Информационная безопасность Кыргызстана не успевает за цифровизацией

27.02.2020 в 11:28, просмотров: 1974

Год цифровизации, обозначенной как приоритетное направление государственной политики в Кыргызстане, объявлен был в 2020 году второй раз подряд. За первый «цифровой» 2019 год удалось запустить портал открытых данных республики – на конец февраля 2020 года там уже присутствует 612 пакетов данных от 15 госструктур.

Информационная безопасность Кыргызстана не успевает за цифровизацией

Заработал, хоть и с нареканиями, «Безопасный город». Началась работа по воплощению концепции цифровой трансформации «Цифровой Кыргызстан», рассчитанной до 2023 года, приняли большой пакет нормативно-правовых актов, способствующих развитию информационно-коммуникационных технологий. Так же за это время был презентован исключительно кыргызский продукт «Государство как платформа», предназначенный для оказания государственных и муниципальных услуг и сервисов и регулирования цифровой инфраструктуры. И был заложен фундамент для строительства собственного Data-центра. По проекту Digital Casa при финансовой поддержке Всемирного банка он появится в течение пяти лет.

Стоимость проекта составляет 50 млн долларов США, 25 из них представляют собой грант, еще 25 млн кредитные средства. Работает успешно и Парк высоких технологий под девизом «Жить в Кыргызстане – работать со всем миром!»… Словом, республика старается не отставать и от соседей по Центральной Азии, и от партнеров по ЕАЭС, где программе развития устойчивого региона на основе данных и искусственного интеллекта отводится значительное место. Получается это у Кыргызстана почти по всем параметрам, кроме одного – информационной безопасности и кибербезопасности. Нет защиты даже у первых лиц страны: cамым ярким примером тому за последнее время служит атака в первые дни нового 2020 года на личный сайт президента Кыргызстана Сооронбая Жээнбекова, а также на сайты кыргызского правительства и ряда других госструктур.

О том, почему это направление в Кыргызстане отстает, и что нужно сделать, чтобы исправить ситуацию, говорилось в Бишкеке на международной конференции специалистов игровой индустрии, IT-образования, электронной коммерции и кибербезопасности. Она стала частью крупнейшей в центральноазиатском регионе февральской двухдневной выставки игр и игровых развлечений Central Asia Games Show, и собрала спикеров и гостей из Кыргызстана, России, США, Беларуси, Казахстана и Украины. Спикерами конференции поднимался ряд вопросов, важных не только на глобальном уровне, но и для каждого государства: от региональных и мировых проблем кибербезопасности до защиты программного обеспечения разного уровня и примеров защиты объектов критической информационной инфраструктуры.

Цифровая неграмотность

По мнению начальника управления программами информационной безопасности KISB Кубанычбека Закенаева, республика абсолютно уязвима перед кибератаками любого уровня. Даже самыми простыми.

«К таким атакам на уровне государства Кыргызстан не готов – даже на уровне защиты от стандартных угроз. Даже крупные компании республики и государственные институты используют только инструменты базовой защиты – антивирусы и системы сетевого слежения. Пока только две компании пытались выйти на сертификацию ISO/IEC 27001 – это международный стандарт по информационной безопасности», – отметил эксперт.

Причин тому несколько. Во-первых, своего рода цифровая безграмотность, при которой даже те, кто работает с информационными технологиями, не всегда могут дать четкое и внятное определение того, что же такое информационная безопасность. И как следствие – даже не понимают, какой алгоритм действий им предпринять.

«Я иногда провожу аудиты местных компаний. И сталкиваюсь нередко с ситуациями, когда хорошие и ведущие IT-специалисты не понимают даже, что такое информационная безопасность. Они считают, что это значит установить антивирус, поставить файрволл (защиту компьютера, локальной сети или отдельных узлов от внешних атак и вредоносного программного обеспечения, прим.авт.), сводят это к техническим средствам. Но проблема информационной безопасности – это отсутствие процессов, отсутствие ответственности, отсутствия осведомленности на тему информационной безопасности. Очень часто путают кибербезопасность, IT-безопасность, информационную безопасность, считая, что это одно и то же. Но это не так. Информационная безопасность – это процесс управления технологиями, процессами и людскими ресурсами, а не сами технологии и ресурсы. Ее цель – защита информации в любом формате – от бумаг до цифрового формата. Кибербезопасность – это часть цифровой безопасности, которая защищает уже цифровую информацию в киберпространстве. А IT- безопасность – это операционная деятельность, установка сетевых устройств, антивирусов и так далее. И она должна находиться под контролем информационной безопасности», – подчеркнул он.

Из-за непонимания того, как правильно организовать информационную безопасность, кыргызский бизнес тратит огромные средства на дорогостоящее оборудование, но тщетно: инциденты с киберугрозами происходят, данные утекают. То же актуально и для госорганов.

Беспорядок – наше все

Второе слабое место Кыргызстана – в том, что для обеспечения информационной безопасности ее следует встраивать вместе с ее правилами и со строгим менеджментом в уже имеющееся бизнес-пространство. Или в работу госорганов – в них с менеджментом дела обстоят зачастую хуже, чем у бизнеса.

«Проблема в Кыргызстане – в том, что в госорганах почти нет документированной системы менеджмента. Информационная безопасность в этом случае не может никуда встроиться. И начинает саморегулироваться, терпит поражение. Высшее руководство же делегирует все вопросы информационной безопасности к IT-специалистам, это происходит в 90% случаев. Следует создавать четкую структуру менеджмента, где бы было место для информационной безопасности. Так же нужно повышать грамотность населения и персонала, проводить тренинги – 80% угроз идет от персонала. И предпринимать самые стандартные вещи –  обеспечивать безопасность данных, защиту мобильных приложений и программ для устройств, защиту сети и облачных сервисов, идентификацию по ГОСТу и обеспечение безопасности вендеров (компаний-поставщиков или производителей товаров и услуг под своей торговой маркой, прим.авт.) – таких, как CCleaner. Все эти процессы требуют мониторинга и аудита, при цифровизации могут быть внедрены системы, которые всю информацию об этом будут быстро собирать, проводить анализ рисков и реагировать на них. Но сейчас в Кыргызстане у нас практически нет превентивных и корректирующих действий. Как следствие – в 2018 году Кыргызстан занимал 111 место в рейтинге Глобального индекса кибербезопасности», – констатировал Закенаев.

Взламывай, кто хочет

Наконец, нет законодательных полноценных мер, направленных на профилактику киберпреступлений. Нет адекватной уголовной ответственности за кибератаки на критическую информационную структуру – информационные системы и информационно-телекоммуникационные сети госорганов, автоматизированные системы управления технологическими процессами в оборонной индустрии, здравоохранении, связи, на транспорте, в кредитно-финансовой сфере, промышленности… Нет еще и рабочей полноценной государственной стратегии для противостояния кибератакам.

«У нас в Кыргызстане до сих пор не решены вопросы военной киберобороны. Наша страна не готова к кибервойне, не готова к атакам на уровне государства, и мы не знаем, может быть, уже у нас в сети и сидят, и собирают информацию! У нас низкий уровень осведомленности о вопросах кибербезопасности на уровне частного и государственного сектора – боссы могут только приказывать, не подавая пример решения проблемы. Потенциал правоохранительной и судебной системы слаб. У нас нет опыта в расследовании киберпреступлений, а судьи не имеют опыта ведения таких процессов. Антикризисное управление при кибератаках у нас отсутствует, учений в национальном масштабе на случай кибератаки на госорганы и на всю страну в целом не ведется. Уровень проникновения лучших практик и международных стандартов в госсектор же очень и очень низок. Есть первые шаги по изменению ситуации, но они пока единичны. Исторически сложилось, что США и Великобритания – лидеры по кибербезопасности. Они разработали эти стандарты уже давно, поэтому у них это все работает, и не воспринимается как нечто сверхъестественное. У нас же пока эти меры сталкиваются с большим сопротивлением», – пояснил он.

Но есть и положительные изменения за последние годы. Которые могут помочь республиканской информационной безопасности, образно говоря, перестать ползать и научиться самостоятельно ходить и даже бегать.

«У нас появился Государственный комитет информационных технологий и связи. Он – драйвер проведения дополнительной оценки и рекомендаций для правительства, благодаря этому была разработана  стратегия кибербезопасности. Уже есть первая концепция информационной безопасности, ГКНБ почти запустил свой центр реагирования на угрозы информационной безопасности. Начал работу по обеспечению информационной безопасности и Нацбанк. Уже проведены первые региональные национальные учения по кибербезопасности, в 2020 году такие учения примет Бишкек», – заключил эксперт.

Нужно сверить часы

Несмотря на актуальность для Кыргызстана вопросов, обсуждаемых на конференции, чиновников профильных министерств и ведомств, да и парламентариев на мероприятии почему-то не наблюдалось – кроме главы Государственного комитета информационных технологий и связи Кыргызстана Дастана Догоева. По мнению Ирины Байкуловой, заместителя директора, юриста ОФ «Гражданская инициатива Интернет политики», это может быть связано с тем, что осознание важности мониторинга происходящего в республиканской IT-сфере, в направлениях информационной безопасности, кибербезопасности, отслеживания новинок и трендов еще не пришло к большинству чиновников и управленцев на государственном уровне. И эту ситуацию нужно менять.

«То, что глава ГКИТиС выделил немного времени в своем плотном графике и посетил CAGS-2020, чтобы сказать и показать организаторам и участникам «Ребята, мы с вами!» – это хороший знак. А к остальным, кажется, еще не пришло осознание потенциала, осознание того, как много это значит для государства. Вот я с удовольствием прослушала информацию про критическую информационную безопасность, проглотила ее, но не увидела никого из правительства и МВД, хотя это и их профиль – где какую защиту информации выбрать, где какая может быть угроза, стоит ли зарегулировать эту сферу строго или дать какие-то преференции…Тем более, что мы сейчас как раз обсуждаем законопроект о защите критической информационной инфраструктуры. Мне кажется, что дело в том, что понимание того, что мы уже находимся в цифровом мире и что любое IT-движение, которое у нас здесь происходит, важно, потому что это имеет отношение к будущему нашей страны, еще не настолько пришло. Возможно, решили, что это какая-то туса геймеров с косплеем, и не более того», – отметила она в разговоре с «МК-Азия». – Но на самом деле нет. Любая тусовка, на которой собираются представители IT-индустрии, разработчики, маркетологи, безопасники, юристы – это мероприятие, которое дает нам возможность сверить часы, понять, куда мы движемся, узнать о мировых достижениях. Останавливаться и сказать «я все про это уже знаю», сейчас невозможно, мир слишком быстро меняется, слишком большое количество изменений происходит. В той же приватности. Понимание, что кибербезопасность – это не только защита предприятий по периметру и критической информационной структуры, но и защита личности, потому что самый уязвимый элемент в итоге – обычный человек и его цифровая личность, тоже еще не выработано. Мы пытаемся изменить ситуацию, пытаемся ломать стереотипы, объяснять, что все, что касается информационных технологий, позволит двигать Кыргызстан вперед. 20% мирового ВВП уже формируется за счет IT-индустрии, куда входит и гейм-индустрия. И то, что наши ребята могут игры свои разрабатывать, продавать и достигать до 1 млн скачиваний в Google Play – это уже о многом говорит. Это тоже развивает Кыргызстан! И показывает, что мы крутая страна, где есть не только горы и экологический туризм, но и огромное количество IT-разработчиков, которые работают уже даже на Силиконовую долину».

К тому же IT-сообществу уже есть что предложить государству. Как минимум партнерство по части кибербезопасности.

«Судя по тому, что секции кибербезопасности привлекают все больше и больше внимания, нам, наверно нужен уже переход на следующий уровень. И стоит обсудить консолидацию сил всех разрозненных IT-тусовок в Кыргызстане – нам нужны и хорошие дефконы (DEF CON – крупнейшая мировая конференция хакеров, проводимая ежегодно в Лас-Вегасе, штат Невада более 20 лет, прим.авт.), когда ребята-хакеры смогут соревноваться и проводить какие-то сессии для спецслужб, и встречи с такими привезенными звездами, как на CAGS-2020, и крутые штуки по созданию игр…Например, в Казахстане уже проводятся мероприятия, когда хакеры пробуют на уязвимость системы городов, энергетические объекты, государственные системы, и получают за это призы. Это позволяет увидеть и будущие потенциальные кадры, выводя их из тьмы на свет с перспективой работы на государство, и уязвимости в защите», – полагает она.

Кроме того, представители IT-сообщества, эксперты и предприниматели могут быть подключены по образцу более развитых стран и к обсуждению подходов к защите критической информационной инфраструктуры, закон, ее касающийся, в Кыргызстане уже в процессе создания.

«Нужно выходить на большую экспертную площадку, нужно большое обсуждение с использованием соревновательных моментов и анализа того, почему это важно и насколько мы все сегодня уязвимы», – заключила Байкулова.

Обречены на…?

Таким образом, несмотря на то, что цифровизация остается государственным приоритетным направлением, разрыв между ее темпами внедрения и осознанными действиями в отношении информационной безопасности республиканских чиновников, в ведомствах которых идет работа по цифровизации, пока остается значительным. Меж тем глава государства Сооронбай Жээнбеков во время последнего недавнего визита в парламент снова отчитался не только об успехах цифровизации в Кыргызстане, но и рассказал о грядущих планах.

«Как результат цифровизации в настоящее время нашим гражданам доступна 191 государственная услуга и сервисы в электронном формате. Основная цель – создание комфортных условий и исключение человеческого фактора при предоставлении государственных услуг гражданам. Продолжается работа по цифровизации в сфере предоставления государственных услуг уязвимым слоям населения. В результате, при выплате пособий излишняя бюрократия была сведена на нет и удалось сэкономить бюджетные средства, растрачиваемые на безадресные выплаты социальной помощи. Цифровизация проникает также и в сферу здравоохранения. Этот вопрос в ближайшее время будет рассмотрен на Совете безопасности. Правоохранительные органы во всех регионах оказывают услуги населению на основании принципов «Единого окна». Принцип «Единого окна» будет внедрен во все государственные органы, предоставляющие услуги населению. Цифровизация – это то, к чему стремится весь мир. Мы значительно отстали в этом процессе, но, тем не менее, она будет внедрена во все отрасли. Только таким путем, путем исключения человеческого фактора мы можем снизить уровень коррупции», – считает глава государства. – «Как вам известно, в целях ускорения электронного управления в 2016 году был создан Комитет по информационным технологиям и связи. Этот комитет с 2016 года начал внедрять систему «Түндүк» в качестве пилотного проекта. Одно время работа Комитета была немного замедлена, но в настоящее время ее деятельность ведется с новой силой и довольно успешно. В 2019 году на конференции по электронному управлению, состоявшейся в Эстонии, Кыргызстан из 130 стран был удостоен награды за успешное внедрение системы «Түндүк». Эта награда вручается ежегодно только одной стране. Данное обстоятельство свидетельствует, что мы на верном пути по внедрению цифровизации».

Коснулся Сооронбай Жээнбеков и перспектив развития «Безопасного города», и других начинаний, связанных с цифровизацией… Однако главой государства почему-то не было сказано абсолютно ничего об обеспечении информационной безопасности, которое должно идти с ней рука об руку, и входить в число приоритетных направлений для республики. А без нее усилия Кыргызстана по цифровизации в ближайшем будущем обречены на провал: аккумулированные большие объемы данных по разным отраслям без должной защиты – отличная приманка для осуществления будущих кибератак.