Должен ли «Киберщит Казахстана» прикрывать огрехи бизнеса?
Республика вошла в мировой топ-3 по количеству атакованных мобильных устройствСистемные атаки на ряд частных и государственных систем хранения данных вызвали взрывной интерес общества к теме кибербезопасности. Напомним, в течение месяца специалисты Центра анализа и расследований кибератак (ОЮЛ ЦАРКА) совершили несколько взломов, каждый из которых был анонсирован публично.
В ряде случаев системные уязвимости были исправлены — например, на сайте Верховного суда страны и на портале egov.kz. Единый накопительный пенсионный фонд взлом своего мобильного приложения отрицает.
Особым случаем стал взлом «белыми хакерами» системы документооборота Документолог. Дело в том, что эта частная компания обеспечивает хранение цифровых документов квазигосударственных компаний, к примеру, «Казатомпрома», «Самрук-Казыны» и ряда других. Ситуация грозила перерасти в публичные скандальные разбирательства с судебным преследованием, однако была исчерпана совместным меморандумом.
Эти события предсказуемо вызвали серьезную полемику в экспертной среде. Дело в том, что по мере развития программы по цифровизации экономики республики участниками цифровой экосистемы становятся буквально все. В стране развивается государственная программа «Киберщит Казахстана», которая обеспечивает безопасность критически важной для РК цифровой инфраструктуры. Но какими мерами будет обеспечена безопасность данных в электронных системах частного бизнеса? Как государственная программа «Киберщит Казахстана» учитывает запрос на создание защищенной среды в компаниях, которые работают на стыке интересов страны и граждан? За ответами на эти вопросы корреспондент «Капитал.kz» обратился к экспертам.
Виктор Покусов: регламент и стандарты
Виктор Покусов, председатель Казахстанской ассоциации информационной безопасности, обращает внимание на аспект программы «Киберщит Казахстана», который призван обеспечить формирование качественной экспертной среды и отечественного производителя программной продукции. Чтобы добиться заявленных целей, считает он, важно перестать рассматривать действия «белых хакеров» с точки зрения этики. По его мнению, этика в сфере информационной безопасности должна быть сведена к повышению качественного измерения этой сферы. Если же инфраструктура изобилует откровенными дырами, которые не исправляются годами — продуманные провокации только на пользу дела.
Бизнес часто жалуется, что системы безопасности делают программный продукт менее гибким. Собеседник «Капитала.kz» считает данную проблему надуманной. «Регулирование этой отрасли только началось. Пока нет нормативных документов и четких требований, часто бывает так, что исполнители пишут программу, под которую потом заказчик подгоняет техзадание и документацию. Позже, в процессе эксплуатации компания может менять условия на лету, по требованию заказчика. Безопасность вообще не берется в расчет», — говорит Виктор Покусов.
Если мы наблюдаем разрыв между качеством безопасности программы «Киберщит Казахстана», обеспечивающей защиту финансовой инфраструктуры и госорганов, и частного рынка — не достигнет ли он критичных величин? Виктор Покусов видит перспективы в создании системы ежегодного частного аудита безопасности компаний, работающих на информационном рынке. Мониторинг стоит начать с компаний государственного и квазигосударственного секторов. «Рано или поздно подобная мера приведет к тому, что в стране сформируется стандарт безопасности. Крупные компании подвигнут к развитию весь рынок», — считает эксперт.
Еще один возможный способ воздействия — ранжирование компании по степени гарантированной защищенности. К примеру, именно так формируется аналогичный рынок России. Там компания может выбрать между защищенным документооборотом, пожертвовав удобством пользования, — либо выбрать удобство в ущерб некоторым аспектам безопасности. «Но в любом случае, работая в этой сфере, дальновиднее позиционировать себя как поставщика безопасных услуг. Любой владелец бизнеса, покупая программу или услугу по хранению информации, в первую очередь рассчитывает на безопасность», — говорит Виктор Покусов.
По словам эксперта, сейчас в правительстве готовятся законодательные поправки, которые введут в будущем году новые стандарты в области информационной безопасности. К примеру, унифицируют подход к способам и стандартам шифрования разных каналов связи. Разработка стандартов возложена на Национальный институт по информационной безопасности.
Евгений Питолин: рост без хайпа
Евгений Питолин, управляющий директор Kaspersky Lab в Казахстане, Центральной Азии и Монголии, считает, что хайп и скандалы только во вред построению надежной системы безопасности. «Почему люди на предприятии игнорируют тему безопасности, нарушают правила и политики? Чаще всего это от простого незнания. Ну и потому что неудобно работать, потому что люди не понимают, зачем это надо, а объяснять им не хотят или объясняют плохо. На эту тему мы часто дискутируем с коллегами.
Мне кажется, всем надо понять: чтобы система была безопасна, она требует комплексного подхода, при этом она должна быть удобной. Когда безопасность обретет формат удобной экосистемы, мы на несколько шагов станем ближе к идеальной ситуации, — считает собеседник «Капитала.kz». — Безопасность — это большая наука, основанная на реальной практике. Эта наука требует глубокого знания и уважения. Надо понимать пласт ответственности, возложенный на людей, развивающих эту часть культуры. Все, что подрывает доверие между игроками рынка, регуляторами и профильными министерствами, негативно влияет на развитие экосистемы и отбрасывает ее на несколько шагов назад".
По данным Kaspersky Lab, Казахстан по итогам минувшего квартала вошел в мировой топ-3 по количеству атакованных мобильных устройств. С одной стороны — это свидетельствует об успешном переходе на новый этап цифровизации общества.
С другой — чем больше доступных цифровых услуг в стране, тем больше рост угроз, тем больше внимание со стороны злоумышленников. «Цифровизация в Казахстане достигла уровня, который пока недоступен во многих даже развитых странах. Например, выделяются гибкость и огромный объем услуг внутри мобильных финансовых приложений, — подчеркивает Евгений Питолин.
Эксперт «Капитала.kz» констатирует, что армия хакеров сейчас сильно помолодела. Это значит, что серьезные инструменты все чаще оказываются в руках специалистов, чем моральный код еще не сформирован. Другой вид угрозы — безответственное поведение работников в отношении цифровых активов предприятия, неумение понимать и ценить их важность и уязвимость. «Не существует такой вещи как стопроцентная безопасность. Ни одна компания не даст абсолютных гарантий защиты. Злоумышленнику строить атаку всегда проще, она требует меньше ресурсов, чем создание полноценной киберобороны. Поэтому подход к созданию системы безопасности должен быть комплексным, многоуровневым и эволюционным. При этом никакие самые передовые технологии не заработают, если нет квалифицированных и мотивированных людей, чтобы ими управлять. Так что ключевая задача — чтобы человек на всех уровнях почувствовал личную ответственность за цифровые активы компании», — говорит Евгений Питолин.
Владимир Туреханов: премии за взлом
Владимир Туреханов, президент казахстанской Ассоциации автоматизации и роботизации, считает, что государству не следует вмешиваться в информационную безопасность бизнеса. «Рынок должен сам этому научиться. Если доподлинноизвестно, что некая компания разрабатывает „дырявый“ продукт и ничего не делает, чтобы улучшить уровень информбезопасности, не надо его покупать», — говорит собеседник «Капитал.kz».
Возможно, идеальным инструментом укрепления безопасности стала бы традиция премирования за обнаруженные уязвимости, как это практикуется в развитых странах. «В мире много сообщений об уязвимостях, даже у гигантов цифровой индустрии. Невозможно написать команду без изъяна, в любом программном обеспечении есть ошибки, более или менее критичные. Если бояться обсуждать тему открыто, то информационная безопасность не будет развиваться», — считает Владимир Туреханов.