Вице-президент «Норникеля»: мы должны договориться о правилах игры в информационной сфере

На конференции в Германии вице-президент ГМК «Норильский никель» Владислав Гасумянов выступил с инициативой разработки Хартии информационной безопасности критических объектов промышленности. Подробности он рассказал корреспонденту “Ъ” Елене Черненко. — Расскажите о своей инициативе. — Мы предлагаем прописать правила для бизнеса, что можно, а что нельзя делать в информационном пространстве. Мы должны ясно дать понять, что не приветствуем и осуждаем определенные вещи. Скажем, есть недобросовестная конкуренция в промышленности, и некоторые страшно радуются, когда у кого-то случаются проблемы, потому что тогда их товар становится дороже и дефицитнее. Чтобы этого не происходило, мы должны договориться о правилах игры. Мы должны сделать так, чтобы любой, кто проникает в технологические процессы, нарушает устойчивость инфраструктуры, крадет чувствительную информацию у коллег и конкурентов, был осужден бизнес-сообществом. — Но документа пока еще нет? — Мы берем на себя инициативу подготовить эту хартию в сотрудничестве с другими заинтересованными компаниями и объединениями как в России, так и за ее пределами. Надеемся, что к нам присоединятся германская промышленность, американская — все, кто заинтересован в сотрудничестве и озабочен такими же проблемами, как и мы. — Звучит амбициозно. Уверены, что будет интерес со стороны других компаний, в том числе иностранных? — У «Норильского никеля» есть опыт подобной работы: нашу позицию по незаконному обороту драгоценных металлов как формы финансирования преступности мы провели через все инстанции и вышли на резолюцию экономического совета ООН. — Российский МИД несколько лет назад внес на рассмотрение ООН инициативу, нацеленную на принятие правил поведения в информационном пространстве для государств, но она не получила широкой поддержки. Почему у вас должно получиться? — Потому что бизнес нацелен на то, чтобы развиваться и получать прибыль. То, что делается на уровне государств, более политизировано, а потому подвержено влиянию многих геостратегических факторов. Но я не говорю, что там не получилось, а у нас получится. Надо стучать во все двери, и одна из них откроется. — В чем разница интересов государства и бизнеса в сфере информационной безопасности? — Принципиальной разницы нет. Есть специфика. Например, бизнесу главное — оперативно выявить и нейтрализовать кибератаку, только потом для нас встает вопрос определения источника негативного воздействия на нашу среду. Безусловно, и вопросы атрибуции крайне важны для бесперебойного функционирования информационной экосистемы. С точки зрения правоприменения и легального противодействия, оспаривания в судебном порядке как раз важны поиск и нахождение первопричины и правовой оценки субъекта атаки для принятия соответствующих действий. Здесь бизнес и государство должны действовать вместе, естественным образом дополняя друг друга. — Нет ли ощущения, что государства перехватили инициативу в сфере выработке международных норм в информационном пространстве и игнорируют интересы бизнеса? — Вопрос поставлен не совсем корректно. Нет такой проблемы: кто впереди — государство или бизнес. Здесь ситуация, когда всякий успех выгоден как государству, так и бизнесу (как раньше говорили — win-win). Компаниям всегда выгодно, когда существуют устойчивые правила игры, в том числе правила поведения в сети,— когда информационная инфраструктура работает надежно и устойчиво, а также действуют механизмы реагирования на инциденты (в том числе наднациональные). И неважно кто быстрее преуспел в этом. — А вы могли бы изложить в цифрах потери «Норникеля», связанные с кибератаками? — Существует множество методик оценки рисков информационной безопасности и возможных потерь от инцидентов, поэтому в данном случае есть элемент лукавства. Цифры, которые называют, как правило, сложно проверить. За последние годы выстроенная нами корпоративная система информационной безопасности не допускала серьезных инцидентов в киберсфере. Но это не повод для упокоения. К сожалению для крупных промышленных групп, за последние полгода мы отмечаем существенный рост «внимания» к себе со стороны злоумышленников. Видимо, те усилия в области информационной безопасности, которые предпринимают финансовый и банковский сектора экономики совместно с государственными регуляторами, приносят свои плоды. Киберпреступникам становится сложнее добиваться получения прибыли в тех областях, где возможна быстрая монетизация «результатов». Однако это их не останавливает, и они переключаются на те сектора экономики, где ранее их активность не была столь велика. Говоря о цифрах, могу привести наши самые скромные оценки от эффективности внедрения систем информационной безопасности в компании. По итогам 2016 года предотвращенные потери без учета стоимости предотвращенных утечек коммерческой тайны и чувствительной информации, а также нарушения устойчивого функционирования критических для бизнеса информационных систем составили более 250 млн руб. — В своей презентации на конференции в Гармиш-Партенкирхене вы несколько пессимистично высказались о внедрении ряда современных технологий и прежде всего облаков. Почему? — По нашим наблюдениям, с ростом использования бизнесом публичных облаков соответственно увеличивается и число утечек. Все инциденты характеризуются большим объемом скомпрометированных данных, долгим сроком обнаружения или огласки факта нарушения целостности, конфиденциальности и доступности информации. При этом перевести ответственность облачного оператора за информационную безопасность в юридическую плоскость достаточно затруднительно. В случае перевода данных критических производств в публичные и гибридные облака последствия рисков нарушения конфиденциальности и доступности велики и неочевидны в плане их точной оценки. Поэтому предлагаемые на рынке страховые покрытия реализации киберугроз далеко не всегда могут компенсировать возможные потери. С учетом этого преимущества следования тренду перевода критических данных в публичные облака для нас неочевидны. Тем не менее мы не можем не использовать преимущества, которые представляют современные передовые технологии. Поэтому мы за использование корпоративных облачных платформ, которые разворачиваются на собственной ИТ-инфраструктуре и позволяют нам применять наши корпоративные стандарты информационной безопасности.