры внутри ГИС Минцифры. Он будет брать исходные данные и делать из них обезличенные. При обезличивании данных есть две задачи. Первое – нужно сделать так, чтобы невозможно было достоверно установить по полученным обезличенным данным исходные данные конкретного человека. Второе – нужно сохранить их в качественном виде для последующего использования, например, для обучения искусственного интеллекта.
Для того, чтобы создать центр, необходимо создать его макет – программно-аппаратный комплекс, и в процессе провести соответствующие исследования по обезличиванию. Макет мы планируем создать на базе Национального технологического центра цифровой криптографии. Первый вариант должен появиться в конце этого года. И уже полноценный макет, в котором будет реализовано много различных вариантов исходных данных, будет подготовлен к концу 2024 года.
– А когда может появиться сам центр обезличивания?
– Центр обезличивания будет создаваться параллельно. Думаю, также в 2024 году.
– Какие данные будут поступать в центр, и как будет проходить процесс их обезличивания?
– Данные могут быть разные, и к ним нужно применять различные методы обезличивания. Универсальных методов обезличивания нет. Они существенно зависят от конкретных наборов исходных персональных данных.
Путин рекомендовал ускорить рассмотрение проекта об обезличивании данных
31 января 2023, 15:02
Текущие методы обезличивания сложные. Это методы, в первую очередь, статистического обезличивания, когда мы фактически что-то отрезаем, но существенно "зашумляем" исходные данные. И в итоге для анализа, например, искусственному интеллекту, передаются не сами исходные данные, а преобразованные. Но, с точки зрения последующей работы искусственного интеллекта с данными, качество не должно ухудшаться.
– Скажите, а есть ли аналоги такой технологии в мире?
– Да, есть аналоги, в крупных поисковых системах. Но речь идет о достаточно сложном высокотехнологическом процессе. Часть разработки по созданию самого макета будет исследовательской.
– Где будут использоваться эти обезличенные данные?
– Вопрос обезличивания довольно сложный не только с технологической точки зрения, но и с нормативной. Сейчас в Госдуму внесен проект федерального закона, в котором предусматривается нормативное регулирование одного из подходов.
Это этап, когда мы обезличиваем данные и из них формируем дата сеты под конкретные задачи внутри информационной системы Минцифры – в центре обезличивания. Туда приходят разработчики искусственного интеллекта и обучают свои модели на специально подготовленных для них наборах данных, не выходя за пределы системы.
– А есть какие-то даты, когда это может появиться?
– Мы надеемся, что закон будет принят в весеннюю сессию. После этого, к Новому году, появится макет. И в начале следующего года мы планируем запустить уже работу центра обезличивания.
– Видит ли Минцифры опасность использования дипфейков? Нужно ли сейчас маркировать то, что производится с помощью ИИ?
– Дипфейки, конечно, проблема актуальная, потому что искусственный интеллект позволяет создать некое виртуальное видео, которое фактически подделывает реальность. Но здесь достаточно тонкая грань, между неким художественным произведением и тем, что может прямо наносить вред правам граждан, вводить в заблуждение.
В Госдуме допустили появление маркировки дипфейков до конца года
26 января 2023, 13:23
Тут есть две задачи: первая – определить, действительно ли это исходное изображение или оно переделанное. Это тоже технологически важная проблема, которой сейчас занимаются. И вторая – это направление, связанное с тем, чтобы мы могли некоторым образом подписать исходное изображение и тем самым определить, что оно оригинальное. Такие технологии сейчас разрабатываются. Что касается нормативного закрепления, я думаю, что это будет немного позже.
– А технологически создаются какие-то проекты, чтобы выявлять дипфейки?
– Конечно, ровно этим и занимаются – исследования в области выявления дипфейков, с одной стороны, и, с другой стороны, по тому, каким образом мы могли бы маркировать соответствующие исходные файлы.
– А кто занимается разработкой этих технологий? Ну это компании или государство?
– И те, и другие.
– И когда это может появиться, примерно, в каком году?
– Уже есть определенные подходы, я думаю, в этом году что-то может быть.
– Недавно Минцифры провело так называемое bug bounty Госуслуг, когда белые хакеры за вознаграждение искали в них уязвимости. Как вы оцениваете его результаты и планируете ли распространить данное тестирование на другие информационные системы Минцифры или правительства?
– Исследование Госуслуг мы оцениваем положительно: без ущерба для системы был найден ряд уязвимостей, которые быстро устранили. В целом, это перспективный проект. Нужно, чтобы такой анализ проводился на постоянной основе. Однако он достаточно сложный в нормативном регулировании, и пока мы будем задействовать его только на системах Минцифры.
Несколько стран обсуждают с Россией создание аналога "Госуслуг"
31 мая 2023, 13:07
– Сейчас ведется работа над законопроектом об оборотных штрафах за утечку персональных данных. Правда ли, что в случае утечки данных в интернет подать заявление на компенсацию можно будет через Госуслуги?
– В текущей версии законопроекта такой механизм предусмотрен. И для этого действительно предполагается использовать систему единого портала государственных услуг.
– А если компания, допустившая утечку, заявит, что сделала все возможное для защиты, это будет считаться смягчающим обстоятельством? И кто сможет это подтвердить?
– Мы пока говорим немного шире. Должен существовать некий порядок: если компания обеспечит выполнение этого порядка, то это послужит смягчающим обстоятельством для применения к ней штрафа.
– Расскажите про методику определения недопустимых событий. Когда она может быть принята?
– Вообще любые риски в информационной безопасности должны быть исключены. Но все-таки, например, для руководителя крупной компании должно быть драматически важно то, что он гарантированно исключит наиболее значимые риски. Такие события называются недопустимыми. Разработанаметодика определения таких событий. И сейчас мы занимаемся пилотной апробацией применения этой методики и учета ее результатов при построении систем информационной безопасности.
– Недопустимые события для каждой компании будут свои?
– Есть общие, типизированные, и они могут быть уточнены для компаний определенной отрасли.