В быстро меняющихся условиях ведения бизнеса проектировщики решений и бизнес девелоперы часто оказываются перед лицом новых явлений, которые трудно осознать. Приходится прилагать значительные усилия, чтобы удерживать целостную картину мира. Поначалу для этого нового целого нет даже названия, и когда в голову приходит какой-то образ, хочется его здесь опробовать для представления результатов нашего анализа.
В корпоративном блоге невозможно, да и не нужно выдерживать полностью объективную и беспристрастную точку зрения на любой сколько-нибудь сложный предмет. Для того эти блоги и придуманы, чтобы продвигать определенный нарратив или повестку, интересные для компании, в который ты работаешь или с которой сотрудничаешь. За год с небольшим существования этого блога фокус компании IDX был неоднократно представлен − удостоверение (верификация) персональных данных (ПД), как часть целой системы мер защиты ПД, предотвращение похищения ПД, противодействия злонамеренному использованию ПД, в том числе похищенных (в дальнейшем будем использовать общепринятую кальку «фрод» английского термина fraud). Довольно быстро мы поняли, что наша миссия – это не просто аутсорсинг бизнес-сервисов. Верификация ПД – это часть гораздо более широкой картины в отрасли информационной безопасности (ИБ).
При этом мы прекрасно отдаем себе отчет в том, что в условиях быстро меняющегося технологического и регуляторного ландшафта задача удостоверения ПД не может оставаться неизменной. Поэтому мы внимательно следим за текущими событиями, чтобы все время удерживать актуальную картину мира и проактивно адаптироваться к ней.
Вот некоторые из наших наблюдений, которые мы изложим здесь тезисно:
В области обработки ПД сложилась новая реальность, которую необходимо осознать всем участникам (практически всему бизнесу, и большому и малому), после чего предстоит адаптироваться к этой новой реальности.
Новая ситуация, как обычно, многогранна, но можно выделить два главных фокуса этой новой реальности.
Первый фокус — это установившийся правовой режим, возникший в результате активной работы законодателя в этом направлении. Количество и строгость НПА, принятых за последнее время, объясняется реальностью угроз и размером ущерба, уже понесенного национальной экономикой на всех уровнях.
Второй фокус — это возрастание ответственности для всех участников процессов обработки персональных данных по мере роста угроз. Эти угрозы, как хорошо известно в отрасли ИБ, неумолимо возрастают. Однако, источник этих угроз часто остается вне досягаемости правоохранительных органов и опережает их по уровню технической оснащенности. Наказание несет жертва (цель) атак в виде штрафов со стороны регулятора.
В результате операторы ПД оказываются под двойным прессом: прямого ущерба от реализации угроз и тяжелых штрафов за допущенные инциденты в результате несоблюдения требований или недостаточной компетенции в этой области.
Как это часто бывает в инфраструктурных вопросах, процесс адаптации бизнеса к новым требования законодателя и регулятора, а также к новой реальности в области ИБ отстает от темпов нарастания угроз. Требования предъявляются к каждому отдельному участнику и каждый оказывается сам за себя перед лицом растущих угроз и правовой ответственности.
Казалось бы, закон одинаков для всех, и, если уж взялся за гуж оператора ПД, будь любезен! Однако, суровая правда жизни заключается в том, что огромное количество операторов ПД, внесенных в реестр операторов, попали туда по формальным признакам, не имея ни желания, ни возможностей обрабатывать ПД надлежащим образом. Один из таких формальных признаков − ведение кадрового учета с хранением личных дел сотрудников компании/организации.
В результате нашего опроса выяснилось, что для предприятий малого и среднего бизнеса существует совсем небольшое количество причин, по которым они хотели бы существенно, а не формально собирать (запрашивать) ПД. Только 28% опрошенных нами представителей СМБ считают, что обработка ПД – это часть бизнес-процессов их компании. 26% ответили, что это делается для целей маркетинга и рекламы, 23% полагают, что это нужно только для кадрового учета, обязательные требования закона упоминают 12% опрошенных, обучение ИИ – 9%, и задачи антифрода и скоринга благонадежности – только 2%. В этих данных важны не сами проценты (выборка была не самая репрезентативная), а ограниченное количество причин для сбора ПД. Более того, значительная часть компаний СМБ готовы вообще отказаться от статуса оператора ПД, чтобы полностью исключить свою ответственность за возможные нарушения.
В некоторых случаях они не в силах изменить свои бизнес-процессы, в которых обработка ПД осталась в качестве анахронизма. Часто эти бизнес-процессы закреплены какими-то отраслевыми стандартами или внутренними регламентами, которые сложно и долго изменять.
Эту проблему можно начать решать, если осознать ее как заботу всего бизнес-сообщества и воспользоваться уже имеющимся опытом создания национальной сервисной инфраструктуры.
Наша рабочая гипотеза заключается в следующем — адаптироваться к новой реальности нужно всем вместе, даже если большим операторам ПД кажется, что они в состоянии сами справиться с этой проблемой.
С точки зрения экономики малого и среднего бизнеса, заведение у себя всего хозяйства для соблюдения требований, предъявляемых регулятором к обработке ПД, сейчас не имеет альтернативы, которая существует для множества бизнес-решений − купить или арендовать! Мы считаем, что такая альтернатива должна быть. Более того, мы уверены, что создать ее совершенно возможно и затраты на ее создание не будут неподъемными. Должна появиться новая система отношений между операторами ПД, при которой станет возможным аутсорсинг операций по обработке ПД. Наша уверенность основана на той роли, которую наша компания играет на рынке вот уже семь лет − мы как раз и есть тот самый источник, в котором наши клиенты получают множество услуг по удостоверению ПД. Нам эта модель хорошо знакома и многие наши клиенты давно оценили ее эффективность, как по стоимости, так и по времени ответа на запросы. Концепции этой уже много лет − XaaS (что угодно, как сервис). В данном случае − обработка ПД как сервис (152aaS, вспоминая номер соответствующего ФЗ).
Представим, что все операторы ПД договорились, при одобрении регулятора, что кто-то из них будет поставщиком услуг обработки ПД, а кто-то будет счастлив стать потребителем этих услуг. У поставщика услуг обработки ПД, конечно же, тоже остается возможность получать эти услуги, например, от оператора ПД из другой отрасли народного хозяйства.
Как только мы сделали такое допущение, тут же оказалось, что эта идея потенциально богата обобщениями. Давайте назовем эту новую систему обработки ПД защищенной доверенной средой. Кроме непосредственно участников процессов обработки ПД в нее должны войти и другие поставщики инфраструктурных сервисов − операторы сетей, поставщики ресурсов и сервисов в облаке (публичные облака), существующие ГИС, которые образуют ядро национальной архитектуры безопасности.
Сейчас много говорят и пишут о федерированных (другой вариант − федеративных) вычислениях. Появились уже первые предложения платформ для реализации схемы федеративных отношений в вычислительных задачах, в том числе в задаче формирования датасетов для обучения нейронных сетей. По нашим представлениям, перевод обработки ПД в категорию сервиса, доступного по аутсорсингу, реализует федеративный подход в области обеспечения безопасности, поэтому мы и назвали эту публикацию «Архитектура коллективной безопасности».
Мой внутренний рецензент Claude предупредил меня, что выбор термина «архитектура коллективной безопасности» может быть скомпрометирован его использованием в области геополитики, ссылаясь на соответствующие инициативы ООН, НАТО и ОДКБ. С учетом этого предупреждения будем считать название, вынесенное в заголовок, рабочим.
Термин «коллективная» здесь следует понимать как способ описания экосистемы, в которой каждый участник осознает свою роль и готов следовать общим правилам, тем самым способствуя ее возникновению и становлению. Не следует ожидать, что инфраструктуру коллективной безопасности кто-то построит для бизнеса. Эту задачу предстоит решать самому бизнес-сообществу, представленному отраслевыми ассоциациями, имеющими опыт разработки отраслевых протоколов и рекомендаций.
С тех пор, как термин «экосистема» позаимствовали из биологии (экологии) для описания системных образований в бизнесе и технологиях, прошло уже тридцать лет. Если поначалу эта метафора использовалась в основном для описания феномена сложных бизнес и технологический взаимодействий, то после публикации статьи и книги Marco Iansiti и Roy Levien «The Keystone Advantage» (2004), в которых они применили понятие «краеугольного (ключевого) вида» (keystone species) к классификации компаний, описывая компании, которые играют непропорционально важную роль в своих экосистемах (по отношению к их размерам), стало понятно, что формирование экосистем в бизнесе и технологиях может и должно стать стратегией инноваторов, которые хотят переломить нежелательные тенденции в своих отраслях.
Никогда не будет лишним еще раз напомнить, что «экосистему» нельзя спроектировать и потом построить по этому проекту. Экосистемы в бизнесе и технологиях − это классический пример искусственно-естественных (ИЕ) систем. (Иногда их еще называют природно-деятельностными, но это специфический взгляд изнутри добывающих отраслей, которые меняют природный ландшафт). ИЕ систему можно только вырастить, создав для этого условия. Понятно, что создание таких условий невозможно без одобрения регулятора, но на этом его административная роль заканчивается, и в дело вступает бизнес-сообщество, которое может и должно само определить свое будущее, формируя новые правила игры.
Частью этих правил будет как раз то, что мы в этой публикации называем архитектурой коллективной безопасности.
Термин «цифровая экосистема» стал повсеместным в бесконечном потоке исследований, комментариев и гипербол вокруг цифровизации, до точки, где метафора становится «мёртвой». Однако, здесь мы используем термины с чёткой генеалогией от экологии через бизнес-стратегию к цифровой экономике. Это не случайное совпадение слов — это осознанный концептуальный перенос, который несёт с собой определённые допущения о взаимозависимости, ко-эволюции и системной динамике.
Все дело в том, что в природных экосистемах безопасность — это emergent property (эмерджентное свойство), возникающее из взаимодействий: хищники контролируют популяции, симбионты защищают друг друга, биоразнообразие создаёт устойчивость к шокам. Никто не «проектирует» безопасность саванны — она возникает из кооперации и конкуренции видов.
Аналогично, в нашей модели безопасность цифровой среды не может быть «поставлена» извне (государством или одним вендором) — она должна формироваться из взаимодействия участников. Особая роль в ходе этого взаимодействия приходится на ключевые виды участников − платформенные образования. Ключевые виды − не доминаторы, контролирующие экосистему. Они упрощают взаимодействие между участниками, предоставляют «платформу» (в нашем случае инфраструктуру цифрового доверия), на которой другие строят свои решения, повышают «здоровье» всей экосистемы, не захватывая непропорциональную долю ценности. Такое позиционирование не следует духу частного предпринимательства с его стремлением к извлечению максимальной прибыли, оно может быть только продуктом договоренности.
В бизнес-экосистемах участники и сотрудничают, и конкурируют. В экосистеме безопасности конкуренция может создавать проблемы: если банк А и банк Б конкуренты, захотят ли они делиться данными о мошенничестве?
Здесь важный положительный пример − модель DEPA, о которой мы писали: данными не «делятся» — делятся верификаций и аттестацией. Конкуренты могут оставаться конкурентами на уровне продуктов, но объединяя усилия на уровне инфраструктуры доверия.
Одним из системных эффектов таких договоренностей становится то, что «цифровое доверие» (digital trust) становится общинной собственностью (commons), о которой мы уже писали в нашей публикации об SSI и Blockchain commons.
Обо всем этом мы обязательно расскажем подробнее в следующих публикациях.
Всех с Новым годом, мира и добра!