26.1.16

Прогнозы на год шипящего ужа

В конце года принято делать прогнозы на год грядущий. Не буду исключением и я и поделюсь своим видением того, что ждет нас в год обезьяны (он начнется в феврале). Хотя, по правде говоря, если уж быть патриотом и сторонником реального импортозамещения, а не смены продукции западного происхождения на восточные и не всегда качественные и тем более безопасные аналоги, то говорить надо о годе шипящего ужа, который наступает в марте. Это согласно древнеславянского календаря, который начинает новый год в день весеннего равноденствия.



В целом можно отметить, что в году уходящем в мире была передышка. Да и в России тоже. Регуляторы мало чем "порадовали" в уходящем году (может быть это и хорошо). Сенсационных разоблачений не было; как и инцидентов (кстати, Cisco на прошлой неделе выпустила свой годовой отчет с обзором произошедшего в мире; в том числе и на русском языке). Но пора оставить год ушедший в прошлом и посмотреть в год грядущий. Что он нам готовит? Я бы обратил внимание на следующее:

  • Интернет-советники Президента. Наряду с уже имеющимся Интернет-омбудсменом, у которого удивительным образом выросли доходы в 10 раз (говорят, что это случайно и никак не связано с приходом во властные коридоры), у нас появился в конце прошлого года еще и советник по Интернет (Герман Клименко). Возможно между двумя Интернет-радетелями начнется внутренняя конкуренция (судя по моим наблюдениям она уже началась; как минимум с одной стороны). Пока сложно сказать, что будет сделано полезного или не очень для отечественной Интернет-индустрии, но высказывания Германа Клименко по поводу иностранных Интернет-компаний и засилья Microsoft в госорганах навевает определенные мысли по поводу не самого радужного будущего иностранных ИТ-игроков в России. Но повторюсь, пока сложно делать конкретные прогнозы и выводы.
  • Продолжение сворачивания политических свобод и прав граждан. Ну тут к бабке не ходи, а это происходило в прошлом году и будет продолжаться в этом. И Интернет не минует чаша сия. Все чаще поднимаются вопросы о блокирования Интернета то на уровне отдельных протоколов (UDP или Tor), то для отдельных групп (например, для ИГИЛ). И вновь сдули пыль с очередной "нацбезопасной" идеи о том, что криптография мешает работе спецслужб и надо с этим что-то делать. То ли внедрять на уровне всей стране государственный MiTM, то ли запрещать криптографию вообще, то ли монополизировать весь рынок сертифицированных СКЗИ.
  • Несмотря на оптимизм некоторых моих коллег по поводу принятия законопроекта о безопасности критической информационной инфраструктуры, я его не разделяю. У меня немного другая информация относительно перспектив этого нормативного акта. А вот тема защиты информации в АСУ ТП, которую ведет ФСТЭК, будет развиваться. Как минимум, в части новых РД по промышленным МСЭ и антивирусам. Но может и другое что успеют принять в этом году. 
  • Доктрина ИБ должна все-таки появиться в этом году. Но дальше либо тема на этом и остановится (как было с предыдущим текстом 2000-го года), либо из нее благодатным ручьем польются новые или модифицированные нормативные акты и иные инициативы по ИБ, которые сделают задел на ближайшие годы. 
  • Про Гособлако и 261-й Указ я уже писал - повторяться не буду. 
  • С административной реформой пока тоже ничего не понятно, хотя разговоры идут. Примерно такие же разговоры в свое время шли про ФСТЭК, Минкомсвязи и другие госорганы. Но они уцелели. Другие, правда, не выжили. Так что все возможно. В уменьшение числа чиновников, числа министерств и ведомств, числа надзорных функций я верю с трудом, но вдруг здравый смысл возобладает и бизнесу все-таки дадут развиваться, а на загибаться.
  • ЦБ, НСПК и некредитные организации. ЦБ продолжит взятый курс на усиление роли ИБ в деятельности кредитных организаций (новые РС в рамках СТО БР ИББС), некредитных организаций (свои версии СТО БР ИББС для них), для платежных систем (выйдет новая версия 382-П) и для НСПК. Для последней начаты работы по переводу ее (и карты "Мир") на отечественные крипторельсы.
  • ГосСОПКу будут развивать с той или иной степенью успешности. Но победоносного шествия ее ждать не стоит - с такой организацией процесса будет полная неразбериха. Как минимум. Как максимум - очередной срыв и сдвиг сроков. 8-й Центр по другому не умеет работать.
  • Кстати, о 8-м Центре ФСБ. В этом году он должен (если успеет) выпустить новые и публичные требования к СКЗИ и их сертификации.
  • Новые требования по сертификации будут и у ФСТЭК. Да и вообще ФСТЭК продолжает активную нормотворческую деятельность, как в части методической (выйдет новая редакция 17-го приказа), так и в части оценки соответствия средств защиты (будут, как минимум, приняты РД по ОС, СУБД и МСЭ).
  • Импортозапрещение продолжится, а вот импортозамещение врядли - российские продукты не выпускаются с такой же скоростью, как запрещают иностранные аналоги. Зато появится практика обоснования применения последних в отсутствие отечественных решений. Она уже появляется (сам готовил уже не одно такое обоснование).
  • С другой стороны иностранцы будут обвинять Россию в атаке всех и вся. Как обычно без доказательств, но зато с завидной регулярностью. Роль агрессора нам уготована не только в мире физическом, но и в виртуальном.
  • Китай, у которого наметилось сокращение ВВП, будет наращивать свое присутствие в странах-соседях, включая и Россию. На мой взгляд, даже если дистанцироваться от моего места работы, Китай - это основная угроза для национальной безопасности России. Неизведанная и непонятная. Совершенно иная культура, совершенно другое мышление. Я в свое время изучал восточные единоборства и помимо чисто практической стороны вопроса немало времени потратил на изучение китайской военной мудрости (Сунь Цзы - это только один, пусть и самый известный из авторов Поднебесной). Могу сказать, что тихой сапой, маскируясь за конфликтом России и США, но Китай начал свою экспансию в разных сферах, включая и информационные технологии. К счастью, мы пока не сталкиваемся с их решениями по ИБ, но вот угрозу от их ИТ-продукции мы еще ощутим в будущем. А пока, в году обезьяны (календарь нам уже втюхали :-), китайцы будут все более активно навязывать свои решения в госорганы.
  • Блокчейн... Вот тут будущее туманно. С одной стороны Сбербанк и Киви, которые активно движутся в этом направлении. С другой МинФин и Следственный комитет, которые хотят ввести уголовную ответственность за использование биткойнов. С одной стороны проявление некоторого интереса к этой теме со стороны Банка России (в Магнитогорске будет доклад на эту тему), а с другой абсолютное молчание со стороны крипто-регулятора. Посмотрим, чья возьмет.
  • На коммерческом рынке будет нестабильно. Сокращения в отечественных и иностранных компаниях будут продолжены. Кто-то из игроков не выживет - иностранцы уйдут, а "патриоты" не переживут падения курса рубля, роста стоимости нефти, снижения покупательской платежеспособности. Я про это говорил в конце 2014-го года - ситуация стала только хуже.
Пожалуй и все из ключевых тенденций, которые мне пришли в голову. Может быть что-то и забыл, а что-то может выскочить как черт из табакерки совсем внезапно. Отдельные "эксперты" заявляют о росте угрозы со стороны Интернета вещей. Полная чушь, непонимание российских реалий и слепое копирование чужих прогнозов. В России пока приходят только умные гаджеты, но не всюду и не всем они доступны. А уж в корпоративную практику эти решения у нас пока еще не вошли даже на уровне бета-тестирования. Так что можно пока дышать свободно и не бояться ни дронов, ни кофеварок, ни автомобилей, ни кардиостимуляторов, управляемых через Интернет.

ЗЫ. Вообще я не случайно затянул со своими "предсказаниями". Планировалось, что они будут даны в рамках одного из вебинаров, который должен был быть организован на уже известной и не раз меня приглашавшей площадке (точнее даже двух). Но не срослось... Поэтому выплеснул все на страницы блога.

1 коммент.:

Александр Германович комментирует...

Сложно согласиться с тезисом, что "ФСТЭК продолжает активную нормотворческую деятельность". Из обещанного на 2015 год ФСТЭК не выпустила ничего. Возможно, в 2016 они ударно поработают и выполнят "двойную норму"?