KamardinRosfinsovet 2 Опубликовано: 9 января 2023 Рассказать Опубликовано: 9 января 2023 (изменено) Как нам выстраивать линию обороны, как противодействовать новым угрозам? Есть ли какая-то радикальная идея, куда и как нам направить все усилия? За какую нитку тянуть, чтобы имеющиеся проблемы решить? И есть ли эта нитка? О сложностях в реализации крупных федеральных проектов, долгосрочных программ развития, необходимости создания нового регулятора рассказывает Тимур Аитов, зампред комиссии по цифровым финансовым технологиям совета ТПП РФ. Вы часто говорите о санкциях, их последствиях, сравниваете ситуацию в стране с прохождением «пентеста» (penetration test), как его называют «безопасники», теста «на проникновение». Страна у нас сегодня, действительно, прошла этот тест, в результате обнаружены уязвимости, но в целом ситуация осталась под контролем. Что нам делать дальше? Как нам выстраивать линию обороны, как противодействовать новым угрозам? Есть ли какая-то радикальная идея, куда и как нам направить все усилия? За какую нитку тянуть, чтобы имеющиеся проблемы решить? И есть ли эта нитка? Такая «нитка» есть, есть и положительный опыт решения проблем: я имею в виду создание цифровой инфраструктуры. Напомню, она зарождалась у нас давно, еще с девяностых годов, уже тогда были и сети, и инфо-телекоммуникационные системы, которыми занималось ФАПСИ: тогда строили ЛВС для органов госвласти и других целей. Появились и первые биржи, которые работали удалённо. Я помню в 93-м году банки даже предоставляли сервисы электронно-цифровой подписи, хотя интернета не было и все работало на модемной связи. А что по части государства и госпрограмм? Занималось ли правительство созданием цифровой инфраструктуры в масштабах страны? Да, занималось. Появилась сначала «Электронная Россия», потом «Электронная Москва», к сожаления, мало с ней связанная, был еще «Электронный округ» в Зеленограде тоже, увы, слабо связанный с двумя предыдущими программами. Когда на массовые мероприятия приходили чиновники из Минэкономразвития и из Минкомсвязи (ФАИТ), между ними не было особого взаимопонимания, были острые дискуссии, в этом проявлялось межведомственное взаимодействие, которое у нас, как известно, ахиллесова пята... Наиболее ярко проблема межведомственного взаимодействия проявилась в проекте создания карты «УЭК» — «универсальной электронной карты», крупного инфраструктурного проекта . Под него было выделено и финансирование, и даже специальный закон принят в течение месяца сразу в трех чтениях. Но через несколько лет программу тихо свернули без каких либо результатов. Эксперты отмечали в проекте не только проблему межведомственного взаимодействия, но и отсутствие комплексного подхода и четкого целеполагания. В дискуссиях по проекту участвовала даже РПЦ и все эти цифровые идентификаторы карты активно обсуждала... Почему же у нас сложно реализовать любой крупномасштабный проект цифровой инфраструктуры? В чем камень преткновения? Ключевая проблема в том, что до сих пор у цифровой инфраструктуры страны нет единого владельца — единого ведомства, которое, как регулятор, ведало бы всеми процессами долгосрочного развития, проектирования и создания. Некоторые важнейшие функции находятся под контролем ФСБ, некоторые у ФСТЭК, много делает Минцифра - но и она не покрывает все задачи. Некоторые сферы вообще не имеют четкого регуляторного покрытия. Как пример — это защита банковских данных. ЦБ делает много по части ИБ, но именно регулятора по защите всех клиентских баз при построении и операций с ними в стране сегодня не существует. Ну вот вы упомянули Центробанк. Он активно работает и, вроде бы, ему никто не нужен - посмотрите какие у него успешные проекты - есть НСПК, карта МИР, СБП, новая система передачи финансовых сообщений (СПФС) — все эти проекты работают… Да они успешны, да, они находятся в руках ЦБ, но ведь ЦБ вынужден заниматься не свойственными для него задачами, хотя масштаб у главного финансиста неподходящий для масштаба страны, если говорить об ИТ. Упомяну задачи аутентификации и цифрового профиля: они важны, но ведь это примеры того, что созданием компонент цифровой инфраструктуры всей страны занимается непрофильный участник. Кроме того, даже в случае четкого руководства ЦБ остаются узкие места, которые при усложнении обстановки и новых атаках могут превратиться в уязвимости. Например, ORACLE, на котором многие крупные банки работают, но который ушел из страны и который этим может создать проблемы всем. Даже ЦБ, который его тоже использует. Как же правильно поступать? Что нужно сейчас? Кто-то должен «вести вопрос» целиком и отвечать за долгосрочную стратегию развития и общую архитектуру ЦИ. Нужен особый регулятор, который отвечал бы за всю цифровую инфраструктуру, выражал бы общенациональные интересы в части развития цифровой инфраструктуры, был бы равноудалённым от всех нынешних и будущих потребителей сервисов и который был бы еще и главным архитектором этой цифровой инфраструктуры. Регулятором должен стать некий федеральный центр – назовем его центром Стратегического планирования, анализа и контроля (СПАК) – что-то вроде ГКНТ СССР или Госплана. Здесь важно, что этот центр не должен копировать Госплан СССР по его привычным функциям и не «планировать тапочки» на всю страну, а, скорее, давать акцент в сторону целеполагания и проектирования цифровой архитектуры. Все самые общие вопросы — виденье архитектуры, ее стратегия, концепция развития — все это должно быть за ним. Ну, и ответственность тоже за ним. Хорошо, создадим этот очередной Центр, с чего он начнет, каким целеполаганием будет руководствоваться, проектируя инфраструктуру? Каждый инфраструктурный проект в перечне Центра получит одну из трех меток Метка номер один: это проект, который имеет особое значение для защищённости России. И еще — про этот проект можно сказать что-то определенное о его окупаемости в масштабах нашей страны. Проект с меткой 1 делаем обязательно самостоятельно, никому не передаем! Метка номер два: это проект который ведем с дружественными нам странами из ШОС, БРИКС, ОДКБ и других содружеств, которые, возможно, еще и МИД будет подбрасывать потому что есть такая специфика момента. ИТ связано с МИД через эти проекты. Проекты с меткой 2 выгодно и правильно делать сообща в содружестве стран. Пример проекта с меткой 2 — это СПФС. Нынешний проект мы сделали сами, сами скопировали SWIFT, а сегодня приглашаем в него других участников. Правильнее делать наоборот – сначала обсудить в сообществе стран-участниц, снять ограничения и недостатки SWIFT, а потом уже создавать. Метка номер три «черная» — это сервисы недружественных стран. Ими все равно придётся пользоваться. Не сможем мы обойтись сразу без многих инфраструктурных сервисов мирового масштаба, уровня GAFA (Google, Amazon, Facebook, Apple). Вот Android нам грозят выключить, но сразу ничего не произойдёт, и надо пользоваться тем, что сегодня дают провайдеры западных стран. Но! Диверсифицировать, дублировать сервисы и помнить – что в любой момент их могут отключить. Как будет работать ФЦ СПАК с субподрядными организациями? Как пойдет процесс? В любом крупном проекте есть головная организация, а есть субподрядчики, различного рода эксперты, которые выполняют частные, возможно, даже ведомственные задачи. Такова общепринятая практика, ничего нового здесь нет. Отдельные фрагменты инфраструктуры можно вообще полностью отдать на откуп министерствам, ведомствам, другим организациям, но при этом обязательно задать интерфейсы, с помощью которых эти «чёрные ящики» будут связываться и общаться друг с другом. Откуда появятся для нового центра кадры экспертов соответствующего уровня? Часть толковых экспертов можно забрать из министерств, при этом у министерств останутся присущие им регуляторные функции. СПАК соберет лучших, он станет своего рода «мозговым центром», который и будет заниматься стратегическим целеполаганием и проектированием будущего цифровой инфраструктуры страны. Как главный архитектор и визионер СПАК обязан будет создать и отобразить общую картину — всю архитектуру, все ее уровни, все это отразить в соответствующих документах. Должна быть создана и концепция развития технологической инфраструктуры на 5 или на 10 лет вперед – ее сегодня у нас нет. Конечно, центр должен будет осуществлять авторский надзор и контроль за реализацией проектов. Ну и в заключение? Самое главное, как всегда, в конце? Главное здесь всё. Важно даже проанализировать все прошлые неудачные попытки, о которых говорил в начале – там много было идей – важно выявить недостатки, и понять почему не выполнено? Поэтому в будущую программу создания цифровой инфраструктуры (кроме финансирования), придется заложить странички истории и опыт 90-х того же ФАПСИ, которое много сделало хорошего. Журнал IT Manager Опубликовано 03.10.2022 Изменено 9 января 2023 пользователем KamardinRosfinsovet Для удобства чтения Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.
Примечание: вашему сообщению потребуется утверждение модератора, прежде чем оно станет доступным.