Следите за новостями

Цифра дня

1400 жалоб поступило от граждан в МЦРИАП в связи с утечкой Zaimer.kz

Шавкат Сабиров, ИАК: нужно создавать «Киберщит» своими руками

Как Казахстану обустроить свои «цифровые» границы?

28 марта 2017 14:13, Александр Галиев, Profit.kz

Интервью с президентом «Интернет Ассоциации Казахстана» о киберпреступности, о «Киберщите» и о том, как нам обустроить «цифровые» границы.

Шавкат Сабиров

— Шавкат, что стало триггером, критической точкой, где, в какой момент дискуссия о «цифровых» границах вышла на самый высокий уровень. Более того, на уровень президента?

— Вообще, если уж быть совсем откровенным, то президент об этом начал говорить несколько лет назад. Тогда речь шла в контексте так называемых «электронных границ». Если бы в то время его слова стали воплощать в жизнь, то сегодня мы были бы, наверное, в области кибербезопасности наравне с Россией и другим странами. Ведь в этой области преимущество имеет тот, кто первый начинает играть, — то есть, тот, кто по аналогии с шахматами делает первый ход. С другой стороны, нужно понимать, что за последние 4-5 лет киберпреступность возросла настолько, что стала существенно влиять на экономическую ситуацию, на социум. Плюс на все это наложились известные события в мире, когда информационные технологии демонстрируют свои колоссальные возможности в деле управления общественным мнением. И более того, мы видим, что все эти тренды вышли за пределы бизнеса, каких-то слоев общества, они стали оказывать влияние на процессы в государстве. Иными словами, появились реальные рычаги для манипулирования общественным мнением в пользу каких-то внешних сил либо каких-то групп внутри государства. Это очень опасный тренд.

Тут следует сказать, что это стало предметом озабоченности не только в конкретных государствах, но и на уровне международных организаций, таких как ОБСЕ. Еще в 2013 году были приняты соответствующие меры доверия между странами. То есть, уже четыре года на таком уровне идет разговор о том, чтобы принять список критической инфраструктуры, атаки на которые следует избегать.

— Даже так? Похоже на детские драки — ниже пояса не бить, до первой крови...

— Я когда присутствовал на этой конференции, честно говоря, не поверил тому, что услышал. Но оказалось правдой и реальностью. И это правильно в условиях, когда страны принимают активное участие в киберпространстве.

— Как вы видите идеологию «Киберщита»?

— «Киберщит» — это, прежде всего, комплекс мероприятий, который должен охватить три направления. Во-первых, это защита госорганов и всей инфраструктуры. Во-вторых, это все, что связано с киберзащитой критической инфраструктуры и публичной деятельностью общества — то есть, здесь нужно защищать дата-центры, частный бизнес и общество. Речь идет о киберпреступлениях, спаме, о DDoS-атаках и т.д. В-третьих, это сам «Киберщит», который ориентирован на правоохранительные органы. И здесь стоят совершенно другие задачи — необходимо не только отслеживать защиту доверительной среды, мониторить текущее состояние, но и оперативно принимать меры защиты в случае появления угроз или атак, а также принимать превентивные меры. То есть, безусловно, должен быть не один центр, как видят некоторые, а три. Или два с условием объединения функций защиты государственных органов в один киберцентр.

Архитектура таких центров не совсем традиционная с точки зрения построения обычных дата-центров — это создание доверительной среды с соответствующим оборудованием, сенсоры, позволяющие мониторить и определять угрозы в режиме реального времени, специальное программное обеспечение, людские ресурсы, специалисты, которые все это будут обслуживать. Наконец, нужно понимать, нужны ли нам так называемые «кибервойска», обладающие наступательным потенциалом. Это очень важный вопрос, поскольку сразу десятки стран в рамках ООН объединились с предложениями отойти от наступательных действий в этой сфере. Ситуация похожа на обладание ядерным оружием. Есть страны, имеющие такое оружие, а есть страны, которые ратуют за его запрещение. Наступательные действия киберцентра имеют достаточно сложную структуру и в своих решениях продвинулись очень серьезно. Речь идет не просто об аналитических системах и возможностях применения специальных алгоритмов, а о привлечении специальных функций нейропрограммирования, которые позволяют делать прогнозы, эмулировать события, обрабатывать их, просчитывать варианты реагирования на ситуации, и затем воплощать их в жизнь. Нужно понимать, что для военного ведомства киберпространство — это такое же пространство, как водные ресурсы, наземные, космические и воздушные. Пятая среда ведения боевых действий.

Сегодня победителем становится тот, кто умеет правильно использовать интернет-пространство. По сути, все можно получить в интернете. Если знать, уметь и обладать средствами.

Шавкат Сабиров

— Злоумышленники часто получают информацию не благодаря взлому каких-то систем, а посредством публичных сервисов, например, социальных сетей...

— Да, это так. Мы стали очень публичными. Пользователи выкладывают море информации, что они едят, где отдыхают, что покупают. Мы выкладываем информацию о нашей семье, фото, видео. Это кладезь для злоумышленника. Я всегда рекомендую избегать такой открытости в интернете, нужно «очертить» вокруг себя и семьи круг, за который нельзя «заходить» никому. И чем крепче этот круг, тем лучше.

— Но давайте вернемся к «Киберщиту». Я слышу много популистики в этом вопросе, но очень мало конкретики. Что делать-то?

— Хорошее замечание. Популистики много, соответственно, конструктива мало. Я считаю, что, в первую очередь, нужно определить круг проблем и пути развития. Дальше — законодательная база. Должны быть нормативные документы, закон, если хотите. Должны быть созданы структуры — киберподразделения в государственных органах, национальный центр. Причем в каждом министерстве и ведомстве должен быть департамент или управление, ответственные за это. Как, например, это сделано в странах Европы и, в частности, Нидерландах, где с 2011 года подобные подразделения существуют во всех министерствах. История, которая привела к таким радикальным мерам — фееричная. Хакеры взломали восемь корневых сертификатов CA DigiNotar и подменили их своими фальшивыми. Реакция последовала оперативно и в течение 2012 года в государственных органах появились такие структуры и был создан специальный центр в министерстве обороны Нидерландов.

Следующая важная деталь — выход на рынок компаний и людей, которые работают на уровне «детских игрушек», так как они не совсем представляют всех рисков, которые тут существуют. Допустим, некая компания начинает заниматься вопросами кибербезопасности и, понятно, что денег на покупку профессионального программного обеспечения нет, а значит, пользуются открытыми хакерскими продуктами, которых в интернете пруд пруди. В итоге их изначально легальные мотивы проверить или протестировать какие-либо информационные системы на уязвимость будут отнесены к действиям хакерских групп со всеми вытекающими последствиями. Казахстанское информационное пространство мониторится и просматривается всеми странами мира, а такие действия со стороны будут распознаваться и оцениваться как попытка неизвестного лица атаковать государственные ресурсы хакерским способом. И это уже не шутки.

— То есть, это из историй о том, когда ничего не подозревающего человека арестовывают в любой стране мира, вывозят под юрисдикцию США и наказывают?

— Совершенно верно, такие истории есть, и они не единичны. Американское законодательство предусматривает наказание за взлом государственных систем или попыток совершить это. Нужно навести порядок в этой сфере, возможно даже, сертифицировать этот вид услуг. Уверен, что такие вещи нужны, чтобы уберечь наших ребят, иначе следующими на арест будут они. Повторю еще раз, попытка показать или продемонстрировать свои способности перед нашими государственными органами может обернуться серьезными обвинениями со стороны других государств.

— А как вы прокомментируете последние взломы госсайтов?

— Приятного, безусловно, мало. Нужно защищать и следить за серверами. Но в конечном итоге много шума из ничего. Злоумышленники зашли на сервер, взломали или просто подобрали пароль, получив доступ ко всем сайтам на этом же сервере. Действия злоумышленников носили «обычный» характер и напоминают человека, который внезапно получил доступ и не знал, что с этим делать. Целенаправленные действия хакеров, как правило, заканчиваются масштабной акцией или демонстрацией своих побед. А здесь обычное хулиганство. И, кстати, наверняка, зафиксированное внешними мониторинговыми системами других стран.

Шавкат Сабиров

— «Киберщит» — это как обоюдоострый меч. Он может быть использован не только в оборонительных целях...

— Да, это так. Подобные вещи имеют категорию «двойного» назначения. Строительство систем оборонительного характера всегда предполагает наличие базы знаний о возможных атаках и методах работы злоумышленников. Дело в том, что использовать оборонительную часть системы кибербезопасности для агрессии — невозможно. Для этого используются и другое оборудование, и другие алгоритмы. Да и правовое обеспечение здесь тоже совсем другое. Поэтому и в послании Главы государства указан именно «щит», а не что-то другое.

— Задам прямой вопрос. Нужны ли кибервойска Казахстану?

— Сложно ответить однозначно на этот вопрос, он не такой простой. Нам, прежде всего, нужно построить «Киберщит», а после понять, нужно ли нам «играть» на этом поле так же активно, как играют крупные страны. Может быть и нет, а может быть и да. Если да — то только как подразделение министерства обороны. Это очень ответственный шаг и, может быть, потребует решения Главы государства.

— Сейчас муссируется цифра что-то около 7 млрд тенге, которые в Казахстане намерены направить на создание «Киберщита». На ваш взгляд, насколько эта сумма близка к реальности? Не получится ли так, что стоимость «Киберщита» по факту возрастет в несколько раз?

— Я вспоминаю электронное правительство и сколько было критики по поводу расходов на него. Так вот, по аналогии с egov.kz нужно понимать, что в таких вещах ты сначала тратишь средства, строишь инфраструктуру, шлюз, портал, создаешь программную платформу, и лишь потом получаешь результат, то есть, люди начинают получать эффект. А не наоборот. Сегодня эффект от электронного правительства виден всем и не требует дополнительных объяснений. С «Киберщитом» будет по-другому — прямой отдачи средств точно не будет. Будет защита, насколько она будет эффективной — покажет только время. В любом случае нужны средства и приличные для построения инфраструктуры, подразделений, обучения и подготовки специалистов и т.д.

Взять для примера Китай — он пошел своим путем с самого начала. Построил «стену». Это дорого, но эффективно. Указанная сумма, если задуматься, не такая большая. Я полагаю, что затраты будут намного выше. Раз в десять. Тут я поясню. Важнейший элемент таких систем — человеческий фактор, тут не обойтись без существенных расходов на обучение специалистов, их содержание. Им нужно хорошо платить. Думаю, что эта часть будет очень весомой в проекте. Оборудование и его постоянная поддержка, обновление программных продуктов тоже требуют затрат.

— Значит ли это, что человеческий фактор — больная точка проекта?

— Не только у нас, но и везде, и всегда человеческий фактор — самая больная точка. Это проблема № 1. Дело в том, что в Казахстане хороших специалистов в области криптозащиты можно пересчитать по пальцам одной руки. Специалистов в области Big Data — а здесь они будут формировать ядро «Киберщита», может, дюжина. А уж про специфические специальности можно пока только мечтать. Поэтому подготовка специалистов и их заинтересованность в работе — это очень важная тема.

— По какому наиболее вероятному сценарию будет развиваться создание «Киберщита»?

— Во-первых, у нас с прошлого года есть уполномоченный орган по кибербезопасности, есть целое Министерство оборонной и аэрокосмической промышленности https://profit.kz/news/33609/V-Kazahstane-voprosami-kiberbezopasnosti-zajmetsya-novoe-ministerstvo/ . В его компетенции — защита всех госорганов, в его компетенции вся нормативно-правовая база и надзор. И киберцентр тоже в его компетенции. Что касается «Киберщита», то в послании президента точно определено, в чьей компетенции он будет находиться — это правительство РК и КНБ. То есть, архитектуру правоохранительных органов формировать будут они. А нас с вами защищать будет министерство.

Шавкат Сабиров

— Предположим, что вам поручили сформировать «Киберщит». По какому пути пошли бы вы?

— Концепция «Киберщита» опубликована. Она отражает общие принципы к его построению, имеет план мероприятий. Обратите внимание, что первыми пунктами идут правовые — создание правового поля для деятельности «щита». Без этого работа «щита» и его существование невозможно. В создании «щита» есть очень деликатные моменты. Прежде всего, нужно легализовать деятельность частного сектора в этой отрасли, ведь частники не могут иметь доступ к государственным секретам априори. Но именно частный сектор должен выступать в качестве мощного инструмента поддержки усилий государства в этой отрасли. Значит нужно привлекать государственно-частное партнерство, а здесь тоже появляются вопросы. Инвестиции частного сектора, как правило, направлены на получение прибыли в будущем. Ну а какая тут модель платных услуг?! Или крупная частная энергосеть, которая должна быть внутри критической инфраструктуры, частные предприятия, имеющие большое количество потребителей, банковские системы... Они ведь тоже являются частью той же критически важной инфраструктуры. Как быть с оборудованием? Кто и за какие средства будет покупать его, устанавливать? Частники? Государство? Это только малая часть вопросов, которые нужно решать прямо сейчас.

Значит, нужны совсем другие инструменты и меры поддержки, чем это было раньше. Новая отрасль требует совершенно новых подходов и методов работы. Другой вопрос — можем ли слепо копировать опыт других стран? Не уверен. Только тщательное изучение и построение модели собственного «щита» на условиях собственного производства специального оборудования, создания собственных программных продуктов, подготовка своих специалистов может позволить сделать «щит» прочным и достойным. Слово «собственное» здесь ключевое. И не забывайте, что Казахстан является членом ОДКБ и имеет обязательства в этой части. Работа предстоит не только архиважная и нужная, но и интересная. Создание дата-центров, построение доверительной сети, оборудование сенсорами всей критической инфраструктуры, распределение отраслей экономики по их уровню критичности, создание тестовых полигонов, огромных систем хранения информации и их обработки, резервного центра, подготовка и обучение специалистов — это большая работа, которая предстоит в этом направлении.

Теперь по времени. Процесс этот не быстрый. Первый этап, на мой взгляд, — это 2017-2018 годы, когда нужно создать некий полигон, тестовую доверительную площадку, на которой можно уже ставить и тестировать оборудование, программное обеспечение. Параллельно идет процесс обучения специалистов, без которых дальнейшие шаги просто невозможны. И лишь после этого частями, поэтапно внедряются доверенные системы.

— Есть опасение, что для облегчения мониторинга входящих потоков власть может сократить количество каналов, разумеется, увеличив их пропускную способность.

— Уверяю вас, что современное оборудование не влияет на пропускную способность каналов передачи данных. Все оборудование и сенсоры давно транспарентны, прозрачны другими словами. Для такого оборудования не проблема какой трафик сканировать.

— И завершающий вопрос. В состоянии ли мы сами создать «Киберщит»? Или нам придется прибегнуть к помощи специалистов из-за рубежа?

— Я уже говорил, что ключевое слово — «собственное», и считаю, что все, что касается «Киберщита», должно иметь отечественное происхождение. Или, по крайней мере, максимально приблизиться к этому через обязательный трансферт технологий. У нас для этого есть база — производители, инженерный опыт. Интеллектуальный потенциал тоже достаточный.

Подписывайтесь на каналы Profit.kz в Facebook и Telegram.