Стимулируя частный сектор

Как правительственные заказы могут укрепить кибербезопасность

Ацуко Секигучи, заместитель советника, Международная стратегическая группа, Национальный центр обеспечения готовности к инцидентам и стратегии кибербезопасности (NICS) и секретариат кабинета министров Японии

Подготовка трудовых ресурсов в сфере кибербезопасности является насущным вопросом как в Японии, так и во всем мире. В соответствии с данными доклада «Исследование трудовых ресурсов в сфере кибербезопасности – 2019 г.», опубликованного Международным консорциумом сертификации безопасности информационных систем, в мире сейчас имеется более 4 млн. свободных вакансий по этой специальности. В азиатско-тихоокеанском регионе нехватка составляет 64% от необходимого количества работников. В Японии, по данным Организации азиатско-океанской компьютерной индустрии за 2018 г., в 2016 г. нехватка квалифицированных специалистов составляла 132 тыс. человек, и предполагалось, что к 2020 г. эта цифра возрастет до 193 тыс.

Уважая независимость субъектов частного сектора, Япония политику развития трудовых ресурсов реализует через добровольные инициативы. Например, наращивание трудовых ресурсов в сфере кибернетики в соответствии с принятой в 2018 г. Стратегией кибербезопасности осуществляется путем повышения уровня информированности населения, расширения образовательных возможностей, повышения квалификации на протяжении всей профессиональной карьеры и совершенствования системы сертификации.

И все же, широко признается нехватка квалифицированных работников, что показывает ограниченность возможностей добровольных инициатив. Одним из вариантов повышения эффективности реализации принятой политики может быть введение обязательных мер по примеру Соединенных Штатов, где введен в действие Президентский указ «О трудовых ресурсах Америки в сфере кибербезопасности», изданный в 2019 г. Этот указ требует, чтобы все компании, получающие государственные заказы, внедрили структуру, разработанную Национальной образовательной инициативой в сфере кибербезопасности (NICE) и предусматривающую распределение ответственности в сфере укрепления кибербезопасности и карьерный рост специалистов в этой области.

Первая часть этой статьи разъясняет суть нынешней политики Японии по расширению трудовых ресурсов для частного сектора и приводит последние данные относительно кадров в сфере кибербезопасности. Во второй части рассматривается американский вариант введения обязательных мер по наращиванию трудовых ресурсов. В заключительной части рассматривается возможность использования американского сценария в Японии и предлагается вариант, подходящий для реалий Японии.

СИТУАЦИЯ В ЯПОНИИ

В качестве исторической основы политики кибербезопасности в Японии служил «Основной закон о создании общества развитых информационных и телекоммуникационных сетей», принятый в 2000 г., статья 22 которого содержит общие положения об обязанности правительства принимать меры по обеспечению безопасности телекоммуникационных сетей. Это означает, что в этом законодательном акте, направленном на ускорение развития и внедрения цифровых технологий, об информационной безопасности почти ничего не сказано и не содержится упоминание о сторонах, заинтересованных в этом процессе. Нынешняя политика Японии в сфере кибербезопасности отражена в «Основном законе о кибербезопасности», принятом в 2014 г. Статья 4 этого закона предписывает правительству разработать политику в области кибербезопасности и внедрить ее на территории всей страны. Статьи 6, 7 и 8 обязывают операторов объектов критически важной инфраструктуры, частные компании и частные организации, работающие в компьютерной сфере, сотрудничать с правительством в достижении цели национальной политики в сфере кибербезопасности. Статья 22 прямо требует от государства принятия конкретных шагов по развитию трудовых ресурсов в области кибербезопасности путем введения соответствующих поощрений квалифицированных специалистов, использования систем сертификации и обучения молодежи при сотрудничестве учебных заведений и частных предприятий. Это означает, что закон распределяет обязанности между всеми заинтересованными сторонами, участвующими в развитии трудовых ресурсов, но при этом, уважая независимость необщественных организаций, для частного сектора эти обязанности не делаются обязательными.

Обязанности правительства юридически закреплены, но при этом конкретные меры, которые оно будет предпринимать, в законодательстве не отражены. Таким образом, Стратегия кибербезопасности и сопутствующие документы определяют основные положения политики в области кибербезопасности. Законодательство требует, чтобы в качестве наивысшего органа принятия решений в отношении политики кибербезопасности был создан Стратегический штаб кибербезопасности. Он должен состоять из соответствующих политических деятелей, представителей академических кругов и профессионалов из частного сектора и отвечать за выработку стратегии кибербезопасности. Самая последняя стратегия кибербезопасности, принятая в 2018 г., имеет три основных составляющих: экономическая жизнеспособность, общественная безопасность и международная стабильность. Один из разделов документа посвящен наращиванию трудовых ресурсов как фактору, проходящему красной нитью через все три составляющие. В этом разделе указывается на необходимость реализации политики на всех уровнях – в частном секторе, учебных заведениях и в правительственных кругах. В отношении стратегии, в 2018 г. Стратегический штаб кибербезопасности предложил ввести Инициативу развития трудовых ресурсов в сфере кибербезопасности. В этой инициативе указаны конкретные меры в отношении частных организаций: повысить информированность руководителей путем распространения рекомендаций относительно политики кибербезопасности; создать работникам возможности переквалифицироваться и подняться по карьерной лестнице до руководящих должностей; и создать соответствующие технические возможности посредством введения системы сертификации. Таким образом, в политике развития трудовых ресурсов в отношении частных компаний выработан подход, основанный на создании в них благоприятных условий для повышения уровня информированности и профессионализма.

Помимо того, что, согласно статистическим данным, дефицит рабочей силы в Японии растет, исследование «NRI Secure Insight 2019» показало, что 87,8% компаний в Японии признают факт нехватки кадров в сфере кибербезопасности, в то время как этот показатель в США составляет 18,1%, а в Сингапуре 16,3%. Правительство Японии принимает меры по развитию трудовых ресурсов путем расширения возможностей и образовательных перспектив, но при этом в стране все равно широко признается дефицит кадров по этой специальности.

Хотя японское правительство реализует политику по повышению информированности в частном секторе, данные NRI свидетельствуют о том, что реальным стимулом к повышению уровня кибербезопасности является понесенный в результате инцидентов ущерб, а не действия руководства компаний. В этой связи возникают вопросы относительно нынешних добровольных инициатив и относительно того, являются ли они достаточными для того, чтобы справиться с недостатком людских киберресурсов в частном секторе.

ПРИМЕР СОЕДИНЕННЫХ ШТАТОВ

В США в отношении наращивания трудовых ресурсов в сфере кибербезопасности действуют обязательные правила. В частном секторе есть много проектов, направленных на достижение трех целей, определенных Стратегическим планом NICE, принятым в 2012 г.: ускорение процесса обучения и приобретения профессиональных навыков; стремление к разнообразию в среде обучаемых; и предоставление направляющих рекомендаций относительно карьерного развития и планирования в кадровой сфере. За этим документом последовал Президентский указ 2017 г. «Об усилении кибербезопасности федеральных сетей и критической инфраструктуры», который предписывает министру торговли и министру внутренней безопасности докладывать о ситуации с развитием трудовых ресурсов. Одно из направлений деятельности – внедрение Структуры NICE в отношении трудовых ресурсов в сфере кибербезопасности («Специальная публикация 800-181»), принятой Национальным институтом стандартов и технологий, входящим в Министерство торговли США. Этот документ принят с целью четкого распределения должностных обязанностей трудовых ресурсов в сфере кибербезопасности и разбивает виды работ на семь категорий: обеспечение безопасности, эксплуатация и обслуживание, осуществление мониторинга и управления, охрана и защита, проведение анализа, сбор и обработка данных и проведение расследований. В пределах этих категорий обозначены 33 специализации и 52 функциональные обязанности. Кроме того, Президентский указ «О трудовых ресурсах Америки в сфере кибербезопасности», вступивший в силу в 2019 г., в законодательном порядке требует от частных компаний, получающих государственные заказы, применять у себя эту структуру с целью ее максимально широкого продвижения.

ЯПОНИЯ И ВВЕДЕНИЕ ОБЯЗАТЕЛЬНОГО ПРИНЯТИЯ МЕР

Подойдет ли для Японии американская схема законодательного принуждения частных компаний к принятию определенных мер? В том, что касается аспекта определения возможностей в сфере кибербезопасности, Форум обнаружения киберрисков в ключевых секторах совместно с американской инициативой NICE разработал Справочник терминов в сфере трудовых ресурсов. Этот Форум состоит из нескольких десятков национальных компаний и отделений зарубежных компаний из секторов химической промышленности, финансовых институтов, промышленного производства, средств массовой информации и транспортных услуг. Справочник определяет задачи, которые необходимо решить для обеспечения кибербезопасности, ответственных за решение каждой задачи, а также необходимый уровень знаний. Процесс подготовки этого справочника позволил прийти к единому пониманию кибербезопасности между специалистами из разных секторов экономики с разными бизнес-культурами и разными взглядами на проблему развития трудовых ресурсов. Таким образом, японская структура развития рабочей силы в сфере кибербезопасности была разработана не правительством, а организацией, поддерживаемой частным капиталом, что демонстрирует уважение к независимости частного сектора.

Национальным центром обеспечения готовности к инцидентам и стратегии кибербезопасности (NISC) на основании статьи 25 в качестве мандата от Стратегического штаба безопасности на создание стандартов оценки мер, принимаемых правительственными ведомствами, были приняты «Единые стандарты мер в сфере информационной безопасности для правительственных ведомств и связанных с ними учреждений» (Единые стандарты). На основе этих документов ведомства установили свои собственные стандарты кибербезопасности, а NISC проверяет их с целью убедиться, что Единые стандарты неукоснительно соблюдаются и обеспечивают установленный уровень безопасности правительственных ведомств. В разделе 4 содержатся условия, которые должны быть включены в процесс размещения государственных заказов. Хотя в Единых стандартах содержатся технические условия, позволяющие избежать слабых мест в контактах между правительственными ведомствами и частными компаниями, в число критериев не входит условие развития кадров в частных компаниях.

Короче говоря, между США и Японией существуют различия. В США эта структура встроена в процесс размещения правительственных заказов с целью принудить частные компании принять ее в своих организациях. А в Японии требование реализации частными компаниями политики развития трудовых ресурсов не входит в число условий размещения госзаказов. Кроме того, хотя и был проведен анализ ситуации с трудовыми ресурсами с учетом культурных особенностей Японии, по-прежнему сохраняется зависимость реального использования результатов этого анализа от инициатив частных организаций. Таким образом, из-за существования многочисленных различий, введение американской практики в Японии затруднено и нецелесообразно.

Кроме того, внедрение требования к частным компаниям относительно развития трудовых ресурсов как условия размещения государственных заказов может привести к дискуссиям о том, допускается ли это дополнительное условие положениями Всемирной торговой организации о второстепенных условиях. Эти положения ограничивают введение условий участия на основе «юридических и финансовых способностей и коммерческих и технических возможностей выполнить соответствующий госзаказ». Неясно, будет ли требование развивать трудовые ресурсы входить в число таких условий, но этот вопрос выходит за рамки данной статьи.

Хотя введение в Японии Справочника терминов в сфере трудовых ресурсов в качестве правомочного требования и не проходило гладко, при распределении госзаказов правительство в состоянии проводить сравнительный анализ заявок от частных компаний с целью убедиться в необходимом качестве предоставляемых услуг. При этом используется несколько оценочных критериев, такие как предложенная цена, качество предложения и соответствующий опыт компании, с тем, чтобы, соблюдая общественные интересы, отдать заказ достойному претенденту. Если принятие мер по развитию трудовых ресурсов, например, внедрение структуры людских ресурсов, станет одним из критериев оценки при распределении госзаказов и найдет отражение в Единых стандартах, то это подтолкнет частные компании к тому, чтобы сделать этот аспект приоритетным. Это также не оставит никаких сомнений в соответствии международному торговому режиму, поскольку предприятия будут подталкиваться к принятию таких мер, но ни одному предприятию не будет отказано в возможности подать заявку на госзаказ. Кроме того, этот шаг действительно приведет к ускорению развития трудовых ресурсов в частных кампаниях помимо добровольных инициатив, но все же будет уважать независимость частного сектора, что является принципиальным для политики кибербезопасности в Японии. Некоторые могут критически отнестись к этой идее, поскольку компании, работающие над госзаказами, составляют относительно небольшой процент от общего числа частных компаний. Тем не менее, было бы вполне реалистично для правительства в качестве первого стимулирующего шага сделать принятие мер по развитию трудовых ресурсов одним из оценочных критериев при рассмотрении заявок на госзаказы, а соответствующее условие закрепить в Единых стандартах. Более того, это предложение можно было бы расширить и на другие компании, связанные с компанией, подающей заявку на госзаказ.

ЗАКЛЮЧЕНИЕ

Одной из возможных мер, стимулирующей частные предприятия в Японии внедрить у себя планы развития рабочей силы, могло бы стать, помимо добровольных инициатив, введение соответствующего условия в процесс подачи заявок на госзаказы. Возможно, предложенные меры не приведут к немедленному изменению политики всех частных компаний. И все же это предложение вызовет дополнительные дискуссии, причем не только в Японии, но и в других странах, относительно того, как государство может перестать полагаться исключительно на добровольные инициативы и начать улучшать ситуацию с развитием трудовых ресурсов в сфере кибербезопасности на благо будущих поколений.  

Данная статья отражает исключительно мнение автора и не представляет официальную позицию NISC или правительства Японии.

Комментарии закрыты.