Изображение создано при помощи модели Шедеврум
Кибербезопасность – тема, которая в современном мире актуальна для каждого человека, от школьника до главы компании. IQ Media побеседовал с руководителем новой программы ВШЭ по кибербезопасности как стратегии для топ-менеджеров, директором Центра программных разработок и цифровых сервисов, доцентом Антоном Сергеевым, о том, почему первым лицам организаций важно хорошо разбираться в вопросах информационной безопасности.
Антон Сергеев
Доцент кафедры информационной безопасности киберфизических систем Московского института электроники и математики им. А.Н. Тихонова НИУ ВШЭ, директор Центра программных разработок и цифровых сервисов МИЭМ Высшей школы экономики
- Начнем с главного: кому и зачем сегодня нужно учиться кибербезопасности?
- Очевидно, что базовые знания в области кибербезопасности нужны каждому человеку: сегодня почти всех коснулась проблема телефонного мошенничества – только в прошлом году граждан обманули на десятки миллионов рублей. Однако в первую очередь эти знания нужны руководителям организаций: именно они принимают решения, от которых зависит эффективная защита всего того, чем они руководят. И если руководитель не разбирается в вопросах информационной безопасности, не понимает ключевые риски и не ориентируется в правовом поле, то, очевидно, он не сможет правильно поставить задачу своим подчиненным.
Между тем, нормативные требования по защите критической информационной инфраструктуры сегодня прописаны в рамках законодательства. В том числе, это указ Президента РФ от 01.05.2022 №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».
Сегодня все организации, которые являются субъектами критической информационной инфраструктуры (а это организации от поликлиник и банков до объектов ОПК и космодромов), должны иметь в штате заместителя руководителя по информационной безопасности, обладающего соответствующей квалификацией, образованием и опытом.
Людей, чей опыт и знания позволяют эффективно руководить блоком по информационной безопасности (ИБ), у нас в стране откровенно не хватает. Есть достаточное количество «безопасников» низкой квалификации, а вот «сеньоров» и «миддлов» уже очень мало. А компетентных руководителей в этой сфере – вообще единицы.
- Специалист по кибербезопасности и защите информации – профессия не новая. В России, например, таких специалистов готовят уже около 30 лет. В чем особенности нового курса «Кибербезопасность как стратегия»?
- Важно подчеркнуть, что информационная безопасность в России – полностью национальная отрасль: у нас производятся системы защиты практически всех классов, от антивирусов до IDS (систем обнаружения вторжений) и XDR (расширенное обнаружение и реагирование).
При этом система массового высшего образования в силу некоторой инертности сильно отстает от современной повестки. Она не может быстро удовлетворить потребности рынка труда в специалистах по информационной безопасности. При этом на рынке дополнительного профессионального образования очень много разных программ и курсов.
Наша программа отличается от них тем, что это интенсив – именно для руководителей. Мы в ВШЭ, в силу своего центрального положения в системе образования, отличных контактов с правительственными структурами и бизнесом, имеем возможность собрать реально лучших экспертов: the best of the best.
Мы видим свою задачу в том, чтобы не только подсветить организационную и технологическую повестку, но и дать конкретные ответы на самые актуальные вопросы, поделиться актуальными кейсами, которые руководители могут получить только от других руководителей – топовых практиков в сфере информационной безопасности. Как защищать системы ИИ? Что нового в законодательстве? Как бюджетировать ИБ? Какие практики импортозамещения реально работают? На все эти вопросы программа даст ответы.
Спикеров мы привлекаем непосредственно из индустрии. Это лучшие представители отрасли, регулятора (в нашем случае это Роскомнадзор), кредитно-финансовой сферы, независимые эксперты. Происходит прямая передача ценнейшей экспертизы и опыта из рук в руки.
Наша программа помогает прокачаться не только технологически и организационно-управленчески. Помимо актуальных знаний, выпускники получают живые контакты топовых экспертов отрасли, выстраивают горизонтальные связи, которые очень пригодятся им в дальнейшем.
- Кого вы ждете на программе? Какой профессиональный бэкграунд должен быть у слушателей?
- Для нас важен не столько бэкграунд, сколько позиция человека. Все наши слушатели – из разных областей: кто-то профессионально вырос в структурах органов государственной власти, кто-то в ИТ, а кто-то – профессиональный управленец без технологического бэкграунда. Конечно, мы не будем учить руководителя программировать на Python или администрировать Linux, однако в понятной и доступной форме донесем то, в чем важно разбираться на уровне управленческого контура. Поэтому и важна прежде всего позиция человека, его полномочия в части донесения информации до подчиненных, грамотной постановки задач. Это принесет большую пользу той организации, где руководитель работает в данный момент, а в перспективе будет работать на его личную карьерную траекторию.
Большое внимание мы уделяем рискам – как текущим, так и тем, которые могут появиться в будущем, причем в каждой отрасли они будут свои. Информационная безопасность – это так или иначе история про возможные убытки: репутационные, финансовые и не только. Это затратная статья, но ни одна организация не может себе позволить бесконечно вливать в нее деньги. Мы учим, в том числе, правильно бюджетировать эти вопросы, работать с приоритетами, грамотно строить диалог с подчиненными: где-то выслушать их точку зрения, где-то переубедить.
- Делаете ли вы акцент ли вы на какие-то конкретные отрасли, где важна защита данных?
- В контексте информационной безопасности отрасли развиваются очень неравномерно: например, защита информации в медицинской сфере сильно отстает от защиты банковской информации. У банков гораздо больше ресурсов, больше мотивации заниматься этими вопросами. С другой стороны, органы государственной власти на региональном уровне часто используют устаревшие технологии и системы защиты. При этом продолжается активная цифровизация во всех областях нашей жизни.
Мы видим свою ключевую задачу в том, чтобы собрать лучшие практики со всех отраслей – и передать их нашим слушателям. При этом мы не уходим в совсем узкоспециальные вещи, например, в специализированные банковские подходы, которые интересны только кредитно-финансовым организациям.
Но общие регуляторные требования, общие метрики безопасности, основные подходы мы внимательно рассматриваем, выбираем самые интересные примеры и сценарии. И, конечно, привлекаем лучших профессионалов отовсюду.
Один из ключевых фокусов внимания на программе – нормативная база. Здесь есть два больших блока – блок персональных данных и блок защиты критической информационной инфраструктуры.
Сегодня за преступления в сфере информационной безопасности предусмотрена не только административная, но и уголовная ответственность. Для компаний введены многомиллионные штрафы за утечки персональных данных.
Что касается защиты объектов критической информационной инфраструктуры, действует статья УК РФ 274.1 «Неправомерное воздействие на критическую информационную инфраструктуру (КИИ) Российской Федерации». В которой (для многих это может стать сюрпризом) не нужно доказывать ущерб от воздействия на КИИ.
В целом регуляторных рычагов у государства достаточно, и даже если сегодня они не очень активно используются, очевидно, что ни штрафы, ни сроки за предстоящие пять лет не уменьшатся. Руководители и их заместители по информационной безопасности должны очень хорошо в этом разбираться.
- Какие задачи в сфере кибербезопасности можно так или иначе поручить умным алгоритмам, а какие совершенно точно останутся человеку? Как именно вы касаетесь на программе тем и вопросов, связанных с системами искусственного интеллекта?
- И в России, и в мире объем внедрения систем ИИ будет только расти. ИИ будут отдавать многие задачи, если это будет экономически эффективно – если можно упростить и удешевить процесс, это будет сделано без сомнений. Конечно, сейчас много говорят о том, что принятие решений нужно оставить человеку, что нужно самостоятельно контролировать критические моменты. Однако во многих случаях реализовать это, скорее всего, будет невозможно, потому что ИИ будет выдавать данные с такой скоростью и в таких объемах, что потребуется слишком много аналитиков для его проверки, причем с очень высокой квалификацией. Что с этим делать – сегодня понимает далеко не всякий руководитель или специалист по ИТ. Возьмем сравнение с вирусами: вы можете поставить антивирусное ПО и во многом купировать угрозу (разумеется, при соблюдении правил эксплуатации). Но если вы используете облачную LLM в процессах обработки документов или с агентами, то как вы можете предотвратить, например, использование ваших персональных данных при запросах? Если будете использовать анонимизацию – то какую? Как к этому отнесется регуляторная проверка? Масса вопросов.
Интеграция в продукт элементов ИИ фактически равносильна интеграции программной библиотеки. Но во многих ситуациях обучена она будет не вами, к тому же она обладает правом принятия решения, а ее входом и выходом можно манипулировать. Как проверить ее устойчивость? Если для обычных информационных систем разработаны методы и инструменты, то в случае ИИ здесь пока в основном открытые вопросы. Это огромная и перспективная область развития для человечества, и мы в сфере информационной безопасности уделяем ей много внимания: и на курсе, и в научных работах ВШЭ.
В заключение подчеркну: только тот руководитель, который хорошо ориентируется в перечисленных технологических трендах и угрозах, нормативной базе, финансах, кадровых и других важных вопросах ИБ, сможет строить и реализовывать хорошие долгосрочные (трех-, пяти- и даже десятилетние) стратегии развития организации в области информационной безопасности. Выстраивая по кирпичикам качественную стратегию, наши слушатели научатся защищать как свою организацию и ее сотрудников, так и страну в целом. В этом – основная идея нашего курса.
В подписке — дайджест статей и видеолекций, анонсы мероприятий, данные исследований. Обещаем, что будем бережно относиться к вашему времени и присылать материалы раз в месяц.
Спасибо за подписку!
Что-то пошло не так!
