Цифровой суверенитет IT-продуктов. Как обеспечить?

Серверы: основа цифровой инфраструктуры

С цифровизацией экономики и государственного управления выбор места для размещения серверов и данных стратегически важен. 

Российское законодательство, в частности Федеральный закон N 152-ФЗ, требует, чтобы персональные данные российских граждан обрабатывались и хранились на территории страны.

 Это необходимое условие для защиты персональной информации граждан и, шире, обеспечения цифрового суверенитета.

Размещение серверов в России гарантирует необходимый уровень контроля данных, снижает риски, связанные с хранением за пределами страны. Это актуально в условиях политической нестабильности и санкций. Когда серверы физически размещены в стране, гораздо проще соблюдать нормативные требования и оперативно реагировать на запросы регулирующих органов.

Создание и модернизация центров обработки данных (ЦОД) — это важный аспект обеспечения цифрового суверенитета. В России разрабатывают генеральную схему размещения ЦОД, которая позволит оптимизировать их территориальное расположение и использовать климатические преимущества регионов для снижения затрат на охлаждение оборудования.

Другой важный шаг — проект по созданию консорциума ЦОД, для координации развития инфраструктуры, мониторинга и оперативного устранения сбоев. Это должно повысить надежность и безопасность данных, снизить расходы на электроэнергию.

Только комплексный подход позволит создать надежную и эффективную систему, способную обеспечить технологическую независимость и безопасность данных.

Софт: ключ к технологической автономии

Еще один шаг к цифровому суверенитету подразумевает создание российских программных продуктов, поддержка местных разработчиков, информирование заказчиков об альтернативных российских программах и сервисах. Выделим 5 причин, почему это важно:

1. Независимость от иностранных разработчиков.

2. Контроль над данными и технологиями.

3. Защита от кибератак и утечек данных.

4. Собственность на интеллектуальные права программных продуктов.

5. Быстрая адаптация к новым условиям и внедрение инноваций.

По решению Правительства РФ создан Единый реестр российских программ, чтобы защитить и поддержать разработчиков. Это удобно и для заказчиков: в реестр входит российское ПО, одобренное властями для использования госкорпорациями и госструктурами.

Пример внедрения инфраструктуры для цифрового суверенитета — Единая цифровая платформа Российской Федерации, или «ГосТех» . Это облачная платформа для госсектора, ее назначение -- создание государственных информационных систем (ГИС) и цифровых сервисов. С 1 января 2024 года федеральные и региональные информационные системы должны создаваться на платформе «ГосТех».

Коротко перечислим те программные продукты, которые разрабатываются в России, и могут стать основой для технологической независимости и безопасности.

• Российские операционные системы, такие как Astra Linux и Alt Linux, предлагают альтернативу зарубежным ОС, дают необходимый уровень защиты и адаптацию под специфические требования российских пользователей и организаций.

• Системы автоматизированного проектирования (САПР) играют ключевую роль в развитии промышленности, сокращая время и стоимость продукции. Разработка российских САПР, таких как КОМПАС-3D, помогает снизить зависимость от иностранных продуктов, развивает технологическую базу страны, обеспечивая заказчикам — инженерам и конструкторам — доступ к современным инструментам проектирования.

• Системы для проведения ЕГЭ. Рособрнадзор планирует перевести системы, связанные с ЕГЭ, на российское ПО к 2026 году, с апробацией нового ПО в некоторых субъектах уже в 2024 году.

• Платежные системы. Российские банки подключаются к китайской системе банковских переводов CIPS, это потребует внедрения совместимого ПО.

Чтобы заменить иностранные программные продукты, важно наладить интеграцию российского ПО с существующими системами, а также обучать персонал заказчика. Это обеспечит безопасность критически важной инфраструктуры и подтолкнет развитие ИТ-индустрии. При этом, стоит учитывать требования к информационной безопасности и соблюдение нормативных актов в каждой из отраслей.

Информационная безопасность: обязательное условие цифрового суверенитета

Информационная безопасность играет ключевую роль в обеспечении цифрового суверенитета. Она включает в себя защиту информации от несанкционированного доступа, использования, раскрытия, искажения, создания, просмотра, модификации или уничтожения.

Что нужно делать, чтобы обеспечить информационную безопасность:

• Внедрить надежную аутентификацию и систему контроля доступа. Требовать использование сложных паролей, многофакторной аутентификации, ролевого разграничения доступа и регулярного пересмотра прав доступа пользователей.

• Защищать данные при передаче и хранении с помощью шифрования. Использовать TLS (криптографические протоколы) для защиты данных при передаче данных в интернете, а также шифровать устройства, файлы, базы данных. Ввести классификацию данных для определения уровней защиты.

• Внедрить программу управления уязвимостями. Непрерывно отслеживать системы и приложения на наличие уязвимостей, вовремя устанавливать исправления и модернизировать устаревшие системы. Приоритезировать на основе критичности.

• Встраивать безопасность в жизненный цикл разработки ПО. Следовать безопасным методам кодирования, анализировать безопасность дизайна, проводить статический анализ, тестирование на проникновение и т.д. на нескольких этапах жизненного цикла разработки ПО.

• Внедрить модель безопасности «нулевого доверия» с минимально необходимыми привилегиями. Проверять личность пользователя и состояние устройства перед предоставлением минимального доступа к ресурсам. Непрерывно отслеживать на предмет аномалий.

• Инвестировать в обучение сотрудников основам кибербезопасности. Обучать распознаванию социальной инженерии, фишинговых атак и правилам выбора паролей. Создать инструкцию по выявлению возможных инцидентов и четко указать , куда о них сообщать.

• Быть готовым к реагированию на инциденты. Определить процессы по обнаружению, реагированию и восстановлению после инцидентов безопасности. Регулярно устраивать тренировки по реагированию.

• Непрерывно отслеживать системы и сеть для раннего обнаружения угроз с помощью специальных решений, например, SIEM (система управление событиями безопасности), настроенных на выявление аномалий.

Подведем итог

Цифровой суверенитет — это не просто технологическая задача, но и стратегическое направление, которое требует комплексного подхода и участия всех уровней государственной власти и общества. Строительство цифрового суверенитета включает в себя технические аспекты, такие как размещение серверов и разработка программного обеспечения, а также правовые, образовательные и социальные аспекты. Важно обучать и развивать специалистов, способных разрабатывать и использовать новые технологии, продукты и сервисы, а также создавать благоприятные условия для развития отечественной IT-индустрии.