«Мы не можем контролировать всё»: ANSSI сталкивается со сложностью государственных систем

«Отключите, отключите, отключите всё. Вернемся к себе.»

На фоне почти непрекращающихся утечек данных во Франции, особенно из государственных учреждений, возникли вопросы к Национальному агентству по безопасности информационных систем (ANSSI). Его генеральный директор Винсент Струбель решительно опровергает критику и делится информацией о работе по управлению цифровой сферой, включая создание будущего органа под названием «Ариадна». Он также подчеркивает несоответствие между тысячами государственных информационных систем и способностью агентства проводить всего около 50 проверок в год.

На прошлой неделе издание Le Canard enchaîné опубликовало статью под заголовком «Лекорню отключает ANSSI, обвиняя агентство в необеспечении безопасности чувствительных государственных объектов». В статье утверждалось, что премьер-министр Себастьен Лекорню ищет «козла отпущения» из-за повторяющихся утечек данных. По мнению журналистов, это могло привести к увольнению Винсента Струбеля, генерального директора ANSSI.

«Миссии ANSSI не подвергаются сомнению»

Совпадение это или нет, но на следующий день Винсент Струбель был вызван на слушания в Комиссию по обороне Национальной ассамблеи в рамках цикла «Гибридная война и континуум конфликтов». Эта встреча была запланирована до публикации статьи. После вводного доклада о состоянии киберугроз во Франции быстро посыпались вопросы, касающиеся статьи в Le Canard и взлома Национального агентства по защищенным документам (ANTS). ANTS стало последним учреждением, столкнувшимся с массовой утечкой данных: было скомпрометировано по меньшей мере 11,7 миллиона учетных записей. В конце апреля по этому делу был задержан 15-летний подросток.

«Нет, между премьер-министром и ANSSI нет никаких разногласий. Я опровергаю то, что говорится в статье», – прямо заявил Винсент Струбель. В качестве «доказательства» он привел тот факт, что по-прежнему занимает пост генерального директора ANSSI.

Он также напомнил, что его команды прилагают значительные усилия в сфере кибербезопасности, и провел аналогию с пожарными: «Я считаю, что бросать камни в пожарные машины, которые едут тушить пожары, совершенно отвратительно».

«Думаю, есть фундаментальное недопонимание объявленной реформы, которая касается не ANSSI, а управления цифровыми технологиями. Миссии ANSSI не подвергаются сомнению, как и эффективность ее работы», – добавил он.

Реформа управления цифровыми технологиями, а не кибербезопасности

Винсент Струбель подчеркнул, что Франция имеет отлаженную киберсистему, и ANSSI является «дирижером кибербезопасности». Он добавил, что «эта роль не ставится под сомнение объявленной реформой [...] Реформируется управление цифровой сферой, а не кибербезопасность».

Напомним, в конце апреля, во время своей поездки в ANTS, Себастьен Лекорню заявил о планах ускорить слияние Межведомственного управления по цифровым технологиям (DINUM) и Межведомственного управления по государственной трансформации (DITP) для создания нового Органа по цифровым технологиям и ИИ, известного как «Ариадна».

Глава ANSSI категоричен: «ANSSI сохранит свою роль по определению требований кибербезопасности, установлению приоритетов [...] и контролю за надлежащим выполнением этих приоритетов, особенно в контексте директивы NIS2».

В ходе слушаний он напомнил депутатам о необходимости транспонирования директивы NIS2, которое задерживается уже несколько месяцев. Генеральный директор выразил уверенность, что это наконец даст его агентству «настоящий кнут» в дополнение к «прянику». Проект был принят Сенатом в первом чтении 15 октября 2024 года, но застрял в Ассамблее с сентября 2025 года.

Тысячи «критически важных» информационных систем

По словам главы французских «киберпожарных», проект заключается в создании «структуры, которая станет естественным собеседником для ANSSI, как сегодня уже является DINUM. Мы работаем рука об руку, но с учетом ограничений сферы деятельности DINUM. Завтра ANSSI и «Ариадна» (если это название сохранится) будут тесно сотрудничать для определения дорожной карты цифрового развития и кибербезопасности государства».

В ходе слушаний Винсент Струбель напомнил о сложности государственной информационной системы, которая включает «тысячи и тысячи приложений, управление которыми не унифицировано, а технологические решения крайне неоднородны».

Для него нет сомнений: «именно на этом необходимо сосредоточиться в первую очередь для повышения безопасности государства». Он также затронул вопросы зависимости от иностранных решений. Если уж браться за масштабную работу, то стоит навести порядок основательно. По мнению Винсента Струбеля, объявленная премьер-министром реформа как раз и направлена на решение этой проблемы. Он подтвердил, что она «была неправильно понята некоторыми, кто видит в ней реформу или пересмотр роли ANSSI: нет никакого пересмотра роли ANSSI, равно как и критики роли DINUM».

ANSSI способно проводить 50 аудитов в год: приходится выбирать

Винсент Струбель также ответил на вопросы о ресурсах и деятельности ANSSI: «Мы способны проводить около 50 аудитов в год, что несопоставимо с тысячами информационных систем в государстве, а также с тысячами информационных систем жизненно важных операторов (OIV), которых насчитывается около 300 (список засекречен)».

Иными словами: «Нет, мы не можем систематически контролировать всё, и мы придерживаемся логики приоритезации наиболее критически важных, чувствительных, сложных систем...» Это касается, например, атомной энергетики, а также дипломатических и государственных сетей. Цифровая система France Identité также тщательно изучалась в течение нескольких месяцев и была «сертифицирована ANSSI на высоком уровне, то есть на самом высоком уровне европейского регулирования».

Глава ANSSI также упомянул «файл TES, который хранит биометрические данные» и управляется ANTS. Этот файл был проаудирован ANSSI, которая также убедилась, что «ее выводы были учтены». TES (Titres Électroniques Sécurisés) также известен как «файл честных людей», централизующий персональные данные, фотографии лиц и отпечатки пальцев заявителей на получение паспорта и национального удостоверения личности.

Винсент Струбель добавил, что ANTS объединяет множество информационных систем, «которые не все имеют одинаковую критичность. Все они важны, поскольку обрабатывают персональные данные, но у нас также есть своего рода градация». Если TES был проконтролирован, то атакованный портал, очевидно, нет: «Мы не преуменьшаем компрометацию персональных данных миллионов наших граждан, но это не самая критичная система ANTS, поэтому в логике приоритезации мы не рассматривали ее».

Сообщать хорошо, исправлять лучше

В ходе слушаний Винсент Струбель также затронул вопрос сообщения об инцидентах и уязвимостях. Он напомнил, что ANSSI придерживается доктрины защиты анонимных сообщений и информаторов (235 таких сообщений в 2025 году). «Впоследствии, конечно, настоящая трудность заключается в способности к исправлению и владению цифровыми технологиями, без пересмотра роли или преданности – подчеркиваю – ИТ-команд министерств».

Он напомнил о роли ANSSI: «устанавливать рамки управления рисками, а значит, выявлять риски, связанные с нашими зависимостями, объективировать их, сопоставлять с мерами и обеспечивать гарантии. Именно это мы делаем с помощью SecNumCloud, который гарантирует защиту от технических рисков, а также рисков вмешательства в сбор данных через законы с экстерриториальным действием».

Он добавил, что, очевидно, необходимы меры по управлению рисками – «с принудительным характером, кстати, поскольку это позволяет закон SREN – а также работа в области промышленной политики, которая не является ролью ANSSI». По мнению Винсента Струбеля, нет сомнений: «Нужно делать и то, и другое одновременно».