Коронакризис подхлестнул технологические амбиции России. Государственные ИТ-проекты запускаются почти каждую неделю: эксперимент с искусственным интеллектом в Москве начался с 1 июля, стремительно принят закон об Едином федеральном информационном регистре. С июля в Москве начнут выдавать первые электронные паспорта, на подходе законопроект о расширении использования биометрических данных и многое другое.
Что-то из этого долго пылилось в кабинетах государственных служащих и вот одномоментно стало претворяться в жизнь. Красиво, удобно, но принесет массу проблем. Причины? Незрелость части технологий, отсутствие или отставание законодательства и проблемы с безопасностью. Но обо всем по порядку.
Технологии и амбиции чиновников
Почему запускать сразу все эти проекты сумасшествие? Во-первых, потому что чиновники переоценивают некоторые отечественные технологии. Приведу пример: в проекте о переходе объектов критической информационной инфраструктуры (КИИ) на использование российского и евразийского программного обеспечения говорится, что сделаем мы это к 1 января 2021 года. А к 2022 году объекты КИИ перейдут на российское оборудование. Идея-то хорошая, но нет у нас сейчас своих качественных операционных систем, баз данных, «железа» в конце концов! И за год-два они и не появятся. Кроме прочего, эта спешка создает дополнительные «дыры» в безопасности. При том что инициатива нацелена именно на усиление безопасности объектов КИИ. Вот такой парадокс.
И это не единственный пример непонимания и непоследовательности действий, взять хотя бы «закон Яровой», последствия которого мы разгребаем до сих пор. Не уверен, что он в принципе когда-то заработает так, как описывали законодатели. Получилась очень дорогая и нецелесообразная затея.
Что получаем в результате? Непонимающие в ИТ чиновники пишут заведомо нереализуемые проекты, чтобы заработать политические очки или просто получить известность, а государство в итоге «садится в лужу», когда эти проекты не работают или работают с косяками.
Регуляторика: спеши не торопясь
«Безопасность данных граждан — наш приоритет» — звучит из каждого утюга, точнее в каждой официальной речи госчиновников. Однако с защитой информации в законах ситуация схожая: она «обеспечена» на бумаге. Федеральный закон № 152 «О персональных данных» настолько мягкий и деликатный, что скорее похож на гомеопатическое средство. Принимать можно, но не обязательно и вряд ли поможет. Это не считая путанных и рекомендательных подзаконных актов, которые вытекают из ФЗ-152: приказы ФСТЭК, приказы ФСБ и пр. Как результат: реальные операторы персональных данных (а сегодня их почти 6 млн. только в коммерческом секторе) действуют на свое усмотрение: хотят — защищают, не хотят — не защищают.
По нашим подсчетам, только около 20% банков обеспечили реальную безопасность данных — т. е. поставили защитные решения на все ПК. У операторов большой тройки ситуация еще хуже. К примеру, я не знаю ни одного оператора сотовой связи, у которого на всех компьютерах стоит система информационной безопасности. Что уж говорить про ситуацию в бюджетных учреждениях, среднем и малом бизнесе.
Особенно умиляет, когда чиновники заявляют, что государственные сервисы неприступны для кибермошенников. В частности, что в ФНС никогда не было и не будет утечек. В то время как при регистрации ИП чуть ли не в режиме реального времени новоиспечённому юрлицу начинают названивать из банков с предложениями услуг. Пожалуй, тут я соглашусь с Германом Грефом: «Все компании в мире делятся на две части: те, которых „хакнули“ — и они об этом знают. И те, которых „хакнули“, но они пока не в курсе».
Потому продается все: данные по налогам, информация по счетам, паспортные и пенсионные данные и т. д. Колоссальный черный рынок! Причина — непроработанное законодательство и отсутствие действенных механизмов контроля. Как сказал классик: «Строгость российских законов смягчается необязательностью их исполнения».
Решение есть
Я вижу, как многие эксперты и представители власти пытаются придержать коней, указывают на риски и говорят о последствиях. Я лично общаюсь с представителями Госдумы, обращаюсь к законодателям через ИТ-ассоциации и федеральные СМИ, отправляю официальные запросы и предложения по законодательным инициативам. Но все это пока движется очень медленно.
Еще до пандемии и кризиса я предлагал ряд оптимизаций в части информационной безопасности. Обсуждал их с коллегами по отрасли и с представителями Минкомсвязи. Предлагал создать отдельную структуру по информационной безопасности. Специальное ведомство проработало бы ИБ-проблемы комплексно, провело бы ревизию ИТ-решений и законов и стало ответственным за ситуацию в целом. Это один из способов взять ситуацию под контроль и снизить риски от спешной цифровизации.
В каком-то смысле законодательные инициативы должны заглядывать за горизонт — видеть перспективы развития технологий и успевать за ними. А для этого нужно привлекать практиков, профессиональные ассоциации, такие как РУССОФТ, АРПП и др., чтобы они делали честную оценку проектов. Указывали, где и как можно усилить законодательство. Тогда регуляторика не будет «дырявой» и рекомендательной, и что особенно важно — будет отвечать на актуальные запросы государства и бизнеса.