«Киберщит Казахстана» — защита не для всех
Госпрограмма «Киберщит Казахстана», предполагающая обеспечение информационной безопасности электронных ресурсов республики, напрямую будет защищать от кибератак только государственные системы. При этом для квазигосударственного и частного сектора будет создана конкурентная среда. Система должна заработать к концу текущего года, когда в стране будет запущен Национальный координационный центр информационной безопасности.
Новая парадигма защиты информационных ресурсов от киберугроз была представлена в ходе SOC (Security Operations Center) Forum «Практика противодействия кибератакам и построения центров мониторинга» в Астане. По словам заместителя председателя комитета по информационной безопасности министерства оборонной и аэрокосмической промышленности Казахстана Руслана Абдикаликова, государство с прошлого года старается «построить некую модель взаимодействия информационной безопасности с традиционным IT». Модель выстроилась быстро и легла в основу госпрограммы «Киберщит Казахстана», где красной нитью проходит одна мысль: государство в лице уполномоченного органа (в данном случае министерства оборонной и аэрокосмической промышленности) никого, кроме себя и своих информационных систем, защищать не должно, непосредственной защитой своих ресурсов должен заниматься собственник. При этом регулятор создает правила игры и условия, при которых на рынке появляется предложение такой защиты для частника и квазигосударственных структур. Которые тоже не попадут под финансируемый из бюджета «Киберщит», однако обязаны будут отвечать единым техническим требованиям информационной безопасности.
«Мы выбрали такую схему: в стране будет построен Национальный координационный центр по информационной безопасности, его построением занимается РГП «Государственная техническая служба» при КНБ. Мы ожидаем, что эта работа завершится к концу текущего года, соответственно, когда мы построим Национальный координационный центр, появится возможность мониторить госсистемы. Стоит вопрос – как быть с системами, которые находятся в квазигосударственном секторе, и с теми частными системами, которые станут критически важными в нашей стране?», – сказал Абдикаликов.
Критически важные системы, в число которых войдут многие ресурсы квазигосударственного сектора, будут обязаны либо заключать договоры на оказание возмездных услуг с казахстанскими аналогами Security Operations Center – Оперативными центрами информационной безопасности, либо создавать такие центры внутри своей структуры. При этом государство рассчитывает на то, что эти центры будут самостоятельными хозяйствующими субъектами, не привязанными к той или иной крупной компании: тогда эти структуры будут заинтересованы в постоянном совершенствовании и масштабировании своих услуг.
«Их основные задачи – осуществлять мониторинг, помогать избегать угроз, защищать объекты, с которыми у них есть непосредственно договор и, что самое важное, передавать информацию вышестоящей организации – в Национальный координационный центр. Соответственно, вот эти центры и будут основным подспорьем всего нашего бизнеса, который будет на них опираться. Их количество мы никак не лимитируем, мы считаем, что их должно быть максимально много, в зависимости от потребностей самого рынка и от готовности бизнеса вкладывать в это деньги», – подчеркнул Абдикаликов.
Информация от частных центров в национальный должна будет поступать в режиме онлайн и, если этот собирательный поток покажет головной структуре, что в Казахстане кибератакам подвергся не один и не два банка, а 10-15 финансовых учреждений, уполномоченный орган приступает к реализации антикризисного плана по преодолению угроз кибербезопасности. К слову, данный проект сейчас находится на рассмотрении правительства.
За «золотым периметром»
Простая схема, нарисованная регулятором: один координационный центр наверху и десятки (в перспективе) оперативных центров на местном уровне, вызвала много вопросов у участников рынка. Самый главный из них – насколько эта схема сможет обеспечить равный доступ всех к защите от киберугроз?
«Это же похоже на то, что вот в этой части города мы преступника будем отслеживать и наказывать, а кто живет на окраинах, те нанимайте сами охрану, – прокомментировал схему директор Центра анализа и расследования кибератак (ЦАРКА) Арман Абдрасилов. – Так тоже нельзя, должен быть механизм защиты тех, кто за золотым периметром находится», – заметил он.
Помимо этого, представитель руководства ЦАРКА подверг критике намерения регулятора сделать соответствие определенным требованиям информационной безопасности только госсистем и систем, определенных государством критически важными: получается, что ответственность за нарушение этих требований, распространится только на них. Владельцы остальных информационных систем могут безопасностью не заморачиваться, а примеры того, к чему может привести такой порядок вещей, по словам Абдрасилова, в Казахстане уже были.
«В прошлом году был нашумевший инцидент: взлом портала balans.kz, центральной тусовки бухгалтеров, и там украли и, как позже выяснилось, продавали на черном рынке учетные записи около 10 тысяч бухгалтеров, – напомнил директор ЦАРКА. – Чем закончилась история: наказание за ненадлежащее обеспечение безопасности составило в итоге штраф порядка 10 тысяч тенге. Это возвращает нас к вопросу – кого относить к критически важным структурам? Я понимаю, что магазин продуктов можно не регулировать, и пусть он несет риски сам, но если ты собираешь персональные данные, если ты большой почтовый сервис, будь добр соответствовать каким-то требованиям, которые регулятор должен выставить. И какая-то мера наказания должна быть – явно не 10 тысяч тенге. А тут данные утекли, их продавали, атакуют этих бухгалтеров или нет, не знаю, но вопрос забылся, а проблема осталась», – констатировал он.
В результате, считает эксперт, владельцы казахстанских инфосистем с большой неохотой будут соглашаться на статус критически важных ресурсов, к которым предъявляются повышенные требования по инфобезопасности. Поэтому, с точки зрения Абдрасилова, более правильным можно считать российский подход, когда регулятор не вступает с компанией в переговоры, а спускает ей сверху уведомление: «компания X, вы являетесь частью критически важной инфраструктуры и должны соответствовать требованиям, выставляемыми регулятором».
Правда, у таких уведомлений сверху есть другая сторона, о которой в ходе дискуссии на форуме рассказал эксперт по информационной безопасности Алексей Лукацкий.
«У нас в России такой указ сверху привел к тому, что любая сельская поликлиника является субъектом критической инфраструктуры, а также ломбарды и прочие мелкие предприятия, – заметил российский эксперт. По его мнению, в этой связи ему гораздо ближе позиция Руслана Абдикаликова, утверждающего, что регулятор не должен лезть в коммерческий сектор, потому что последний действует на свой страх и риск, это его головная боль, а регулятор должен выступать в роли скорее методолога, чем устанавливающего требования. «Другой вопрос, что стоимость услуг частного центра может оказаться недешевой для малой организации – и это проблема: у нас во всех отраслях сервисные компании стараются «стричь» с крупняка, а малые предприятия остаются при этих тарифах беззащитными, потому что у них нет денег, чтобы защититься», – добавил он.
Ободренный российской поддержкой зампред комитета по информационной безопасности пояснил, что для того министерство оборонной и аэрокосмической промышленности и хочет выводить оперативные Security Operations Center в рынок, отделяя их от нацкомпаний, чтобы их тарифы были посильными для всех. И, поскольку количество таких компаний на рынке государство ограничивать не намерено ничем, кроме естественных производственных требований к ним, регулятор рассчитывает на снижение тарифов благодаря повышенному предложению на этом рынке.
Хакеров забреют в киберрекруты
А вот в чем регулятор и ЦАРКА полностью сошлись, так это в том, что к обеспечению информационной безопасности нужно активно привлекать тех, кто формально ей угрожает: людей, способных выявлять бреши и уязвимости информационных систем. Тех, кого в просторечии называют хакерами. Как заявил г-н Абдикаликов, государство готово пойти на лицензирование таких спецов с тем, чтобы они «взломы» осуществляли вполне санкционированно, с целью выявления слабых мест, а не личного обогащения.
«Есть молодые ребята, которым интересно заниматься исследованиями в этой сфере, просканировать какой-то ресурс, выявить его уязвимость. Но по текущему законодательству это очень тонкая грань, когда можно подпасть под Уголовный кодекс, под 205 статью («Неправомерный доступ к информации». – «Къ») и сесть за это. Чтобы не отбить охоту у них этим заниматься, а наоборот, дать возможность им заниматься этим легально, мы и предусмотрели возможность лицензирования», – пояснил г-н Абдикаликов.
Лицензировать казахстанских хакеров при этом собираются не где-нибудь, а в КНБ – поскольку, по словам зампреда комитета по инфобезопасности, это «люди специфичные, как товар двойного назначения: с одной стороны – они могут принести пользу, с другой – нет гарантий, что они по чьему-нибудь заказу не сделают что-нибудь противоправное».
«Мы таких людей должны знать и понимать, что они делают, и дать им возможность легально заработать. И это больше надо не нам, регулятору, а правоохранительным и специальным органам. Это так же экспертный пул, который они могут привлекать потом при расследовании высокотехнологичных правонарушений. Вот для этого мы и хотели вывести этих людей в правовое поле», – заключил г-н Абдикаликов.
А директор ЦАРКА признался, что именно его структура была инициатором этой нормы.
«Под Робингудами подразумевались, видимо, мы, ЦАРКА, и наши публикации в соцсетях, – пояснил г-н Абдрасилов. – Но мы сейчас просто загнаны в угол, потому что имеется порочный круг: мы часто пишем об уязвимости нашего любимого электронного правительства, но так и не смогли достучаться до владельца этого ресурса – НИТ «Зерде», который формально проводит аудит. И люди, которые видят, что уязвимости есть, а формально их нет, потому что есть замечательный отчет, оказываются в ситуации из сказки, где все видят, что король голый, но сказать об этом вслух – значит нарушить закон».
Лицензировать «кибер-разбойников», по словам Абдрасилова, начнут с конца года, после введения в эксплуатацию Национального координационного центра.