Friday 1st of November 2024 12:49:54 AM

Как и кем обеспечивается информационная безопасность Казахстана (Часть вторая)


В конце сентября этого года Мажилис одобрил в первом чтении законопроект о поправках по вопросам информационной безопасности.

Согласно описанию, этот документ (кстати, инициированный в стенах самого парламента) направлен на формирование правовой базы для защиты информации, включая персональные данные, и состоит из трёх блоков, содержащих дополнительные меры защиты персональных данных, правовое регулирование института «белых хакеров» и создание Государственного центра информационной безопасности.

К делу разработчики подошли основательно – в объёмном проекте заложены предложения по изменению и дополнению 12 законов и нормативных актов, а также указано на необходимость выработки чёткого определения что такое «нарушение безопасности персональных данных».

Как пояснила секретарь Комитета по экономической реформе и региональному развитию Мажилиса Екатерина Смышляева (являющаяся одним из разработчиков законопроекта), в числе основных новаций предлагается введение государственного контроля в области обращения и хранения персональных данных. На практике это позволит дать право уполномоченному органу по защите таких данных проверять, как соблюдаются законы о персональных данных и их защите, а также организовать профилактическую работу с операторами, которые должны сообщать регулятору о случаях утечки персональных данных в течение трёх дней с момента их обнаружения.

Вторая часть законопроекта предлагает правовое регулирование института «белых хакеров» и работы казахстанской платформы по поиску программных ошибок. В качестве положительных ожиданий указывается возможность привлечения большого количества квалифицированных специалистов по информационной безопасности для оценки устойчивости, обнаружения ошибок и пробелов в информационных системах.

И наконец, третья часть законопроекта, в основном посвящена созданию Государственного центра информационной безопасности при Государственной технической службе Комитета национальной безопасности с рядом дочерних подразделений и солидной базой-репозитарием.

Присутствовавший на заседании вице-министр цифрового развития, инноваций и аэрокосмической промышленности Малик Олжабеков, в свою очередь, порадовался за возможное увеличение суммы штрафов накладываемых на тех, кто допустил утечку персональных данных (в настоящее время сумма варьируется от 100 до 1000 МРП, то есть, в пересчете от 345 тысяч тенге до 3 млн. 450 тыс. тенге), что, по мнению чиновника, явно маловато за столь серьёзные нарушения.

Ещё одной интересной новацией является предложенный запрет сбора и обработки бумажных копий паспортов и других документов. Причём, вплоть до административной ответственности для тех лиц, которые потребуют такую копию сделать (в крайнем случае, должно быть достаточно списать лишь основные реквизиты (ФИО, номер документа, дату выдачи) без непосредственного создания его копии.

Причём, это касается абсолютно всех – независимо от форм собственности: от государственных служащих, до персонала гостиниц, фирм, или магазинов, где до сего времени тоже любят делать различные копии с документов своих клиентов (правда обратной силы у нововведения нет, и это требование на ранее снятые копии не распространяется)…

Правда, пока ещё не совсем ясно, как это будет сопрягаться с другими нормативными актами недавнего времени (например, согласно Стандартам практики противодействия, отмыванию доходов и финансированию терроризма, различные финансовые организации вплоть до аудиторских фирм обязаны владеть копиями личных документов своих клиентов, как физических лиц, и предоставлять их в соответствующие органы по первому требованию. Тоже самое касается даже обменных пунктов, где при определенной пороговой сумме обмена валюты также требуется фиксация удостоверения личности клиента, и при несоблюдении этих правил у владельцев «обменника» могут быть весьма серьёзные проблемы).

Впрочем, некоторые положения законопроекта вполне могут быть ещё изменены (пока его текст с учетом новых предложений готовится к очередным слушаниям в Мажилисе, а затем будет и прохождение Сената, где тоже могут возникнуть свои версии о том, как лучше оберегать информационную безопасность страны и её граждан), так что сосредотачиваться на нюансах, наверное, ещё рано.

Поэтому даже интригующее предложение об очередной структурной реорганизации, типа создания Государственного центра информационной безопасности при Государственной технической службе КНБ, тоже ещё под вопросом. Кстати, неизвестно как на это отреагирует Министерство цифрового развития, инноваций и аэрокосмической промышленности, в чьем ведении сейчас находится Комитет по информационной безопасности, возглавляемый Русланом Абдикаликовым, тем более, что при действующем РГП «Национальная техническая служба» КНБ РК и без того хватает различных профильных подразделений типа Национального координационного центра информационной безопасности, Центра управления сетями телекоммуникаций, Национальной службы реагирования на компьютерные инциденты и Центра исследования вредоносного кода, которые выполняют именно те функции, что предлагается заложить в обязанности будущего Госцентра. И тут будет наблюдаться либо появление ещё одной вышестоящей надстройки, либо дубляж обязанностей, либо просто косметическая смена вывески.

Единственно, что можно ещё предположить, так это то, что в случае утверждения реорганизационных процедур обострится межведомственная конкуренция за право осуществления тех или иных хорошо финансируемых проектов. И в том числе, непосредственного участия в создании второй версии системы «Киберщит».

Приятно думать, что есть ещё люди, у которых все впереди…

В настоящее время реализацией концепция развития цифровой экосистемы «Киберщит-2» практически полностью ведает Министерство цифрового развития, инноваций и аэрокосмической промышленности, где распланирован комплекс мероприятий до 2027 года.

Среди намеченных планов, разработка единой технической политики в сфере информационной безопасности (ИБ), новой методики оценки экономической системы ИБ, расширения подведомственных организаций путём создания резервного Национального координационного центра информационной безопасности, «Киберполигона» по подготовке специалистов, а также масса малопонятных для неспециалистов сугубо технических новшеств, типа «изменения радиоконтроля на территории страны при помощи создания централизованного подразделения радиочастотного мониторинга, централизованной информационной системы учета радиоэлектронных средств и радиочастотных присвоений гражданского и правительственного назначений, мониторинга радиочастотного спектра»…

Все это явно требует усиленного финансирования (напомню, что предыдущий «Киберщит» обошелся казне в 28,8 миллиардов тенге), и не совсем понятно – будет ли это финансирование полностью отдельным или часть средств переносится с другого масштабного Национального проекта «Технологический рывок за счёт цифровизации, науки и инноваций», в котором заложенный объём финансирования на цифровые проекты до 2025 года составляет 2,2 триллиона тенге (где 1,4 триллионам тенге выделяются из республиканского бюджета, а 8,2 миллиардов тенге из местного).

Впрочем, при любых раскладах понятно, что речь идёт о суммах, весьма внушительных, и посему желающих поучаствовать в их эффективном освоении будет немало.

Кстати, если говорить об эффективности то, к сожалению, конечных официальных оценок о действенности и отдаче от предыдущего проекта «Киберщит» в открытом доступе нет. Как, впрочем, какого-либо детального отчета о проделанной работе.

Присутствует лишь лаконичная информация МЦРИАП о «реализации ряда проектов», создании реестра доверенного программного обеспечения и продукции электронной промышленности (на 2022 год в реестр вошли 205 наименований ИКТ-продукции от 65 отечественных производителей), запуске пилотного проекта частной платформы выявления уязвимостей «BugBounty», представляющий механизм контроля по информационной безопасности на объектах информатизации (в настоящее время заключены меморандумы с национальными регуляторами Кыргызстана и Узбекистана по внедрению системы «BugBounty» в этих странах) и некоторые сведения, оглашенные председателем Комитета по информационной безопасности МЦРИАП Руслана Абдикаликова о том, что «на сегодняшний день в Казахстане создано около 40 компаний, а также 19 частных операционных центров безопасности (SOC), три группы реагирования на компьютерные инциденты (CERT), семь частных аккредитованных испытательных лабораторий, восемь высших учебных заведений и 25 средних учебных заведений, занимающихся вопросами кибербезопасности…»

Возвращаясь к вопросам планирования, можно ещё отметить и наличие комплекса мероприятий, которые должны осуществляться в рамках утверждённой в конце марта этого года «Концепции цифровой трансформации, развития отрасли информационных технологий и кибербезопасности на 2023–2029 годы».

Помимо всего прочего, в документе значится расширение международного сотрудничеств и, в частности, присоединение Казахстана к Конвенции о защите частных лиц в отношении автоматизированной обработки данных личного характера.

Как выяснилось, в отличие от подавляющего большинства других международных Конвенций (кои наша страна подписывала и подписывает регулярно) конкретно с этим присоединением оказалось все очень непросто.

Как указывается в сопроводительном документе, в 2018 году заявка Казахстана на присоединение к Конвенции была отклонена некоторыми странами из числа Совета Европы.

Причём, судя по всему, точную причину для отказа нашим чиновникам так и не обозначили, поэтому со стороны МИД РК была выдвинута версия о том, что в стране на тот момент не было специального уполномоченного органа в сфере защиты персональных данных, как этого требует вышеуказанная Конвенция.

В 2020 году по информации МИД такой орган был создан, но теперь выдвигается опасение в том, что нашу державу опять могут «завернуть» с присоединением, но на этот раз – «ввиду отсутствия независимости у уполномоченного органа» (от кого или чего «независимости», увы, не уточняется).

Но зато указывается, что для решения этого вопроса требуется обязательное согласование президента РК, над подготовкой которого (имеется ввиду- документа о согласовании) сейчас ведётся активная работа…

Также, согласно тексту концепции, у государственных органов возникла потребность в социологических исследованиях на тему информационной безопасности.

В числе среднесрочных планов указаны проведения ежегодных социологических опросов населения, а также социологические исследования по повышению уровня осведомленности населения об угрозах информационной безопасности

В дальнейшем, по итогам опросов и проведенных исследований, должны будут разрабатываться конкретные рекомендации, которые в последующем направляются в государственные органы и организации для использования в работе.

Кстати, выбор социологов, способных грамотно работать по этой, пока малоизведанной тематике, вроде как уже идёт полным ходом, и в конце года победитель конкурса может включаться в работу: «В настоящее время опубликовано объявление на портале государственных закупок по приобретению услуги социологического аналитического исследования и оказания консалтинговых услуг (опрос населения об угрозах информационной безопасности).На данный момент идёт приём заявок. Общий срок проведения конкурсных процедур рассчитан до 30 ноября 2023 года».

Что же до тонкостей технических, то в Концепции довольно много говорится о уже знакомой нам по планам на «Киберщит-2» создании единой системы учета радиоэлектронных средств, которая «позволит эффективно контролировать, а также собирать и анализировать данные для принятия обоснованных решений».

Без «ликбеза» не обойтись

В принципе, исследования на тему, насколько казахстанское общество имеет понятия об информационной безопасности (и соответственно – об уровне угроз для таковой), безусловно, нужны. Как, впрочем, и обучающие семинары на эту тему (здесь стоит отметить, что таковые в последнее время действительно проводятся довольно регулярно – например, в августе этого года Комитетом по информационной безопасности был проведен обучающий семинар по вопросам обеспечения информационной безопасности для 300 государственных служащих, а в начале нынешнего октября подобное мероприятие было устроено для некоторых журналистов.

Что же до государственных служащих, то, по мнению председателя Комитета по информационной безопасности МЦРИАП Руслана Абдикаликова, озвученного им в республиканских СМИ, ситуация с пониманием основ информационной безопасности в этом секторе стала лучше. (Правда, для этого было необходимым введение в 2016-м году полного запрета на использование смартфонов в зданиях госорганов и связанного с утечкой секретных документов, которые фотографировались и распространялись через интернет):

«После отмены запрета в 2020 году крупных фактов утечки данных пока не встречалось, потому что все это повлияло на работу госслужащих. Теперь каждый из них знает, что документы «для служебного пользования» фотографировать нельзя, секретные – тем более… На самом деле, это сильно повлияло на руководителей высшего звена. Скажем так, на тот момент проблема была связана именно с ними. Потому что у простого госслужащего, когда он заходил в секретную часть, изымали телефон. И он в любом случае не мог эти документы фотографировать. А допустим, руководители высшего звена работали с документами в личном кабинете. И у них возникал от непонимания серьёзности соблазн сфотографировать их. По этому поводу были уголовные дела, люди понесли серьёзное наказание, но тем не менее запрет на смартфоны отменили не для всех и не во всех ведомствах…»

Также, по мнению главы комитета, уже несколько лет не было такой масштабной утечки данных, как это произошло в 2019 году с базой данных ЦИК (напомню, что тогда в сеть «утекли» персональные данные более 12 миллионов казахстанцев, то есть, практически всего взрослого и дееспособного населения страны, или медицинских данных пациентов, находившихся в комплексной медицинской информационная системе «Damumed».

В целом же, по данным «Отчета по утечкам конфиденциальной информации», подготовленным службой «InfoWatch», за 2018–2020 год в Республике Казахстан «утекло» более11 миллионов записей персональных данных и платежной информации. При этом, примерно 91% всех утечек были связаны с компрометацией персональных данных, а оставшиеся 9% относились к случаям разглашения государственной тайны. Характерно, что на органы власти и государственные организации тогда пришлись 50% всех зарегистрированных в республике «утечек».

Правда, насколько точно с тех пор улучшилось положение дел в локальном масштабе (и улучшилось ли в принципе), глава комитета, к сожалению, сказать затруднился, сославшись как на отсутствие статистики, так и пассивность самих пострадавших от утечки персональных данных или иной конфиденциальной информации:

«Когда говорим о том, что растёт количество угроз, много утечек происходит, то нас просят показать статистику. А она показывает всего 20–30 административных дел и 200 жалоб. И это как-то не тянет на проблему целой страны. А утечки идут, люди страдают, но никто не пишет обращения и не жалуется. В итоге я не могу сейчас показать на уровне государства, что у нас есть проблема, потому что любое отображение проблемы – это цифры. Если нет статистики, то нет и проблемы…»

Короче говоря, пока все находится в стадии формирования и реформирования, говорить о полноценном функционировании системы информационной безопасности и уж тем более её форсированной модернизации будет несколько затруднительно. Тем более, что специалисты постоянно указывают на глобальную тенденцию риска угроз в системе ИБ (что, впрочем, совсем не удивительно, так как в современном обществе данные уже давно стали стратегическими национальными ресурсами) и подчеркивают, что при дальнейшем техническом обеспечении желательно не копировать, а лишь учитывать наработки других государств при разработке собственных программных продуктов, а также – более тщательно подходить к вопросам приоритет целевого финансирования конкретных проектов в области обеспечения информационной безопасности…

А тем временем перед структурами ответственными за обеспечение ИБ поставлена новая непростая задача.

Выступая 12 октября на форуме Digital Bridge, президент Касым-Жомарт Токаев обратился к теме создания искусственного интеллекта и подчеркнул, что топливом для него, по сути, являются большие данные BigData(то есть, наборы как структурированной, так и неупорядоченной информации).

– В Казахстане уже реализованы различные решения в этой сфере. Однако их потенциал до конца не раскрыт из-за отсутствия доступа к имеющимся у государственных органов массивам данных. Здесь необходимо исходить из «презумпции открытости» информации. Нужно обеспечить свободный доступ к обезличенным данным посредством Smart Data Ukimet. Подчеркиваю, все сведения должны быть обезличены и надежно защищены. Требуется исключить любые риски утечки персональных данных… – подчеркнул Глава государства.

Та что, теперь, похоже, помимо решения ранее имеющихся проблем соответствующим структурам предстоит в кратчайшие сроки «довести до ума» до сих пор находящуюся в стадии «рабочей апробации» систему Smart Data Ukimet (это информационно-коммуникационная система, предназначенная для сбора, хранения и комплексного анализа данных, накапливаемых в информационных системах государственных органов, работа над созданием которой началась ещё в 2018-м году, сроки сдачи два раза переносились и теперь, согласно скорректированным планам, она должна быть запущена в начале следующего года) и самое главное – добиться её максимальной защищенности.

Как это все осуществится на практике, в лучшем случае будет ясно лишь в будущем году. Также как и то, насколько серьёзно изменится профильное законодательство в сфере информационной безопасности и насколько оно будет адаптировано к реалиям сегодняшних дней.

Мнение редакции может не совпадать с точкой зрения автора