Перейти к основному содержанию

8587 просмотров

«Киберщит Казахстана» - защита не для всех

Эксперты, опрошенные «Къ», отмечают, что в госпрограмме «Киберщит Казахстана» красной нитью проходит одна мысль: государство никого, кроме себя защищать не должно

«Киберщит Казахстана» - защита не для всех

«Киберщит Казахстана» - защита не для всех

Госпрограмма «Киберщит Казахстана», предполагающая обеспечение информационной безопасности электронных ресурсов республики, напрямую будет защищать от кибератак только государственные системы. При этом для квазигосударственного и частного сектора будет создана конкурентная среда. Система должна заработать к концу текущего года, когда в стране будет запущен Национальный координационный центр информационной безопасности.

Новая парадигма защиты информационных ресурсов от киберугроз была представлена в ходе SOC (Security Operations Center) Forum «Практика противодействия кибератакам и построения центров мониторинга» в Астане. По словам заместителя председателя комитета по информационной безопасности министерства оборонной и аэрокосмической промышленности Казахстана Руслана Абдикаликова, государство с прошлого года старается «построить некую модель взаимодействия информационной безопасности с традиционным IT». Модель выстроилась быстро и легла в основу госпрограммы «Киберщит Казахстана», где красной нитью проходит одна мысль: государство в лице уполномоченного органа (в данном случае министерства оборонной и аэрокосмической промышленности) никого, кроме себя и своих информационных систем, защищать не должно, непосредственной защитой своих ресурсов должен заниматься собственник. При этом регулятор создает правила игры и условия, при которых на рынке появляется предложение такой защиты для частника и квазигосударственных структур. Которые тоже не попадут под финансируемый из бюджета «Киберщит», однако обязаны будут отвечать единым техническим требованиям информационной безопасности.

«Мы выбрали такую схему: в стране будет построен Национальный координационный центр по информационной безопасности, его построением занимается РГП «Государственная техническая служба» при КНБ. Мы ожидаем, что эта работа завершится к концу текущего года, соответственно, когда мы построим Национальный координационный центр, появится возможность мониторить госсистемы. Стоит вопрос – как быть с системами, которые находятся в квазигосударственном секторе, и с теми частными системами, которые станут критически важными в нашей стране?», – сказал Абдикаликов.

Критически важные системы, в число которых войдут многие ресурсы квазигосударственного сектора, будут обязаны либо заключать договоры на оказание возмездных услуг с казахстанскими аналогами Security Operations Center – Оперативными центрами информационной безопасности, либо создавать такие центры внутри своей структуры. При этом государство рассчитывает на то, что эти центры будут самостоятельными хозяйствующими субъектами, не привязанными к той или иной крупной компании: тогда эти структуры будут заинтересованы в постоянном совершенствовании и масштабировании своих услуг.

«Их основные задачи – осуществлять мониторинг, помогать избегать угроз, защищать объекты, с которыми у них есть непосредственно договор и, что самое важное, передавать информацию вышестоящей организации – в Национальный координационный центр. Соответственно, вот эти центры и будут основным подспорьем всего нашего бизнеса, который будет на них опираться. Их количество мы никак не лимитируем, мы считаем, что их должно быть максимально много, в зависимости от потребностей самого рынка и от готовности бизнеса вкладывать в это деньги», – подчеркнул Абдикаликов.

Информация от частных центров в национальный должна будет поступать в режиме онлайн и, если этот собирательный поток покажет головной структуре, что в Казахстане кибератакам подвергся не один и не два банка, а 10-15 финансовых учреждений, уполномоченный орган приступает к реализации антикризисного плана по преодолению угроз кибербезопасности. К слову, данный проект сейчас находится на рассмотрении правительства.

За «золотым периметром»

Простая схема, нарисованная регулятором: один координационный центр наверху и десятки (в перспективе) оперативных центров на местном уровне, вызвала много вопросов у участников рынка. Самый главный из них – насколько эта схема сможет обеспечить равный доступ всех к защите от киберугроз?

«Это же похоже на то, что вот в этой части города мы преступника будем отслеживать и наказывать, а кто живет на окраинах, те нанимайте сами охрану, – прокомментировал схему директор Центра анализа и расследования кибератак (ЦАРКА) Арман Абдрасилов. – Так тоже нельзя, должен быть механизм защиты тех, кто за золотым периметром находится», – заметил он.

Помимо этого, представитель руководства ЦАРКА подверг критике намерения регулятора сделать соответствие определенным требованиям информационной безопасности только госсистем и систем, определенных государством критически важными: получается, что ответственность за нарушение этих требований, распространится только на них. Владельцы остальных информационных систем могут безопасностью не заморачиваться, а примеры того, к чему может привести такой порядок вещей, по словам Абдрасилова, в Казахстане уже были.

«В прошлом году был нашумевший инцидент: взлом портала balans.kz, центральной тусовки бухгалтеров, и там украли и, как позже выяснилось, продавали на черном рынке учетные записи около 10 тысяч бухгалтеров, – напомнил директор ЦАРКА. – Чем закончилась история: наказание за ненадлежащее обеспечение безопасности составило в итоге штраф порядка 10 тысяч тенге. Это возвращает нас к вопросу – кого относить к критически важным структурам? Я понимаю, что магазин продуктов можно не регулировать, и пусть он несет риски сам, но если ты собираешь персональные данные, если ты большой почтовый сервис, будь добр соответствовать каким-то требованиям, которые регулятор должен выставить. И какая-то мера наказания должна быть – явно не 10 тысяч тенге. А тут данные утекли, их продавали, атакуют этих бухгалтеров или нет, не знаю, но вопрос забылся, а проблема осталась», – констатировал он.

В результате, считает эксперт, владельцы казахстанских инфосистем с большой неохотой будут соглашаться на статус критически важных ресурсов, к которым предъявляются повышенные требования по инфобезопасности. Поэтому, с точки зрения Абдрасилова, более правильным можно считать российский подход, когда регулятор не вступает с компанией в переговоры, а спускает ей сверху уведомление: «компания X, вы являетесь частью критически важной инфраструктуры и должны соответствовать требованиям, выставляемыми регулятором».

Правда, у таких уведомлений сверху есть другая сторона, о которой в ходе дискуссии на форуме рассказал эксперт по информационной безопасности Алексей Лукацкий.

«У нас в России такой указ сверху привел к тому, что любая сельская поликлиника является субъектом критической инфраструктуры, а также ломбарды и прочие мелкие предприятия, – заметил российский эксперт. По его мнению, в этой связи ему гораздо ближе позиция Руслана Абдикаликова, утверждающего, что регулятор не должен лезть в коммерческий сектор, потому что последний действует на свой страх и риск, это его головная боль, а регулятор должен выступать в роли скорее методолога, чем устанавливающего требования. «Другой вопрос, что стоимость услуг частного центра может оказаться недешевой для малой организации – и это проблема: у нас во всех отраслях сервисные компании стараются «стричь» с крупняка, а малые предприятия остаются при этих тарифах беззащитными, потому что у них нет денег, чтобы защититься», – добавил он.

Ободренный российской поддержкой зампред комитета по информационной безопасности пояснил, что для того министерство оборонной и аэрокосмической промышленности и хочет выводить оперативные Security Operations Center в рынок, отделяя их от нацкомпаний, чтобы их тарифы были посильными для всех. И, поскольку количество таких компаний на рынке государство ограничивать не намерено ничем, кроме естественных производственных требований к ним, регулятор рассчитывает на снижение тарифов благодаря повышенному предложению на этом рынке.

Хакеров забреют в киберрекруты

А вот в чем регулятор и ЦАРКА полностью сошлись, так это в том, что к обеспечению информационной безопасности нужно активно привлекать тех, кто формально ей угрожает: людей, способных выявлять бреши и уязвимости информационных систем. Тех, кого в просторечии называют хакерами. Как заявил г-н Абдикаликов, государство готово пойти на лицензирование таких спецов с тем, чтобы они «взломы» осуществляли вполне санкционированно, с целью выявления слабых мест, а не личного обогащения.

«Есть молодые ребята, которым интересно заниматься исследованиями в этой сфере, просканировать какой-то ресурс, выявить его уязвимость. Но по текущему законодательству это очень тонкая грань, когда можно подпасть под Уголовный кодекс, под 205 статью («Неправомерный доступ к информации». – «Къ») и сесть за это. Чтобы не отбить охоту у них этим заниматься, а наоборот, дать возможность им заниматься этим легально, мы и предусмотрели возможность лицензирования», – пояснил г-н Абдикаликов.

Лицензировать казахстанских хакеров при этом собираются не где-нибудь, а в КНБ – поскольку, по словам зампреда комитета по инфобезопасности, это «люди специфичные, как товар двойного назначения: с одной стороны – они могут принести пользу, с другой – нет гарантий, что они по чьему-нибудь заказу не сделают что-нибудь противоправное».

«Мы таких людей должны знать и понимать, что они делают, и дать им возможность легально заработать. И это больше надо не нам, регулятору, а правоохранительным и специальным органам. Это так же экспертный пул, который они могут привлекать потом при расследовании высокотехнологичных правонарушений. Вот для этого мы и хотели вывести этих людей в правовое поле», – заключил г-н Абдикаликов.

А директор ЦАРКА признался, что именно его структура была инициатором этой нормы.

«Под Робингудами подразумевались, видимо, мы, ЦАРКА, и наши публикации в соцсетях, – пояснил г-н Абдрасилов. – Но мы сейчас просто загнаны в угол, потому что имеется порочный круг: мы часто пишем об уязвимости нашего любимого электронного правительства, но так и не смогли достучаться до владельца этого ресурса – НИТ «Зерде», который формально проводит аудит. И люди, которые видят, что уязвимости есть, а формально их нет, потому что есть замечательный отчет, оказываются в ситуации из сказки, где все видят, что король голый, но сказать об этом вслух – значит нарушить закон».

Лицензировать «кибер-разбойников», по словам Абдрасилова, начнут с конца года, после введения в эксплуатацию Национального координационного центра.

632 просмотра

Алматинский и актюбинский технадзор вытесняет из Уральска местные фирмы

Они не могут конкурировать с ними в госзакупках

Фото: Silentalex88

Причиной тому стали изменения в законодательстве: в конкурсах на оказание услуг в сфере строительства по ЗКО побеждают лишь актюбинские или алматинские фирмы, у которых суммы налоговых отчислений в бюджет много выше, чем у местных технадзорных компаний. 

Всего в ЗКО около 20 фирм, оказывающих услуги технического надзора при строительстве зданий, сооружений и автомобильных дорог. С начала 2019 года в условиях конкурсов на проведение государственных закупок определяющим показателем была внесена сумма уплаченных предприятием налогов за последние четыре года. И уральские фирмы-технадзоры перестали побеждать в тендерах. Победителями конкурсов на оказание услуг технадзора при строительстве государственных объектов в ЗКО стали иногородние фирмы – ТОО «Дирекция строящихся предприятий «Стройинтеграция» (Алматы), ТОО «Актаустройэксперт» (Нур-Султан), ТОО «Инженерное бюро NURTAU» (Актобе), ТОО «Актобестройэксперт» (Актобе), ТОО «DS&V» (Костанай).

Выиграли много, а спецов мало?

В октябре 2019 года пять инжиниринговых компаний Уральска – ТОО «Сана Маркет», ТОО «АНТинжсервис», ТОО «Сектор строительных услуг «Сенiмдi сапа», ТОО «БатысСапа Инжиниринг», ТОО «КИУС» – написали заявление в управление государственного архитектурно-строительного контроля ЗКО. Они попросили ведомство провести проверку соответствия качества услуг по техническому надзору за строительными объектами в области. 

Причиной проверки, с точки зрения местных предпринимателей, может служить тот факт, что неместные фирмы выиграли огромное количество лотов на технадзор при строительстве 14 многоэтажных домов, 4 водопроводов, 67 одноэтажных домов, 3 школ, 6 дорог. Учитывая разбросанность объектов по области, у местных фирм возник вопрос: сумеют ли победители качественно выполнить взятые на себя обязательства? 

Не получив из ГАСКа ответа, в ноябре 2019 года бизнесмены обратились в Палату предпринимателей ЗКО, где помимо вопросов качества услуг затронули и больной для инжиниринговых компаний области вопрос – близкое к банкротству финансовое положение. 

Руководитель ТОО «КИУС» Мурат Бахишев – именно он и стал инициатором написания тревожных писем в ГАСК и ПП – объяснил «Курсиву», что его предприятие работает с 2007 года, и при участии ТОО «КИУС» в ЗКО были построены десятки социальных объектов, много­этажных домов, автодорог.

«Во многих договорах на наши услуги прописано, что представители фирмы-технадзора должны постоянно находиться на строительном объекте. При возведении многоэтажного дома или, к примеру, строительстве автодороги там должны работать до шести специалистов технадзора. У нас вызывает большое сомнение, как фирмы из Алматы или Актобе, выигравшие не один десяток тендеров по стране, смогут обеспечить при строительстве объектов должное количество специалистов», – рассуждает Мурат Бахишев.

По его словам, уже сейчас иногородние компании переманивают к себе на работу сотрудников местных фирм. 

Аналогичного мнения придерживается и руководитель фирмы-технадзора ТОО «АНТинж­сервис» Нурлан Мурзагалиев. Он считает, что сложившаяся ситуация с технадзором в ЗКО породит лишь одно: отсутствие надлежащего контроля со стороны госорганов, поскольку фирмы-технадзоры нанимает именно государство в лице областных управлений строительства. В итоге может пострадать качество строительных работ. 

Узкая направленность – путь к разорению

Относительно нового условия участия в тендере – отнесения в зачет участника конкурса суммы уплаченных налогов за последние четыре года – оба руководителя инжиниринговых компаний считают, что именно оно выбило из участия в госзакупках всех уральских технадзоров. 

«Уральские инжиниринговые фирмы заняты только в сфере технадзора за строительством. В то время как алматинские или актюбинские фирмы – победители большинства конкурсов – выполняют весь комплекс строительных работ – от проектирования до строительно-монтажных работ плюс технический и авторский надзор за строительством», – говорит  Нурлан Мурзагалиев.  

Сейчас, по его словам, «АНТинж­сервис» переживает нелегкие времена: из фирмы уже ушли два специалиста, осталось пятеро. Платить зарплату людям нечем. Из госзаказа у ТОО остался лишь проект по газоснабжению сел Казталовского района ЗКО. В конце декабря «АНТинж­сервис» завершит проект, и фирма сократит свой штат еще на три специалиста.

Аналогичная ситуация у большинства инжиниринговых компаний Уральска. В ТОО «КИУС» из 11 специалистов сейчас работают шесть. Люди уходят, потому что нет тендеров, соответственно, нет и достойной зарплаты. 

«Сейчас мы даже не заглядываем на портал госзакупок – шансов выиграть тендеры на технадзор у нас нет никаких. У меня осталось несколько проектов прошлых лет: спортивная школа-интернат в поселке Деркул и пристройка к зданию ДКНБ. К середине лета 2020 года мы их завершим и пойдем ко дну», – констатирует Мурат Бахишев.

Главы уральских инжиниринговых фирм отмечают, что новые нормы закона о госзакупках, по сути, монополизируют рынок услуг технадзора в сфере строительства. И даже если правила госзакупок будут изменяться в перспективе, не исключено, что к тому времени инжиниринговые фирмы Уральска уже разорятся.

Выше закона не прыгнешь 

Руководитель управления госзакупок по ЗКО Бибигуль Ниеткалиева сообщила «Курсиву», что с начала 2019 года они провели 29 конкурсов на услуги технадзора. Один из них выиграла местная фирма – ТОО «Жана консалтинг Ltd», в других победили иногородние инжиниринговые компании. Средняя сумма одного лота по технадзору, по словам г-жи Ниеткалиевой, – 10 млн тенге. 

«Раньше технадзоры, чтобы выиграть конкурс, могли демпинговать, предлагать цену услуг ниже заявленной в тендере на 40-50%. Теперь, во избежание получения некачественных услуг, внесена норма, предписывающая участникам тендеров не допускать понижения цены ниже 15%», – пояснила Бибигуль Ниеткалиева.

То, что местные фирмы из-за меньших сумм налоговых отчислений оказались аутсайдерами тендеров на услуги технадзоров, изменить в управлении госзакупок не в силах.  

Председатель совета по защите прав предпринимателей ПП ЗКО Хайдар Капанов считает, что в этой ситуации побороться все-таки стоит. На местном уровне, как подчеркивает г-н Капанов, такие вопросы не решаются. Поэтому обращение инжиниринговых компаний Уральска они перенаправили в РПП «Атамекен». 

«Наша резолюция – из законодательства нужно убирать норму о включении суммы уплаты налогов за четыре года в список ключевых при участии бизнеса в тендерах на госзакупки в сфере строительства. О какой поддержке малого и среднего бизнеса со стороны государства может идти речь, если такими поправками в законодательстве мы душим МСБ на корню?» – заключил Хайдар Капанов.
 

Биржевой навигатор от Freedom Finance

Биржевой навигатор от Freedom Finance

Читайте нас в TELEGRAM | https://t.me/kursivkz

 

kursiv_akulyata.gif

 

Спецпроекты

Рейтинг прозрачности крупнейших компаний Казахстана

Рейтинг прозрачности крупнейших компаний Казахстана

Биржевой навигатор от Freedom Finance

Биржевой навигатор от Freedom Finance


KAZATOMPROM - IPO уранового гиганта
Новый Курс - все о мире инвестиций

Банк Хоум Кредит

Home Credit Bank

Вы - главная инвест-идея

Home Credit Bank


Новый Курс - все о мире инвестиций
Новый Курс - все о мире инвестиций