10 августа 2021
29 июня 2021 года Международный союз электросвязи официально презентовал
4-ое издание Глобального индекса кибербезопасности (GCIv4). Согласно GCIv4, по уровню кибербезопасности Республика Казахстан занимает 31-е место в мире и второе по Региону СНГ после Российской Федерации. Для сравнения: годом ранее Республика Казахстан занимала 40-е место в мире.
Рейтинг стран с точки зрения Глобального индекса кибербезопасности составляется на основе пяти критериев: правовые меры, технические меры, организационные меры, развитие потенциала и сотрудничество. В отчете GCIv4 представлены данные о 193 странах.
В рамках интервью Региональному отделению МСЭ
Абдикаликов Руслан Кенжебекович, председатель Комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан, поделился опытом разработки национальной Концепции кибербезопасности.
В настоящее время в Республике Казахстан утверждена и успешно реализуется национальная Концепция кибербезопасности «Киберщит Казахстана». Расскажите, пожалуйста, какие были предпосылки для появления Концепции, а также каким образом был организован процесс разработки концепции?
Предпосылкой для разработки Концепции кибербезопасности послужил тот факт, что новые технологии, электронные услуги стали неотъемлемой частью повседневной жизни общества. Поскольку мы с каждым днем становимся все более зависимыми от информационных технологий, защита и доступность этих технологий становилась важнейшей темой для государства.
Именно поэтому 31 января 2017 года в своем Послании народу Казахстана Первый Президент Республики Казахстан Нурсултан Назарбаев подчеркнул, что все большую актуальность приобретает борьба с киберпреступностью, и поручил Правительству Республики Казахстан принять меры по созданию системы «Киберщит Казахстана». И буквально через 5 месяцев Концепция кибербезопасности («Киберщит Казахстана») была утверждена Правительством. Не могли бы вы кратко представить основные положения национальной концепции кибербезопасности и рассказать, какие организации, помимо Министерства цифрового развития, инноваций и аэрокосмической промышленности, участвовали в ее создании и каким образом происходило взаимодействие с ними?
Изначально проект Концепции был написан Министерством на основании информации о текущей ситуации в стране в области кибербезопасности. Однако эта концепция учитывала лишь интересы государства. Между тем, согласно законодательству Казахстана, любой нормативно-правовой акт должен пройти публичное обсуждение, и такое публичное обсуждение состоялось. В результате проект концепции кибербезопасности был раскритикован профессиональным сообществом за «однобокость». Новый государственный проект, как правило, все критикуют, но никто не хочет ничего делать, чтобы поменять ситуацию в лучшую сторону. В нашем случае мы были приятно удивлены, что в Казахстане уже сформировался пул профессионалов в области кибербезопасности, с которыми мы вместе работаем и по сей день.
По результатам публичного обсуждения была создана рабочая группа, в которую вошли депутаты Парламента, представители государственных органов, профессиональных и отраслевых ассоциаций, высших учебных заведений и IT-индустрии. Группа провела анализ текущей ситуации в сфере информатизации госорганов, автоматизации госуслуг, перспектив развития цифровой экономики и технологической модернизации производственных процессов в промышленности, расширения сферы оказания информационно-коммуникационных услуг, а также изучила разнообразный международный опыт в области формирования подходов к защите национальной информационно-коммуникационной инфраструктуры.
В результате длительной работы сформировалась утвержденная Концепция, которая продолжает реализовываться и по сей день в соответствии с Планом мероприятий на период до 2022 года. Концепция определяет не только основные направления реализации государственной политики в сфере защиты объектов информатизации, но и необходимые меры повышения уровня правовой, производственной культуры кибербезопасности.
Реализация Концепции позволит нам повысить готовность страны предупреждать и оперативно реагировать на инциденты в сфере информационной безопасности. Для повышения общей осведомленности об источниках этих инцидентов и характере угроз в Концепции приведены базовые определения в сфере кибербезопасности и даны необходимые пояснения. Какие проблемы, связанные с обеспечением национальной кибербезопасности, были вами выявлены и как они были решены? Готовы ли вы поделиться опытом и, возможно, дать рекомендации по построению национальных стратегий кибербезопасности другим странам региона?
Мы постарались описать в Концепции ключевые проблемы, с которыми сталкивались. Если коротко, это:
- недостаточная осведомленность граждан об угрозах кибербезопасности;
- нехватка профессионалов в области информационной безопасности;
- недостаточный охват инфраструктуры средствами защиты информации;
- пренебрежение требованиями информационной безопасности со стороны организаций;
- небольшая доля доверенных продуктов ПО, используемых в государственном секторе;
- наличие рисков, связанных с оказанием государственных услуг в электронной форме.
Для решения проблем и задач, отраженных в Концепции кибербезопасности («Киберщит Казахстана»), утвержден План мероприятий на период до 2022 года.
Мы рекомендуем странам провести анализ текущей ситуации в области кибербезопасности, определить ключевые проблемы и угрозы, изучить опыт других стран, наметить задачи и сформулировать план мероприятий по реализации стратегии кибербезопасности. Казахстан готов в двустороннем/многостороннем формате поделится опытом в сфере кибербезопасности. Непрерывное развитие цифровых технологий ведет также и к появлению новых уязвимостей и киберугроз. Каким образом и с какой периодичностью вы планируете осуществлять пересмотр Концепции?
Концепция кибербезопасности «Киберщит Казахстана» была утверждена на среднесрочный период 5 лет. При этом, мероприятия, которые не были отражены в Концепции кибербезопасности, включены в Государственную программу «Цифровой Казахстан», Стратегию национальной безопасности, а также во внутриведомственные планы государственных органов.
Вместе с тем, мы понимаем, что с развитием технологий угрозы безопасности также прогрессируют. Поэтому мы не можем остановиться на достигнутом. В ближайшие время мы приступим к разработке нового документа по развитию кибербезопасности Казахстана.
Известно, что вы используете Глобальный индекс кибербезопасности МСЭ в качестве метрики прогресса в реализации Концепции кибербезопасности. Почему вы остановили свой выбор именно на Глобальном индексе кибербезопасности и какие видите преимущества в его использовании?
Если честно, то в начале разработки проекта Концепции мы не знали о существовании такого индекса, наверное, потому что первый отчет был опубликован в 2016 году. Как я говорил ранее, после публичного обсуждения Концепции нам поступили предложения. В том числе предлагалось использовать в качестве одного из основных индикаторов Глобальный индекса кибербезопасности МСЭ.
После изучения показателей и методики расчета GCI и рейтинга Казахстана (на тот момент 23-е групповое место – это примерно 103-е место среди 194 стран) мы решили использовать GCI как основной индикатор. GCI, несомненно, положительным образом повлиял на развитие кибербезопасности в Казахстане. Критерии GCI включают основные аспекты обеспечения кибербезопасности: правовые, технические, организационные меры, создание потенциала и сотрудничество. Это помогает не упустить из виду какой-то из аспектов. И самое главное: использование GCI улучшило имидж страны на мировой арене благодаря повышению позиции Казахстана в рейтинге (буквально за три года Казахстан переместился со 103-го места на 31-е). Согласно отчету GCIv4, у Казахстана высокие показатели по четырем из пяти критериев GCI – правовые, технические, организационные меры и сотрудничество. Каким образом удалось этого достигнуть? В первую очередь это благодаря тому, что вопрос обеспечения кибербезопасности является одним из приоритетных для руководства страны. Об этом свидетельствует создание отдельного ведомства по вопросам кибербезопасности - Комитета по информационной безопасности, главной задачей которого является осуществление государственной политики в этой сфере, включая развитие рынка кибербезопасности, международное сотрудничество, организационные и технические меры.
На сегодняшний день в Казахстане функционируют порядка 40 компаний, занимающихся вопросами кибербезопасности, 19 частных оперативных центров информационной безопасности (SOC), 3 службы реагирования на компьютерные инциденты (CERT), 7 частных аккредитованных испытательных лабораторий, 8 высших учебных заведений и 25 средних учебных заведений, 85 поставщиков доверенного ПО и продукции электронной промышленности, а также национальный координационный центр информационной безопасности и отраслевой центр информационной безопасности (охватывает финансовый сектор страны).
Наши достижения в области кибербезопасности стали возможны только благодаря совместной работе государственных органов, частных компаний в сфере IT и кибербезопасности, профильных общественных объединений и экспертов. Согласно отчету GCIv4, Казахстан имеет высокий показатель и по такому критерию, как наращивание потенциала, однако в отчете это направление определено как требующее дальнейшего развития. Планируете ли вы работать по данному направлению в дальнейшем? Если да, то какие задачи перед собой ставите? Несомненно, мы продолжим работу по укреплению позиции Казахстана на данном направлении. После каждого отчета МСЭ мы проводим домашнюю работу, анализируем показатели по тому критерию, где у нас низкий бал в GCI.
Мы усилим работу по информированию населения об угрозах кибербезопасности. Уже начали работу по правовому закреплению функций и задач инспектора в сфере информационной безопасности (физические лица или индивидуальные предприниматели, которые смогут оказывать различные услуги в сфере кибербезопасности), по определению функций и задач площадок BugBounty (вводится как инструмент общественного контроля за состоянием кибербезопасности объектов информатизации, включая критически важные).
Кроме того, по поручению Президента Республики Казахстан, наше Министерство цифрового развития ведет работу по развитию отечественного производства оборудования ИКТ и программного обеспечения, а также по созданию условий для развития отечественных решений. Кибербезопасность входит в число ключевых направлений деятельности МСЭ в Регионе СНГ. Вопросы кибербезопасности и защиты персональных данных предложены в качестве направления одной из региональных инициатив стран СНГ, которые будут утверждены на предстоящей Всемирной конференции по развитию электросвязи. Будем рады услышать ваши предложения по развитию этого направления. Для развития направления защиты персональных данных предлагается принимать во внимание следующие критерии оценки:
- наличие законодательной базы по регулированию отношений в сфере персональных данных и их защиты;
- наличие государственных структур, занимающихся вопросами защиты персональных данных и прав субъектов персональных данных;
- уровень осведомленности населения о защите прав и свобод при сборе и обработке персональных данных;
- проведение технических и организационных мероприятий, направленных на предотвращение утечки персональных данных, и обеспечение прозрачности и законности процедур по их сбору;
- наличие административной и уголовной ответственности за неправомерные действия с персональными данными и несоблюдение мер по их защите;
- осуществление государственного контроля за законностью сбора, обработки персональных данных и надлежащим соблюдением мер по их защите.
Мы очень признательны всей команде МСЭ и, в частности, Региональному отделению МСЭ, особенно Фариду Нахли, за оказанную поддержку в развитии кибербезопасности Казахстана.
Региональное отделение МСЭ для Региона СНГ, в свою очередь, желает Администрации связи Казахстана успехов в реализации Концепции кибербезопасности и укрепления позиций страны на мировой арене.
|