«Киберщит Казахстана»: идеология & конкретика? (Зауре Медерханова)
«Киберщит Казахстана»: идеология & конкретика?
Зауре Медерханова
Эксперты приняли участие в обсуждении правительственной концепции «Киберщит Казахстана» и сформулировали предлагаемые изменения и корректировки. Мнения разделились, основной вывод - требуется кардинальная переработка документа.
7 марта правительство Казахстана опубликовало проект концепции «Киберщит Казахстана». Этот документ - первая попытка в стране выработать комплексный подход к обеспечению кибербезопасности национального цифрового пространства. Обсуждение проекта длилось до 15 марта, мнения экспертов разделились.
Много слов, мало конкретики
По мнению Армана Абдрасилова, директора Центра анализа и расследования кибератак, проект Концепции является «сырым» документом и не отображает существенную часть вопросов, касающихся создания национальной системы кибербезопасности. «В проекте Концепции нет описания, из чего же в итоге будет состоять так называемый «Киберщит», что будет являться его составными частями, и выполнение каких функций будет возложено на эти части», - поясняет он.
Также эксперт не согласен с утверждением, что основы обеспечения кибербезопасности как системы правовых, организационных и технических мер безопасного использования ИКТ сформированы и законодательно закреплены. «Системы мер нет, она не сложилась. Отсутствует документ верхнего уровня, объединяющий меры, закрывающие отдельные вопросы, в единую систему мер», - утверждает Абдрасилов.
Другой недостаток, который обнаружил эксперт, - отсутствие в концепции описания видов угроз и их источников. «Несмотря на то, что сами угрозы постоянно меняются, их классификация и источники остаются, как минимум для государства, постоянными», - говорит Абдрасилов. Кроме того, по его словам, в проекте Концепции наблюдается излишний уклон в сторону обеспечения защиты персональных данных физических лиц. «При этом не уделено должного внимания необходимости обеспечения защиты от несанкционированного доступа к иным видам охраняемых законом тайн, а именно к банковской, врачебной, а также к служебной информации ограниченного распространения», - делится своим мнением Абдрасилов.
Эксперт обращает внимание на тот факт, что в документе отсутствует информация о подходах к организации схемы взаимодействия между собой участников национальной системы кибербезопасности. «В Концепции нет информации о распределении полномочий между органами, являющимися непосредственными участниками процесса обеспечения кибербезопасности страны, в ходе функционирования национальной системы кибербезопасности. Отсутствует градация озвученных задач по их приоритету. Нет описания этапности выполнения поставленных задач. Нет описания, как сами поставленные задачи взаимосвязаны между собой, а также как взаимосвязано между собой их выполнение, - сетует он. - Кроме того, в Концепции заявляется необходимость создания нового уполномоченного органа по обеспечению информационной безопасности и Совета по кибербезопасности, однако отсутствует описание (хотя бы в общих чертах) самой организационной структуры государственных и негосударственных органов, непосредственно задействованных в функционировании государственной системы обеспечения кибербезопасности».
По мнению Абдрасилова, неясность области, за которую ответственен государственный или иной орган, приводит к размыванию ответственности, ненужному дублированию функций и в итоге невыполнению поставленных задач и функций.
Главное - идея
Эксперт по кибербезопасности Виталий Ли инициативу создания концепции считает правильной и своевременной. По его мнению, содержание концепции даже менее важно, чем факт появления такого документа. «Конечно, можно глубоко увязнуть в профессиональных спорах типа «чем отличается кибербезопасность от информационной безопасности». Но по сути это замечательная инициатива. Нурсултан Абишевич поднял важный вопрос и поднял его очень вовремя», - говорит Ли. Он считает, что концепция не должна содержать конкретных требований и технических рекомендаций, но должна формулировать определения и разъяснять понятия.
Эксперт отмечает, что концепция «Киберщит» - первый в стране документ, четко описывающий проблему безопасности информационно-коммуникационных технологий и отношение власти Казахстана к этой проблеме. И данный документ, по его мнению, может стать эффективным инструментом в решении вопросов ИБ в стране. «Эффективность «Киберщита» как идеи переоценить трудно, а как проекта можно. Эффективность любого проекта измеряют по соотношению время/деньги/качество. С целью «Киберщита» все понятно. Но предположим, что концепции нет, все осталось как прежде. Означает ли это, что в Казахстане исчезнет информационная безопасность? Нет, конечно. На протяжении всей истории цифровизации Казахстана информационная безопасность развивалась, и в некоторых отраслях она соответствует самым жестким критериям. Другое дело, что информационную безопасность (как и кибербезопасность) каждая отдельная организация или государственный орган выстраивал сам, как и каждый владелец домашнего компьютера или смартфона. Эдакая феодальная раздробленность, только в киберпространстве. Каждое мини-киберкняжество имеет свою дружину для защиты. Каждая такая дружина встречает нападение один на один с врагом. Сейчас же поднимается вопрос совместной защиты. История человечества не раз подтверждала аксиому - вместе гораздо эффективнее, чем порознь. Это касается и соотношения время/деньги/качество», - резюмирует Ли.
Кадровый вопрос
Корнем проблем в обеспечении национальной кибербезопасности, по мнению Ержана Сейткулова, директора НИИ информационной безопасности и криптологии Евразийского национального университета им. Л.Н. Гумилева, члена Общественного совета министерства оборонной и аэрокосмической промышленности Казахстана, является дефицит национальных кадров. Чтобы обеспечить кадрами систему «Киберщит Казахстана», необходимо:
· проработать вопрос создания Академии информационной безопасности для качественной подготовки национальных кадров по профильным специализациям и привлечь ведущих отечественных и зарубежных ученых;
· нарастить образовательные квоты в рамках программы «Болашак» по специальности «Методы и системы защиты информации, информационная безопасность» для магистратуры, докторантуры и научных стажировок;
· увеличить количество ежегодно выделяемых образовательных грантов Министерства образования и науки Казахстана по специальности «Системы информационной безопасности»;
· внести изменения в классификатор специальностей Республики Казахстан, и данную военную специальность перевести в разряд технических профилей;
· создать специальные кафедры информационной безопасности в ведущих вузах страны и два специальных факультета в Астане и Алматы;
· открыть при вузах научно-исследовательские институты и лаборатории по разработке СКЗИ (средств криптографической защиты информации), проектированию ПЛИС (программируемая логическая интегральная схема), микропроцессоров, квантовой криптографии.
Другой стратегический вопрос - поэтапное импортозамещение при разработке отечественных средств защиты информации и программного обеспечения. «В Казахстане острой проблемой является слабое развитие отечественной индустрии информационной безопасности, в частности в разработке средств криптографии. Одна из причин такой ситуации в том, что иностранные компании-гиганты через своих представителей в республике не дают возможности встать на ноги отечественным специалистам и компаниям. С учетом того, что разработки в области защиты информации напрямую связаны с обеспечением госсекретов, использование готовых иностранных продуктов крайне опасно, необходимо развивать собственные лаборатории», - подчеркивает Сейткулов.
Для поддержки отечественных производителей необходимо изучить вопрос законодательного регулирования закупок иностранного программного обеспечения в сфере защиты информации для государственных учреждений и критически важных объектов, считает эксперт. По его словам, необходимо уделить внимание вопросу создания научно-производственного института, в функции которого будет входить стратегическая задача поэтапного импортозамещения в сфере защиты информации.
Таким образом, по мнению Ержана Сейткулова, Министерству оборонной и аэрокосмической промышленности надо пересмотреть все применяемые подходы к обеспечению информационной безопасности. Ведомству необходимо разработать качественно новый стратегический план (концепцию, доктрину) с привлечением научной общественности и с учетом международного опыта. «Кроме того, необходимо предусмотреть постоянное аналитическое и научно-исследовательское сопровождение системы «Киберщит Казахстана», а также принять меры для развития государственно-частного партнерства (ГЧП) в этой области», - считает эксперт.