Kaz’Hack’Stan 2018 — безопасности много не бывает
На очередной конференции в Алматы хакеры и представители госорганов встретились, чтобы обсудить насущные проблемы ИБ.
5 октября в Алматы прошла вторая ежегодная конференция Kaz’Hack’Stan, посвященная практическим вопросам в сфере информационной безопасности. Работа конференции включала панельные сессии, кейсы от экспертов по информационной безопасности, киберполигон для повышения практических навыков, стенд lockpick, где каждый желающий мог потренироваться во вскрытии механических замков, а также площадку retroGames с возможностью окунуться в атмосферу 8-битных игр.
В ходе панельных сессий спикеры и гости обсудили актуальные вопросы информационной безопасности и защиты информационно-коммуникационной инфраструктуры, вопросы государственной политики и нормативно-правовых аспектов. Среди обсуждаемых тем — «Защита критической инфраструктуры», «Безопасность сигнальных сетей телекома», «Динамический анализ мобильных приложений, или Как сделать свою жизнь проще», «Аудит безопасности смарт контактов» и т. д.
Как отметил Виталий Ли, председатель общественного объединения «Центрально-Азиатское общество профессионалов кибербезопасности», Kaz’Hack’Stan, наряду с другими конференциями по кибербезопасности, вносит свой вклад в развитие ИБ в Казахстане. По его мнению, за прошедший год в стране наблюдаются значительные изменения в сфере ИБ, если говорить о законодательной базе: «Люди, которые относят себя к профессии и интересуются темой, заметили, что стало больше ясности в плане законодательной базы, все прочитали, что такое единые требования, закон об информатизации. Соответственно, появилось больше ясности, как это все исполнять. Сейчас остаются, в основном, нюансы, с которыми разобраться проще».
По его мнению, концепция Киберщита призвана не только ввести какое-то регулирование, но и в целом дать осознание того, в каком небезопасном мире мы живем. «И все осознали. Уже очень мало служащих, людей, которые бы не понимали, что очень опасно пренебрегать нормами информационной и кибербезопасности. Государство, со своей стороны, пытается регулировать сферу на законодательном уровне и насадить идеологию того, что существует критически важная инфраструктура, которая может быть атакована как извне, так и снаружи. Эти ресурсы нужно защищать. Мы, как представители общественного объединения, видим своей задачей поднять осведомленность о существующих опасностях, особенно сейчас, когда большая часть взаимодействий идет через цифровые коммуникации. Мы считаем необходимым стандартизировать знания пользователей, знания госслужащих, а также требований, предъявляемым к офицерам по безопасности», — говорит Виталий Ли.
О мерах, предпринимаемых на государственном уровне, и проведенной работе рассказал Руслан Абдикаликов, заместитель председателя комитета по информационной безопасности Министерства оборонной и аэрокосмической промышленности РК.
«Сегодня мы можем с гордостью рассказать о том, что было сделано. Создана нормативно-правовая база — утверждено 7 постановлений правительства и 12 ведомственных приказов нашего министерства. Важное нововведение — в этом году 9 августа постановлением правительства впервые в стране утвержден национальный антикризисный план реагирования на инциденты ИБ. Это высокоуровневый документ, который определяет, что такое оперативный штаб, какие существуют уровни критичности инцидентов и какие меры предпринимает каждый госорган в этой системе. Документ направлен на постановку задач по реагированию на инциденты, организацию мероприятий по восстановлению, установление причин и условий, оповещение владельцев и собственников ресурсов, а также на ограничение доступа к зарубежным сегментам сетей связи в каких-либо критических случаях. Кроме того, только в этом году в Казахстане был утвержден перечень критически-важных объектов ИКТ-инфраструктуры. В него вошли 219 информационных систем. Среди них — объекты, которые оказывают госуслуги, объекты нефтегазового сектора, транспорта, энергетики и т. д. Этот перечень будет расширяться, поскольку уже сейчас мы понимаем, что 219 объектов на всю страну — это крупица. По нашим подсчетам таких объектов должно быть порядка двух тысяч», — говорит Руслан Абдикаликов.
Кроме того, в ходе обсуждения различных тем эксперты не раз отмечали, что реализация государственных программ «Цифровой Казахстан» и «Киберщит Казахстана» требует большого количества квалифицированных кадров, которых крайне недостаточно в настоящее время. Это остается одной из основных проблем отрасли. В Казахстане пока нет возможности оценить, насколько профессионален специалист по ИБ. И работодатели задаются вопросами — сможет ли сотрудник на самом деле заняться вопросами защиты или у него просто хорошее резюме. Одна из целей, заявленных для конференции «Kaz’Hack’Stan» — решение проблемы недостатка специалистов ИБ путем массового обучения участников лучшим мировым практикам и возможности обмена опытом с ведущими экспертами-практиками этой области.
Со своей стороны, Министерство оборонной и аэрокосмической промышленности ставит одной из задач для себя управление человеческим потенциалом, развитие института подготовки специалистов по направлению «кибербезопасность». Для этого было увеличено число образовательных грантов по соответствующей специальности (со 160 в прошлом году — до 498 в нынешнем), а также стипендий Болашак для стажировки по направлению «кибербезопасность».
«Это большой пласт нашей работы. По нашим подсчетам, в Казахстане существует потребность в 30 тыс. специалистах по информационной безопасности. Исходя их этого понятно, что 500 грантов в год — очень мало. Поэтому мы будем добиваться, чтобы число грантов увеличивалось. Кроме этого, мы хотим добиться того, чтобы все 100 тысяч казахстанских госслужащих прошли курсы по кибербезопасности. Потому что они все на своих рабочих местах сталкиваются с угрозами и рисками информационной безопасности. Они являются владельцами и пользователями тех баз данных, которые обрабатывают персональные данные граждан нашей страны. В этой связи у них и максимальная ответственность», — заявил представитель МОАП.
Как отметил Арман Абдрасилов, директор Центра анализа и расследования кибератак, формат конференции нацелен, прежде всего, на практические доклады и работу со стендами, имитирующими модели инфраструктуры по различным направлениям, что дает специалистам по ИБ возможность погружения в максимально приближенные к реалиям условия для отработки действий в случае атак.
«Проблематика кибербезопасности не имеет четко очерченных государственных границ, — говорит Оксана Ялынычева, менеджер по развитию бизнеса Positive Technologies. — В этой сфере невозможно достичь успеха без обмена практическим опытом. Переход к цифровому государству — это естественный этап развития любого государства. При этом следует помнить, что цифровизация предприятий, отдельных отраслей и экономики в целом влечет за собой риски информационной безопасности, которые в ряде случаев могут иметь государственное значение. Поэтому о возможных проблемах, с которыми придется столкнуться государству, бизнесу и частным лицам вследствие глобального перехода на цифру, следует говорить уже сейчас. К таким проблемам необходимо готовиться и максимально сокращать возможности для их реализации».