Россия обладает практически полным спектром собственных решений в сфере кибербезопастности, но угроз в отрасли меньше не становится. Насколько изменился этот рынок после ухода из России зарубежных разработчиков, как Минцифры оценивает работу "белых" хакеров и видит ли угрозу в развитии искусственного интеллекта, рассказал в интервью РИА Новости замглавы министерства Александр Шойтов. Беседовал Алексей Чалов.
– Как идет импортозамещение в сфере кибербезопасности, и насколько изменилась здесь доля иностранных вендоров?
– В начале 2022 года было не более 40%. Сейчас мы оцениваем долю иностранных средств защиты информации как 10%, то есть российские – около 90%.
– Есть сферы, где импортозамещение проходит сложно?
– У нас существовали практически все аналоги иностранных решений. Все применяемые средства криптографической защиты информации были отечественными. По крайней мере, в государственном секторе. Сертифицированных иностранных средств таких не было.
По средствам защиты информации была одна достаточно узкая ниша – так называемые высоконагруженные интеллектуальные межсетевые экраны – NGFW, прямых российских аналогов, которых, наверное, все-таки не было.
То есть, с точки зрения самого механизма защиты такие средства были, а вот по некоторым техническим характеристикам: скорость работы, скорость обработки одного пакета – прямых аналогов, наверное, не было. Но как раз по этому направлению была проведена большая работа и в начале этого года они появились.
– Нужно ли заменять все зарубежные решения в кибербезопасности, или это невозможно? А если возможно – то к какому сроку?
– Нет, это вполне возможно. Собственно, до конца этого года у нас появится полная номенклатура соответствующих средств защиты информации, которыми мы можем замещать иностранные.
Другой вопрос, насколько конкретное средство универсально. Потому что есть крупнейшие разработчики, например, Cisco. Одну Cisco можно поставить, и она в различных компаниях будет обеспечивать их потребности. А у нас для этого будет различная линейка. Остаются вопросы, связанные с эффективностью поддержки работы этого средства со стороны компании, вот над этим надо работать.
– В начале года глава "РТК-Солар" Игорь Ляпунов говорил, что некоторые российские разработчики после ухода западных конкурентов начали завышать цены на свои продукты. Фиксирует ли такое Минцифры и борется ли с этим?
– Нужно создавать условия для того, чтобы появлялись конкурентные компании. У нас здесь нет каких-то ограничений, это все-таки рыночная история. Какие-то определенные, наверное, повышения цен были, но мы применяем меры поддержки для компаний сектора и, я думаю, что ситуация постепенно выравнивается, каких-то перекосов здесь не будет.
– Можете рассказать про DDoS-атаки на Россию за последние полтора года, когда были их пики и какое сейчас положение дел? Ожидаете ли вы усиления данных атак?
– В начале 2022 года мы наблюдали очень большие DDoS-атаки. За DDoS-атаками идут более сложные – шифровальщики, атаки с установкой закладок и так далее. В целом, сейчас ситуация сложная, пики появляются, но того, чтобы DDoS-атак стало кардинально больше, мы не ожидаем.
– То есть сейчас атаки усложняются?
– Атаки действительно становятся сложнее. В том числе они маскируются под DDoS-атаки. Хакеры используют достаточно сложные уязвимости. Но страна выдерживает, мы эффективно работаем, повышаем фронт своей безопасности.
– А какие меры вы принимаете против фишинговых атак?
– Мы ведем работу по двум направлениям. Первое – у нас существует центр антифишинга на базе "Интеграла", который прямо занимается, в том числе, выявлением фишинговых ресурсов и проводит анализ по всей стране, и передает данные уполномоченным органам для блокировки соответствующих ресурсов.
И второе направление – это повышение киберграмотности граждан. Это наша всероссийская программа кибергигиены, где мы учим, в том числе, правильно реагировать на фишинговые рассылки.
В первую очередь мы повышали грамотность государственных служащих, в 2022 году у наспрошли обучение более 200 тысяч госслужащих. Мы разработали специальный курс: в нем затронули вопросы, связанные с фишингом, а также другими аспектами личной информационной безопасности, это такое комплексное обучение.
Второе направление – это информационная кампания для граждан. Здесь тоже комплексное повышение грамотности: как обезопасить себя от телефонного мошенничества, как правильно создавать надежные пароли, и, в том числе, как правильно относиться к рассылкам, которые, возможно, делают мошенники.
Мы оцениваем, что на данный момент материалы программы кибергигиены изучили более 7,7 миллиона человек.
– Видите ли вы угрозу в области кибербезопасности со стороны искусственного интеллекта?
– Любая высокая технология несет с собой параллельные риски. Поэтому при использовании ИИ нужно находить баланс между безопасностью и экономической эффективностью.
Например, совсем недавно вышло решение в Евросоюзе, которое кардинально ограничивает искусственный интеллект, но при этом экономическая эффективность тоже будет потеряна, очевидно. Даже известно, что ряд стартапов уходят оттуда, например, в Соединенные Штаты или в Китай, где политика несколько другая.
– А какое регулирование должно быть в России?
– Очевидно, что нужно регулировать эту сферу, и мы этим занимаемся, соответствующее регулирование готовится. Одно из направлений – это обезличивание данных. Речь идет о том, чтобы поэтапно в пилотных проектах, наращивая технологии, переходить к общему регулированию, расширять, масштабировать правильные решения.
– То есть будут какие-то законопроекты, связанные с регулированием искусственного интеллекта?
– Сначала должен быть полноценный закон об искусственном интеллекте, у нас такого закона пока нет.
– А он разрабатывается?
– Да, разрабатывается.
– Недавно в Минцифры заявляли, что ведомство планирует создать макет обезличивания данных. Можете рассказать о нем?
– У нас в планах построение центра обезличивания – специальной инфраструктуры внутри ГИС Минцифры. Он будет брать исходные данные и делать из них обезличенные. При обезличивании данных есть две задачи. Первое – нужно сделать так, чтобы невозможно было достоверно установить по полученным обезличенным данным исходные данные конкретного человека. Второе – нужно сохранить их в качественном виде для последующего использования, например, для обучения искусственного интеллекта.
Для того, чтобы создать центр, необходимо создать его макет – программно-аппаратный комплекс, и в процессе провести соответствующие исследования по обезличиванию. Макет мы планируем создать на базе Национального технологического центра цифровой криптографии. Первый вариант должен появиться в конце этого года. И уже полноценный макет, в котором будет реализовано много различных вариантов исходных данных, будет подготовлен к концу 2024 года.
– А когда может появиться сам центр обезличивания?
– Центр обезличивания будет создаваться параллельно. Думаю, также в 2024 году.
– Какие данные будут поступать в центр, и как будет проходить процесс их обезличивания?
– Данные могут быть разные, и к ним нужно применять различные методы обезличивания. Универсальных методов обезличивания нет. Они существенно зависят от конкретных наборов исходных персональных данных.
Текущие методы обезличивания сложные. Это методы, в первую очередь, статистического обезличивания, когда мы фактически что-то отрезаем, но существенно "зашумляем" исходные данные. И в итоге для анализа, например, искусственному интеллекту, передаются не сами исходные данные, а преобразованные. Но, с точки зрения последующей работы искусственного интеллекта с данными, качество не должно ухудшаться.
– Скажите, а есть ли аналоги такой технологии в мире?
– Да, есть аналоги, в крупных поисковых системах. Но речь идет о достаточно сложном высокотехнологическом процессе. Часть разработки по созданию самого макета будет исследовательской.
– Где будут использоваться эти обезличенные данные?
– Вопрос обезличивания довольно сложный не только с технологической точки зрения, но и с нормативной. Сейчас в Госдуму внесен проект федерального закона, в котором предусматривается нормативное регулирование одного из подходов.
Это этап, когда мы обезличиваем данные и из них формируем дата сеты под конкретные задачи внутри информационной системы Минцифры – в центре обезличивания. Туда приходят разработчики искусственного интеллекта и обучают свои модели на специально подготовленных для них наборах данных, не выходя за пределы системы.
– А есть какие-то даты, когда это может появиться?
– Мы надеемся, что закон будет принят в весеннюю сессию. После этого, к Новому году, появится макет. И в начале следующего года мы планируем запустить уже работу центра обезличивания.
– Видит ли Минцифры опасность использования дипфейков? Нужно ли сейчас маркировать то, что производится с помощью ИИ?
– Дипфейки, конечно, проблема актуальная, потому что искусственный интеллект позволяет создать некое виртуальное видео, которое фактически подделывает реальность. Но здесь достаточно тонкая грань, между неким художественным произведением и тем, что может прямо наносить вред правам граждан, вводить в заблуждение.
Тут есть две задачи: первая – определить, действительно ли это исходное изображение или оно переделанное. Это тоже технологически важная проблема, которой сейчас занимаются. И вторая – это направление, связанное с тем, чтобы мы могли некоторым образом подписать исходное изображение и тем самым определить, что оно оригинальное. Такие технологии сейчас разрабатываются. Что касается нормативного закрепления, я думаю, что это будет немного позже.
– А технологически создаются какие-то проекты, чтобы выявлять дипфейки?
– Конечно, ровно этим и занимаются – исследования в области выявления дипфейков, с одной стороны, и, с другой стороны, по тому, каким образом мы могли бы маркировать соответствующие исходные файлы.
– А кто занимается разработкой этих технологий? Ну это компании или государство?
– И те, и другие.
– И когда это может появиться, примерно, в каком году?
– Уже есть определенные подходы, я думаю, в этом году что-то может быть.
– Недавно Минцифры провело так называемое bug bounty Госуслуг, когда белые хакеры за вознаграждение искали в них уязвимости. Как вы оцениваете его результаты и планируете ли распространить данное тестирование на другие информационные системы Минцифры или правительства?
– Исследование Госуслуг мы оцениваем положительно: без ущерба для системы был найден ряд уязвимостей, которые быстро устранили. В целом, это перспективный проект. Нужно, чтобы такой анализ проводился на постоянной основе. Однако он достаточно сложный в нормативном регулировании, и пока мы будем задействовать его только на системах Минцифры.
– Сейчас ведется работа над законопроектом об оборотных штрафах за утечку персональных данных. Правда ли, что в случае утечки данных в интернет подать заявление на компенсацию можно будет через Госуслуги?
– В текущей версии законопроекта такой механизм предусмотрен. И для этого действительно предполагается использовать систему единого портала государственных услуг.
– А если компания, допустившая утечку, заявит, что сделала все возможное для защиты, это будет считаться смягчающим обстоятельством? И кто сможет это подтвердить?
– Мы пока говорим немного шире. Должен существовать некий порядок: если компания обеспечит выполнение этого порядка, то это послужит смягчающим обстоятельством для применения к ней штрафа.
– Расскажите про методику определения недопустимых событий. Когда она может быть принята?
– Вообще любые риски в информационной безопасности должны быть исключены. Но все-таки, например, для руководителя крупной компании должно быть драматически важно то, что он гарантированно исключит наиболее значимые риски. Такие события называются недопустимыми. Разработанаметодика определения таких событий. И сейчас мы занимаемся пилотной апробацией применения этой методики и учета ее результатов при построении систем информационной безопасности.
– Недопустимые события для каждой компании будут свои?
– Есть общие, типизированные, и они могут быть уточнены для компаний определенной отрасли.