Служба реагирования на компьютерные инциденты рассказала о своей работе

— Из каких соображений исходило АИС, принимая решение о создании данного Центра? Почему он создан именно в 2010 году, а не, к примеру, годом или двумя ранее?

— Создание Службы реагирования на компьютерные инциденты явилось не сиюминутным решением, обусловленным какой-либо политической коньюктурой, а достаточно давно прорабатываемым вопросом.

Здесь необходимо отметить, что формирование подобных структур обусловлено социальными условиями в государстве. Здесь в расчет идет и техническое развитие в государстве сети интернет, количество пользователей интернет-услуг, и заинтересованность государства в обеспечении безопасности предоставляемых услуг.

Исходя из этого можно отметить, что в последние годы АИС активно развивает государственный проект «электронное правительство». В его рамках юридические и физические лица начали получать «цифровую подпись» с использованием которой обеспечивается доступ к государственным услугам в режиме он-лайн. Технологическое совершенствование провайдеров, которые начали предоставлять широкополосный интернет, повлекло за собой значительное увеличение в последние годы количество простых пользователей.

Соответственно, остро стали вставать вопросы обеспечения информационной безопасности, развития культуры общения пользователей в национальном сегменте сети интернет.

В этой связи, с конца 2008 года Агентством начата подготовительная работа. В ее рамках осуществлен сбор и анализ мирового опыта в данной сфере, установлены контакты с аналогичными зарубежными Службами, в частности, Узбекистана, Южной Кореи, осуществлен обмен опытом.

На основании обобщенного опыта подготовлены предложения в Правительство, которые нашли поддержку.

В результате проведенной работы в декабре 2009 года идея создания Службы реагирования на компьютерные инциденты нашла свое практическое разрешение.

— Что входит в сферу обязанностей сотрудников Центра, какими полномочиями они наделены? Какова кадровая численность, оснащенность? Планируется ли расширение центра, какие еще функции он будет выполнять?

— 14 декабря 2009 г. Агентством РК по информатизации и связи образована Служба по реагированию на компьютерные инциденты (CERT). Непосредственно целью Службы является профилактика и предотвращение различного рода угроз, связанных с использованием информационно-коммуникационных технологий. Применительно к национальному казахстанскому сегменту сети интернет это означает, в первую очередь, оказание содействия пользователям, собственникам и владельцам общедоступных информационных ресурсов (интернет-ресурсов) и принятие мер, способствующих повышению уровня доверия и безопасности ИКТ.

В этой связи в задачи Службы входит прием и первичный анализ сообщений от пользователей Казнета в отношении обнаруженных ими в доменной зоне KZ или казахстанских хостингах интернет-ресурсов, содержащих вирусы или другой вредоносный код, программ, используемых для создания бот-сетей, или информации, явно нарушающей требования законодательства (пропаганда терроризма, порнография, нарушение авторских прав и т.п.). В рамках обозначенной компетенции CERT выступает контактной стороной для всех граждан, заинтересованных в чистоте и безопасности национального сегмента. Деятельность службы не предполагает дествий по блокировке интернет-ресурса, а лишь оповещение и содействие собственику или владельцу, оставляя за ним право окончательно решать как быть с размещенной информацией.

В задачи Службы также входит оказание технической консультативной поддержки правоохранительным органам.

Кадровый состав Службы находится в стадии формирования. К данному контингенту работников предъявляются достаточно жесткие требования с точки зрения профессиональной подготовки в сфере информатизации и информационной безопасности. К сожалению, в настоящее время работников необходимой квалификации не достаточно, но работа в данном направлении активно ведется.

Касаясь оснащенности Службы полагаем возможным сообщить, что в настоящее время завершается работа над созданием сайта, который будет являться не только средством для информирования пользователей об угрозах информационной безопасности, нести полезную для пользователей информацию по работе в сети, но и по сути являться средством обратной связи с национальными пользователями.

— По каким критериям тот или иной ресурс попадает в «черный список» АИС, в каком нормативно-правовом акте они прописаны? Может ли центр по своему усмотрению прекратить существование какого-либо ресурса из «черного списка»? Сколько времени может понадобиться центру для закрытия, к примеру, радикального экстремистского сайта, на котором публикуются призывы к насильственному свержению власти и т.п.?

— Необходимо отметить, что выражение «черный список» подразумевает динамический процесс работы с контентной угрозой (контентная угроза — распространяемая в интернете информация, восприятие или следование которой может нанести вред лицу, воспринявшему или последовавшему этой информации), к которым относятся материалы порнографического характера, а также экстремистской направленности.

Таким образом, фиксированного объема сайтов в казахстанском сегменте интернета, подпадающего под нормы «черного списка» не существует.

Формирование т.н.  «черного списка», подразумевает постоянный процесс работы с собственниками или администраторами сайтов, владельцами хостингов, но никак с не созданием и опубликованием некоего свода нежелательных для посещения ресурсов, что являлось бы своего рода «рекламой» для их владельцев, которая может провоцировать определенный интерес у отдельных категорий пользователей интернета.

С ресурсами такого рода мы ведем профилактическую работу, а в случае, когда такие действия собственников интернет-ресурсов явно выходят за рамки закона, принимаем меры по закреплению факта нарушения и информирования правоохранительных органов.

Касаясь возможности Службы «по своему усмотрению прекратить существование какого-либо ресурса из «черного списка» необходимо отметить следующее.

В соответствии с законодательством Республики Казахстан (Закон «Об информатизации», статья 21) приостановление распространения информации по информационно-коммуникационным каналам возможно только на основании решения суда. Создаваемая Служба подобными полномочиями не наделена и ее деятельность не предполагает мероприятий по блокированию доступа к каким-либо интернет-ресурсам.

Вместе с тем, собственники социальных сетей, как и интернет-ресурсы другого формата, в обязаны соблюдать требования законодательства к распространяемой информации, о чем АИС будет информировать и настаивать в случае обнаружения фактов распространения в казахстанском сегменте вредоносного кода или противоправной информации.

Отдельно хотелось бы отметить, что законодательно определено, что решение суда о приостановлении или прекращении распространения продукции средств массовой информации, когда средством массовой информации является интернет-ресурс, имеет временные рамки (статья 21 Закона РК «Об информатизации»). В частности, приостановлении распространения продукции СМИ влечет запрет на использование доменного имени с тем же или дублирующим названием на срок не более трех месяцев. Прекращение распространения продукции СМИ влечет отмену регистрации доменного имени и запрет на использование в течение одного года доменного имени с тем же или дублирующим названием, регистрация которого ранее отменена решением суда.

Говоря о временных параметрах, можно отметить, что на основании судебного решения операторы связи, собственники интернет-ресурсов обладают возможностью приостановить либо прекратить распространение незаконной информации незамедлительно.

— Как вы относитесь к идее общественного контроля за деятельностью центра?

— В целом АИС всегда готово предоставить в установленном законодательством порядке информацию о направлениях своей деятельности.

В то же время, при оценке возможности доведения до общественности какой-либо информации о деятельности Службы Агентство исходит из следующего.

Вопросы информационной безопасности всегда носили и будут носить конфиденциальный характер.

Юридические лица, как правило, не заинтересованы в распространении информации в отношении компьютерных инцидентов, совершенных в их отношении, поскольку это подрывает имидж потерпевшей организации. В этой связи, распространение подобной информации будет осуществляться только с согласия этих пользователей.

Пользователи, которые сообщают о наличии в сети механизмов, незаконно функционирующих в сети интернет (как было отмечено выше распространение программных продуктов, содержащих вирусы или другой вредоносный код, программ, используемых для создания бот-сетей, информации, явно нарушающей требования законодательства и т.д.) также заинтересованы в сохранении конфиденциальности.

Если Служба не обеспечит данный режим, то это не позволит обеспечить должный уровень взаимодействия с указанными категориями пользователей.

Кроме того, мы не можем делать достоянием гласности технические средства и методики, которые используются для обеспечения информационной безопасности поскольку это повысит уровень риска совершения правонарушения.

Как уже было отмечено, не будут публиковаться т.н.  «черные списки».

— Некоторые политологи связывают появление такого центра с попыткой властей создать информационную блокаду в сети оппозиционных политологов и бизнесменов, которые через интернет из-за рубежа пытаются воздействовать на казахстанскую аудиторию. Насколько правдоподобна эта точка зрения?

— Как уже было отмечено выше, основные задачи CERT сводятся к созданию контактной стороны для всех граждан, заинтересованных в чистоте и безопасности национального сегмента, доведении до пользователей информации о существующих угрозах информационной безопасности.

Необходимо отметить, что создание Службы реагирования на компьютерные инциденты является обычной практикой во многих государствах.

Так в США уже сейчас существуют шесть центров быстрого реагирования на киберпреступления, которые планируется соединить друг с другом в единую федеральную сеть. Подобные структуры успешно функционируют в Южной Корее и Китайской Народной Республике, России и Узбекистане, европейских государствах.

Более того, наиболее технологически развитые государства уже сейчас начинают формирование систем раннего оповещения о проникновении злоумышленников, предполагающих достаточно серьезные вещи: просмотре и анализе трафика, проходящего через правительственные сети, а также предупреждении администраторов, если что-то пойдет не так.

В этой связи, увязывать мировую практику формирования системы информационной безопасности государства с «созданием информационной блокады» представляется некорректным.

— Какие рычаги есть у АИС и центра для воздействия на деструктивные для Казахстана сайты, хостящиеся за пределами Казнета? С аналогичными центрами каких стран вы налаживаете сотрудничество?

— Как уже было отмечено, основные усилия Агентства сконцентрированы на мониторинге деятельности интернет-ресурсов, имеющих принадлежность к домену KZ или хостинг на территории РК. В отношении ресурсов расположенных за пределами РК нами налаживается взаимодействие и обмен информацией с соответствующими профильными зарубежными структурами.

В рамках разворачивания работы Службы планируется обеспечить взаимодействие с международными организациями INHOPE, другими службами реагирования (CSIRT) по указанным вопросам.