KazHackStan: проблемы сферы кибербезопасности обсудили эксперты
Операторы персональных данных должны усилить защиту и сформировать культуру обращений с данными, считают регуляторы
В Алматы проходит масштабная конференция KazHackStan 2024. Мероприятие посвящено не только новейшим трендам и достижениям в сфере кибербезопасности, но и обсуждению национальной политики кибербезопасности и законодательства, связанного с защитой данных. Финальная сессия первого дня «Законы и практики: перекресток цифровой безопасности» затронула эти и ряд других, не менее значимых вопросов, сообщает корреспондент центра деловой информации Kapital.kz.
Модератор дискуссии Евгений Питолин, до недавнего времени возглавлявший центральноазиатский офис «Лаборатории Касперского», спросил у спикеров, что не удалось реализовать в 2024 году.
Заместитель председателя КИБ МЦРИАП РК Умитжан Арыкбекова рассказала, что в текущем году они не успели принять инициативу по отказу от выпуска ЭЦП на файловых носителях, которую анонсировали. Однако намерены продвигать данную инициативу в будущем. Комитет информационной безопасности обозначил одной из приоритетных задач повышение киберосведомленности. «Мы должны повышать киберкультуру граждан, чтобы они не попадались на уловки мошенников», – отметила спикер. Она обратила внимание, что ответственным за кибермошенничество, является не КИБ, а специальный департамент МВД, однако граждане обращаются к ним, поэтому КИБ совместно с Нацбанком, МВД и другими госорганами будут разрабатывать новые механизмы противодействия киберпреступности.
Директор АО «Государственная техническая служба» Аскар Жунисбек, отвечая на вопрос модератора, отметил, что в этом году довольно успешно отражали атаки, направленные на информационные ресурсы системы госорганов, которых было порядка 40 тыс. «Хотелось бы в следующем году все эти атаки, направленные на Казахстан, просто отражать, упреждать и опережать их», – сказал спикер.
Депутат мажилиса Екатерина Смышляева пояснила: «К сожалению, в этом году планировали, но пока ещё не коснулись вопросов уголовного права и криминализации киберпреступности». Она отметила, что ситуацию в уголовном праве не меняли, но планируют заняться этим в ближайшее время. Затянулся и процесс принятия решений по повышению ответственности, в том числе материальной, за утечку персональных данных. Административный кодекс тоже все ещё находится в мажилисе.
«Мы планировали активнее привлечь рынок, рыночные и коммерческие решения, в том числе и учета, и защиты персональных данных, и мониторинга, и исполнения законодательства по персональным данным. Пока это не удалось, мы ещё не убедили рынок сообщать об инцидентах. Норма принята, обязательства приняты, но пока ещё мы видим, что обратной связи, к сожалению, нет», – сказала спикер.
Депутат добавила, буквально в ближайшие несколько недель они приступят к публичному обсуждению Цифрового кодекса и будут усиленно работать над ним, хотя, по словам спикера, до конца года, скорее всего, увидеть его в готовом виде все же не удастся.
Президент TSARKA GROUP Олжас Сатиев сказал, что ему как представителю бизнеса и отрасли не хватает специалистов. «Если все говорят, что нужно сокращать чиновников, то я говорил: «Дайте людей в КИБ!» Недавно приезжала делегация из КИБа Азербайджана, у них запланировано 130 человек, а у нас там человек 20−30. Если мы всегда говорим, что нужно сокращать чиновников, то в случае КИБа нужно, наоборот, их увеличивать. И опять же, говорят, что нужно сокращать бюджет государственных органов, я, наоборот, вижу, что здесь будет плюс для отрасли, если Аскар Рахымбаевич увеличит этот бюджет, потому что будет хорошо всем нам, чтобы исполнялись наши же инициативы», – подчеркнул спикер. Президент TSARKA GROUP отметил, что у него нет вопросов к депутатам за последний год, поскольку те принимают законы относительно персональных данных, BugBounty (программа, в ходе которой компания привлекает независимых исследователей (в индустрии называемые «белые хакеры», «багхантеры») для выявления уязвимостей в информационных системах и ресурсах за денежное вознаграждение – прим. ред.), но они не успевают все выполнять из-за ограниченности кадров и бюджета.
В продолжение дискуссии спикер задал всем вопрос, каких именно специалистов им не хватает. Сам Аскар Жунисбек отметил, что в зале, где в рамках KazHackStan проходят соревнования, почти половина участников – бывшие работники ГТС (Государственной технической службы) и что ГТС является кузницей кадров для всех ОЦИБов (оперативные центры информационной безопасности). «По сути, мы все делаем одно общее дело. ГТС отвечает за информационные системы государства, координирует работу ОЦИБов. ОЦИБ отвечает за критически важные объекты инфраструктуры», – отметил спикер, рассказав, что недавно они провели обучение для ОЦИБов, которое показало высокий уровень знаний.
Он посетовал на то, что очень не хватает специалистов в сфере информационной безопасности, поэтому они стали практиковать дуальное обучение. Студенты последнего курса АТУ проходят у них практическую часть обучения и к завершению учебы становятся практически готовыми специалистами. «Приятно видеть, что заинтересованных работников или специалистов в сфере информбезопасности в этом зале очень много. 4,5 тыс. зарегистрированы на эту конференцию. Вот они, оказывается, специалисты сидят. Это потенциальные защитники наших информационных систем», – пошутил спикер.
Екатерина Смышляева отметила, что им тоже не хватает специалистов регулятора и обозначила ещё целый ряд проблем: «Мы пишем вроде бы хорошую норму, отпускаем её жить, она не работает. А как она заработает, если её некому администрировать? Это первый момент. Второй момент – это специалисты на рынке. Если мы какую-то функционал отдаем, то на рынке эта функция тоже не должна проседать. Рынок должен её взять и своим профессиональным давлением вывести на должный уровень. Я вижу, что рынок сейчас тоже дефицитный в части специалистов. Ещё один момент – безусловно, не хватает инвестиций. Инвестиций именно в направлении ИБ. Мы продолжаем увлекаться всё-таки больше технологической частью цифровизации, лёгкие победы стартапов — крен идёт в эту сторону.
По части инвестиций в ИБ улучшается ситуация, но не такими темпами, как хотелось бы, поэтому любые правовые регуляторные нормы, которые мы будем вносить, если они не подкреплены инвестициями, они не появятся на практике. И ещё один важный момент – нам не хватает сознания, понимания важности вопросов. К сожалению, сегодня многие подходы в сфере цифровизации, особенно в сфере информационной безопасности, они немножко нестандартные, а общество достаточно консервативно. Когда мы с Олжасом проходили этап белых хакеров и BugBounty и в дискуссиях участвовали, мы увидели, насколько сегодня не готово общество принимать иные сценарии, сравнивали их со взломщиками сейфов, с какими-то преступниками. Объяснить, что в этой среде все по-другому работает, очень тяжело. Необходимо участие нашего медиасообщества в части разъяснения, популяризации многих вещей, которые касаются информационной безопасности в целом, потому что это сложная отрасль, специфическая, очень тяжелая сама по себе. Я думаю, что выработка нового мировоззрения и принятия обществом некоторых нюансов, связанных с информационной безопасностью, – это работа медиаструктур».
Отвечая на вопрос модератора, Умитжан Арыкбекова отметила, что на данный момент в КИБе работает всего 29 человек, ещё помогают практиканты, выпускники вузов, которые приходят от акимата на молодежную практику. В течение года акимат оплачивает им минимальную зарплату. Узнав регуляторику изнутри, они переводятся в частные компании, связанные с информационной безопасностью.
Екатерина Смышляева обратила внимание спикеров на позитивный опыт по привлечению рынка к решению вопросов информационной безопасности через ОЦИБы: «Давно мы обсуждали эту идею, частные инспекторы по защите персональных данных. Почему нет? Никогда вы в КИБе не посадите столько людей для управления персональными данными, чтобы они всю страну контролировали, у нас субъекты на миллион уже уходят по персональным данным. <…> Этот функционал частники будут исполнять лучше, качественнее, быстрее и дешевле, чем государственный штаб, поэтому, на мой взгляд, это была бы более правильная схема».
Умитжан Арыкбекова добавила: «В прошлом году мы часть функций по проверке ЭЦП, по информатизации отдали акимату, и они со следующего года, с января, начнут работу. В каждом акимате специалисты будут проверять, а не государственные органы. На первом этапе мы поделили функцию с акиматами. На втором этапе можно рассмотреть, как вариант, отдать бизнесу какую-то часть».
«Давайте чуть-чуть разовьем тему ОЦИБов, – предложил модератор. – Мне как человеку, который очень любит всякие истории, связанные с промышленностью, с нефтянкой, добычей, машиностроением, очень интересно развитие ОЦИБов не просто в классической корпоративной среде, а в промышленной инфраструктуре, потому что мы сейчас как бы в КВОИКИ (критически важные объекты информационно-коммуникационной инфраструктуры) записали «чуть больше, чем все». Как вы видите развитие ОЦИБов в промышленной среде? И можно ли будет вообще убедить АСУ-департаменты, которые очень консервативны, следовать классическим ИБ правилам?»
«Касательно автоматизированной системы управления. Недавно я была в одной организации, мы смотрели, как у них организована локальная сеть, как они защищают. И они нам доказывали, что они не должны относиться к КВОИКам. Мы посмотрели, на самом деле это КВОИКи, потому что это стратегический объект, но я согласна, что некоторые требования, которые прописаны в единых требованиях для них не применимы, потому что они в чистом классическом виде не являются объектом информатизации, не являются информационной системой. И теперь мы совместно с заинтересованными органами, которые работают в промышленности, создали рабочую группу и хотим поменять требования в КВОИКах именно для АСУ ТП», – пояснила Умитжан Арыкбекова.
«Аскар Рахымбаевич, как считаете, заставим ОЦИБы слушать промышленность или промышленность слушать ОЦИБы? Получится это партнёрство?» – задал вопрос модератор директору АО «Государственная техническая служба».
«Да, я согласен, требования, которые есть сейчас, несовершенны, поэтому рабочая группа создана, и эти требования мы доработаем, ГТС, безусловно, будет участвовать в этом процессе. Есть ОЦИБы, которые имеют уже определенный опыт по защите АСУ ТП. Я полагаю, что их защищать надо, в первую очередь, потому что, не дай бог, что-то произойдет с этими технологическими процессами, а это может быть и атомная электростанция в будущем, или объекты электроснабжения, или объекты жизнеобеспечения, где технологические процессы должны работать и не подвергаться опасности», – выразил своё мнение Аскар Жунисбек.
Спикер отметил, что на совещаниях ОЦИБы говорят о существующих проблемах, и они эти моменты стараются сразу учитывать в нормативно-правовых актах, которые сейчас действуют.
Екатерина Смышляева выразила свою точку зрения: «Когда чего-то становится очень много, значит, нужно вводить классификацию, градацию. Не могут все КВОИКи быть одинаковыми. Наверное, в ближайшем будущем появятся ОЦИБы, которые будут специализироваться в системах, но тогда нужно будет смотреть по требованиям. Либо мы выдаем, условно говоря, лицензию ОЦИБу заниматься всем, везде и всегда, либо мы тоже делаем какую-то градацию, может быть, имеет смысл сделать первый, второй, третий уровни. Нужно немножечко разделить функционалы.
Второй момент про понимание и осознание. В принципе, промышленные объекты сами должны прийти и назвать себя КВОИКами. Мы КВОИКи, защитите нас... Получается, что та сторона ещё не поняла, что ей защита требуется, но это нездоровая ситуация, и эту ситуацию тоже нужно менять.
И третий момент, терминологически в нашем законодательстве сейчас нам предстоит в рамках Цифрового кодекса просто разобраться с какими-то мероприятиями и понятийными категориями, где система, где объект, где более широкое, где более узкое понятие, и исходя из этого выстроится классификация. <…> Я думаю, что мы какие-то изменения в ближайшее время должны вносить, тем более, что мы примерно в октябре ждём проект закона по кибербезопасности».
Директор АО «Государственная техническая служба» дополнил предыдущего спикера: «Екатерина Васильевна, вы сказали, КВОИКИ должны защищаться ОЦИБами. В принципе, этот закон изначально был разработан для того, чтобы КВОИКИ защищались. Институт ОЦИБов был создан в 18-м году, первым ОЦИБ как раз был TSARKA. А за шесть лет их стало 48. Ну и качество оказываемых услуг оставляет, конечно, желать лучшего. На самом деле работают 7−8 ОЦИБов, причём заключают договоры с теми же КВОИКами, чтобы не получить штрафы со стороны КИБ».
В завершение дискуссии каждый из спикеров обратился к представителям бизнеса и операторам персональных данных.
«Мы как государственный регулятор всегда, когда происходит утечка, постфактум узнаем, что утекли такие-то данные от какого-то оператора, от какой-то микрофинансовой организации. Согласно закону, с прошлого года, мы обязаны уведомить об этом каждого гражданина через портал электронного правительства. И после таких уведомлений очень много обращений к нам приходит, мы объясняем, что такие моменты надо решать уже в административном порядке, обращаться в суд. Однако на практике видим то, что не инвестируют эти операторы средства в защиту персональных данных, на информационную безопасность. Я просто хотела бы сказать, необходимо выделять деньги, мониторить, подключать ОЦИБы», – отметила Умитжан Арыкбекова.
«Конечно, когда происходит утечка персональных данных, начинаем судорожно искать, почему эти данные утекли. КИБ привлекает наших сотрудников, мы выезжаем на места и потом анализируем. И знаете, анализ показывает, что всё-таки недостаточно внимания операторы персональных данных уделяли защите. Требования есть, но требования не выполняются, и вследствие этого происходит утечка. Хотелось бы обратиться к гражданам всем, прежде чем передавать свои персональные данные , посмотрите, насколько они будут там защищены. А операторам персональных данных, сказать: выполняйте требования действующих нормативных правовых актов!» – обратился к операторам и всем казахстанцам Аскар Жунисбек.
Екатерина Смышляева сказала: «Мне кажется, что мы сегодня расплодили операторов персональных данных, это наша поведенческая особенность, когда мы собираем и просим, и требуем, и храним то, что не должны хранить и не должны требовать. <…> Если не избежать сбора персональных данных, то в системе сразу должны быть деньги на то, чтобы их защитить. Иначе потом в процессе штрафов, доработок и так далее потратишь больше. И последний момент. Правосознание растёт. Суды, иски в отношении утери персональных данных, их будет в геометрической прогрессии больше. И платить за это придётся. Да, сейчас по низкой цене без оборотных штрафов. Но придёт время, когда появятся и они. И если до этого времени оператор персональных данных не сформирует культуру обращений с ними, то это будет очень дорого ему стоить».
«Хотелось бы, чтобы бизнес относился к безопасности не как к пинку от КИБа. Да, к сожалению, у нас безопасность в Казахстане пока развивается за счёт того, что регулятор требует. Хочется, чтобы бизнес относился к этому как к заботе о гражданах. Это вопрос социальной ответственности. Когда директоры по IT будут приходить к нам и другим ОЦИБам не чтобы закрыться перед регулятором, а чтобы защитить своих клиентов, то тогда, наверное, будет ситуация меняться. Почему мы не думаем о социальной ответственности? Почему мы не думаем о персональных данных наших граждан? Когда мировоззрение поменяется, тогда, мне кажется, и будет уже вся отрасль меняться», – подвел итог панельной сессии по вопросам цифровой безопасности президент TSARKA GROUP Олжас Сатиев.