Программа «Киберщит Казахстана» за год существования внесла принципиальные изменения в рынок информационной безопасности страны. Разработан национальный антикризисный план реагирования на информационные угрозы, открыт национальный институт развития в сфере информбезопасности. Работают Служба реагирования на инциденты в области ИБ и Национальный оператор базы данных устройств и кодов, создана Единая национальная резервная платформа хранения электронных информационных ресурсов.
На очереди — реализация действий по формированию национальной экспертной среды и поддержки отечественных производителей. Этой теме было посвящено первое заседание Совета по вопросам обеспечения кибербезопасности РК, прошедшее в Астане в начале текущей недели. «Капитал.kz» попросил участников совета поделиться впечатлениями.
Безопасность должна стать приоритетом
Арман Абдрасилов, директор Центра анализа и расследований кибератак (ЦАРКА), считает, что сейчас самое время вернуть должный уровень важности теме информационной безопасности. «IT-отрасль активно развивалась и получала поддержку государства. Основным показателем было количество внедренных IT-систем, количество людей, подключенных к системам, — все было нацелено на быстрое внедрение. Кибербезопасность стала „мешающим“ звеном, — говорит Арман Абдрасилов. — „Безопасники“ всегда задерживают процесс внедрения, когда говорят о необходимости детального изучения исходного кода программ, тестирования. Поэтому решения о вводе систем в эксплуатацию были компромиссными. Похожая ситуация была с электронным правительством: чем больше внедрялось государственных услуг, тем больше в системе образовывалось уязвимостей».
В результате изменилась ценностная ориентация рынка, понизился статус экспертов в области безопасности. «Уровень сферы безопасности отстал в развитии от IT-отрасли. Сформировались дефицит кадров, недостаток квалификации. Сам рынок немного мутировал, „безопасников“ подчинили IT-разработчикам. Когда на одной чаше весов — быстрое внедрение системы и бонусы за это, а на другой — требование одного из отделов более внимательно проработать вопросы безопасности, выбор всегда на стороне быстрого внедрения», — говорит Арман Абдрасилов.
Какие способы восстановления равновесия ЦАРКА предложил на Совете по обеспечению кибербезопасности? «Нам надо развиваться очень быстро. Мы просим в рамках совета простимулировать отрасль информационной безопасности, чтобы она могла догнать по уровню развития отрасль IT, — говорит Арман Абдрасилов. — Для этого мы предлагаем материальные методы стимуляции: повышение уровня зарплат, просим стимулировать проекты и стартапы в области информбезопасности. Также мы просим чиновников публично демонстрировать поддержку этой сферы, больше говорить о важности темы безопасности».
Главный стимул к росту создаст рынок
Виктор Покусов, председатель Казахстанской ассоциации информационной безопасности, другой участник Совета по кибербезопасности, предлагает создать рыночные условия для развития этой сферы IT. По его мнению, решению задачи поможет обязательность ежегодного аудита информационной безопасности государственных и квазигосучреждений, к чему должны быть привлечены частные компании. «Уровень безопасности будет расти, если сформировать и развивать рынок аудита. К тому же нам надо оценить текущий уровень безопасности. Когда мы поймем, на каком уровне развития находимся, можно будет обозначить новые цели и рекомендовать пути их достижения. Тогда у нас будет ежегодное улучшение в этой сфере, — считает Виктор Покусов. — Также аудит подстегнет применение технических средств, реализацию продуктов, их сертификацию и применение. Даже если часть рынка будет адаптировать зарубежные разработки, это тоже дополнительный стимул для развития».
Есть еще одна очевидная проблема рынка — недостаток квалифицированных кадров. Рыночные отношения в сфере информбезопасности помогут нивелировать эту проблему, а потом и решить в целом. «Проблема существует: у нас мало специалистов, а которые есть — уезжают. Это нонсенс: уезжать из страны при нехватке специалистов. Сейчас компании, открывая отделы по защите информации, не имеют ни плана работы, ни бюджета, и откуда они набрали специалистов — неясно, — говорит Виктор Покусов. — Но если будет конкретный план развития, достаточно иметь в штате одного человека для контроля, а услугу по информбезопасности передать на аутсорс — вот еще один способ развития рынка. У нас есть разработчики и программисты, им надо находить применение в стране. Государство должно создать условия для роста местным специалистам и компаниям, чтобы у них были доход и занятость».
Реестр доверенных производителей не избавляет от конкуренции
Еще одна важная тема, обсуждаемая на Совете по кибербезопасности, — создание условий для развития электронной промышленности в стране. Для этого формируется Реестр доверенной продукции электронной промышленности и программного обеспечения. Его формирует министерство оборонной и аэрокосмической промышленности. Чтобы стать участников реестра, необходимо пройти сертификацию на соответствие требованиям по информационной безопасности.
Однако условия на рынке таковы, что участник реестра не избегает конкуренции с иностранными производителями. «Главная проблема членов нашей ассоциации — конкуренция с зарубежными продуктами. Иностранные компании легко могут соблюдать требования реестра. Зарубежному игроку надо полностью раскрыть свой продукт, и ничто не помешает ему стать доверенным производителем, — говорит Виктор Покусов. — Некоторые продукты мы по 6−7 лет разрабатываем, но не выдерживаем конкуренции с россиянами. Они продавать умеют лучше нас, у них есть подпитка денежная, ресурсов больше. Им легко завоевать этот рынок. Мы предложили создать стандарты хотя бы для силовых структур, чтобы развивать местный рынок. „Киберщит“ должен поддерживать отечественных производителей, стимулировать использование отечественных продуктов».