Руслан Абдикаликов, МЦРОАП: государства запоздали с регуляцией интернета

О «вакууме» с кадрами в области кибербезопасности, о том, почему мы «взлетели» в глобальном рейтинге Международного союза электросвязи, и о том, есть ли у Казнета план «Б», — в интервью Profit.kz с Русланом Абдикаликовым, заместителем председателя Комитета по информационной безопасности Министерства цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан.

— Руслан, я хотел бы начать с вопроса о «Киберщите», поскольку это сейчас одна из ключевых тем для медиа, тем более специализированных. Как вы оцениваете степень проработки программы, ее сильные и слабые стороны? И что бы вы изменили в программе, если бы такая возможность была?

— С одной стороны, мне трудно отвечать на этот вопрос объективно, так как я являюсь соавтором концепции «Киберщит». И когда мы создавали ее, мы пытались вложить в нее не только какое-то общее понимание ситуации, мировые практики, но и более того — свою душу. И полагаю, что все основные вещи, самые важные моменты — в нее включены.

С другой стороны, не нужно забывать, что это всего лишь концепция, документ, рассчитанный на длительный период, который показывает направление, то, куда мы будем двигаться. Есть и отдельный детальный документ, план того, как мы будем двигаться в части реализации концепции. И этот документ тоже утвержден правительством. И вот в него, а это «живой» документ, возможно, я бы внес какие-то изменения, где-то дополнил его.

Возвращаясь к концепции, замечу, что здесь, как и в знаменитом «принципе Парето», 20% усилий дают 80% результата, — то есть, мы ожидаем, что сама программа, качество ее проработки обеспечат нам эти самые 80% результата.

Несколько слов о внешней оценке программы. Как вы знаете, Международный союз электросвязи (МСЭ) довольно высоко оценил динамику Казахстана по параметру «кибербезопасность» (Глобальный индекс кибербезопасности 2018/2019 — прим. редакции) — мы сейчас занимаем в нем 40-ую позицию. А когда только приступили к составлению концепции «Киберщита», то находились на 103 месте из 197 стран. В самом разгаре разработки мы находились уже на 82 месте. Ну, а в прошлом году, как уже отмечалось, мы получили 40-ю позицию в нем.

Эти оценки объективны, Глобальный индекс кибербезопасности (ГИК) — авторитетный, это своего рода срез положения дел в области кибербезопасности во всем мире. Да и сама организация, которая его делает — тоже авторитетная. То есть, повторю, оценка очень объективная. Именно в виду его объективности, Глобальный индекс кибербезопасности является целевым показателем в «Киберщите», своего рода, независимым внешним аудитором — именно по этому индексу мы будем оценивать то, насколько хорошо реализуется программа.

Интересно, что требования в Индексе корректируются, и корректируются, разумеется, с учетом общемировых трендов, и это позволит нам делать тонкий тюнинг своей политики: если здесь, например, в каком-то конкретном пункте возрастают требования, то для нас это сигнал — нужно сделать акцент именно здесь. Как пример — в прошлом году мы могли бы занять еще лучшую позицию, если бы критерии ГИК остались прежними. Соответственно, мы ожидаем, что в этом году появятся новые критерии — в общем, это перманентный процесс.

— Получается, МСЭ как бы «подсвечивает» новые тренды.

— Да, это мировой опыт и мы его не отвергаем. Кстати, пока мы работали над программой, мы изучили более 40 подобных зарубежных программ, — то есть, делали наш «Киберщит» не на пустом месте. Почти уверен, что если бы мы изложили в программе исключительно свое мировосприятие, то ничего хорошего из этого бы не вышло. Учитывали и геополитические моменты — взяли самое лучшее от всех, мыслили, разумеется, и в рамках мультивекторной политики. То есть, это такой компромиссный вариант. Спустя два года мы понимаем, что приоритеты были выбраны правильно, сейчас задача стоит такая — выполнить по-максимуму все мероприятия, заложенные в программе. Не для галочки — качественно. Менять концепцию не имеет никакого смысла — целеуказания поставлены, на мой взгляд, верно.

— Руслан, позволю себе оппонировать. Мы видим, что международные рейтинги для чиновников в Казахстане становятся каким-то супериндикатором. С этой точки зрения, не является ли индекс МСЭ какой-то самоцелью, не теряем ли мы в этом процессе что-то по-настоящему важное?

— Думаю, нам это не грозит, потому что рейтинги — это не единственное мерило нашей работы: мы, как министерство отчитываемся по всем показателям в Правительство. И дальше уже правительство направляет эти цифры в Администрацию Президента. То есть основная оценка нашей работы — там. Ведь, если мы заняли в рейтинге 40-е место, но при этом не исполнили какие-то другие важные пункты, нас по головке не погладят. Получается, что здесь есть баланс. С одной стороны, этот рейтинг, точнее, его внутренняя составляющая, служит ориентиром, помогает понять то, что в тренде. С другой, сама эта цифра, которая отождествляет место, служит показателем для общественности — чтобы оно видело нашу работу, не особо вдаваясь в излишние подробности: «ну, если Казахстан на 40 месте из 197 стран, то не все так плохо».

— Относительно недавно министерство, в котором вы работаете, было реорганизовано — теперь оно называется Министерство цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан. На ваш взгляд, это несет за собой корректировку его философии?

— Хороший вопрос. Думаю, что здесь лежат более глубокие процессы, и это, на мой взгляд, только начало. Мы все говорим о цифровизации, и все чаще в этом слове делается акцент на цифровизацию промышленности — это конечная цель всех процессов. И появление такого министерства, точнее, расширение его функционала, позволит дать новые силы этому процессу.

Мы в МЦРОАП как бы собираем самые лучшие компетенции, при том, что само по себе министерство концентрирует в себе и наукоемкие отрасли — космос, оборонная промышленность, ИТ, связь.

Мое мнение: МЦРОАП — это некий эксперимент, в котором мы можем объединить усилия всех сторон — айтишников, производственников и других заинтересованных специалистов, чтобы получить интересные результаты в деле цифровой трансформации реального сектора экономики. То есть, это не просто смена вывески.

— Сейчас много говорят о том, что в Казахстане катастрофически не хватает экспертизы в области информационной безопасности. И здесь возникает два пути в части развития ситуации. Первый — экспортировать компетенции, второй, соответственно, взращивать ее. Можно гипотетически предположить, что на некоторых уровнях первый путь не слишком хорошо будет коррелироваться с национальной безопасностью. Насколько верны эти рассуждения?

— Это одна из проблем, которая, так или иначе, нашла отражение в «Киберщите». И мы выбрали путь взращивания собственного капитала, и этот путь вовсе не изоляционистский, — мы не отрицаем, что компетенции будем заимствовать с мирового рынка. Но здесь «центр вселенной» — это ОЦИБы (Оперативный центр информационной безопасности — прим. редакции), это своего рода центры компетенций, где и будет происходить обмен опытом, где будет расти экспертиза. В том числе, способом взаимодействия с зарубежными экспертами.

В рамках этой модели бояться, что мы в каких-то вопросах утрачиваем чувствительные моменты, думаю, не имеет оснований. Для зарубежных экспертов мы будем выставлять, к примеру, такие показатели — обучить 5 местных сотрудников. И этот человек, завершив контракт, уедет из страны, но оставит после себя обученных людей. И они будут знать то, что знал он. Этакий трансферт знаний.

И немаловажный момент: мы активно работаем над увеличением количества грантов для вузов по специальностям в области кибербезопасности, мы плотно работаем с вузами, которые такие дисциплины преподают, а сегодня таковых 8.

— А достаточно ли 8 вузов на всю страну?

— Полагаю, что да, не нужно распыляться — 8 вузов достаточно. Это примерно отражает и мировую статистику — 10% от общего количества ИТ-специалистов — это специалисты по кибербезопасности. Для справки, у нас примерно в 80 вузах есть кафедры по информационным технологиям.

— Сколько сейчас обучается студентов в рамках вашей программы?

— 674 студента, мы ежегодно выделяем по 500 грантов, то, что их больше — это просто перераспределение — потребность в специалистах большая. И такой планомерный рост означает создание экосистемы, и молодой человек, поступающий на факультет, связанный с кибербезопасностью, должен понимать, что после окончания вуза он получит работу в своей стране, будет востребован на рынке, его будут носить на руках, если он будет хорошим специалистом.

Мы со своей стороны работаем с компаниями, стараемся им внушить, чтобы они брали отечественных специалистов, а если и привлекали таковых из-за рубежа, то обязывали их обучать местных, чтобы после его убытия не осталась пустота. Я об этом уже говорил.

— А как в ОЦИБах к этому относятся? Ведь для них это тоже непросто…

— С пониманием относятся. Потому что они сами чувствуют на себе нехватку спецов. Невозможно же вечно переманивать их друг у друга! Это ведет еще к тому, что неоправданно растут заработные платы. В общем, как ни крути — тупик. Отрасль от этого ничего не получает, работодатель ничего не получает — он как бы купил дорогого «легионера», а тот за сезон забил лишь пару голов, да уехал к себе домой. А ведь он мог на эти деньги найти несколько талантливых ребят, и они бы забили после обучения 50 голов. Вот такая история.

Эту идеологию отрасль, повторю, поддерживает. Энтузиасты должны заражать энтузиастов, «зажигать» их.

— Руслан, ранее вы говорили о том, что есть идея внедрить уроки кибербезопасности в школах, начиная с первых классов обучать малышей каким-то навыкам. Расскажите, пожалуйста, подробнее об этой инициативе?

— В Министерстве образования и науки Республики Казахстан идею приняли хорошо. Потому что в рамках госпрограммы «Цифровой Казахстан» есть отдельный раздел о повышении уровня цифровой грамотности населения. И откуда ее начинать, как не со школьной парты? Здесь мы просто попытались сместить акцент и предложили начать обучение основам кибербезопасности, кибергигиены немного раньше — это некие базовые нормы.

Мы хотим объяснить, что использование любой современной технологии сразу несет в себе и риски, угрозы. И если эти угрозы материализуются, то человек, который пострадал, придет к государству и спросит, а почему вы не смогли меня защитить, почему вы не смогли предотвратить кражу моих денег? Почему мне никто не рассказал, что я никому не должен сообщать CVV-код — а ведь вы мне говорили, что нужно идти в интернет, что там удобно покупать, но не предупредили о мошенниках…

То есть, я к чему — рядом со всеми этими процессами в информатизации всегда должны идти вопросы кибербезопасности. А мы, получается, немного отстали, немного упустили.

— Сейчас много говорят о закручивании гаек в локальных сегментах Сети. Эти тенденции мы видим и в Казахстане, и в России. Получается, что эпоха Интернета — именно так, с большой буквы — закончилась. Как бы вы это прокомментировали?

— Я считаю, что государства запоздали с регуляцией интернета. Это, откровенно говоря, нужно было делать много раньше, а тем временем, люди привыкли даже не к свободе, а к вседозволенности в интернете. Но, на самом деле, важно понимать, что права людей заканчиваются там, где начинаются права других людей. И тут следует говорить скорее не об ограничении свободы в интернете, а о том, чтобы распространить национальную юрисдикцию на локальный сегмент интернета.

Разумеется, в этом процессе случаются и перегибы, которые мы наблюдаем в некоторых странах. Если же взглянуть на тему в более широком плане, то вопрос региональной безопасности интернета вышел далеко за пределы конкретной страны — это уже уровень ООН, ШОС, ОДКБ.

И еще. То, что национальные сегменты будут обосабливаться — вопрос уже решенный, есть даже термин — «балканизация интернета». Но это не значит, что эти сегменты не будут взаимодействовать между собой. И вот здесь нужны равноправные правила игры — я надеюсь, что мы когда-нибудь для этой цели соберемся на площадке ООН, чтобы урегулировать эти вопросы.

— Завершу коротким вопросом: есть ли у Казнета план «Б»?

— Я смею вас заверить в том, что у нас есть такое решение, точнее, оно скоро появится. Так что граждане могут спать спокойно. И мы видим эти риски — если что-то пойдет не так, то будет катастрофа: остановится электронное правительство, «встанут» интернет-магазины и банки со своими дистанционными банковскими сервисами. Это очень серьезно. Поэтому, тут вступает в дело уже инстинкт самосохранения — он в том, что если что-то произойдет и нас отключат от внешнего интернета, то должен остаться в работоспособном состоянии внутренний сегмент, то есть, Казнет. Вот для этого нам нужно ускорить развитие пиринговых сетей, — на мой взгляд, все операторы должны быть подключены к ним — это уже вопрос национальной безопасности.