Об авторе: Павел Эйгес, генеральный директор компании «Открытая мобильная платформа»
Когда от слабой защищённости цифровых решений страдают граждане, бизнес и государственные сервисы, вопрос кибербезопасности становится вопросом социальной ответственности.
Мы слишком долго относились к кибербезопасности как к внутреннему делу IT-служб, регуляторов и узких специалистов. Но сегодня это уже вопрос повседневной жизни. Если уязвимость в программном обеспечении приводит к утечке данных пациентов, к сбою в банковском сервисе, к остановке записи в поликлинику или к росту мошеннических звонков, последствия наступают не для компаний, а для общества.
Государство в последние годы выстраивает нормативную базу социальной ответственности. Развиваются требования к защите критической информационной инфраструктуры, государственных информационных систем, персональных, биометрических, финансовых и медицинских данных. Важную роль здесь играют ФСТЭК России, ФСБ России, Минцифры России и другие ведомства, причем такая работа ведётся в диалоге с отраслью. Но сами по себе нормы не создают устойчивую цифровую среду.
Глобальные данные показывают, что проблема лежит глубже – в накопленном техническом долге, который снижает устойчивость цифровых сервисов на уровне архитектуры. По данным CAST, в мире 45% кода неустойчивы к сбоям, 31% – не адаптированы к безопасным изменениям, а 32% избыточно сложны, что повышает стоимость эксплуатации и даже увеличивает энергопотребление. Это означает, что ответственность разработчика сегодня состоит не только в устранении известных уязвимостей, но и в инженерной дисциплине, позволяющей системе безопасно развиваться годами.
Здесь и возникает главный вопрос. Если компания создаёт цифровой продукт, от которого зависят граждане, бизнес или государственные сервисы, то она отвечает не только за удобство интерфейса и скорость вывода на рынок. Она отвечает и за уровень безопасности, за исправления, за обновления, за сопровождение. Точно так же, как производитель оборудования отвечает не только за продажу изделия, но и за его надёжность. Цифровой вендор должен отвечать за безопасность своего продукта на всём жизненном цикле.
На практике это означает очень простую вещь: недостаточно один раз написать код и поставить систему заказчику. Если разработчик выпускает решение с очевидными уязвимостями, месяцами не закрывает критические дефекты, прекращает поддержку безопасных версий или перекладывает все риски на заказчика, то это уже форма социально безответственного поведения.
Сегодня такое, к сожалению, не редкость. В одной ситуации заказчик годами использует продукт без своевременных обновлений и живёт на уязвимой версии, потому что производитель не выстроил нормальный цикл сопровождения. В другой – массовый сервис затягивает с исправлением известной уязвимости, а расплачиваются за это миллионы пользователей. В третьей – цифровое решение для клиники или промышленного предприятия создаётся без зрелого процесса безопасной разработки, последствия чего выходят далеко за пределы одного контракта. Во всех этих случаях возникает риск не только для бизнеса, но и для общества.
Поэтому кибербезопасность сегодня должна восприниматься так же, как техника безопасности, санитарные нормы или надёжность товара. Если строитель возводит объект с грубыми нарушениями, это вызывает осуждение. Если производитель выводит на рынок опасную продукцию, это становится репутационным кризисом. Цифровая сфера должна прийти к той же норме: выпуск небезопасного программного обеспечения и отказ от своевременных исправлений должны стать не только предметом регуляторной оценки, но и общественно порицаемым поведением.
Как это обеспечить? Не одним законом и не одной публикацией. Социальная ответственность появляется там, где безответственное поведение невыгодно, неприлично, профессионально стыдным.
Во-первых, нужен репутационный механизм. Рынок должен научиться спрашивать с компаний не только за цену, скорость внедрения и маркетинг, но и за то, как устраняются уязвимости, насколько быстро выпускаются обновления, как долго поддерживаются безопасные версии и насколько открыто разработчик реагирует на сообщения исследователей и заказчиков. Фраза «этот вендор не обеспечивает исправления и обновления» должна звучать для цифровой компании так же токсично, как для промышленной обвинение в нарушении техники безопасности.
Во-вторых, нужен экономический механизм. Пока безответственный игрок может сэкономить на безопасной разработке, быстро вывести продукт на рынок, урезать сопровождение и при этом сохранить долю рынка, новая норма не заработает. Безопасность должна влиять на закупки, на доступ к крупным контрактам, на доверие заказчиков. История закрытия уязвимостей, зрелость безопасной разработки, готовность сопровождать продукт и выпускать обновления должны становиться фактором конкурентного отбора.
В-третьих, нужен профессионально-этический механизм. В отрасли должно закрепиться понимание, что выпускать продукт без зрелых процессов безопасной разработки, игнорировать известные уязвимости, затягивать исправления и считать сопровождение второстепенным – просто непрофессионально. Это вопрос уже не только регуляторики, но и профессиональной чести разработчика.
Именно поэтому так важен переход от разговоров о безопасности «поверх системы» к безопасной разработке как к нормальной инженерной дисциплине. В России для этого ФСТЭК России стандартизировал требования к безопасной разработке и утвердил национальный стандарт разработки безопасного программного обеспечения – РБПО. Его смысл в том, что безопасность должна учитываться не постфактум, а на всем жизненном цикле программного обеспечения: при проектировании, разработке, тестировании, выпуске и сопровождении. Такой подход снижает число уязвимостей и делает продукт надёжнее ещё до того, как он выйдет в промышленную эксплуатацию.
Отдельная тема – open source. Использование открытых компонентов экономически оправдано и технологически эффективно. Но open source не отменяет ответственности. Если компания строит коммерческий продукт на общей технологической базе, она (компания) должна вкладываться и в безопасность обще базы. Если выявлена уязвимость в широко используемом компоненте и сделано исправление, результаты такой работы по возможности должны возвращаться для общего использования. Иначе одна компания временно снизит риск для себя, а тысячи других решений останутся уязвимыми. Здесь социальная ответственность проявляется очень наглядно: пользуясь общей базой, нужно совместно заботиться о её надежности.
Есть ещё один важный уровень ответственности – гражданский. Пользователь, который не обновляет устройства, сознательно использует сомнительные и неподдерживаемые решения, игнорирует базовые правила цифровой гигиены, тоже влияет на общую устойчивость среды. Конечно, главная нагрузка здесь лежит на бизнесе и разработчиках, но общественная норма не возникает без верного поведения самих граждан. Когда пользователи начинают ценить поддержку, обновления и ответственное отношение к безопасности, рынок это чувствует.
Чтобы новая норма закрепилась, необходимо сочетание нескольких механизмов сразу. Государство должно продолжать выстраивать понятную и согласованную систему требований. Закупки и рынок должны различать ответственных и безответственных игроков. Профессиональное сообщество – поддерживать этику безопасной разработки и ответственного раскрытия уязвимостей. Общество – перестать считать цифровую безответственность чем-то второстепенным и сугубо техническим.
Цифровая безответственность должна стать таким же репутационно токсичным поведением, как нарушение техники безопасности в промышленности или выпуск опасного товара на потребительский рынок. Разработчик, который не обеспечивает необходимый уровень безопасности, исправления и обновления, создает риск не только для заказчика, но и для общества.
Национальная киберустойчивость начинается не только в центрах мониторинга и нормативных актах. Она начинается в тот момент, когда безопасность перестаёт быть второстепенной функцией и становится вопросом ответственности – профессиональной, корпоративной и гражданской. Именно поэтому социальная ответственность бизнеса – не приложение к кибербезопасности, а одна из её ключевых основ.
