В промышленности, если по крупному, можно выделить два вида технологических процессов - дискретный и непрерывный. Вот иногда смотришь на нашу отрасль ИБ и видишь, что многие оценивают происходящие на ней события дискретно - в некоторой отдельно взятой точке, в отрыве от всего того, что происходит вокруг, происходило раньше и может произойти в будущем. Такая дискретность приводит к тому, что многие события, и глобального, и национального, и внутрикорпоративного масштаба, оцениваются "здесь и сейчас", забывая сопоставлять их с тем, что уже происходило ранее. Отсюда очень часто делаются неверные выводы. Да и прогнозирование тоже оставляет желать лучшего.
Возьмем, к примеру, мою заметку на ФБ про то, что я готовлю резюме. Большинство попало в классическую ловушку сознания, посчитав, что резюме готовят только при увольнении. Чуть позже вышедшее "разоблачение", что резюме мне нужно для получения визы в США (а для спецпроверки нужно резюме и список публикаций), прочитали уже не все, не сопоставив эти два события. В итоге в среде специалистов опять пошла волна, что я ухожу из Сиско (такие "волны" конкуренты часто используют общаясь с заказчиками Сиско). Почему-то многие рассматривали заметку про резюме как законченное, дискретное событие. Отсюда абсолютно неверные выводы. Представьте, что тоже самое происходит при анализе логов для расследовании инцидентов?.. Был как-то инцидент пару лет назад в США. На одном критически важном объекте вдргу зафиксировали попытку доступа с IP-адреса, который система защиты распознала как российский. Начался шум, в СМИ просочились детали, журналисты написали очередную утку про русских хакеров . Классическая сиюминутность ИБытия. Потом выяснилось, что просто админ объекта, из отпуска полез удаленно менять конфиг (задание ему такое поступило срочно). При этом находится он в Европе и система защиты ошибочно отнесла его IP-адрес к диапазону, выделенному какому-то российскому провайдеру. Вот и весь "инцидент", который произошел из-за дискретного отношения к ИБ, отсутствия оценки происходящих вокруг событий. Неслучайно сейчас так активно развивается тема с ретроспективной безопасностью , позволяющей анализировать историческую совокупность событий с целью иентификации причин их возникновения.
Другой пример - страхование киберрисков. После статьи в Коммерсанте о готовящейся инициативе по обязательному страхованию киберрисков (по аналогии с ОСАГО), все заговорили о том, как это своевременно и нужно. Однако мало кто вспомнил, что теме страхования информационных рисков в России уже 20 лет (будет в следующем году). Еще в 1998-м году было подписано Соглашение о сотрудничестве в области страхования информационных рисков между Госкомсвязи России и страховыми организациями (№6836 от 10.11.98). Спустя месяц было Госкомсвязью было подписано Указание от 4 декабря 1998 года №121-У "О реализации соглашения о сотрудничестве в области страхования информационных рисков", в котором упоминались среди прочего уже разработанные документы, которые должны были лечь в основу нового законодательства по страхованию информационных рисков (в точ числе и обязательного). Среди этих документов:
Возьмем, к примеру, мою заметку на ФБ про то, что я готовлю резюме. Большинство попало в классическую ловушку сознания, посчитав, что резюме готовят только при увольнении. Чуть позже вышедшее "разоблачение", что резюме мне нужно для получения визы в США (а для спецпроверки нужно резюме и список публикаций), прочитали уже не все, не сопоставив эти два события. В итоге в среде специалистов опять пошла волна, что я ухожу из Сиско (такие "волны" конкуренты часто используют общаясь с заказчиками Сиско). Почему-то многие рассматривали заметку про резюме как законченное, дискретное событие. Отсюда абсолютно неверные выводы. Представьте, что тоже самое происходит при анализе логов для расследовании инцидентов?.. Был как-то инцидент пару лет назад в США. На одном критически важном объекте вдргу зафиксировали попытку доступа с IP-адреса, который система защиты распознала как российский. Начался шум, в СМИ просочились детали, журналисты написали очередную утку про русских хакеров . Классическая сиюминутность ИБытия. Потом выяснилось, что просто админ объекта, из отпуска полез удаленно менять конфиг (задание ему такое поступило срочно). При этом находится он в Европе и система защиты ошибочно отнесла его IP-адрес к диапазону, выделенному какому-то российскому провайдеру. Вот и весь "инцидент", который произошел из-за дискретного отношения к ИБ, отсутствия оценки происходящих вокруг событий. Неслучайно сейчас так активно развивается тема с ретроспективной безопасностью , позволяющей анализировать историческую совокупность событий с целью иентификации причин их возникновения.
Другой пример - страхование киберрисков. После статьи в Коммерсанте о готовящейся инициативе по обязательному страхованию киберрисков (по аналогии с ОСАГО), все заговорили о том, как это своевременно и нужно. Однако мало кто вспомнил, что теме страхования информационных рисков в России уже 20 лет (будет в следующем году). Еще в 1998-м году было подписано Соглашение о сотрудничестве в области страхования информационных рисков между Госкомсвязи России и страховыми организациями (№6836 от 10.11.98). Спустя месяц было Госкомсвязью было подписано Указание от 4 декабря 1998 года №121-У "О реализации соглашения о сотрудничестве в области страхования информационных рисков", в котором упоминались среди прочего уже разработанные документы, которые должны были лечь в основу нового законодательства по страхованию информационных рисков (в точ числе и обязательного). Среди этих документов:
- Проект Концепции страхования информационных рисков
- Проект Концепции развития системы страхования информационных рисков
- Отчет "Анализ объема отечественного рынка информационных систем, ресурсов и технологий как объектов страхования".
- Отчет "Анализ страхового поля по страхованию ответственности разработчиков, изготовителей и поставщиков систем автоматизации банковской деятельности, систем и средств защиты информации, информационных ресурсов и технологий, а также информационно - вычислительных и автоматизированных систем различного назначения".
- Отчет "Анализ статистических данных по безопасности информационных систем с целью определения вероятности страховых случаев и размеров предполагаемого ущерба".
- Отчет "Анализ методических и нормативных документов в деятельности зарубежных и отечественных страховых компаний и подготовка проектов соответствующих организационно - методических документов по страхованию информационных рисков".
- Проект Правил страхования (информационных рисков) информационных систем, информационных ресурсов, технических и программных средств вычислительной техники и оргтехники предприятий, организаций, учреждений и граждан.
- Технико - экономическое и социальное обоснования эффективности операций по страхованию информационных рисков.
- Проект Методики управления информационными рисками.
- Проект Методики оценки стоимости информационных систем, ресурсов, программных и технических средств вычислительной техники как объектов страхования.
- Проект Положения и инструкции о проведении экспертизы информационных систем, технологий, программных ресурсов, технических и программных средств вычислительной техники при заключении договора страхования и при возникновении страхового случая.
Второй виток интереса к теме страхования информационных рисков случился 5-тью годами позже (основным застрельщиком был ВНИИПВТИ), когда возникла тема с законопроектом об обязательной гражданской ответственности государственных информационных систем. В трехглавый закон "Об информации, информатизации и защите информации" планировали внести новую статью 22.1 "Страхование информационных ресурсов, систем, технологий и средств их обеспечения" с всего двумя пунктами (аналогичная норма должна была войти в закон "Об информационных ресурсах и информатизации в г.Москве"):
- Государственные информационные ресурсы, системы, технологии и средства их обеспечения подлежат обязательному страхованию. Порядок и условия страхования определяются законодательством Российской Федерации.
- Негосударственные информационные ресурсы, системы, технологии и средства их обеспечения страхуются в порядке, установленном законодательством Российской Федерации.
Позже планировалось разработать отдельный закон "Об обязательном и добровольном страховании информационных рисков", а также внести ряд поправок в нормативно-правовые акты по страхованию, банковской деятельности и т.п.
Но уже тогда стало понятно, что тема со страхованием информационных рисков (тем более обязательном) красиво смотрится на бумаге, но сложна в практической реализации. Не было общепринятых методик оценки рисков, методик оценки стоимости информации, накопленной статистики инцидентов ИБ по отраслям. Их отсутствие было основным камнем преткновения в страховых расчетах, которые бы принимались всеми сторонами. И что мы видим сейчас? Воз и ныне там - ничего из названного за 20 лет так и не появилось. Оценка рисков как была шаманством так и осталась. Считать стоимость информации не умеют (хотя методики есть). Статистика есть только у МВД, но она однобока и сложноприменима в страховом деле.
Что дает основание считать, что именно сейчас страхование киберрисков взлетит? Почему про эту тему все говорят с придыханием? То, что ее упомянули в программе "Цифровой экономики"? Так там много чего еще написано, включая и сертификацию криптографических алгоритмов, и навязывание Китаю российских антивирусов . Или то, что эту тему драйвит Сбербанк с его ресурсами. Ну возможно в узком сегменте страхование мошенничеств с платежными картами и взлетит, но что в нем нового? Я уже несколько лет страхую операции по платежным картам в своем банке (и это не Сбер).
Все-таки надо наш темп жизни играет с нами плохую шутку - мы перестаем критически оценивать все, что происходит вокруг нас. Блокчейн? Да! Давайте! Это крутая технология. Но кто-нибудь посмотреть чуть вперед и оценил, что станет с блокчейном после того, как появится реально работающий квантовый компьютер? Одно дело сиюминутные финансовые транзакции, интерес к которым угасает после их совершения. И совсем другое дело долгосрочные сделки с недвижимостью, переводы акций, кадастровые реестры и т.п. Ведь реально работающий квантовый компьютер может не только поставить крест на современном блокчейне, используюем математику, не учитывающую квантовые вычисления, но и внести анархию в сделки, которые могут быть совершены за эти несколько лет (до выхода квантового компьютера). А все потому, что сиюминутность ИБытия и дискретное мышление без оглядки на прошлое и без прогнозирования будущего. Аукнется нам еще такая близорукость...
Но уже тогда стало понятно, что тема со страхованием информационных рисков (тем более обязательном) красиво смотрится на бумаге, но сложна в практической реализации. Не было общепринятых методик оценки рисков, методик оценки стоимости информации, накопленной статистики инцидентов ИБ по отраслям. Их отсутствие было основным камнем преткновения в страховых расчетах, которые бы принимались всеми сторонами. И что мы видим сейчас? Воз и ныне там - ничего из названного за 20 лет так и не появилось. Оценка рисков как была шаманством так и осталась. Считать стоимость информации не умеют (хотя методики есть). Статистика есть только у МВД, но она однобока и сложноприменима в страховом деле.
Что дает основание считать, что именно сейчас страхование киберрисков взлетит? Почему про эту тему все говорят с придыханием? То, что ее упомянули в программе "Цифровой экономики"? Так там много чего еще написано, включая и сертификацию криптографических алгоритмов, и навязывание Китаю российских антивирусов . Или то, что эту тему драйвит Сбербанк с его ресурсами. Ну возможно в узком сегменте страхование мошенничеств с платежными картами и взлетит, но что в нем нового? Я уже несколько лет страхую операции по платежным картам в своем банке (и это не Сбер).
Все-таки надо наш темп жизни играет с нами плохую шутку - мы перестаем критически оценивать все, что происходит вокруг нас. Блокчейн? Да! Давайте! Это крутая технология. Но кто-нибудь посмотреть чуть вперед и оценил, что станет с блокчейном после того, как появится реально работающий квантовый компьютер? Одно дело сиюминутные финансовые транзакции, интерес к которым угасает после их совершения. И совсем другое дело долгосрочные сделки с недвижимостью, переводы акций, кадастровые реестры и т.п. Ведь реально работающий квантовый компьютер может не только поставить крест на современном блокчейне, используюем математику, не учитывающую квантовые вычисления, но и внести анархию в сделки, которые могут быть совершены за эти несколько лет (до выхода квантового компьютера). А все потому, что сиюминутность ИБытия и дискретное мышление без оглядки на прошлое и без прогнозирования будущего. Аукнется нам еще такая близорукость...
