Со щитом или на щите

6 июня 2018 / 0:05
440
Публикации

 

Власти страны активно взялись за цифровизацию, которая, по их мнению, не оставит Казахстан в колее инерционного развития. Но вместе с внедрением «цифры» возникает вопрос кибербезопасности. К примеру, одна из новелл законопроекта «О выборах» - цифровизация списков избирателей. И как показывают события в разных странах – новые технологии являются не только возможностью, но и угрозой. Для кибербезопасности власти страны намерены реализовать программу «Киберщит». Но возникает дилемма – для формирования модели безопасности основанной на отечественных решениях, нет кадров, а трансфер зарубежных решений делает уязвимым «Киберщит».  В этом контексте обращает на себя внимание, что на выставке KADEX между Министерством оборонной и аэрокосмической промышленности и Лабораторией Касперского подписан меморандум о сотрудничестве в сфере информационной безопасности.  Стороны договорились о взаимодействии в сфере информационной безопасности на базе уже существующих наработок, а также о развитии и внедрении самых передовых технологий. Сможет ли Казахстан своими силами обеспечить кибербезопасность – с таким вопрос «Саясат» обратился к специалистам

«На сегодняшний день в виртуальной среде больше активов, чем в реальной»

Директор Центра анализа и расследования кибер атак (ЦАРКА) Арман Абдрасилов считает, что для создание «Киберщита» своими силами необходимо взращивать отечественных профессионалов, которых сегодня единицы.

В рамках выставки KADEX-2018 подписан ряд меморандумов, в том числе с иностранными компаниями, однако не стоит воспринимать это очень серьезно, так как это ни к чему не обязывающий документ, сообщающий о намерениях. Подписанты таким образом заявляют о планах развивать свои отношения и понимании между собой. Важно четко отметить - это еще не договор. Антивирус Касперского хороший продукт мирового класса, и мы это признаем. При этом мы понимаем, что у США есть к этой компании вопросы в отношении сотрудничества с силовыми структурами России, но это еще не делает продукт плохим. Антивирусная система — это лишь малая часть всего комплекса мер защиты кибер-границ страны. Киберщит включает в себя целую систему мероприятий. В первую очередь это правовое регулирование, документирование, правила, приобретение технических средств, изучение мирового опыта, подготовка специалистов и многое другое. Все это в комплексе обеспечит Казахстану необходимый уровень кибербезопасности.

Нужна ли кибербезопасность Казахстану вообще? Конечно, нужна и очень. Мы привыкли, что в реальной жизни ваши права защищают правоохранительные органы, а в виртуальной, в которую мы постепенно все больше уходим, должная безопасность не обеспечивается. На сегодняшний день в виртуальной среде находятся больше активов, чем в реальной. В интернете хранятся все ваши данные, банковская информация, коммунальные платежи, вся документация архивы данных, связь и другое. В наше время в Интернете можно получить все, заказать еде, мебель, любую услугу, зарегистрировать имущество и все эти процессы должны быть защищены. По мере развития IT инфраструктуры проблемы кибербезопасности будут все актуальнее.

Казахстан ставит себе цель войти в 30 самых развитых стран. Наше электронное правительство в рейтинге ООН занимает 33 место, чем очень гордится наше профильное министерство. Безопасность такой системы должна соответствовать занимаемому месту, а не находиться в разных концах рейтингов.

Конечно, можно построить кибербезопасность страны на иностранных решениях и такие примеры в мировой практике имеются. Например, Саудовская Аравия и ОАЭ часто отдают в иностранный сервис такие задачи, так как они смирились с нехваткой специалистов и приняли сопровождающие риски в своей модели безопасности. Согласно нашей концепции, Казахстан будет стимулировать развитие отечественных решений и квалификации. Почему бы не дать импульс своей отрасли и талантливой молодежи для развития собственного потенциала и местной экономики. МОАП уже заявил о намерениях в максимально возможной локализации используемых решений. Надо понимать, что не все можно локализовать в Казахстане, но надо с чего то начинать. Радует, что министерство начало работу с вендорами и требует большей локализации. В планах составление списка доверенных продуктов, прошедших сертификацию. Некоторые компании уже открыли здесь правительства и начали нанимать местных специалистов. Это коротко о нашей работе с министерством.

Ситуация с кибербезопасностью в Казахстане очень сложная. ЦАРКА уже несколько лет поднимает эту проблему на самом высоком уровне, сделано очень много работы, но этого не достаточно. Мы добились увеличения квот по специальности кибербезопасноти, за счет сокращения других IT специалистов, что позволило решить проблему без привлечения дополнительного финансирования. Если в Казахстане только 1% IT-специалистов готовится по профилю безопасности, то в соседней России это около 10%. Как раз эту пропорцию мы и пытаемся сдвинуть до 10%, за счет внутренних ресурсов Министерства образования. К тому же, в стране нет преподавателей, которые могли бы дать необходимые знания. То есть, чем глубже мы погружаемся в эту комплексную проблему, тем сложнее она становится для нас.

«Мы способны заменить иностранные решения в части криптографической защиты информации»

Насколько наша система будет защищена от внешних вмешательств, рассказал директор НИИ информационной безопасности и криптологии Евразийского национального университета им. Л.Н. Гумилева, член Общественного совета министерства оборонной и аэрокосмической промышленности Казахстана Ержан Сейткулов. По его мнению, профильному министерству, ученым и специалистам необходимо концентрироваться на реализации государственной концепции «Киберщит».

Совместными усилиями мы создали хорошее начало. А именно, во-первых, определили национальный (головной) институт развития в сфере обеспечения информационной безопасности, во-вторых, решили вопросы подготовки кадров по специальности «Системы информационной безопасности» путем поэтапного увеличения количества образовательных грантов с 60 до 500 в год, то есть увеличение составляет почти 800%. Эти два вопроса, которые были инициированы мною, являются стратегически важными для обеспечения национальной (кибер-)безопасности. В ближайшей перспективе именно данный головной институт должен стать драйвером развития информационной безопасности Казахстана.

Для обеспечения защищенности нашей системы от каких-либо вмешательств была разработана концепция кибербезопасности. Теперь многие вопросы будут зависеть от того, как будет реализовываться эта концепция, как будет дальше развиваться головной институт информационной безопасности, и насколько качественно будут подготовлены наши национальные кадры.

По части криптографической защиты информации могу уверенно сказать, что мы способны полностью заменить иностранные решения. Для этого надо разработать для Казахстана собственные криптографические стандарты, как это сделали в Беларуси и России. Параллельно надо развивать и поддерживать проекты на базе open source решений.

Вообще, современные разработки программно-технических продуктов в сфере обеспечения информационной безопасности являются весьма наукоемкими. В связи с этим, хочу отметить важность организации проектного менеджмента по вопросам эффективной реализации научно-технологических программ в этой сфере.

Например, некоторые проекты в сфере кибербезопасности, такие как разработка алгоритма блочного шифрования, криптографической функции хеширования, алгоритма генерации псевдо-случайных чисел и т.д., принципиально нельзя реализовывать под грифом секретности. В криптографическом сообществе данный факт определен принципом

Керкгоффса, который гласит, что чем больше частей криптографической системы хранится в секрете, тем более хрупкой становится вся система.

Проектный менеджмент нужен для того, чтобы правильно управлять наукоемкими проектами в сфере информационной безопасности. Поэтому стоит вопрос о создании специального научного совета при головном институте информационной безопасности, в функции которого будет входить экспертиза сложных научно-технических проектов.

Тут важно понимать две вещи. Во-первых, во многих странах мира, в частности в Казахстане, принимаются государственные программы по цифровизации экономики, а это влечет за собой автоматизацию многих процессов, некоторые профессии исчезнут, люди будут доверять информационным технологиям. В таком случае, обеспечение бесперебойной работы автоматизированных процессов и критических объектов информатизации является задачей национальной безопасности, и соответственно оно не может полностью возлагаться на иностранные решения, разработчики которых работают под юрисдикцией иностранных государств. Во-вторых, разработки в области защиты информации напрямую связаны с деятельностью по обеспечению государственных и коммерческих секретов, а также по обеспечению защиты персональных данных. На данный момент отсутствуют технические возможности гарантированной проверки любого программного продукта на предмет наличия или отсутствия недокументированного функционала. Далее, методики сертификации средств защиты информации устаревают и их надо актуализировать, а разработчики антивирусных программ, сканеры и прочие анализаторы не поспевают за разработчиками вредоносного кода.

«Важно, чтобы  у зарубежных компаний была цель развивать местные кадры и развивать их»

Олжас Сатиев, президент ОЮЛ ЦАРКА рассказал как можно Казахстану предотвратить опасность от внешнего вмешательства и заодно улучшить отечественные кадры.

Меморандум - это просто бумажка, она обязательства ни на одну из подписавших сторон не накладывает. Это просто заявление о том, что стороны будут сотрудничать. Всегда есть риск если мы начинаем пользоваться не местными решениями, тем более теми, которые отвечают за безопасность. Но у на к сожалению, нет готовых местных решений. Такого же уровня как антивирус Касперского. Также это сигнал для нас о том, что мы должны развивать свои компетенции. Стоит учитывать, что какая бы страна не захотела работать с нами ей необходимо открывать представительство в Казахстане. Она должна нанимать здесь технарей, которые здесь будут обслуживать наши госорганы. Проблема в том, что у многих зарубежных компаний в их фронтах офиса находятся только продажники, а сами технари и те, кто имеет доступ к нашим документам – они все за рубежом. В этом заключается опасность. Если хотят работать в Казахстане, то хорошо, но все сотрудники должны быть в Казахстане. Это также важно, чтобы  у зарубежных компаний была цель развивать местные кадры и развивать их.

После того, как глава государства объявил о создании «Киберщита» прошел год, и мы за это время успели и смогли сделать столько – сколько многие делают по три года. Казахстан по киберготовности в мира по рейтингу стоим на 86 месте. Мы приняли, что мы на таком месте, и мы работаем над этим, чтобы через год войти хотя бы в 50 –ку лучших стран. У нас есть проблемы с обучением студентов, нет профессионалов, так как детей учат различать и устанавливать эти системы, но никого не учат писать эти системы, искать и выявлять угрозы. Мы должны отойти от этой потребительской формы обучения. Понятно, что первые 3-4 года, будет все не на высоком уровне, но с каждым шагом мы станем лучше. С чего-то надо начинать. Не начинать делать шаги в этом направлении очень опасно для Казахстана.

Подготовила Асель ИХСАНОВА

 

Нравится

Трибуна

Все о политике в Кыргызстане
Кыргызстан
© 2012-2018. Sayasat.org. Все права защищены
iBECSystems - разработка веб-сайтов, мобильных приложений, систем электронной коммерции и бизнес систем в Казахстане