“Задачи государственной кибербезопасности невозможно закрыть силами одних только регуляторов. Без активного вовлечения частных компаний — от крупного бизнеса до вендоров софта — любые национальные стратегии остаются декларациями на бумаге. Но эта вовлечённость — не просто добровольная помощь. Это сложная система взаимных обязательств, рисков и рычагов влияния, где у каждой стороны свои цели, а конечный результат часто не совпадает с изначальными планами.”
Зачем государству нужен бизнес
Государственные киберстратегии формулируют амбициозные цели: защита критической информационной инфраструктуры (КИИ), суверенитет данных, технологическая независимость. Однако у регуляторов нет прямого доступа к серверам большинства компаний, нет штата специалистов, достаточного для аудита тысяч объектов КИИ, и часто нет понимания реальных производственных процессов в отраслях. Исполнительным органом, который воплощает требования на практике, по факту становится частный сектор.
Бизнес строит и обслуживает инфра<
структуру, разрабатывает и внедряет защищённые решения, обрабатывает данные. Именно через него проходят денежные потоки, которые можно направить на закупку отечественного ПО или проведение работ по аттестации. Без кооперации с бизнесом регулятор остаётся с рычагами только карательного характера — штрафами и предписаниями, которые сами по себе не создают киберустойчивости.
Как бизнес влияет на стратегию
Роль частного сектора не сводится к пассивному исполнению. Крупные компании и отраслевые ассоциации активно лоббируют свои интересы, участвуя в рабочих группах и общественных обсуждениях проектов нормативных актов. Их экспертиза часто становится основой для конкретных требований ФСТЭК и других ведомств. Например, детализация требований по защите АСУ ТП или по использованию средств криптографии во многом формируется с учётом технических возможностей и ограничений, которые озвучивают вендоры и интеграторы.
Более того, бизнес может де-факто саботировать или замедлять реализацию стратегии, если она противоречит его экономическим интересам или технически невыполнима. Длительные переходные периоды, получение многочисленных исключений и отсрочек — типичные примеры такого влияния. Стратегия, не получившая поддержки ключевых игроков рынка, обречена на формальное существование.
Модели взаимодействия: от партнёрства до принуждения
Отношения между государством и бизнесом в сфере кибербезопасности строятся по нескольким моделям, которые часто сочетаются.
Регуляторная модель
Классический подход: государство устанавливает обязательные требования (152-ФЗ, приказы ФСТЭК), а бизнес обязан их выполнять. Роль частного сектора здесь — подчинение и затраты на compliance. Это создаёт базовый уровень защиты, но часто приводит к «бумажной» безопасности, когда компании формально закрывают требования, не вкладываясь в реальное повышение устойчивости.
Публично-частное партнёрство (ГЧП)
Более продвинутая модель, где стороны совместно финансируют и реализуют проекты. Например, создание региональных центров мониторинга и реагирования на киберинциденты (SOC) или разработка эталонных защищённых архитектур для отраслей. Здесь бизнес выступает не как подрядчик, а как соинвестор и соразработчик, что повышает его заинтересованность в результате. Однако такие проекты в России пока единичны и сталкиваются со сложностями в разделении рисков и интеллектуальной собственности.
Рыночно-стимулирующая модель
Государство создаёт для бизнеса экономические стимулы для участия в стратегии. Это могут быть налоговые льготы для компаний, использующих отечественное ПО, гранты на исследования в области кибербезопасности или преимущества в госзакупках для поставщиков, соответствующих дополнительным стандартам. В этой модели частный сектор действует исходя из прямой выгоды, что может дать более быстрое и массовое распространение практик.
Модель кооптации
Регулятор напрямую привлекает специалистов и ресурсы частных компаний для решения государственных задач. Классический пример — привлечение экспертов из ведущих технологических компаний и банков к расследованию сложных инцидентов или к разработке методик защиты. Фактически, государство временно «арендует» компетенции рынка, которые само создать не успело или не смогло.
Сферы ответственности и точки конфликта
Распределение ролей редко бывает чётким, что ведёт к конфликтам.
- Обмен данными об угрозах. Государство заинтересовано в получении от компаний информации об атаках для формирования общей картины угроз. Бизнес же опасается, что такая информация раскроет его уязвимости регулятору, конкурентам или попадёт в публичное пространство, нанеся репутационный ущерб. Механизмы доверенного обмена пока не отлажены.
- Использование импортного ПО. Стратегия на импортозамещение вступает в противоречие с потребностями бизнеса в стабильной и функциональной IT-инфраструктуре. Компании вынуждены балансировать между риском санкций за использование иностранного софта и риском сбоев в работе при переходе на отечественные аналоги.
- Финансирование. Кто должен платить за реализацию стратегических мер? Государство считает, что защита активов — в первую очередь зона ответственности их владельца, то есть бизнеса. Бизнес, особенно в регулируемых отраслях, ожидает субсидий или учитываемых затрат, так как выполняет требования в интересах национальной безопасности.
Практические примеры роли в российском контексте
Рассмотрим, как описанные модели работают на конкретных направлениях.
Аттестация объектов КИИ. Государство (ФСТЭК) устанавливает требования и проводит проверки. Однако сами работы по приведению систем в соответствие, выбор и внедрение средств защиты, подготовку документации выполняют частные компании-владельцы КИИ и привлечённые ими лицензиаты ФСТЭК (частные же). Таким образом, реальное наполнение процесса аттестации полностью лежит на бизнесе.
Развитие отечественных средств защиты информации (СЗИ). Государство создаёт спрос через требования обязательного использования сертифицированных СЗИ. Этот спрос формирует рынок для частных вендоров, которые разрабатывают и продают продукты. В свою очередь, успешные вендоры становятся центрами экспертизы и влияют на эволюцию самих требований к сертификации.
Подготовка кадров. Государственные учебные заведения не успевают за динамикой рынка. Основную массу практикующих специалистов по ИБ готовят корпоративные университеты крупных компаний, частные учебные центры и вендоры, проводящие обучение под свои продукты. Таким образом, кадровый потенциал для реализации стратегии также формируется в частном секторе.
Что будет дальше: эволюция роли
Тенденция указывает на усложнение и углубление взаимодействия. Ожидается смещение от чисто регуляторной модели в сторону более тесной интеграции.
Возможное развитие — появление отраслевых киберцентров компетенций на базе консорциумов ведущих компаний. Эти центры могли бы взять на себя разработку отраслевых стандартов, проведение сложных пентестов, коллективный ответ на отраслевые угрозы, действуя как доверенный посредник между всеми игроками рынка и государством.
Другое направление — страхование киберисков. Развитие этого рынка потребует от государства создания понятных правил игры и, возможно, частичных гарантий. Частные страховые компании, в свою очередь, станут мощным косвенным регулятором, стимулируя своих клиентов к реальному, а не формальному повышению защищённости для снижения страховых премий.
В конечном счёте, успех государственной киберстратегии будет определяться не жёсткостью предписаний, а тем, насколько она сможет превратить частный сектор из объекта регулирования в активного и заинтересованного соавтора системы национальной киберустойчивости. Граница между государственной и корпоративной безопасностью продолжит размываться, а роль бизнеса — только расти.