Семь причин возникновения киберопасности в Казахстане

В Казахстане с 2018 по 2022 год ведется концепция Киберщита.

Киберзащита – один из главных векторов направления в условиях цифровизации. Вместе с развитием интернета появился и ряд угроз. Ради защиты от них в Казахстане введена концепция Киберщит, однако, как рассказали корреспонденту Zakonz.kz в Министерстве оборонной и аэрокосмической промышленности, есть ряд проблем с внедрением.

В стране с 2017 по 2022 год ведется внедрение концепции "Киберщит Казахстана". Она подразумевает под собой комплекс мер по предотвращению хакерских атак и других угроз.

В МОАП РК выделили 7 ключевых проблем, с которыми приходится сталкиваться при внедрении Киберщита.

Неграмотность пользователей

В Казахстане за период с 2010 по 2016 год плотность пользователей интернета увеличилась с 36,1% до 75%, а количество пользователей мобильного интернета с 3 миллионов 694 тысяч практически утроилось и достигло 10 миллионов 567 тысяч. Такое экспоненциальное увеличение числа пользователей интернета повышает критичность и делает более ощутимыми последствия в случае отказов или вредоносного воздействия на технические средства.

Распространенность вредоносных программ для персональных компьютеров и мобильных устройств растет вместе с числом их пользователей. При этом подавляющее большинство пользователей не используют специализированное программное обеспечение для защиты своих персональных компьютеров, смартфонов, планшетов.

Этот фактор эксплуатируется "хакерами", что каждый день приводит к увеличению количества атак, нацеленных на заражение абонентских устройств вредоносным программным обеспечением.

В то время, как количество абонентских устройств, подключенных к интернету, увеличивается и большинство пользователей продолжает игнорировать меры "цифровой гигиены" в отношении себя и принадлежащих им устройств, концепция "интернета вещей" только усиливает проблему их безопасного использования.

Если традиционные электронные устройства, такие как персональные компьютеры и ноутбуки имеют возможности по установке и обновлению антивирусного программного обеспечения, то пользователи "интернета вещей", часто даже не знают, как обезопасить их функционирование.

Такие устройства пока, в принципе, создаются без учета технологических рисков, что делает их потенциальными элементами вредоносных сетей, ("ботнет"), используемых для осуществления различных сетевых атак, направленных на потерю доступности информационных систем и влекущих для добросовестных пользователей отказ в обслуживании при оказании информационно-коммуникационных услуг.

Пренебрежение соображениями безопасности при использовании интернет-ресурсов и социальных сетей ведет к повышенному риску для неприкосновенности частной жизни, несанкционированному использованию или модификации общедоступных персональных данных, а также разглашению персональных данных ограниченного доступа или их экстерриториальной доступности для преступных сообществ или разведывательных структур при их хранении на территории других государств.

Низкая правовая грамотность по вопросам информационной безопасности и отсутствие сформировавшихся потребностей в ее повышении у населения, работников сферы ИКТ и руководителей организаций создают питательную почву для развития правонарушений и преступлений в информационной сфере.

Отсутствие знаний о правовых ограничениях создает иллюзию дозволенности действий, нарушающих права и свободы других граждан, права обладателей авторских и смежных прав на программное обеспечение и влияющих на функционирование информационных ресурсов.

Таким образом, низкий уровень цифровой грамотности конечных пользователей в вопросах защиты персональных данных при отсутствии базовых знаний по общим методам распространения вредоносных компьютерных программ и программных продуктов (особенно "фишинговые" страницы поддельных интернет-магазинов и банков, распространение вирусных и "троянских" программ через "взломанные" сайты, скачивание нелицензионного ("пиратского") программного обеспечения) приводят к тысячам случаев, когда граждане Республики Казахстан становятся жертвами, а принадлежащие им технические средства орудиями противоправного использования ИКТ.

МСБ недооценивают важность защиты данных

Недостаточная осведомленность в методах защиты информации и низкая обеспеченность в системах информационной безопасности предприятий малого и среднего бизнеса, в том числе занятых в сфере оказания информационно-коммуникационных услуг, которые зачастую даже не могут оценить состояние принадлежащей информационно-коммуникационной инфраструктуры, приводят к большому количеству не анализируемых событий и инцидентов информационной безопасности, затрудняющих как профилактику технологических уязвимостей, так и борьбу с преступниками, использующими ИКТ как средство для совершения преступлений.

Кроме того, такие хозяйствующие субъекты представляют угрозу для других, в первую очередь, крупных предприятий или государственных органов и организаций, с которыми они работают в качестве партнеров или подрядчиков.

При этом, крупный частный и финансовый сектор склонен полагаться исключительно на собственные силы, недооценивая важность совместных усилий и отраслевых инициатив по формированию действительно безопасной среды операционной деятельности.

В тоже время низкая заинтересованность работодателей и отсутствие профессиональной конкуренции являются демотивирующим фактором для инициативного саморазвития практикующих специалистов в сфере информационной безопасности, а также создают предпосылки для занятия последних незаконными видами деятельности.

Дефицит квалицированных специалистов

Существующая казахстанская модель школьного, средне-специального, высшего и послевузовского образования в области ИКТ, включая специализацию в сфере информационной безопасности, требует постоянного и тщательного анализа со стороны всех заинтересованных лиц (включая Министерство образования и науки Республики Казахстан, высшие учебные заведения и потенциальных работодателей) на предмет соответствия современным потребностям общества и тенденциям обеспечения безопасного развития информационных технологий в виду динамического развития данной области.

В частности, периодического пересмотра требуют образовательные и профессиональные стандарты, классификаторы специальностей, дисциплины, их контентное содержание и результаты обучения. Возникает необходимость разработки механизма, позволяющего более гибко реагировать на современные вызовы в области ИКТ. В виду того, что знания в данной области быстро устаревают, требуется периодическое подтверждение квалификации специалистов.

Из 93 высших учебных заведений, в которых готовят специалистов в сфере ИКТ, только 7 готовят специалистов по специальности "Системы информационной безопасности". Из 32439 студентов, обучавшихся в 2015-2016 годах, в указанных высших учебных заведениях только 362 (1,1%) обучались по специальности "Системы информационной безопасности", из них по государственному заказу 226 человек. Плановый выпуск в 2016 году составил 85 выпускников.

В 2016-2017 учебном году по государственному заказу на подготовку специалистов по специальности "Системы информационной безопасности" выделено 40 мест, 2014-2015 году – 60 мест, 2015-2016 году – 60 мест.

В этой связи будет уделено повышенное внимание на профориентационную работу по специальности "Системы информационной безопасности", в том числе обращено внимание абитуриентов на актуальность данной специальности, потребность специалистов данного профиля в индустрии.

Прием абитуриентов на обучение по специальности "Системы информационной безопасности" на коммерческой основе в недостаточной мере продвигается и рекламируется. Специальные дисциплины лишены наполнения, необходимого для применения выпускниками в специальных государственных органах после завершения обучения.

В учебных программах не учитываются требования к знаниям, умениям и навыкам профессионального стандарта "Специалист по информационной безопасности", утвержденного Национальной палатой предпринимателей "Атамекен" и основанного на отраслевой рамке квалификации.

Как следствие, в сфере ИКТ существует нехватка специалистов по информационной безопасности, как в государственном, так и частном секторе. Так в центральных государственных органах обеспеченность составляет всего 25%, в местных – 6%.

Недостаточное количество отечественных продуктов в IT-сфере

Отечественный сектор IT-отрасли не вносит существенного практического вклада в программу диверсификации национальной экономики (менее 5 процентов продуктов из используемых в государственном секторе имеют казахстанское происхождение), а культура кибербезопасности, в том числе производственная культура в сфере разработки и использования продуктов, не всегда является определяющей.

Несмотря на достигнутый высокий уровень информатизации сферы государственного управления, включая оборону и безопасность, широкое использование ИКТ в различных сферах жизни личности и общества, Казахстан как страна, пока, в значительной мере импортирует (заимствует) не только IT-технологии, но и готовые программные продукты, включая продукты обеспечения информационной безопасности в сфере информатизации и связи, что указывает с одной стороны на давление со стороны гигантов IT-индустрии, а с другой на недостаточность принимаемых усилий и мер по их рациональному замещению с опорой на собственные силы в критически важных сферах разработок, от которых зависит обеспечение безопасности государства.

Отклонения от установленных требований техстандартов

Меры, связанные с автоматизацией государственных функций и оказанием государственных услуг в электронной форме, а также продолжающаяся цифровизация доступа к информации о деятельности государственных органов несут в себе определенные риски.

Некачественные услуги и приложения, предоставляемые гражданам и частным организациям в рамках "электронного правительства", в том числе машиночитаемые открытые данные, могут привести к нарушению прав и законных интересов граждан.

Отклонения от установленных требований технических стандартов, вызванные низким уровнем производственной и эксплуатационной культуры, небрежность и халатность со стороны заказчиков и разработчиков решений на этапе создания, принцип остаточного финансирования обеспечения информационных систем системами защиты информации и контроля защищенности несут в себе высокие риски технологических сбоев.

Несвоевременное устранение владельцами информационных систем уязвимостей в программном обеспечении существенно увеличивает угрозы несанкционированного доступа.

Объем данных, обрабатываемых в государственном и частном секторах, растет, что приводит к необходимости выработки новых форм их хранения. В тоже время, такие формы хранения данных как облачное хранилище или использование онлайн-сервисов часто основываются операторами и поставщиками услуг на непрозрачных или не стандартизованных решениях, в том числе с точки зрения безопасности данных. При этом гармонизированные стандарты значительно отличаются от первоисточника из-за низкого качества их перевода и адаптации.

Ситуация усугубляется возможностью намеренного внедрения в программное обеспечение и телекоммуникационное оборудование не декларируемых функций (так называемых "бэкдоров"), которые не всегда могут быть выявлены на этапе сертификации, устранения уязвимостей в процессе эксплуатации или распознаны антивирусными программами и потому могут быть использованы для нарушения работы информационных систем и сетей телекоммуникаций.

Стереотипы о безнаказанности за киберпреступления

Транснациональный и трансграничный характер многих продуктов ИКТ и международная связанность сетей телекоммуникаций общего пользования используются преступностью в целях совершения противоправных действий в отношении пользователей и операторов ИКТ-услуг и владельцев интернет-ресурсов, размещенных в национальном сегменте, а также информационных систем, взаимодействующих с интернетом.

Высокая латентность и зачастую международный характер таких преступлений повышают их общественную опасность. Ситуация усугубляется укоренившимися в обществе стереотипами о безнаказанности так называемой "киберпреступности", ненужности принимаемых государством мер по укреплению сферы безопасного использования ИКТ, ограниченными возможностями органов правопорядка по привлечению к ответственности виновных в совершении высокотехнологичных преступлений, несмотря на развитые уголовно-правовые институты информационной безопасности.

Милитаризация сферы ИКТ

Нагнетаемая отдельными странами милитаризация сферы ИКТ, трудности в доказывании причастности государств к использованию ИКТ в нарушение принципов международного права, вызванные в значительной степени стихийно сложившимся характером существующей международной системы управления интернетом, сохраняющийся цифровой разрыв между странами препятствует формированию в мировом сообществе надежных международно-правовых инструментов предотвращения военного использования достижений в сфере информатизации и телекоммуникаций.

При этом по своей сути арсенал, используемый в военных целях, не отличается от арсенала программно-технических средств, используемых киберпреступностью, о чем свидетельствуют массовые случаи использования ИКТ в разведывательных, подрывных и иных целях, угрожающих поддержанию международного мира и безопасности.

Следите за новостями zakon.kz в: