Как Казахстан собирается стать одним из лидеров по кибербезопасности в мире

Согласно Глобальному индексу кибербезопасности, который публикует Международный Союз Электросвязи ООН, Казахстан занимает 31 позицию.

Согласно Глобальному индексу кибербезопасности, который публикует Международный Союз Электросвязи ООН, Казахстан занимает 31 позицию. Индекс учитывает правовые, технические и организационные меры в сфере кибербезопасности 182 стран мира, а также потенциал развития и сотрудничество с другими государствами, сообщает businessfm.kz.

Среди стран СНГ Казахстан на текущий момент уступает только России, однако, является лидером в Центральной Азии. Насколько сегодня на самом деле высоким является уровень кибербезопасности в стране и можем ли мы чувствовать себя абсолютно защищенными? 

На этот и другие вопросы ответил стоявший у истоков концепции «Киберщит», сооснователь Центра анализа и расследования кибератак (ЦАРКА), а ныне глава холдинга «Зерде» Арман Абдрасилов.

– Можно ли сегодня говорить о высоком уровне кибербезопасности в Казахстане?

- Прежде чем вообще начать говорить о кибербезопасности, нужно понимать какие задачи она решает. Их три: целостность, доступность и конфиденциальность. 

Целостность — это неизменность информации, которая хранится в том или ином источнике. Если это сайт, то он не должен быть изменён несанкционированно – в этом его целостность. Если банковское приложение, то с него не должны быть списаны деньги злоумышленниками. 

Второй показатель – это доступность. То есть информация должна быть доступна всегда – 24/7 и 365 дней в году. Ваш сайт или сервис должен работать круглосуточно. Как только он перестаёт работать, это уже инцидент в сфере кибербезопасности. Представьте, какой коллапс может произойти в стране, если приложение банка перестанет работать, скажем, на неделю. Нечто подобное уже было – пусть всего лишь на час или два, но и этого времени достаточно, чтобы стать шоком для населения. 

Арман Абдрасилов. Фото / Facebook

И, наконец, третье – это конфиденциальность. То есть доступ к информации должен быть только у авторизованных пользователей. Если это ваша электронная почта либо личный кабинет на каком-то сервисе, то доступ туда должен иметь доступ только тот человек, которому Вы предоставляете на это право. Это либо Вы сами, либо некий авторизованный Вами пользователь. 

Вот три основные задачи, которые решает кибербезопасность как сфера деятельности. И по всем трем направлениям в Казахстане есть проблемы. 

– В то же время, Казахстан за 5 лет поднялся в рейтинге ООН по кибербезопасности на 31 место. Расскажите подробнее, как наша страна смогла добиться этого?

- Данный рост демонстрирует результат адаптации законодательства и нормативно-правовой базы под международные стандарты. 31 место означает, что мы выполнили примерно 70-80% рекомендаций ООН. По сути, место в рейтинге – это ещё не показатель того, что страна уже добилась невероятных высот. Это показатель того, что нормативная база соответствует рекомендациям, что она адаптирована под высокие стандарты и современные реалии. Но именно это в свою очередь является тем условием, которое лежит в основе правильного развития всей отрасли и поэтому мы изначально боролись за данный индекс на этапе разработки проекта «Киберщит».

– Как с этой точки зрения на развитие отрасли влияет концепция «Киберщит Казахстана»? На каком этапе находится сегодня ее реализация? Расскажите о Вашем участии в разработке проекта.

– Концепция «Киберщит» — это комплекс мер, направленных на повышение уровня защищенности нашей страны от кибератак. На текущем этапе сроки ее действия уже заканчиваются. Мы разрабатывали ее в рамках Послания Президента.

В рамках ЦАРКА мы поднимали вопрос кибербезопасности еще тогда, когда это, образно говоря, еще не стало мейнстримом. Мы всегда говорили, что кибербезопасность – критичный фактор, что стране не хватает специалистов. Обнародовали различные кейсы утечки данных. И в том числе благодаря давлению общественности, мы добились перемен в отношении властей к проблеме кибербезопасности, в результате чего и появился «Киберщит».

С коллегами по ЦАРКА мы активно участвовали в процессе разработки документа, критиковали ряд моментов, добились трех пересмотров проекта. Но и этого было недостаточно – концепция все равно требовала доработок. Мы настаивали на корректировках готового документа в 4 раз, хотя он был уже согласован госорганами и депутатами. Поэтому министерство в тот момент сопротивлялось – им пришлось бы вновь идти по второму кругу согласования.

Тогда мы придумали такую хитрость. Мы взяли Глобальный индекс кибербезопасности и сказали, что мы согласны оставить документ, как есть сейчас, если мы добавим всего одну строку. А именно, что Индекс кибербезопасности является целевым показателем проекта и как страна мы ставим себе задачу поднять нашу позицию в нем. Министерство согласилось. 

В чем именно заключалась хитрость? Индекс кибербезопасности состоит из 82 показателей. То есть, чтобы подняться в нем выше, стране придется по всем направлениям менять нормативную базу и искать действительно эффективные решения. Тем самым, мы одной строкой смогли в «Киберщит» добавить целый концептуальный документ Международного Союза Электросвязи ООН. А это настоящая философия развития отрасли. 

Благодаря этому концепция «Киберщита» была утверждена на уровне Президента. Поэтому чиновники обязаны были максимально реализовывать ее по всем пунктам. В результате, пытаясь поднять страну выше в глобальном индексе, они стараются выполнить по-настоящему эффективные рекомендации ООН, результатом чего становится движение вперед. Благодаря исполнению международных требований всегда легче проходит процесс интеграции любой страны в мировую экономику.

– Можно ли назвать кибербезопасность в РК сформировавшимся рынком? Каков его объем? В чем ключевые тенденции развития данного рынка?

– Нет, кибербезопасность в Казахстане – это все еще формирующийся рынок. Лет 6-7 назад его и вовсе не существовало. Мы создавали его как новое направление, развивающееся по «стратегии голубого океана». С самого начала на государственном уровне почти не было финансирования. Мы смогли добиться его увеличения постепенно.

Если изучать мировой опыт, то отрасль кибербезопасности составляет 10% от всей IT-индустрии. То есть кибербезопасность является неотъемлемой частью любого IT-проекта и составляет примерно 10% от его стоимости. В Казахстане, по нашим оценкам, в рамках реализации IT-проектов на кибербезопасность тратится не более 4%. В этой связи мы видим, что рынок до конца не сформировался. Как минимум, он не дофинансирован. И в ближайшие 3-5 лет мы прогнозируем двух и даже трехкратный рост рынка кибербезопасности. Во-первых, он должен прийти в своё нормальное состояние тех самых 10%. Во-вторых, стране необходимо закрывать накопившийся технологический долг. И этот процесс будет в том числе осуществляться за счёт финансирования отрасли кибербезопасности.

– Какие компании являются основными игроками отрасли кибербезопасности в РК?

– Необходимо признать, что «законодателем мод» со стороны частного рынка здесь как раз является ЦАРКА. Будучи независимой организацией, в качестве своего рода мозгового центра, ЦАРКА диктует тренды и направления, по которым нужно развиваться отрасли, предлагает независимое от государства мнение и в этом смысле пользуется поддержкой экспертов как локального, так и международного уровня. Другим ключевым игроком рынка, уже со стороны государства, является АО «Государственная техническая служба». Это технический оператор решений в сфере кибербезопасности со стороны государства. И оператор очень качественно отрабатывает те задачи, которые нужно решать именно государству. Все остальные игроки просто работают в отрасли, зарабатывают деньги, но не влияют в полной мере на политику и изменения, которые происходят в законодательстве. Именно эти два игрока занимаются формированием отрасли, ее рельефа и правил игры.

­

– Способен ли Казахстан бороться с актуальными на сегодня вызовами в сфере кибербезопасности и информационной безопасности, которые мы можем видеть на мировой арене? 

­

– Говоря простыми словами, кибербезопасность – это защита от хакеров, а информационная безопасность – это защита от пропаганды. Порой эти две вещи пересекаются. Какие-то ресурсы взламываются для того, чтобы продвигать пропагандистские идеи. Либо, напротив, IT-ресурсы могут быть использованы для контроля над мыслями людей. 

С точки зрения кибербезопасности и угрозы захвата наших информационных систем, уровень защиты в целом в Казахстане высокий. По крайней мере, по сравнению с тем, что было несколько лет назад. Но этого недостаточно. Все еще имеется нехватка кадровых ресурсов, отдельные пробелы в законодательстве, слабая выверенность бизнес-процессов. Есть риск, что мы не сможем достаточно быстро мобилизовать свои ресурсы, которые нужны для решения тех или иных задач в кибервойнах. Это может стать критической проблемой и способно нанести катастрофический ущерб для страны. 

Именно поэтому, главное, чем мы занимались последние 10 лет – это повышение компетенций, квалификации человеческого капитала. Технологии мы всегда можем купить, законы всегда можно написать, но нехватка людей — это самая большая проблема IT-отрасли. При чем мировая, не только казахстанская. Поэтому эту проблему надо решать сообща, и тут силы одной только ЦАРКА недостаточно. Регулятор, как мне кажется, делает недостаточно для этого. Госорганы сконцентрированы на повышении квалификации и подготовке IT-специалистов-разработчиков общего профиля, но по направлению кибербезопасности усилий в этом отношении прилагается недостаточно.

В целом, рынок перегрет и по направлению кибербезопасности сейчас идёт борьба работодателей за специалистов. На 1 специалиста приходится около 3-4 работодателей. Сейчас специалистов в сфере кибербезопасности высокого уровня в РК лишь 1000-1500.Количественно мы оцениваем нехватку кадров в районе 10 000 человек.

 - Основатель Alibaba Джек Ма выразился, что данные — это новая нефть. Согласны ли вы с данным утверждением? 

- Я не только согласен с Джеком Ма, более того, мы надеемся интегрировать эту идею в казахстанское законодательство. Данные — это действительно новая нефть. И не только потому, что, как и нефть, информация имеет высокую цену, а ещё и потому, что из данных, как и из нефти, можно добывать новую ценность. Говоря о нефти, это пластик, бензин, солярка, керосин, которые используются далее в разных сегментах хозяйственной деятельности человека по очень длинной цепочке. Из данных можно точно также добывать новые данные, применять их в аналитике big data, создавать искусственный интеллект и т.д. 

В рамках холдинга «Зерде» мы выступаем за идею разработки Цифрового кодекса для консолидации всех законодательных актов, касающихся цифровизации. Это порядка 15 законодательных актов и 30 подзаконных актов. Их необходимо структурировать в едином документе. И одна из задач, которую мы хотим решить – это вовлечение данных в экономический оборот, чего на текущий момент в нашей стране не происходит. 

По нашим оценкам, речь об активах стоимостью сотни миллиардов долларов, которые накопились в виде данных. Как страна мы можем зарабатывать на этом достаточно большие деньги. Существует возможность формирования целой новой отрасли дата-майнинга: добычи данных и добычи данных из данных. Это направление не оживет, пока мы не оценим данные как актив. А когда появится понятие стоимости данных, мы сразу поймем, какие данные по-настоящему дорогие и их нужно защищать в приоритете, а на какие не нужно тратить много ресурсов. Например, если условно данные стоят 100 тг, то мы точно не можем на их защиту тратить более этих самых 100 тг. В их защиту мы можем вложить 5-10 тг, но не больше. Нельзя превышать себестоимость и тратить на защиту данных больше, чем они стоят. Но зачастую подобное происходит в нашей стране как раз потому, что у нас нет системного видения и методологии в работе с данными как с активом.

– Какие меры защиты от хакерских атак Вы можете посоветовать обычным гражданам, которые не являются экспертами в цифровых технологиях?

­­

– Это базовые требования по кибергигиене. Использовать сложные пароли, периодически менять их, не передавать третьим лицам, не переходить по небезопасным ссылкам, критически относиться к информации, которую Вы потребляете, контролировать сертификаты безопасности и использовать лицензионное программное обеспечение. В целом, соблюдение кибергигиены, простых инструментов безопасности, защитит вас от 80% всех кибератак. Точнее говоря, Вы сделаете хакерскую атаку на себя достаточно сложной и дорогой. Если Вы лично не являетесь целевым таргетом для хакеров, они нацелены на массу, то в данном конкретном случае им будет проще перейти на другую цель и взломать другого человека, чем тратить время и деньги на вас. Поэтому моя основная рекомендация – элементарное соблюдение базовых требований безопасности.