Отечественные и иностранные производители софта в области безопасности готовы отказаться от присутствия в реестре доверенной IT-продукции, если требование МЦРОАП РК по раскрытию исходных кодов софта не будет отменено.
Проблема с кодами всплыла в ходе форума SOC (Security Operations Center), на котором зампредседателя Комитета по информационной безопасности МЦРОАП РК Руслан Абдикаликов рассказывал о преимуществах выстраиваемой в Казахстане архитектуры безопасности в сравнении с российским аналогом. В России, напомним, существуют достаточно жесткие ограничения относительно иностранного софта, и связаны они не столько с мерами безопасности, сколько с программой импортозамещения, которая в свете западных санкций получила дополнительный импульс развития.
В Казахстане же, по утверждению спикера, более либеральный подход к иностранному присутствию на рынке информационной безопасности по очевидной причине: SOC-велосипед, на котором давно ездит весь мир, изобретать дорого и бессмысленно.
«Казахстан с населением в 18 миллионов человек не может самоизолироваться, для нас это будет просто смертельно, – заявил Абдикаликов. – Соответственно, мы выстраиваем достаточно гибкую модель, которая реализуется путем создания реестра доверенной продукции программного обеспечения и электронной промышленности. В этот реестр может зайти любой иностранный вендор, но компания должна пройти сертификацию, она должна быть локальной, то есть мы видим развитие рынка в том, чтобы не просто купить готовый продукт, а локализовать в стране», – добавил он.
В качестве примера Абдикаликов привел российскую компанию Positive Technologies, которая открыла свое представительство в РК и получила все необходимые права интеллектуальной собственности для работы на территории республики.
Что смущает и чужих, и своих
Либеральность условий входа на SOC-рынок Казахстана ставят под сомнение вендоры, причем как иностранные, так и отечественные. Присутствие в реестре требует открыть исходные коды продуктов, но выполнить это требование они не могут.
«Мы, как американская компания, не сможем поучаствовать в этой программе, потому что в Штатах есть закон, запрещающий американским компаниям открывать коды от продуктов безопасности и некоторых других видов интеллектуальной собственности каким бы то ни было третьим странам, – заявил территориальный менеджер по СНГ компании McAfee Руслан Барбашин. – Поэтому в данном случае мы будем присутствовать на рынке Казахстана большей частью в коммерческом секторе, а с таким решением многие американские производители просто не попадут в этот реестр и не будут представлены, к примеру, в госорганах Казахстана».
Требование по открытию исходных кодов выводит компании в реестре на четвертый уровень доверия, позволяющий работать с инфосистемами не только государственных органов, но и КВОИКов – критически важных объектов информационно-коммуникационной инфраструктуры республики. По итогам 2018 года в РК насчитали 219 КВОИКов, а до конца текущего года в этот статус собираются возвести еще 130 объектов информационной экосистемы Казахстана.
Любопытно, что список КВОИКов, по признанию Абдикаликова, предназначен только для служебного пользования и не подлежит обнародованию, и это логично: к чему облегчать хакерам задачу, публично признавая стратегическую важность объекта. С другой стороны, ежегодное расширение перечня КВОИКов сужает рынок для компаний, которые не попадают в реестр. И среди этих компаний будут не только американские, но и казахстанские производители «защитного» софта.
«Мы – отечественный производитель, и тоже пока не в реестре, поскольку передача исходного кода для анализа – это, честно говоря, очень нежелательный шаг для серьезного продукта, – сказал директор казахстанского ТОО T&TSecurity Арнур Тохтабаев. – Дело в том, что мы собираемся выходить на внешние рынки и искать инвестора снаружи. Но любой из них, когда скажешь, что ты передал кому-то исходный код, просто не станет с тобой работать». Тохтабаев предлагает действительно «локальным» – то есть тем, кто появился и развивается именно в Казахстане – производителям давать доступ четвертого уровня автоматически, без раскрытия исходных кодов их продукции.
Выбор системы SOC – дело добровольное
В Казахстане сейчас только 49% организаций, у которых есть IT-системы, имеют и систему управления информационной безопасности, хотя интерес к вопросу растет.
«Все больше частных компаний хотят строить свою систему безопасности, – говорит исполнительный директор ТОО «ПАЦИФИКА» Павел Гениевский. – Сейчас каждый выбирает свою модель, к нам и кредитные организации обращаются, и квазигосударственный сектор. Они пока прощупывают, что им выгоднее – подключиться к существующему центру или строить собственную архитектуру. Поскольку со стороны министерства уже есть определенные требования к КВОИКам, это подтолкнет рынок к выстраиванию своих систем инфобезопасности».
Министерство цифрового развития уже определило порядка 4,2 тыс. субъектов в стране, на которые в обязательном порядке будут распространены требования по информационной безопасности. В это количество входят и госорганы, и уже упомянутые КВОИКи, и некоторое число частных компаний, которые обяжут к введению SOC-среды. С учетом того, что, по данным министерства, интернет в своей повседневной деятельности использует порядка 80 тыс. хозсубъектов и организаций страны, обязаловка пока касается только двадцатой части рынка.
Подпадающие под обязательные требования компании и госучреждения вправе выбрать: строить им собственный центр инфобезопасности или обращаться к уже существующим структурам. По словам Абдикаликова, в стране сейчас имеется национальный центр информационной безопасности, который занимается сбором и анализом всей информации в этой сфере, а также включается в обеспечение инфобезопасности в случае глобальной угрозы. Под национальным центром информационной безопасности располагаются два оперативных центра SOC (Security Operations Center), которые должны реагировать на проявления угроз кибербезопасности в каждой отдельной структуре – государственной или частной. До конца года таких центров в стране должно стать уже пять, и тогда у компаний появится выбор: создавать собственную защитную инфосистему или заключить договор с одним из этих центров. Правда, экспертное мнение по поводу подготовки сотрудников таких центров пока не слишком высоко.
«Есть требование, что члены компании должны иметь какой-то международный сертификат, например OSCP-сертификат (Offensive Security Certified Professional. – «Курсив»), – говорит Тохтабаев. – Да, это хороший сертификат, но есть одна маленькая проблема. При сертификации не контролируется, кто сдает задание. По сути, можно очень легко получить липовый сертификат. В Казахстане в последнее время произошел резкий наплыв этих сертификатов. Сомневаемся, что все сдали сами, скорее всего, за них кто-то другой это сделал. Сейчас организаторы поставили веб-камеру при сдаче теста, но к одному компьютеру можно подключить две клавиатуры, две мышки, и сдающий будет имитировать деятельность, а по сути, работу за него будет делать другой человек».
Избежать мошенничества при получении сертификатов Тохтабаев предлагает простым способом: признавать подлинность OSCP-сертификата только за теми специалистами, кто побеждает в турнирах, проводимых на конференциях хакеров.
Министерство цифрового развития эту инициативу пока никак не прокомментировало, хотя Абдикаликов и признал, что 674 образовательных гранта, выделенных со стороны государства для подготовки специалистов в области инфобезопасности в прошлом году и 19 стипендий по международной программе «Болашак», явно недостаточно для выстраиваемой в стране отрасли.