Как будет защищать казахстанцев киберщит
Угрозы в интернете становятся такими же страшными по последствиям, как и угроза ядерного оружияВзлом критически важной инфраструктуры городов и целых стран, коллапс транспортной системы, крушение систем энергетики и водоснабжения — к счастью, пока это лишь сценарии голливудских фильмов. Но реальные случаи кибератак на банки, биржи и системы обмена информацией — уже реальность. Эксперты в сфере информационной безопасности уверены, что преступники не собираются на этом останавливаться, а противостоять им можно только объединив усилия государства, бизнеса и простых пользователей. Многие страны уже приняли доктрины кибербезопасности, у нас же только сейчас на всеобщее обсуждение вынесен Проект концепции «Киберщит Казахстана». «Капитал.kz» попросил Шавката Сабирова, главу Интернет-ассоциации Казахстана, рассказать о том, как и от чего будет защищать граждан киберщит.
— Шавкат, по вашему мнению, насколько своевременно принятие концепции?
— Мы даже опаздываем с такими документами. Помните, в июне 2011 года Глава государства говорил об электронных границах? Вот надо было начинать сразу после этих слов и сегодня мы бы уже имели «Киберщит», инфраструктура страны была на «замке». Но история не знает сослагательного наклонения и, поэтому мы только сегодня принимаем Концепцию кибербезопасности «Киберщит Казахстана». Нам только предстоит пройти то, что за последние 5−6 лет прошли другие страны.
Вообще концепция — это стратегический документ, содержащий основные положения кибербезопасности страны, она определяет единый подход к формированию и реализации общенациональной политики, дает конструктивную основу для взаимодействия государства и общества.
Безусловно, нельзя ожидать в таком концептуальном документе решения всех вопросов сразу. А вопросы стоят очень сложные. Нужно понимать роль частного сектора в кибербезопасности, нужно понимать, как общественность будет участвовать во всех этих вопросах. Ведь не забывайте, что практически все вопросы защиты будут представлять государственные секреты и тайну.
Поэтому нужна не «доработка» предложений, а создание абсолютно новых механизмов и методов работы.
Нужно, например, создать механизм работы государственного частного партнерства. Старые методы работы не подходят, так как инвестиции частного сектора надо компенсировать возможностью доходных частей бизнеса. Но в кибербезопасности непонятно где «лежит» платная сторона отрасли.
Нужно решать вопросы построения целой системы образования, обучения и подготовки специалистов в этой отрасли. Сейчас в стране узких специалистов, например, криптозащиты на пальцах одной руки можно посчитать. Специалистов в области Big Data можно найти, но не в области киберзащиты. Аналитиков, технических работников тоже надо готовить и учить. Основной принцип построения «щита» должен базироваться на собственных ресурсах, людских и материальных.
В Казахстане уже есть опыт построения уникальных специальных аналитических систем, поэтому эта задача тоже вполне решаемая. И обратите внимание, что рядом с Концепцией стоит План мероприятий по реализации Концепции.
— Как бы вы в целом могли прокомментировать идею внедрения «Киберщита Казахстана»? Какие задачи предстоит решить?
— Нужно понимать, что «Киберщит» это не просто программное обеспечение и пара дата-центров, это огромный комплекс мероприятий, которые нужно реализовать в ближайшие годы. Озвученная цифра в 7 млрд тенге только первая капелька в большом бюджете построения киберзащиты страны.
Мир изменился настолько сильно, что теперь киберпространство является пятой областью ведения боевых действий для многих стран после наземной, воздушной, водной и космической. Но в нашем «щите» не предусматривается ведение наступательных действий. Это, наверно, и правильно. Кибероружие сегодня напоминает мне использование ядерных сил у государств.
Кстати, в 2013 году в ОБСЕ были приняты меры доверия среди стран-участников в области кибербезопасности. Позиция многих стран-членов ООН сегодня говорит о том, что следует принять межправительственные соглашения об отказе в наступательных функциях в области киберпространства.
По сути угрозы в интернете становятся такими же страшными по последствиям, как и угроза ядерного оружия. Технологии настолько проникли в нашу повседневную жизнь, что достаточно внешнего несанкционированного вмешательства для создания хаоса и беспорядка. Поэтому лучше двигаться с технологиями вместе и защищать свое государство, свое пространство и ресурсы, в том числе.
По мере реализации «щита» предстоит решить много сложных и трудных задач. Нужно построить целую систему защиты и, в частности, критической инфраструктуры, куда входят много частных предприятий из всех отраслей экономики. Отдельный вопрос, что следует отнести к этой инфраструктуре. Банки, предприятия энергетики и транспорта, информационно-коммуникационные сети, водные ресурсы и агропромышленный сектор — и это не полный перечень всего, что нужно защищать. С этой целью считаю, что создание Совета по вопросам обеспечения кибербезопасности РК будет очень важным инструментом для работы с частным сектором и общественными организациями.
Кроме этого, очень важным является пункт о работе служб реагирования на компьютерные инциденты (CERT). Кроме государственных служб, должны быть и частные. Частный CERT позволит существенно облегчить работу государственных органов в отрасли и быть тем самым «мостом» взаимодействия между сообществом и государством в киберпространстве. Мировой опыт, кстати, показывает большую эффективность частных структур в этой области.
Отдельного разговора потребует подготовка специалистов, их образование и повышение квалификации. Должны произойти кардинальные изменения в сфере образования, поскольку обучение новым современным технологиям потребует от наших вузов оперативности и гибкой работы со студентами. Принцип дуального образования, как мне кажется, будет доминирующим в подготовке специалистов. Нужно ведь обучать защите не от эфемерных угроз, а от настоящих и современных.
— Предлагается сформировать уполномоченный орган по обеспечению информационной безопасности. Не будет ли это еще одной бюрократической структурой?
— Уполномоченный орган в области информационной безопасности уже есть в лице министерства оборонной и аэрокосмической промышленности. Но поскольку у нас теперь появляется «Киберщит», то вполне логично правовое закрепление ответственного в этой отрасли. В соответствии с Планом мероприятий в каждом государственном органе должно появиться подразделение, департамент или управление в области кибербезопасности. Конечно, для управления и координации деятельности персонала необходим единый орган. Защита критической инфраструктуры и общества тоже лежит в сфере интересов уполномоченного органа. Мы, как общественная организация, давно, еще с 2013 года говорим о том, что нам необходимы такие подразделения в государственных органах.
Я уже как-то приводил пример Нидерландов, которые после хакерской атаки на госорганы сразу реализовали это. Причем сегодня все страны Европейского Союза активно работают в этом направлении, а в прошлом году приняли общие документы в области кибербезопасности защиты данных («Директива о сетевой и информационной безопасности» и «Генеральный регламент ЕС о защите данных»). Реализация этих документов в ЕС предусмотрена до мая 2018 года. Причем страны-члены ЕС должны привести в исполнение директиву в течение 21 месяца и последующие 9 месяцев отводится на выявление операторов важнейших услуг. Сама директива устанавливает требования к операторам и провайдерам услуг, определяет уровень устойчивости к кибератакам, требования по разработке национальных стратегий, созданию групп экстренного реагирования и совместной отработке действий.
Если все страны ЕС уже договариваются между собой, то и нам, Казахстану, необходима своя собственная стратегия и меры защиты. Если раньше угрозы были в стороне и выглядели просто как новостные строчки, то теперь это реальная угроза.
— Последние взломы государственных сайтов вызывают серьезные опасения. Как вы думаете, насколько наша государственная система хорошо защищена уже сегодня?
— Последние события не вызывают особой радости ни у кого. Радует только то, что был взломан один сервер и злоумышленники получили, соответственно, доступ ко всем ресурсам на этом единственном сервере. Однако, характер взлома показывает, что злоумышленник получил доступ «случайно» и не знал, что с этим делать.
При преднамеренном взломе обычно проводится акция устрашения пользователей, установка ярких и грозных сообщений, массовое информирование общественности об удачно проведенном взломе или любое другое извещение. А строчка текста на взломанных сайтах вызывает больше вопросов, чем ответов. И эта шалость, в конечном итоге, может потом стоить свободы. Ведь наше пространство активно мониторится другими странами и такие вещи бесследно не проходят.
— В документе есть настороженность по поводу интернета вещей, «который усиливает проблему кибербезопасности». Видите ли вы конкретные решения этой проблемы. Что в этом плане предлагает мировой опыт?
— Интернет-вещей (Internet of Things) только малая часть тех вопросов, которые надо решать уже сейчас. Интернет вещей — это все, что окружает нас сегодня. Системы «Умный дом», телевизоры, подключенные к интернету, и даже наши даже кухонные комбайны требуют защиты от внешнего вмешательства. Вы только представьте, что будет, если ваш телевизор окажется «в чужих руках» и им будут пользоваться удаленно. Вся ваша частная жизнь окажется в мгновение ока доступной злоумышленникам.
Учитывая, что казахстанцы и без «щита» сегодня оказываются самыми наивными и безалаберными со своими устройствами, то угроза внешнего вмешательства становится вполне реальной. «Киберщит» как раз и должен обеспечить защиту общества и публичных инструментов.
Каждая страна использует разные способы защиты, устанавливают специальное оборудование операторам связи, провайдерам интернета для защиты пользователей. Буквально несколько дней назад последние утечки информации в интернете заставили всех производителей телевизоров срочно проверить программное обеспечение, установленное на устройствах.
Проблема защиты «интернета вещей» сегодня выходит на первый план, поэтому в Концепции это указано отдельным абзацем. Это ведь не только наша с вами проблема, это проблема в целом мировая. Ведь стандартные устройства для работы в интернете уже имеют хоть какую-то защиту, а новые, современные оказались «пустыми» и незащищенными. Именно поэтому для защиты наших «умных» домов на страже будет стоять «щит».
— В концепции говорится о том, что необходимо преодолеть проблему невысокой востребованности отечественных разработок ПО.& Может ли это действительно снизить риск киберпреступлений?
— Это самый сложный вопрос и не только для киберпространства, но и для всего нашего государства. Нам, действительно, нужно преодолеть проблему невысокой востребованности разработок ПО.& За годы Независимости мы потратили много средств на приобретение чужого ПО, оплату лицензий и использования чужого интеллектуального труда. При этом только сейчас задумались об отечественном рынке. Пусть поздно, но надо начинать заниматься и этим вопросом. «Изобретать велосипед», конечно, нет смысла, но нужно хотя бы по примеру других стран двигаться в этом направлении, шаг за шагом.
Кстати, «Киберщитом» предусматривается создание реестра отечественных производителей ПО, оборудования и коммуникаций. Поэтому задача в разработке ПО будет идти параллельно с созданием собственного оборудования. В области кибербезопасности как раз основополагающим моментом является создание собственных ресурсов. Кибертехнологии не так уж страшны, как это кажется, реализовать нам в собственных условиях вполне под силу. Надо не стесняться учиться у передовых стран, пользоваться опытом и не совершать ошибки других. Сегодня уже достаточно примеров, когда используется «чужое» ядро системы (база данных), а все что «сверху» создано своими руками. Это уже из серии трансферта технологий. Главное ведь во всем процессе разработки ПО не использовать «черные» ящики, а работать с исходным кодом продукта. Не многие поставщики технологий сегодня готовы делиться с нами исходным кодом ПО, но время идет и такие условия уже не кажутся чем-то необычным.
При работе с материалами Центра деловой информации Kapital.kz разрешено использование лишь 30% текста с обязательной гиперссылкой на источник. При использовании полного материала необходимо разрешение редакции.