Информационная безопасность как инструмент цифровой трансформации малого бизнеса
Статья в журнале
Креативная экономика (РИНЦ, ВАК)
опубликовать статью | оформить подписку
Том 19, Номер 1 (Январь 2025)
Введение. В рамках реализации Указов Президента Российской Федерации от 7 мая 2018 г. № 204 «О национальных целях и стратегических задачах развития Российской Федерации на период до 2024 года» [3] и от 21.07.2020 г. № 474 «О национальных целях развития Российской Федерации на период до 2030 года» [5], в том числе с целью решения задачи по обеспечению ускоренного внедрения цифровых технологий в экономике и социальной сфере, Правительством Российской Федерации сформирована национальная программа «Цифровая экономика Российской Федерации» утверждённая протоколом заседания президиума Совета при Президенте Российской Федерации по стратегическому развитию и национальным проектам от 4 июня 2019 г. № 7 [54].
Основой формирования цифровой экономики является процесс цифровизации (digitization, digitalization) экономики и общества, подразумевающий массовое внедрение и усвоение цифровых технологий, что приводит к социально-экономической трансформации общества [34], имеющей глобальное влияние на современный бизнес.
Согласно Указу Президента Российской Федерации «О стратегии развития информационного общества в Российской Федерации на 2017-2030 годы» [2] понятие «цифровой трансформации» можно определить как: изменение модели управления экономикой от программно-целевой к программно-прогностической; как смену экономического уклада в результате изменений, связанных с цифровыми технологиями, охватывающими традиционные рынки, социальные отношения, государственное управление; как принципиальное изменение основного источника добавленной стоимости и структуры экономики за счёт формирования более эффективных экономических процессов, обеспеченных цифровыми инфраструктурами; переход функции лидирующего механизма развития экономики к институтам, основанным на цифровых моделях и процессах [42].
Современный период становления цифровой экономики уже невозможен без трансформации бизнеса. Вовлечённость организаций малого бизнеса в процесс цифровой трансформации связана, во-первых, с возрастающей конкурентоспособностью, а во-вторых, перспективами развития при переходе на «цифровые рельсы». В российских организациях уже начался этап масштабного внедрения цифровых технологий, а часть компаний это ещё планирует сделать [30]. Устойчивость малому бизнесу может придать его своевременный переход на «цифровые рельсы», ведущий к цифровой трансформации бизнеса, который существенно расширяет возможности не только для центральных регионов, но и для периферии [29].
Изменчивость факторов внешней среды вынуждает малый бизнес искать новые пути для развития, осуществляя поиск устойчивых стратегий развития. Полагаем, важным инструментом при формировании стратегии цифровой трансформации бизнеса является обеспечение информационной защищённости малого бизнеса, способного придать ему устойчивое развитие. Зачастую бизнес сектор более заинтересован в оснащении современной техникой и технологиями, нежели в затратах, связанных с информационной безопасностью (далее - ИБ) [43]. Чаще всего хакерским атакам подвергаются организации малого бизнеса, что связано с недостаточной ИБ, в современный период развития цифровых технологий способы злоумышленников становятся всё более изощрёнными. Всё вышесказанное и предопределило актуальность темы научной публикации.
Изученность темы исследования. Проблемные аспекты ИБ рассматриваются многими российскими учёными. Так, к вопросам влияния цифровизации на экономику России обращено внимание отечественных исследователей, например, А.М. Баранова [12], Д.Е. Бекбергеневой [13], Н.В. Днепровской [18], А.А. Мироедова [27], Д.А. Нагорного [31], А.В. Пролубникова [37] и др.
ИБ рассматривалась как составляющая часть экономической безопасности в условиях цифровой трансформации в работах российских исследователей: А.М. Агаевой [10], З.З.Алия [11], С.И. И.Г. Борок [14], А.В.Вихрова [15], И.А. Громова [16], С.К.Клещёва [22], М.Т.Кожуховой [23], М.В. Макаровой [25], К.В.Матвиенко [26], В.П.Невмывако [32], К.В. Новоселова [33], С.А. Носкина [35], Т.Б.Оздоева [36], М.В. Рукинова [38], Н.С. Смирницкого [40], А.В.Толочко [41], вопросы ИБ представлены в исследованиях Д.П.Зегжды, Ю.С.Васильева, М.А.Полтавцевой, И.Ф.Кефели, А.И.Боровкова [19], А.В.Гурьянова, Д.А.Заколдаева, А.А.Шукалова, И.О.Жаринова, М.О.Костишина [17] и др.
Цель исследования: описать особенности применения информационной безопасности малого бизнеса для его устойчивого развития в современный период цифровой трансформации.
Методологической основой публикации послужили Указы Президента Российской Федерации и другие нормативно-правовые акты, федеральные проекты, диссертационные исследования и научные публикации. Методы исследования: общенаучные (анализ, синтез, наблюдение, сравнение и обобщение, а также методы индукции и дедукции).
Гипотеза исследования: применение инструментов информационной безопасности малым бизнесом способствует его устойчивому развитию и переходу к цифровой трансформации.
Теоретическая значимость научной статьи заключается в описании особенностей и перспектив от применения инструментов информационной безопасности малым бизнесом для придания устойчивого развития в современный период цифровой трансформации.
Практическая значимость исследования определяется выявлением препятствий для широкого применения инструментов информационной безопасности российским малым бизнесом, а также описании мер поддержки для широкого применения инструментов информационной безопасности.
Научная новизна определена авторским подходом к определению особенностей применения информационной безопасности малым бизнесом в период цифровой трансформации.
В связи с введением беспрецедентных санкций вражеских государств процесс перехода на российское программное обеспечение, оборудование в области информационной безопасности является продолжительным процессом и пока он не завершён - российский малый бизнес остаётся уязвимым для кибератак. В 2022 г. вступил в силу Указ Президента РФ от 30 марта 2022 г. № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» (с изменениями и дополнениями) [1], который наложил запрет на закупку с 2024 г. использования средств ИБ из недружественных стран на предприятиях критических отраслей с 2025 г.
Преимущества применения цифровых технологий очевидны, так, например, применение облачных технологий позволило организациям ощутимо сократить расходы на использование программного обеспечения, так как не требуется создание парка серверного оборудования организации. Там, где возможны ошибки на производстве, связанные с человеческим фактором, требуется внедрение искусственного интеллекта (далее -ИИ) для автоматизации и интеллектуализации процессов на производстве [28].
Цифровые технологии, с одной стороны, создают новые возможности для развития малого бизнеса [29], а с другой, становятся эффективным инструментом злоумышленников, осуществляющих множество атак, постоянно расширяя географию и выбирая всё более изощрённые способы противоправных целей.
Так. доля компаний, не использующих инструменты обеспечения безопасности данных, по сравнению с сентябрём 2020 года снизилась на 7 п.п. (с 28% до 21%). Каждая третья компания сектора малого и среднего предпринимательства в 2021 г. имела утверждённую политику ИБ (34%), каждая вторая — политику конфиденциальности информации (53%). Антивирусными программами для физических лиц пользуются 43% опрошенных, только 35% компаний используют антивирусные программы для юридических лиц и лишь 11% – специализированные программы для комплексной защиты бизнеса (межсетевые экраны, защиту от DDoS-атак) [44].
Для того чтобы «выжить» организациям малого бизнеса в таких условиях необходимо формировать стратегию дальнейшего развития, актуализируя применение цифровых технологий, способных придать ему устойчивое развитие. Пренебрежение инструментами ИБ, наоборот, сулит неизбежные проблемы и, соответственно, его неустойчивое развитие.
Понятие ИБ определено Доктриной ИБ, принятой на федеральном уровне: «состояние защищённости личности, общества и государства от внутренних и внешних информационных угроз, при котором обеспечиваются реализация конституционных прав и свобод человека и гражданина, достойные качество и уровень жизни граждан, суверенитет, территориальная целостность и устойчивое социально-экономическое развитие Российской Федерации, оборона и безопасность государства» [6].
Большинство понятий, связанных с ИБ определяются Указом Президента Российской Федерации от 30.03.2022 г. № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» [1], Указ Президента РФ от 01.05.2022. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» [4], а также Федеральным законом № 187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры (КИИ) РФ» [7] и Федеральным законом от 29.12.2022 г. № 584-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» [8].
Классификация решений в области обеспечения средств защиты информации малого бизнеса представлена в таблице [1].
Как правило, выделяют формальные (технические) и неформальные (нормативные) средства защиты информации, так, к формальным средствам защиты информации относят: физические (технические средства технической защиты), аппаратные (оборудование, устройства), программные (специальные комплексные программы), а также математический (криптографический) способ защиты, к неформальным - административные (законодательные), нормативные (организационные), морально-этические (психологические) [Например, 21]
Таблица.
Классификация решений в области обеспечения средств защиты информации малого бизнеса
|
Средства защиты
информации
| |
|
Формальные Физические (технические средства физической защиты) |
Неформальные |
|
Любые
механические, электрические и электронные механизмы, которые функционируют
независимо от информационных систем и создают препятствия для доступа к ним:
замки, в том числе электронные, экраны, жалюзи, видеокамеры, видеорегистраторы,
датчики, выявляющие движение или превышение степени электромагнитного
излучения в зоне расположения технических средств для снятия информации.
|
Административные
(законодательные)
Защита информации регулируется международными конвенциями, Конституцией, федеральными законами «Об информации, информационных технологиях и о защите информации», законы Российской Федерации «О безопасности», «О связи», «О государственной тайне» и различными подзаконными актами. |
|
Аппаратные (оборудование, устройства):
средства обнаружения, средства поиска, детальных измерений, активного противодействия, пассивного противодействия, т.е. любые электрические, электронные, оптические, лазерные и другие устройства, которые встраиваются в информационные и телекоммуникационные системы: специальные компьютеры, системы контроля сотрудников, защиты серверов и корпоративных сетей, препятствующие доступу к информации, в том числе с помощью её маскировки. (генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить). |
Нормативные (организационные) позволяет
создать регламент работы пользователей с конфиденциальной информацией,
подобрать кадры, организовать работу с документацией и носителями данных; играют
значимую роль в создании надёжного механизма защиты информации. Так как
возможности несанкционированного использования конфиденциальных сведений в
значительной мере обусловливаются не техническими аспектами, а злоумышленными
действиями. Например нерадивостью, небрежностью и халатностью пользователей
или персонала защиты.
Возможные варианты: архитектурно-планировочные решения, позволяющие защитить переговорные комнаты и кабинеты руководства от прослушивания, установление различных уровней доступа к информации, оформление системы запросов на допуск к интернету, внешней электронной почте, другим ресурсам, получение электронной цифровой подписи для усиления безопасности финансовой и другой информации, которую передают государственным органам по каналам электронной почты. |
|
Программные
(специальные программные комплексы): простые и комплексные программы,
предназначенные для решения задач, связанных с обеспечением информационной
безопасности (например, DLP-системы и SIEM-системы).
|
Морально-этические
(психологические) нормы
(документы, стандарты, правила, регламенты, культура и др.)
сложившиеся в обществе или данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе. Эти нормы не являются обязательными, как законодательно утвержденные нормы, однако, их несоблюдение ведет к падению авторитета, престижа человека или организации. |
|
Математический
(криптографический)
внедрение криптографических и стенографических методов защиты данных для безопасной передачи по корпоративной или глобальной сети (программные компоненты шифрования (криптопровайдеры), средства организации VPN, средства удостоверения, средства формирования и проверки ключей и электронной цифровой подписи).. | |
Использование персональных ноутбуков для работы дома особенно стало востребованным в период пандемии COVID19, что значительно увеличило риск быть подвергнутым атаке, так как личные устройства хуже защищены от вредоносного программного обеспечения.
По данным экспертно-аналитического центра InfoWatch, в первом полугодии 2024 г. более 99% утечек в России носили умышленный характер, что на 1% выше, чем в том же периоде 2023 г. [45].
Для обеспечения безопасности сайтов организаций российские домены используют TLS-сертификаты, разработанные Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации. Выдача российских сертификатов осуществляется бесплатно на основе запроса организации через сайт Госуслуг [57].
Маршруты документов, содержащих конфиденциальную информацию на бумажных либо электронных носителях в инфраструктуре организаций малого бизнеса должны быть документированы и регламентированы, чтобы была возможность для восстановления работоспособности системы документооборота в максимально сжатые сроки.
Кажущиеся простыми, на первый взгляд, ошибки персонала при сохранения информации организаций малого бизнеса, такие как, например, отсутствие индивидуальных паролей для компьютеров, резервного копирования информации влекут за собой серьёзные проблемы, связанные с потерей конфиденциальности, потерей важной информации. Работа с персоналом в области ИБ должна стать составляющей частью по формированию «цифровой культуры» организаций малого бизнеса.
За разглашение коммерческой, служебной или государственной тайны работнику предприятия будет грозить дисциплинарная ответственность, предусмотренная статьями 57, 81, 192 и 193 Трудового Кодекса Российской Федерации [9]. Предусмотрены дисциплинарные взыскания: Замечание. Выговор. Увольнение (По статье 81 ТК РФ «Расторжение договора по инициативе работодателя»). Если распространение информации нанесло вред предприятию, наступает материальная ответственность. Статьи 232 и 238 предусматривают возмещение потерь в полном объёме. Если разглашение конфиденциальных данных привело к материальному ущербу, то пострадавшая сторона может потребовать компенсацию в судебном порядке [20].
26 ноября 2024 года Государственной думой [46] приняты законопроекты, ужесточающие ответственность за утечки персональных данных, закон вступит в силу с 1 марта 2025 г.. В частности, для компаний вводятся оборотные штрафы, тогда как киберпреступникам, продающим такую информацию, грозят тюремные сроки.
Организации малого бизнеса подвержены адресным атакам злоумышленников при помощи технологии искусственного интеллекта, получившего развитие фактически во всех технических и информационных сферах (системы обучения и адаптации персонала; кибернаблюдение; анализ угроз; управление доступом; анализ уязвимостей; прогнозирование инцидентов; обнаружение атак; автоматизация реакций на инциденты) [39].
К несомненным плюсам искусственного интеллекта в обеспечении ИБ можно отнести: способность находить ранее неизвестные атаки; настраивать защитные инструменты без глубоких знаний; принимать решения без перебора правил; обрабатывать большие объёмы данных и находить неочевидные закономерности [53].
Чем больше угроз, тем сложнее подобрать высококвалифицированного эксперта, особенно в регионах, и тем выше их ожидания по заработной плате. Согласно данным специализированной рекрутинговой платформы для поиска и найма IT- специалистов, средний размер оплаты труда специалиста по кибербезопасности на 1 ноября 2024 г. составляет 237833 руб. в месяц, что на 20% выше чем в прошлом году [48]. По данным аналитического исследования «Рынок труда в информационной безопасности в России в 2024–2027 гг.: прогнозы, проблемы и перспективы» компании Positive Technologies и фонда «Центр стратегических разработок «Северо-Запад» [55], представленного на ПМЭФ-2024, медианная зарплата специалистов в сфере ИБ в коммерческих организациях составляет 125 тыс. руб., а в государственных – 86 тыс. руб. В регионах России заработная плата ниже, чем в Центральной России, медианными показателями для коммерческих и государственных фирм в регионах являются 65 тыс. руб. и 40 тыс. руб. соответственно.
В 2022 г. проблему усугублял отток кандидатов за рубеж, в 2023 г. ситуация стабилизировалась, однако в негативных значениях - 66 % компаний считают дефицит привычным [48].
Для решения «кадрового вопроса» Минцифры России совместно с Минобрнауки России продолжает работу по подготовке ИТ-специалистов в вузах в рамках реализации федерального проекта «Кадры для цифровой экономики». Так, проект «Цифровые профессии» предлагает получить дополнительное ИТ-образование за половину стоимости и предлагает 24 направления образовательных программ от популярных ИТ-организаций и образовательных организаций [49].
Фонд содействия инновациям оказывает грантовую поддержку малым предприятиям, как уже существующим, так и новым созданным, стремящимся разработать новую продукцию с использованием ИИ [52].
«Исследование уровня ИБ в организациях России» компании SEARCHINFORM за 2023 г. показало, что 30% сотрудников не знают основные правила ИБ, а 2% -не знают совсем [48].
Таким образом, актуальными остаются вопросы повышения цифровой грамотности населения и обучения ИБ. Необходимо поддерживать образовательные мероприятия, направленные на формирование знаний об ИБ, а в организациях работать над трансформацией существующей культуры в цифровую культуру.
В результате Всероссийской программы кибергигиены, организованной Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации совместно с «РТК-Солар» и СПбГУТ, реализованной в рамках национальной программы «Цифровая экономика», за 2022 г. 7,7 млн россиян стали участниками шести специальных проектов: «КиберЗож», «Сложные несложные пароли», «Выучи свою роль», «Кибер буллинг», «Прокачай скилл защиты», «Подготовка к известности» [51].
На портале Госуслуг [50] для граждан создан раздел о Кибербезопасности и повышении информационной грамотности, освещающий создание паролей, фишинг, защиту мобильного устройства, киберграмотность детей и людей пенсионного возраста.
Для повышения уровня цифровой грамотности на Цифровой платформе МСП создано направление «Вовлечение предпринимателей», весомый вклад в обучение бизнеса привносят образовательные программы АО «Корпорации «МСП»: «Азбука предпринимателя», «Школа предпринимательства», а также образовательные ресурсы для МСП АО «Деловая Россия».
С 2025 г. будет запущен новый национальный проект «Экономика данных и цифровая трансформация государства» в рамках которого получат масштабирование и популяризацию лучшие практики нацпроекта «Цифровая экономика», в том числе по обеспечению информационной безопасности.
Заключение
Введение санкций значительно усложнило деятельность малого бизнеса в области информационной безопасности, сделав его особенно уязвимым к кибератакам. Ощущается дефицит высококвалифицированных кадров для создания систем информационной защищённости малого бизнеса, обеспечения нормотворческой деятельности для выполнения требований регуляторов, так наблюдается и нехватка управленцев для подготовки стратегий цифровой трансформации малого бизнеса, формирования цифровой культуры и обеспечения ИБ.
Необходима и дальнейшая поддержка государством малого бизнеса, способствующая повышению уровня знаний и осведомлённости о необходимости защиты информации. Всё ещё остаётся нехватка высококвалифицированных специалистов и в области управления цифровой трансформацией бизнеса, способных уверено трансформировать культуру организации в «цифровую культуру».
Дальнейшие исследования связаны с исследованием цифровой культуры, управлением проектами в период цифровой трансформации.
[1] Составлено авторами.
Страница обновлена: 04.12.2024 в 12:43:47