Почему цифровизация должна внедряться только вместе с системами безопасности?

... неуклонное повышение уровня цифровизации и внедрения искусственного интеллекта везде, где это не нужно, резко повышает риски наступления инцидентов информационной безопасности. Казалось бы – довольно очевидная вещь. Если у тебя документы хранятся в бумаге, то украсть их можно только физически и только в ограниченном объеме. А если ты всё хранишь в цифре — вот, пожалуйста, почти 1,6 миллиарда персональных записей граждан нашей страны утекло только в прошлом году. И это только инциденты, ставшие известными ИнфоВотч, довольно очевидно, что часть инцидентов осталась за кадром.

Возникает вопрос — что же такое должно случиться, чтобы цифровизация стала более разумной? Мне казалось, что значительный инцидент или серия инцидентов должны сделать государственный подход к цифровизации более разумным. Однако летние инциденты Аэрофлота, аптек и сети клиник, похоже, не снизили рвения наших чиновников по переводу всего в цифру.

Наблюдаю нарастающий вал атак — позавчера авиакомпания, вчера — две аптечные сети, сеть клиник и "Почта России" — и вот какая мысль мне пришла в голову.

Эти атаки означают для компаний, ведущих обслуживание большого числа клиентов, смену модели угроз. Теперь вопрос "если вдруг нас взломают" кажется устаревшим. Надо вопрос ставить по-другому: "Что мы будем делать, когда положат нашу сеть/отключат наши сервисы/сервера?"

И речь идёт не только о скорости восстановления инфраструктуры или переходе на дублирующие системы, но и о действиях персонала в условиях внезапной атаки.

На ЦИПР-2025 Наталья Касперская сказала, что сейчас у страны нет надежного щита, который защитит нас от ИБ-рисков, зато есть множество уязвимостей и «дыр».

Чтобы противодействовать этому, процесс цифровизации должен быть жестко и неразрывно связан с информационной безопасностью. Каждая новая ИТ-система должна анализироваться на предмет рисков и уязвимостей. В соответствие с этим должны разрабатываться и внедряться системы защиты.

Нынешний «зоопарк» технологий, существующих в отрыве от киберзащиты, создает дополнительные угрозы. Эту ситуацию требуется в скорейшем времени решить, иначе дальше все будет только хуже. 

Цифровизация не может вестись без одновременного внедрения средств безопасности, которые соответствовали бы рискам, возникающим в этом процессе. Здесь меньше всего повезло тем российским организациям, которые наиболее активно внедряли цифровые сервисы, не задумываясь о последствиях. Дело в том, что системы безопасности крайне дорого, а подчас и невозможно установить задним числом. И это обстоятельство ставит компании, поспешившие с цифровизацией, в особенно уязвимое положение — особенно сейчас, когда риски возросли многократно. Поэтому в модель цифровизации обязательно должна закладываться модель угроз. Иначе мы будем видеть в лучшем случае лежащие сервисы, а в худшем — столкнемся со случаями отключения ИТ-инфраструктуры.