«Мы находимся на кибервойне, никаких иллюзий быть не должно». Интервью главы Минцифры Максута Шадаева на конференции TAdviser

Максут Шадаев: Я бы не сказал, что на этом направлении цифровизации не достигнуты значительные успехи. Мне кажется, коллеги из Минобороны двигаются по своему плану, который, насколько нам известно, существует. В свое время мы помогали с созданием защищенной сети и завершением подключения к ней всех военкоматов. Это было еще до начала текущих событий. Сейчас мы тестируем с коллегами ряд решений по взаимодействию с точки зрения записи в военкомат. Напомню, что Минобороны относится к ведомствам, которые не обязаны согласовывать с Минцифры программы цифровой трансформации. Но я уверен, что коллеги будут двигаться еще быстрее в этом направлении.

Максут Шадаев: Насколько мне известно, да.

Максут Шадаев: Я могу выступать в данном случае только как эксперт, поскольку, повторюсь, Минобороны является самостоятельным большим ведомством с большой долей автономности, со своим цифровым бюджетом. Думаю, закрыв инфраструктурный уровень, обеспечив связность сети военкоматов, коллеги должны идти по пути оцифровки воинского учета, если они это уже не сделали. Пользуясь случаем, подчеркну, что никаких повесток через портал госуслуг мы не доставляем. Но мы запустили механизм подачи жалоб. Достаточно оперативно формируем списки, ежедневно подаем их в Генштаб по сотрудникам тех компаний, которые имеют право на освобождение от мобилизации. На сегодня мы передали в Минобороны три списка, скоро отправим четвертый. В целом, наше взаимодействие хорошо организовано.

Максут Шадаев: Законных оснований для доставки повесток в цифровом виде на сегодня не существует. Нет оснований, чтобы поступившая через Госуслуги повестка считалась юридически значимо доставленной, а человек считался проинформированным. Так же как и QR-коды, про которые ходят слухи, якобы Минцифры разрабатывает такой сервис, — нет, ничего не разрабатываем. Для тех ИТ-специалистов, на кого может распространяться бронь, действует другая процедура.

Максут Шадаев: Частичная мобилизация — отдельный режим, затрагивающий всех. И в этом смысле специалисты, работающие в области ИТ и связи, не являются исключением. Возможность не привлекаться к службе в рамках мобилизации получают сотрудники, которые задействованы в обеспечении критических процессов, связанных с функционированием сетей связи или с разработкой, поддержкой больших приложений и платформ, которые влияют на большое количество процессов и людей. Закон, повторюсь, распространяется на всех, но удалось убедить Минобороны, что есть ряд критичных цифровых сервисов и инфраструктуры, чья работоспособность зависит от считанных специалистов. И если их призвать, то гарантировать непрерывность функционирования ИТ-инфраструктуры не удастся. С учетом того, что без цифровых технологий у нас сейчас ничего не работает, в том числе в транспортной и в социальной сфере, возможна парализация целых отраслей и направлений, чего не хотелось бы. И было принято сбалансированное решение. Спасибо коллегам из Минобороны, что услышали наши доводы и чаяния. И сейчас этот процесс идет, мы ежедневно передаем в Генштаб списки сотрудников, имеющих право на непривлечение в условиях частичной мобилизации.

Максут Шадаев: Мы видим, как действует украинская сторона. У них действительно есть ИТ-армия, и чтобы вступить в нее не нужно тратить много сил — нужно скачать бот, зарегистрироваться, верифицироваться. Дальше по списку целей начинаются DDos-атаки на публичные сервисы, наносится ущерб нашим публичным сервисам, — Госуслуги были много раз под атакой.

В условиях такого давления многие компании стали укреплять инфраструктуру информационной безопасности. По сути, то, что сделала украинская сторона для нашей кибербезопасности, — это очень значимый в нее вклад. Многие компании, которые раньше не думали про ИБ или предполагали, что риски несущественны, сейчас поняли, что блокировка и простой являются серьезной угрозой для бизнеса. Догнать и перегнать: Российские ВКС прирастают новыми функциями 8.6 т

И, честно говоря, после того как Минобороны дало отсрочку для наших отраслевых специалистов, я получаю много предложений от сотрудников, что они готовы на рабочих местах приносить пользу. Но мне кажется, что сейчас самое главное — безопасность наших ресурсов, чтобы любые попытки дестабилизировать их работу пресекались и не срабатывали. И, слава богу, что все атаки на Госуслуги стабильно отражаются, значимых нарушений в их функционировании мы не увидели. Это в силу того, что мы уже полгода настраиваем свою систему противодействия DDOS-атакам, фильтрации трафика и многое другое, причем на разных уровнях и по разным типам атак.

Поэтому задача №1 – обеспечить стабильность и безопасность функционирования наших платформ, сервисов и ИТ-инфраструктуры в целом, а дальше посмотрим. Идей много, но планов формирования ИТ-армии именно как армии, куда призывают, нет. Опыт наших противников показывает, что ИТ-армия – это большое краудсорсинговое движение. Люди вступают туда добровольно, сознательно наносят вред нашей ИТ-инфраструктуре.

Максут Шадаев: Моя оценка такова: это постоянная тренировка для нас. Системных перебоев в функционировании сервисов не возникает. Наши противники каждый день намечают цель — тот или иной сервис. В течение дня наблюдается деградация атакованного сервиса, на следующий день объявляется новая цель. Формат событий таков, что у нас каждый день победа: «поколбасило» сервис несколько часов, отсекли внешний трафик, сервис восстановился и снова функционирует. Постоянно донастраиваются политики безопасности, так что время турбулентности с каждым разом уменьшается. Кибератаки — это неприятно, досадно, обидно, но это делает нас сильнее, потому что собственники, менеджеры на это реагируют и пытаются предотвращать или сокращать влияние на работу этих негативных моментов.

В целом я вижу в этом большой плюс, потому что кибербезопасность получила супер-импульс к развитию, рынок ИБ активно растет. Раньше у компаний был долгий предпродажный цикл, когда приходилось объяснять клиентам, насколько это важно, а сейчас уже все понимают, что это важно. Причем DDOS-атаки — это только верхний слой, ведь были и более глубокие инциденты, например — RuTube, оказавшийся полностью неподготовленным к этой истории, и был день, когда он просто лежал. Я думаю, что такие неприятные кейсы показывают отношение некоторых руководителей к ИБ-угрозам. Но сейчас все начинают серьезнее относиться к кибербезопасности. Мы, например, планируем до конца года объявить и провести по порталу Госуслуг программу bug bounty. Хотим максимально обнаружить дыры в нашей инфраструктуре, причем с выплатой белым хакерам вознаграждения за их обнаружение. Я считаю, что это очень важная практика, и мы пойдем в нее первыми.

В каждой структуре есть тот, кто формально отвечает за безопасность, и таким специалистам всегда очень сложно признавать свои ошибки, недоработки. Но лучше смотреть на риски открыто, с полным пониманием того, что они присутствуют, и упреждающе работать с ними, чем в определенный день «лечь». Должен сказать, что мы все находимся в зоне риска. Особенно портал Госуслуги — этот ресурс просто лакомый кусочек для хакеров, и на этом направлении кибератак сосредоточены огромные ресурсы, чтобы нанести ущерб инфраструктуре, несмотря на ее исключительно гражданскую, социальную ориентированность. И это повод для нас стать сильнее. Государство и государственные ИТ-ресурсы находятся в особой зоне ответственности. Деньги на обеспечение кибербезопасности выбиваются из бюджета с большим трудом, а информация гораздо более существенная, чем та, что содержится в коммерческих информационных системах. Направление обеспечения кибербезопасности надо точно приоритезировать.

Мы уже находимся на кибервойне, на этот счет никаких иллюзий быть не должно. Каждый из нас или является, или может стать объектом кибератаки — это вопрос времени, поэтому кибербезопасность – предмет для постоянной рефлексии, тренировок, стресс-тестов и так далее. И чем позиция по этому направлению цифровизации более открытая, проактивная, тем проще будет дальше жить. Это нельзя замалчивать. Наблюдаю у многих госкомпаний позицию типа «у нас все хорошо», но хорошо будет до определенного момента, и лучше переживать сейчас, чем потом.

Максут Шадаев: Москве огромное уважение за успехи в цифровизации. При этом понятно, что все, кто продвинулся на этом направлении дальше других, кто в большей степени цифровизован, тот и в большей степени представляет собой цель для атак и с большей вероятностью будет атакован. Со своей стороны мы желаем коллегам преодолеть все негативные последствия и помогаем им в этом. Хочу сказать еще раз: никто не находится в зеленой зоне, сегодня нельзя быть в безопасности.

По регионам текущая ситуация в целом следующая. Те регионы, у кого не было ресурсов на цифровизацию, и они сильно не продвинулись в этом направлении, они и не представляют для хакеров значимого объекта для атак. А те регионы, кто продвинулся в цифровизации, обычно вкладывались и в систему защиты или, по крайней мере, имеют возможность быстро ее донастроить, чтобы купировать новые риски. На перспективу понятно, что для многих регионов будет актуален переход на единые федеральные платформы, защищенные насколько это сегодня возможно. Каждому строить свою полноценную инфраструктуру и свою защиту очень дорого. И даже не всегда это вопрос ресурсов, бюджета, но и сроков. Так что для регионов, не имеющих финансовых и организационно-технических возможностей быстро закрывать эти вопросы, начнется большой переход на федеральные платформы, где эти вопросы централизованно решаются.

Максут Шадаев: ГосТех, Гособлако, компоненты Электронного правительства, новая ГИС «Моя школа», которую вместе с Москвой мы скоро начнем тиражировать по регионам. И это очень правильная, сбалансированная в отношении регионов политика: те, у кого есть возможность идти дальше по пути цифровизации, они и должны идти, прорубая определенные просеки, обозначая другим перспективы. А все остальные должны идти за этими лидерами вместе, на единых решениях, стандартах, платформах. Мы ни в коем случае не должны останавливать лидеров.

Максут Шадаев: Во-первых, хорошо, что мы начали работу по госорганам заблаговременно, и многие из них уже сделали значимый прорыв, перешли на российский софт и ОС. В качестве примера может служить и наше министерство. Когда мы разговариваем с крупными промышленными предприятиями на тему импортозамещения, они спрашивают, как у нас самих обстоят дела, и мы отвечаем, что уже работаем на Linux. Это большой плюс в работе с подведомственными учреждениями, потому что нами уже наработана определенная практика. Когда отраслевой регулятор переходит на российские решения, то понятно, что ему проще убеждать подведомственную отрасль в том, что они тоже должны это сделать. Второй большой, хотя и вынужденный плюс ситуации состоит в том, что зарубежные решения более недоступны.

Для нас главный риск был в том, что многие компании к этому относятся следующим образом: мы внедрили зарубежное решение, оно работает. Обновления не ставим, но и так можно прожить — достаточно научиться ставить патчи, и можно не переживать на эту тему. Таким образом, главный риск – консервация зарубежных решений, такого сценария развития ситуации, когда многие компании, вложившие значимые средства в покупку и внедрение западных программных продуктов, на них и останутся.

Поэтому правительство проявило инициативу, и в скором времени появится рычаг в разрезе отраслей экономики определять, какие системы относятся к КИИ. Ведь сейчас предприятия сами определяют, какая система относится к КИИ, а какая нет. Бизнес понимает, что КИИ – это целый набор серьезных обременений, и относит информационные системы к решениям не первостепенной значимости. Правительство получит возможность определять КИИ, введет классификаторы ИТ-систем, и дальше импортозамещение будет обязательным. Важный момент в том, что правительство получит возможность устанавливать сроки перехода по этим объектам на российские решения. Естественно, я надеюсь, что процесс будет адекватен ситуации, сроки будут ставиться исходя из готовности российских решений по результатам первых больших внедрений. Это будет определенная система принуждения и вместе с тем положительной мотивации.

Сейчас по всем отраслям рассматриваются продукты. И где российские ИТ-решения имеют недостаточный в сравнении с западными системами уровень зрелости, государство готово финансировать до 80% расходов заказчика на их доработку. Таким образом, мы понимаем, что не можем полностью переложить на бизнес расходы, связанные с доработкой ИТ-продукта, и готовы покрывать большую часть этих расходов. Заказчик со своей стороны, получив финансовую поддержку, обязуется внедрить у себя это доработанное решение. В результате мы получаем хорошее, референсное для рынка внедрение, чтобы показывать кейсы успешно работающего отечественного решения. При этом права на доработанный ИТ-продукт остаются у коммерческой компании-разработчика — это очень важно. У нас многие компании, особенно государственные, любят выстраивать свои полноценные ИТ-вертикали. Мы считаем, что дорабатывать ИТ-продукт должна независимая ИТ-компания, не аффилированная с заказчиком, и права на продукт должны остаться у нее. Посмотрим, как будет реализовываться эта формула. Еще раз, схема такая: крупный заказчик получает деньги от государства, у него возникает обязательство внедрить полноценный продукт, доработанный у себя, права на продукт остаются у разработчика, который не аффилирован с заказчиком.

Максут Шадаев: У нас больше 30-ти отраслей, по которым ведется эта работа. Большой плюс в том, что мы увидели много российских небольших компаний, которые, несмотря на тотальное доминирование в некоторых отраслях зарубежных продуктов, выжили и даже смогли занять ниши на рынке. И сейчас для них идеальное время, когда к ним повернулись заказчики. Они получают возможность вырасти в больших игроков российского ИТ-рынка. Мы поддерживаем финансово крупных заказчиков, но при этом контролируем, как я уже сказал выше, чтобы заказчики не купили вендоров и разработанный продукт остался на рынке, а не стал внутренней заказной разработкой.

Надеюсь, что до конца октября 2022 года мы определимся со списком приоритетных проектов, которые сможем поддержать ресурсами, исходя из наших возможностей. Отрадно видеть, что на рынке много российских разработчиков. Примерно 80% ниш на рынке — это чуть больше 400 категорий решений — имеют российские решения среднего уровня зрелости. Эти решения не отвечают всем международным требованиям, лучшей международной практике и зарубежным аналогам, но у нас есть что развивать, и это огромное благо. У нас имеется база, с которой можно работать, это большой плюс.

Максут Шадаев: Таких очень много. Для меня идеальный кейс тотального импортозамещения – судебные приставы.

Максут Шадаев: Да, они занялись раньше, расставили Linux на всех рабочих местах и успешно работают, решают свои задачи. У нас с ними есть очень хорошие совместные проекты. Росгвардия тоже активно идет в этом направлении. Примеров достаточно много. Могу сказать, что наличие зарубежных решений в крупных федеральных системах — это уже единичные случаи на сегодня.

Максут Шадаев: РЖД только предстоит переход на российское ПО, ведь у них крупнейшая инсталляция SAP в мире, которая внедрялась 15 лет. Переход на российское ПО станет для компании тяжелым моментом. Очень отрадно, что Олег Валентинович Белозеров возглавил комитет крупных российских заказчиков, которые сейчас формулируют требования по доработке ядра «1С». Имея большой опыт эксплуатации SAP, они понимают, чего не хватает российской платформе. Очень круто, что компания «1С» все доработки, необходимые крупным заказчикам для миграции на их решение, сделает за собственные деньги. Это пример правильной кооперации. Не просто: вот наш продукт, становитесь в очередь, и хотите — покупайте, а не хотите – не покупайте. РЖД сейчас находится под требованием перехода на отечественное ПО, а компания «1С» прекрасно понимает, что продукт требует доводки и дополнительных инвестиций под крупных заказчиков, и берет на себя такие обязательства. Надеюсь, что до конца 2022 года подпишем дорожную карту доработки «1С» под требования крупных заказчиках, сидящих на SAP, чтобы в обозримом будущем в 2-3 года они смогли перевести свои компании на решения «1С».

У нас сейчас много позитивных примеров, когда российские разработчики ответственно относятся к тому, чтобы инвестировать в развитие своих продуктов и занять освободившиеся на рынке ниши. В этом смысле мы сейчас прорабатываем инициативу, чтобы компаниям, готовым дорабатывать свои продукты за собственные деньги, были доступны льготные кредиты. Возможно, они получат отдельный статус системно-значимых компаний и дополнительные преференции — например, доступ на рынок госзаказов.