Казахстан стремится войти в число 30-ти самых развитых государств мира. Для этого у нашей республики есть все возможности: ресурсы, образованные люди, сплоченная нация. С учетом подходов стратегии «Казахстан-2050» была разработана концепция «Киберщит Казахстана», которая базируется на автоматизации государственных услуг и нацелена на перспективное развитие цифровой экономики нашей страны. Так же, для развития рынка качественных профессиональных услуг в области информационной безопасности проведена работа с организациями в рамках государственной программы «Цифровой Казахстан» по созданию оперативных центров информационной безопасности. Об этом корреспонденту ИА «NewTimes.kz» рассказал председатель Комитета по информационной безопасности Руслан Абдикаликов.
Здравствуйте, Руслан Кенжебекович. Расскажите, пожалуйста, о значимости кибербезопасности в развитии общества и экономики?
— Концепция кибербезопасности «Киберщит Казахстана» ориентирована на перспективное развитие цифровой экономики и технологической модернизации производственных процессов в промышленности, расширения сферы оказания информационно-коммуникационных услуг, и аутсорсинга информационно-коммуникационных услуг в конкурентную среду.
Реализация Концепции способствует активному участию казахстанских IT-компаний в обеспечении национальной информационно-коммуникационной инфраструктуры системами информационной безопасности и обеспечивает отечественные предприятия электронной промышленности заказами на приобретение государственными органами и квазигосударственным сектором телекоммуникационного оборудования, произведенного и прошедшего процедуры сертификации на соответствие требованиям информационной безопасности на территории страны.
С целью обеспечения информационной безопасности в государственных органах и создания условий для развития отечественных производителей продукции электронной промышленности и программного обеспечения (далее - ЭП и ПО) Министерством цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан создан Реестр доверенной продукции электронной промышленности и программного обеспечения (далее - Реестр).
В 2019 году приняты поправки в законодательстве о государственных закупках, согласно которым продукция ЭП и ПО включенная в Реестр закупается в приоритетном порядке. Данная норма вступила в силу с 1 января 2020 года.
На сегодняшний день в Реестр включены 85 наименований продукций ЭП и ПО от 34 производителей. Работа по включению в Реестр отечественных производителей будет продолжена.
Какие информационно-технические средства были использованы в рамках реализации данной программы?
— Мероприятия по созданию и развитию Национального координационного центра информационной безопасности были включены в Государственную программу «Цифровой Казахстан».
В 2018 году создан и начал работу Национальный координационный центр информационной безопасности, обеспечивший защиту информационных ресурсов государственных органов и критически важной информационной инфраструктуры Республики от кибератак и киберинцидентов.
Он оснащен серверным и телекоммуникационным оборудованием, системами хранения больших данных и аналитическими инструментами.
В 2019 году завершена реализация второго этапа формирования АПК «Аналитическая система НКЦИБ РК», в рамках которой приобретены программно-технические средства мониторинга и защиты автоматизированных рабочих мест государственных служащих центральных государственных органов.
В 2020 году 17 центральных государственных органов (МВД, МО, МИОР, МСХ, МЮ, МОН, МТСЗН, МКС, МНЭ, МЭ, МТИ, МЭГПР, АПК, АДГС, ВС, ГП, ЦИК) централизованно оснащены средствами антивирусной защиты, предотвращения компьютерных атак и утечек информации, мониторинга и освещения событий информационной безопасности.
Какие министерства и ведомства были задействованы в реализации данного проекта?
— Все государственные органы и местные исполнительные органы, НПП «Атамекен», АО «Государственная техническая служба», отраслевые организации и центры компетенции.
Перечислите проблемы, которые могут возникнуть в информационной безопасности.
— Существующая казахстанская модель школьного, средне-специального, высшего и послевузовского образования в области ИКТ, включая специализацию в сфере информационной безопасности, требует постоянного и тщательного анализа со стороны всех заинтересованных лиц.
Меры, связанные с автоматизацией государственных функций и оказанием государственных услуг в электронной форме, а также продолжающаяся цифровизация доступа к информации о деятельности государственных органов несут в себе определенные риски. Некачественные услуги и приложения, предоставляемые гражданам и частным организациям в рамках "электронного правительства", в том числе машиночитаемые открытые данные, могут привести к нарушению прав и законных интересов граждан.
Отклонения от установленных требований технических стандартов, вызванные низким уровнем производственной и эксплуатационной культуры, небрежность и халатность со стороны заказчиков и разработчиков решений на этапе создания, принцип остаточного финансирования обеспечения информационных систем системами защиты информации и контроля защищенности, несут в себе высокие риски технологических сбоев.
Несвоевременное устранение владельцами информационных систем уязвимостей в программном обеспечении существенно увеличивает угрозы несанкционированного доступа.
Объем данных, обрабатываемых в государственном и частном секторах, растет, что приводит к необходимости выработки новых форм их хранения. В тоже время, такие формы хранения данных как облачное хранилище или использование онлайн-сервисов часто основываются операторами и поставщиками услуг на непрозрачных или не стандартизованных решениях, в том числе с точки зрения безопасности данных. При этом гармонизированные стандарты значительно отличаются от первоисточника из-за низкого качества их перевода и адаптации.
Ситуация усугубляется возможностью намеренного внедрения в программное обеспечение и телекоммуникационное оборудование не декларируемых функций (так называемых "бэкдоров"), которые не всегда могут быть выявлены на этапе сертификации, устранения уязвимостей в процессе эксплуатации или распознаны антивирусными программами и потому могут быть использованы для нарушения работы информационных систем и сетей телекоммуникаций.
Какие меры предпринимаются по повышению грамотности государственных служащих и информированию граждан о мерах безопасности при использовании информационно-коммуникационных технологий?
— МЦРИАП РК совместно с КНБ РК во 2-м квартале т. г. на базе АО «Государственная техническая служба» организовали семинар по повышению квалификации для сотрудников по информационной безопасности, а также заместителей первых руководителей, курирующих данный вопрос. Семинар послушали 69 участников из различных государственных органов и местных исполнительных органов.
14 июля 2021 года МЦРИАП совместно с АО «Лаборатория Касперского» провели стратегический интерактивный онлайн-тренинг Kaspesky Interactive Protection Simulation, организованный для сотрудников дипломатических служб и руководства Министерства иностранных дел Республики Казахстан. Для повышения осведомленности о проблемах безопасности компьютерных систем интерактивный тренинг погрузил специалистов и руководителей Министерства иностранных дел Республики Казахстан в симулированную среду, где они столкнулись со множеством неожиданных киберугроз. При этом участникам KIPS тренинга необходимо было выстроить стратегию кибербезопасности, выбирая лучшие методы проактивной и реактивной защиты.
В первом полугодии 2021 года КНБ РК проводилась подготовительная работа по проведению киберучений для государственных органов и организаций квазигосударственного сектора, направленные на повышение осведомленности и выявления реакции сотрудников ГО и организаций на киберугрозы.
В Академии государственного управления при Президенте Республики Казахстан и ее филиалах за 1 полугодие 2021 года на основе тематики «информационная и кибербезопасность» в рамках дополнительных образовательных программ прошли обучение 2669 государственных служащих, в том числе на семинарах повышения квалификации-207 человек, курсах переподготовки – 2462 человека
С 5 января текущего года на сайте Академии государственного управления при Президенте Республики Казахстан в публичном доступе реализована программа «Цифровые государственные служащие» в онлайн формате в виде видеокурсов для обучения государственных служащих.
Программа включает курсы для руководителей, исполнителей и отраслевых специалистов по цифровизации государственных органов, которая охватывает следующие темы обучения: «Углубленное изучение законодательства в сфере IT», «Информационная безопасность», «Цифровые компетенции», «Электронное правительство eGov.kz». Концепции кибербезопасности («Киберщит Казахстана»).
Дополнительно, Комитет по информационной безопасности МЦРИАП загрузил обучающие видеороликов на казахском и русском языках на Google Disk по разъяснению Единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности, а также защите персональных данных, соответсвенно направлены в ГО и МИО письма с ссылкой на видеоролики. Направлены в ГО и МИО письма с ссылками на вышеуказанных видеороликов для просмотра.
Так по результатам проведенных социологического исследованиий разработанные бумажные и электронные версии рекомендации по вопросам обеспечения кибербезопасности были направлены в государственные и местные исполнительные органы, вузы подготовливающие IT специалистов, и организации для использования в повседневной жизни.
Министерством своевременно подготавливаются и размещаются информационные материалы и пресс-релизы по вопросам защиты ЭЦП, по сбору и обработке персональных данных подлежащие опубликованию на интернет-ресурсе Министерства и в СМИ.
Качественно организовываются и проводятся обучающие семинары, лекции, разъяснения в государственных органах, организациях, а также для служащих Министерства и его ведомства. Направляются циркуляры в ГО и МИО по защите персональных данных и пресечению нарушении в области ЭЦП с рекомендациями по безопасному использованию и защите ЭЦП.
Опыт каких стран был использован при разработке национальной Концепции кибербезопасности?
— При разработке Концепции изучен международный опыт в области формирования подходов к защите национальной информационно-коммуникационной инфраструктуры государств-лидеров в сфере разработки и использования информационно-коммуникационных технологий, таких стран как: Великобритания, Швейцария, Австрия, Нидерланды, Германия, Финляндия, стремящихся расширить сферу их применения для достижения целей социально-экономического развития. Выполнение данной Концепции является вкладом Казахстана в реализацию Глобальной программы кибербезопасности ООН.
На уровне ООН имеется ряд документов, таких как Глобальная программа кибербезопасности Международного союза электросвязи или Резолюция Генеральной Ассамблеи ООН "Создание глобальной культуры кибербезопасности и оценка национальных усилий по защите важнейших информационных инфраструктур", в которых содержатся подходы к пониманию кибербезопасности, охватывающие сферу безопасного использования информационно-коммуникационных технологий в вопросах обеспечения.