Перейти к основному содержанию

kursiv_in_telegram.JPG


8530 просмотров

«Киберщит Казахстана» - защита не для всех

Эксперты, опрошенные «Къ», отмечают, что в госпрограмме «Киберщит Казахстана» красной нитью проходит одна мысль: государство никого, кроме себя защищать не должно

«Киберщит Казахстана» - защита не для всех

«Киберщит Казахстана» - защита не для всех

Госпрограмма «Киберщит Казахстана», предполагающая обеспечение информационной безопасности электронных ресурсов республики, напрямую будет защищать от кибератак только государственные системы. При этом для квазигосударственного и частного сектора будет создана конкурентная среда. Система должна заработать к концу текущего года, когда в стране будет запущен Национальный координационный центр информационной безопасности.

Новая парадигма защиты информационных ресурсов от киберугроз была представлена в ходе SOC (Security Operations Center) Forum «Практика противодействия кибератакам и построения центров мониторинга» в Астане. По словам заместителя председателя комитета по информационной безопасности министерства оборонной и аэрокосмической промышленности Казахстана Руслана Абдикаликова, государство с прошлого года старается «построить некую модель взаимодействия информационной безопасности с традиционным IT». Модель выстроилась быстро и легла в основу госпрограммы «Киберщит Казахстана», где красной нитью проходит одна мысль: государство в лице уполномоченного органа (в данном случае министерства оборонной и аэрокосмической промышленности) никого, кроме себя и своих информационных систем, защищать не должно, непосредственной защитой своих ресурсов должен заниматься собственник. При этом регулятор создает правила игры и условия, при которых на рынке появляется предложение такой защиты для частника и квазигосударственных структур. Которые тоже не попадут под финансируемый из бюджета «Киберщит», однако обязаны будут отвечать единым техническим требованиям информационной безопасности.

«Мы выбрали такую схему: в стране будет построен Национальный координационный центр по информационной безопасности, его построением занимается РГП «Государственная техническая служба» при КНБ. Мы ожидаем, что эта работа завершится к концу текущего года, соответственно, когда мы построим Национальный координационный центр, появится возможность мониторить госсистемы. Стоит вопрос – как быть с системами, которые находятся в квазигосударственном секторе, и с теми частными системами, которые станут критически важными в нашей стране?», – сказал Абдикаликов.

Критически важные системы, в число которых войдут многие ресурсы квазигосударственного сектора, будут обязаны либо заключать договоры на оказание возмездных услуг с казахстанскими аналогами Security Operations Center – Оперативными центрами информационной безопасности, либо создавать такие центры внутри своей структуры. При этом государство рассчитывает на то, что эти центры будут самостоятельными хозяйствующими субъектами, не привязанными к той или иной крупной компании: тогда эти структуры будут заинтересованы в постоянном совершенствовании и масштабировании своих услуг.

«Их основные задачи – осуществлять мониторинг, помогать избегать угроз, защищать объекты, с которыми у них есть непосредственно договор и, что самое важное, передавать информацию вышестоящей организации – в Национальный координационный центр. Соответственно, вот эти центры и будут основным подспорьем всего нашего бизнеса, который будет на них опираться. Их количество мы никак не лимитируем, мы считаем, что их должно быть максимально много, в зависимости от потребностей самого рынка и от готовности бизнеса вкладывать в это деньги», – подчеркнул Абдикаликов.

Информация от частных центров в национальный должна будет поступать в режиме онлайн и, если этот собирательный поток покажет головной структуре, что в Казахстане кибератакам подвергся не один и не два банка, а 10-15 финансовых учреждений, уполномоченный орган приступает к реализации антикризисного плана по преодолению угроз кибербезопасности. К слову, данный проект сейчас находится на рассмотрении правительства.

За «золотым периметром»

Простая схема, нарисованная регулятором: один координационный центр наверху и десятки (в перспективе) оперативных центров на местном уровне, вызвала много вопросов у участников рынка. Самый главный из них – насколько эта схема сможет обеспечить равный доступ всех к защите от киберугроз?

«Это же похоже на то, что вот в этой части города мы преступника будем отслеживать и наказывать, а кто живет на окраинах, те нанимайте сами охрану, – прокомментировал схему директор Центра анализа и расследования кибератак (ЦАРКА) Арман Абдрасилов. – Так тоже нельзя, должен быть механизм защиты тех, кто за золотым периметром находится», – заметил он.

Помимо этого, представитель руководства ЦАРКА подверг критике намерения регулятора сделать соответствие определенным требованиям информационной безопасности только госсистем и систем, определенных государством критически важными: получается, что ответственность за нарушение этих требований, распространится только на них. Владельцы остальных информационных систем могут безопасностью не заморачиваться, а примеры того, к чему может привести такой порядок вещей, по словам Абдрасилова, в Казахстане уже были.

«В прошлом году был нашумевший инцидент: взлом портала balans.kz, центральной тусовки бухгалтеров, и там украли и, как позже выяснилось, продавали на черном рынке учетные записи около 10 тысяч бухгалтеров, – напомнил директор ЦАРКА. – Чем закончилась история: наказание за ненадлежащее обеспечение безопасности составило в итоге штраф порядка 10 тысяч тенге. Это возвращает нас к вопросу – кого относить к критически важным структурам? Я понимаю, что магазин продуктов можно не регулировать, и пусть он несет риски сам, но если ты собираешь персональные данные, если ты большой почтовый сервис, будь добр соответствовать каким-то требованиям, которые регулятор должен выставить. И какая-то мера наказания должна быть – явно не 10 тысяч тенге. А тут данные утекли, их продавали, атакуют этих бухгалтеров или нет, не знаю, но вопрос забылся, а проблема осталась», – констатировал он.

В результате, считает эксперт, владельцы казахстанских инфосистем с большой неохотой будут соглашаться на статус критически важных ресурсов, к которым предъявляются повышенные требования по инфобезопасности. Поэтому, с точки зрения Абдрасилова, более правильным можно считать российский подход, когда регулятор не вступает с компанией в переговоры, а спускает ей сверху уведомление: «компания X, вы являетесь частью критически важной инфраструктуры и должны соответствовать требованиям, выставляемыми регулятором».

Правда, у таких уведомлений сверху есть другая сторона, о которой в ходе дискуссии на форуме рассказал эксперт по информационной безопасности Алексей Лукацкий.

«У нас в России такой указ сверху привел к тому, что любая сельская поликлиника является субъектом критической инфраструктуры, а также ломбарды и прочие мелкие предприятия, – заметил российский эксперт. По его мнению, в этой связи ему гораздо ближе позиция Руслана Абдикаликова, утверждающего, что регулятор не должен лезть в коммерческий сектор, потому что последний действует на свой страх и риск, это его головная боль, а регулятор должен выступать в роли скорее методолога, чем устанавливающего требования. «Другой вопрос, что стоимость услуг частного центра может оказаться недешевой для малой организации – и это проблема: у нас во всех отраслях сервисные компании стараются «стричь» с крупняка, а малые предприятия остаются при этих тарифах беззащитными, потому что у них нет денег, чтобы защититься», – добавил он.

Ободренный российской поддержкой зампред комитета по информационной безопасности пояснил, что для того министерство оборонной и аэрокосмической промышленности и хочет выводить оперативные Security Operations Center в рынок, отделяя их от нацкомпаний, чтобы их тарифы были посильными для всех. И, поскольку количество таких компаний на рынке государство ограничивать не намерено ничем, кроме естественных производственных требований к ним, регулятор рассчитывает на снижение тарифов благодаря повышенному предложению на этом рынке.

Хакеров забреют в киберрекруты

А вот в чем регулятор и ЦАРКА полностью сошлись, так это в том, что к обеспечению информационной безопасности нужно активно привлекать тех, кто формально ей угрожает: людей, способных выявлять бреши и уязвимости информационных систем. Тех, кого в просторечии называют хакерами. Как заявил г-н Абдикаликов, государство готово пойти на лицензирование таких спецов с тем, чтобы они «взломы» осуществляли вполне санкционированно, с целью выявления слабых мест, а не личного обогащения.

«Есть молодые ребята, которым интересно заниматься исследованиями в этой сфере, просканировать какой-то ресурс, выявить его уязвимость. Но по текущему законодательству это очень тонкая грань, когда можно подпасть под Уголовный кодекс, под 205 статью («Неправомерный доступ к информации». – «Къ») и сесть за это. Чтобы не отбить охоту у них этим заниматься, а наоборот, дать возможность им заниматься этим легально, мы и предусмотрели возможность лицензирования», – пояснил г-н Абдикаликов.

Лицензировать казахстанских хакеров при этом собираются не где-нибудь, а в КНБ – поскольку, по словам зампреда комитета по инфобезопасности, это «люди специфичные, как товар двойного назначения: с одной стороны – они могут принести пользу, с другой – нет гарантий, что они по чьему-нибудь заказу не сделают что-нибудь противоправное».

«Мы таких людей должны знать и понимать, что они делают, и дать им возможность легально заработать. И это больше надо не нам, регулятору, а правоохранительным и специальным органам. Это так же экспертный пул, который они могут привлекать потом при расследовании высокотехнологичных правонарушений. Вот для этого мы и хотели вывести этих людей в правовое поле», – заключил г-н Абдикаликов.

А директор ЦАРКА признался, что именно его структура была инициатором этой нормы.

«Под Робингудами подразумевались, видимо, мы, ЦАРКА, и наши публикации в соцсетях, – пояснил г-н Абдрасилов. – Но мы сейчас просто загнаны в угол, потому что имеется порочный круг: мы часто пишем об уязвимости нашего любимого электронного правительства, но так и не смогли достучаться до владельца этого ресурса – НИТ «Зерде», который формально проводит аудит. И люди, которые видят, что уязвимости есть, а формально их нет, потому что есть замечательный отчет, оказываются в ситуации из сказки, где все видят, что король голый, но сказать об этом вслух – значит нарушить закон».

Лицензировать «кибер-разбойников», по словам Абдрасилова, начнут с конца года, после введения в эксплуатацию Национального координационного центра.


1289 просмотров

Как Украина собирается восстанавливать экспорт в Центральную Азию

Дорога в обход соседней РФ пока еще довольно дорогая

Фото: Shutterstock.com

Пока украинский бизнес ищет, как сократить издержки при транспортировке своих товаров в Центральную Азию в обход России, Казахстан предлагает Киеву создание совместных предприятий, продукция которых пойдет не только на азиатские рынки, но и на рынок ЕАЭС.

Ограничения на транзит украинской продукции в Центральную Азию, которые Россия ввела в 2016 году, сильно ударили по Киеву.  Например, если в 2013 году торговый оборот Украины со странами Центральной Азии составлял $13 млрд и $4,5 млрд приходилось на Казахстан, то в 2018 году товарооборот с РК просел до $1 млрд – такую цифру приводит посол Украины в Казахстане Иван Кулеба.

У казахстанского диппредставительства в Украине другая статистика: по данным советника посольства РК в Украине Арнура Танбая, торгового дна страны достигли в 2016 году, когда товарооборот упал до $1,3 млрд. В 2018 году был зафиксирован рост до $1,5 млрд, в первом полугодии 2019-го товарооборот подрос еще на 8,4%. При этом структура взаимной торговли разбалансирована – казахстанский экспорт растет на фоне падения украинского импорта.

Скидки на альтернативном пути

Альтернативный вариант поставок украинской продукции в Центральную Азию – маршрут ТРАСЕКА через Черное море, Грузию, Азербайджан и Каспий. Этот маршрут Киев пытался задействовать в 2016 году. Пробные партии контейнерных перевозок в Китай продемонстрировали недостатки маршрута: продекларированный срок в 14 дней при переправе паромами выдерживается не всегда, а средняя стоимость перевозки дороже транзита через РФ на 30-40%.

Если погодные условия – фактор нерегулируемый, то ценовой – вполне. «На ТРАСЕКА сейчас есть хорошие результаты: на участке от Достыка до Батуми снижены тарифы на 23%, в прошлом году украинские железные дороги стали полноценным членом организации, и теперь эта скидка распространяется и на нее, но маршрут сложный», – констатирует Танбай. Еще увеличить скидки на ТРАСЕКА украинская сторона собирается за счет повышения гарантированных объемов провоза по этому маршруту. Формировать эти потоки должен торговый дом «Украина – Азия», который создается как раз на территории РК. 

«Мы должны консолидировать товарные потоки, тогда можно рассчитывать на значительные скидки. Да, этот путь дороже, но это смотря какие масштабы направлять по этому направлению, и идея нового торгового дома заключается в том, чтобы собрать этот объем», – комментирует вице-президент Торгово-промышленной палаты Украины Сергей Свистиль.

Почему СП выгоднее торговли

Еще одна задача торгового дома «Украина – Азия» – помощь бизнесу в сертификации продукции. Казахстан и Украина расходятся в плане технического регулирования: первый вовлекается в работу ЕАЭС, вторая двигается в сторону соответствия требованиям Европейского союза. 

985165948.jpg

Проблему сертификации и транзита можно решить за счет создания совместных предприятий двух стран на территории друг друга – это предложение депутата мажилиса парламента РК Юрия Тимощенко. «В Казахстане на первый план выводится развертывание производственных мощностей, у Украины есть технические умы и производство, но ее промышленная продукция в Европе сегодня не нужна, зато она нужна нам, – говорит Тимощенко. – У нас есть преференции на производство, на локализацию идут деньги, и если украинский бизнес локализуется здесь, то его продукция сможет пойти и на север, и на восток, и на юг».

Судя по данным Арнура Танбая, рост СП уже идет: если в 2016 году на территории Казахстана действовало 600 казахстанско-украинских СП, то теперь их число перевалило за тысячу. «Создание СП на территории Казахстана дает Украине выход на рынки Китая, Ирана, Центральной Азии и ЕАЭС, но я бы обратил внимание казахстанских предпринимателей на то, что надо создавать СП и там, потому что есть ассоциированное соглашение с ЕС, которое дает нам хорошие возможности для выхода в Европу; наши производители органической продукции используют уже эти возможности, надо их расширять», – говорит Танбай.

При этом украинскому бизнесу вовсе необязательно передислоцировать в Казахстан свою производственную базу, он может зарабатывать и услугами инжиниринга, как это уже делает украинское проектно-дизайнерское бюро ООО «ПроЛайн». «Мы имеем опыт сотрудничества в строительстве высокотехнологичного служебного судна для Казахстана «Байтерек», которое получило признание регистрационных органов Казахстана и России; мы планировали всю работу с казахстанскими поставщиком и производителем, – рассказывает директор компании Леонид Дубров. «ПроЛайн» уже получил предложение от «Казахстан Инжиниринг» по дальнейшему сотрудничеству на Каспии.

Рейтинг прозрачности крупнейших компаний Казахстана

Читайте нас в TELEGRAM | https://t.me/kursivkz

Вопрос дня

Архив опросов

Как вы провели или планируете провести отпуск этим летом?

Варианты

b2-uchet_kursiv.png

 

Цифра дня

1,6 млрд
тенге
задолжали казахстанские работодатели своим работникам

Цитата дня

Порой некоторые лозунги и призывы выглядят крайне привлекательными, но их авторы не несут ответственности перед страной. Реформы ради реформ - это верный путь к кризису и потери управляемости государством. Уверен, никто из нас этого не желает. Развитие должно быть последовательным, поступательным, без забегания вперед, но и без отставания.

Касым-Жомарт Токаев
президент Республики Казахстан

Спецпроекты

Рейтинг прозрачности крупнейших компаний Казахстана

Рейтинг прозрачности крупнейших компаний Казахстана

Биржевой навигатор от Freedom Finance

Биржевой навигатор от Freedom Finance


KAZATOMPROM - IPO уранового гиганта
Новый Курс - все о мире инвестиций

Банк Хоум Кредит

Home Credit Bank


Новый Курс - все о мире инвестиций
Новый Курс - все о мире инвестиций