Тезисы моего выступления от 10.10.2023 на Форуме ITSEC 2023*.
Добрый день, всем участникам
конференции!
Полагаю, что моё выступление будет
несколько выбиваться из общего контекста, но организаторы посчитали его вполне
уместным, за что им большое спасибо!
Полное название моего доклада
звучит так: «О необходимости новых подходов и методологии обеспечения
информационной безопасности». А по сути – это постановка проблемы.
Но посещая последние годы
конференции и семинары, посвящённые вопросам информационной безопасности, я
обратил внимание на такую деталь: на них практически нет выступлений учёных.
Учёные собираются на своих
конференциях и рассказывают друг другу оторванные от жизни и неприменимые в
жизни квазинаучные байки, а практики на своих слушают рекламу вендоров или
грозные предупреждения регуляторов о постоянно растущей ответственности за
нарушение или несоблюдение их требований.
Нигде уже не звучит популярный
некогда лозунг о необходимости укрепления
связи практики и науки. И у этого явления есть вполне объективные
причины, главная из которых состоит в том, что науки об информационной
безопасности практически нет.
Конечно, статей, книг и диссертаций
огромное количество, но… в них нет науки, науки о безопасности.
Парадокс нынешней ситуации, на мой
взгляд, состоит в том, что техника и технологии у нас есть просто
замечательные, но вот где и как их применять – вопрос на который должна была бы
дать ответ наука – неразрешимая проблема. (слайд 3)
Об этом ещё в 19-м веке говорил
русский математик Пафнутий Чебышев. При этом он обращал внимание, что особую
важность имеют те методы науки, которые позволяют решать практические задачи с наибольшей выгодой.
Другой, не менее важной (и напрямую
связанной с первой), проблемой является оторванность и от науки, и от практики
нашего законодательства. Я могу ошибаться, но внешне ситуация напоминает
известное трио из басни Крылова. На языке науки это можно сформулировать так:
наука, законодательство и практика
в области информационной безопасности представляют из себя три непересекающиеся
множества;
или так: образуют асинхронно
действующий механизм.
При этом давно, но, к сожалению,
видимо не всем, известно, что результат деятельности зависит не только от того,
кто действует (то есть субъекта), на что воздействуют (то есть объекта) и при
помощи чего (то есть средства), но и от того, с какой целью совершается данный
процесс и какие способы и приёмы при этом применяются, то есть от методов.
Сочетание субъекта, объекта и метода, их органическое единство, является
ключевым условием успеха любой деятельности. Не являются исключением из этого
правила и деятельность по обеспечению информационной безопасности.
При этом необходимо отметить что в
предметной области под названием «информационная безопасность» речь должна была
бы вестись о двух различных методологиях:
- «методологии исследования
феномена информационной безопасности»
и
- «методологии обеспечения
информационной безопасности субъекта информационных отношений».
Почему?
Потому, что у «деятельности по
исследованию» и «деятельности по обеспечению» – различные объекты (равно, как и
субъекты).
У деятельности по исследованию
информационной безопасности объектом является феномен под названием
«информационная безопасность», а у деятельности по обеспечению информационной
безопасности объектом (и официальной российской наукой, и российским
законодателем) признаны где «личность, общество, государство», а где их
интересы.
Кроме этого необходимо отметить,
что любая деятельность требует применения адекватных ей методов. Исследование
предмета с применением несоответствующих методов обрекает такое исследование на
провал или превращает в псевдонауку. Практическая же деятельность с применением
несоответствующих методов делает её бесполезной и даже вредной. «Теория без
практики мертва и бесплодна, практика без теории бесполезна и пагубна», – сказал
всё в том же 19-м веке тот же Пафнутий Чебышев.
И он был прав!
Учитывая, что в Российской
Федерации главным принципом организации деятельности по обеспечению
информационной безопасности является законность, между деятельностью по
исследованию феномена информационной безопасности и деятельностью по
обеспечению информационной безопасности появляется промежуточное звено –
деятельность по конституированию способов, норм, правил и даже средств её
обеспечения. И здесь возникает необходимость говорить ещё и о методологии
законотворческой деятельности. Поэтому в сфере информационной безопасности
необходимо вести речь не о дихотомии теория-практика, а о триаде – ТЕОРИЯ –> ЗАКОН –> ПРАКТИКА – и,
сообразно этому, о трёх различных методологиях.
И здесь важно отметить, что любые
теории (в том числе и теория информационной безопасности), должны строиться на прочном
философском фундаменте. Однако, в реальности этот фундамент не просто зыбкий,
его практически нет. Российские учёные почти единодушно приняли в качестве
методологического основания теории безопасности концепцию «безопасность как
состояние защищённости», изложенную в 1992 году в законе «О безопасности»,
авторство которого приписывают доктору технических наук, академику РАН Рыжову
Ю.А. И с тех пор российская наука выступает не в роли исследователя объективной
реальности, а в роли апологета методологически несостоятельной концепции.
Так, во всех из нескольких десятков
просмотренных мной из более чем 14 тысяч работ, найденных по результатам поиска
на сайте disserCat по фразе «методология информационной безопасности» (а,
думаю, и во всех представленных там, за крайне малым исключением), в качестве
методологического основания принята концепция «безопасность как состояние
защищённости». Причём, независимо от вида исследуемой безопасности, коих
российские учёные навыдумывали уже более 60.
О методологической
несостоятельности данной концепции писал и я во многих своих работах,
неоднократно выступал на научных конференциях. Но все их можно охарактеризовать
одним выражением – глас вопиющего в пустыне.
А в концепции, изложенной в законе 92-го
года и впоследствии «развитой» в работах российских учёных, несостоятельно,
практически, всё. В ней нарушены все законы логики и все правила формирования
определений. Так, «безопасность» не может быть «состоянием защищённости».
Защищённость – категория психологии, абстрактное понятие, обозначающее чувство
– чувство защищённости. А состояние может быть только у материального объекта и
оно характеризуется набором объективных параметров. Например, болезнь, как
состояние организма, характеризуется температурой, давлением, частотой пульса,
выходящими за пределы нормы. Какие объективные параметры есть у защищённости? А
никаких! Тем более, когда речь идёт о защищённости интересов. Неверно обозначены
в этой концепции и субъекты, и объекты, и принципы.
Ещё одна проблема состоит в том,
что подавляющее большинство российских и теоретиков, и практиков под термином
«информационная безопасность» понимают то, что на Западе принято называть
кибербезопасностью. А теперь и не только на Западе. Жизнь заставляет называть
вещи своими именами. В результате создаётся ситуация, когда специалисты говорят
вроде бы об одном – информационной безопасности, но понимают под этим термином
каждый своё: одни – гуманитарную проблему (такой трактовки придерживается,
например, МИД), другие – техническую проблему.
Причём последние ведут речь об
информационной безопасности в автоматизированных системах, что с точки зрения
методологии является абсурдом. Применительно к автоматизированной
(информационной) системе можно говорить только о защите информации (корректнее
– информационных ресурсов) обрабатываемой / циркулирующей / содержащейся в этой
системе. При этом необходимо учитывать, что согласно российскому
законодательству основным элементом автоматизированной системы обработки
информации является человек. Но об этом почему-то забывают все, даже
регуляторы, которые сами это придумали.
Основная масса научных работ,
посвящённых проблеме информационной безопасности, это – обоснование
необходимости разработки того или иного аспекта информационной безопасности.
При этом раскрытия самих аспектов в этих работах либо невозможно найти, либо
это сделано с грубыми нарушениями требований научной методологии. Мне не
удалось найти ни одной работы, в которой были бы корректно указаны методы
исследования феномена информационной безопасности и также корректно применены.
Это же касается и работ, посвящённых методологии обеспечения информационной
безопасности. Научных работ, посвящённых методологии нормотворческой
деятельности в области информационной безопасности, найти не удалось вовсе.
Ещё одной проблемой является
категориально-понятийный аппарат в области информационной безопасности. (слайд
4)
Категориально-понятийный аппарат
является основой любой теории, её фундаментом. Но смею утверждать, что ни одно
определение, образующее аппарат теории информационной безопасности, не отвечает
требованиям научности: ни в одном из них нет логики. Но именно этими
определениями вынужден оперировать законодатель.
Учитывая методологическую
несостоятельность теории обеспечения информационной безопасности можно было бы
предположить, что этап практической реализации станет самым одиозным. Однако,
это не так. Сама жизнь заставляет многие компании, особенно сейчас, в условиях
санкций, ухода с российского рынка многих вендоров и, по сути, объявленной нам
кибервойны, осуществлять деятельность по защите своих информационных ресурсов в
соответствии с логикой, а не в соответствии с концепциями, разработанными
российскими учёными, и нормами, конституированными российским
законодательством. Всё больше и больше специалистов используют в своей работе логику
и «лучшие практики», прошедшие проверку в экстремальных условиях. (слайд 5)
С огромным сожалением приходится
констатировать, что на сегодня официальной наукой поддерживается и развивается ненаучная
(эзотерическая) парадигма информационной безопасности. При этом теории,
разработанные в соответствии с научной методологией, либо игнорируются, либо
испытывают активное противодействие как со стороны научного сообщества, так и
со стороны практиков. Что касается практиков, то они и не могут поступать
иначе, так как главный принцип обеспечения информационной безопасности в Российской
Федерации это законность. И до тех пор, пока либо не будет отменена эта норма,
либо нормативные документы не будут приведены в соответствие с логикой и
здравым смыслом, они вынуждены руководствоваться в своей деятельности весьма далёкими
от логики и здравого смысла концептами.
Закон соответствия гласит, что
результат взаимодействия материальных объектов всегда соответствует параметрам этих
объектов, параметрам их движения и параметрам среды, в которой осуществляется
взаимодействие!
Изменились параметры объектов,
изменились параметры их движения. Причём, кардинально! Ещё больше изменились
условия, в которых осуществляется взаимодействие. Но подходы и методы к обеспечению безопасности остались на уровне
20-летней (а то и большей) давности. Те подходы и методы, которые применялись
20-30 лет назад и в обычных (мирных) условиях, не просто не работают в
нынешних, но сами становятся источниками угроз. Их нужно срочно менять и
адаптировать к современным реалиям. Начинать этот пересмотр необходимо с концептуально-доктринального
уровня. И работу эту должен организовать и возглавить регулятор. И чем быстрее,
тем лучше.
Медлить нельзя! Времени на
«раскачку» уже нет. (слайд 6)
У нас есть замечательные
инновационные продукты в области кибербезопасности и защиты информации, в том
числе и те, о которых говорили предыдущие спикеры, и те, которые презентуют
другие представители российского бизнеса, есть новые технологии для защиты
информации и предотвращения кибератак, но, как представляется, их внедрение
тормозится вследствие отставания российской науки и недостаточной оперативности
регуляторов и законодателя. Этот дисбаланс необходимо срочно устранить. Сделать
это можно без привлечения дополнительных инвестиций и структурных изменений.
Нужны новации в организации взаимодействия власти, бизнеса и науки. Если даже
просто синхронизировать деятельность этих трёх институтов, то результат
превзойдёт все даже самые смелые ожидания. (слайд 7)
В заключение приведу ещё одну цитату
Пафнутия Львовича Чебышева: «Сближение теории с практикой даёт самые
благотворные результаты, и не одна только практика от этого выигрывает». (слайд
8)
На самом деле от сближения науки и
практики выигрывают все –и наука, и практика, и государство, особенно когда
дело касается безопасности.
Комментариев нет:
Отправить комментарий