Перейти к основному содержанию

818 просмотров

Вендоры просят отменить требования по раскрытию кодов своей продукции в Казахстане

Эта проблема вскрылась в ходе форума Security Operations Center

Фото: Shutterstock.com

Отечественные и иностранные производители софта в области безопасности готовы отказаться от присутствия в реестре доверенной IT-продукции, если требование МЦРОАП РК по раскрытию исходных кодов софта не будет отменено.

Проблема с кодами всплыла в ходе форума SOC (Security Operations Center), на котором зампредседателя Комитета по информационной безопасности МЦРОАП РК Руслан Абдикаликов рассказывал о преимуществах выстраиваемой в Казахстане архитектуры безопасности в сравнении с российским аналогом. В России, напомним, существуют достаточно жесткие ограничения относительно иностранного софта, и связаны они не столько с мерами безопасности, сколько с программой импортозамещения, которая в свете западных санкций получила дополнительный импульс развития.

В Казахстане же, по утверждению спикера, более либеральный подход к иностранному присутствию на рынке информационной безопасности по очевидной причине: SOC-велосипед, на котором давно ездит весь мир, изобретать дорого и бессмысленно.

«Казахстан с населением в 18 миллионов человек не может самоизолироваться, для нас это будет просто смертельно, – заявил Абдикаликов. – Соответственно, мы выстраиваем достаточно гибкую модель, которая реализуется путем создания реестра доверенной продукции программного обеспечения и электронной промышленности. В этот реестр может зайти любой иностранный вендор, но компания должна пройти сертификацию, она должна быть локальной, то есть мы видим развитие рынка в том, чтобы не просто купить готовый продукт, а локализовать в стране», – добавил он.

В качестве примера Абдикаликов привел российскую компанию Positive Technologies, которая открыла свое представительство в РК и получила все необходимые права интеллектуальной собственности для работы на территории республики.

Что смущает и чужих, и своих

Либеральность условий входа на SOC-рынок Казахстана ставят под сомнение вендоры, причем как иностранные, так и отечественные. Присутствие в реестре требует открыть исходные коды продуктов, но выполнить это требование они не могут.

«Мы, как американская компания, не сможем поучаствовать в этой программе, потому что в Штатах есть закон, запрещающий американским компаниям открывать коды от продуктов безопасности и некоторых других видов интеллектуальной собственности каким бы то ни было третьим странам, – заявил территориальный менеджер по СНГ компании McAfee Руслан Барбашин. – Поэтому в данном случае мы будем присутствовать на рынке Казахстана большей частью в коммерческом секторе, а с таким решением многие американские производители просто не попадут в этот реестр и не будут представлены, к примеру, в госорганах Казахстана».

Требование по открытию исходных кодов выводит компании в реестре на четвертый уровень доверия, позволяющий работать с инфосистемами не только государственных органов, но и КВОИКов – критически важных объектов информационно-коммуникационной инфраструктуры республики. По итогам 2018 года в РК насчитали 219 КВОИКов, а до конца текущего года в этот статус собираются возвести еще 130 объектов информационной экосистемы Казахстана.

Любопытно, что список КВОИКов, по признанию Абдикаликова, предназначен только для служебного пользования и не подлежит обнародованию, и это логично: к чему облегчать хакерам задачу, публично признавая стратегическую важность объекта. С другой стороны, ежегодное расширение перечня КВОИКов сужает рынок для компаний, которые не попадают в реестр. И среди этих компаний будут не только американские, но и казахстанские производители «защитного» софта.

«Мы – отечественный производитель, и тоже пока не в реестре, поскольку передача исходного кода для анализа – это, честно говоря, очень нежелательный шаг для серьезного продукта, – сказал директор казахстанского ТОО T&TSecurity Арнур Тохтабаев. – Дело в том, что мы собираемся выходить на внешние рынки и искать инвестора снаружи. Но любой из них, когда скажешь, что ты передал кому-то исходный код, просто не станет с тобой работать». Тохтабаев предлагает действительно «локальным» – то есть тем, кто появился и развивается именно в Казахстане – производителям давать доступ четвертого уровня автоматически, без раскрытия исходных кодов их продукции.

Выбор системы SOC – дело добровольное

В Казахстане сейчас только 49% организаций, у которых есть IT-системы, имеют и систему управления информационной безопасности, хотя интерес к вопросу растет.

«Все больше частных компаний хотят строить свою систему безопасности, – говорит исполнительный директор ТОО «ПАЦИФИКА» Павел Гениевский. – Сейчас каждый выбирает свою модель, к нам и кредитные организации обращаются, и квазигосударственный сектор. Они пока прощупывают, что им выгоднее – подключиться к существующему центру или строить собственную архитектуру. Поскольку со стороны министерства уже есть определенные требования к КВОИКам, это подтолкнет рынок к выстраиванию своих систем инфобезопасности».

Министерство цифрового развития уже определило порядка 4,2 тыс. субъектов в стране, на которые в обязательном порядке будут распространены требования по информационной безопасности. В это количество входят и госорганы, и уже упомянутые КВОИКи, и некоторое число частных компаний, которые обяжут к введению SOC-среды. С учетом того, что, по данным министерства, интернет в своей повседневной деятельности использует порядка 80 тыс. хозсубъектов и организаций страны, обязаловка пока касается только двадцатой части рынка.

Подпадающие под обязательные требования компании и госучреждения вправе выбрать: строить им собственный центр инфобезопасности или обращаться к уже существующим структурам. По словам Абдикаликова, в стране сейчас имеется национальный центр информационной безопасности, который занимается сбором и анализом всей информации в этой сфере, а также включается в обеспечение инфобезопасности в случае глобальной угрозы. Под национальным центром информационной безопасности располагаются два оперативных центра SOC (Security Operations Center), которые должны реагировать на проявления угроз кибербезопасности в каждой отдельной структуре – государственной или частной. До конца года таких центров в стране должно стать уже пять, и тогда у компаний появится выбор: создавать собственную защитную инфосистему или заключить договор с одним из этих центров. Правда, экспертное мнение по поводу подготовки сотрудников таких центров пока не слишком высоко.

«Есть требование, что члены компании должны иметь какой-то международный сертификат, например OSCP-сертификат (Offensive Security Certified Professional. – «Курсив»), – говорит Тохтабаев. – Да, это хороший сертификат, но есть одна маленькая проблема. При сертификации не контролируется, кто сдает задание. По сути, можно очень легко получить липовый сертификат. В Казахстане в последнее время произошел резкий наплыв этих сертификатов. Сомневаемся, что все сдали сами, скорее всего, за них кто-то другой это сделал. Сейчас организаторы поставили веб-камеру при сдаче теста, но к одному компьютеру можно подключить две клавиатуры, две мышки, и сдающий будет имитировать деятельность, а по сути, работу за него будет делать другой человек».

Избежать мошенничества при получении сертификатов Тохтабаев предлагает простым способом: признавать подлинность OSCP-сертификата только за теми специалистами, кто побеждает в турнирах, проводимых на конференциях хакеров.

Министерство цифрового развития эту инициативу пока никак не прокомментировало, хотя Абдикаликов и признал, что 674 образовательных гранта, выделенных со стороны государства для подготовки специалистов в области инфобезопасности в прошлом году и 19 стипендий по международной программе «Болашак», явно недостаточно для выстраиваемой в стране отрасли.

618 просмотров

Алматинский и актюбинский технадзор вытесняет из Уральска местные фирмы

Они не могут конкурировать с ними в госзакупках

Фото: Silentalex88

Причиной тому стали изменения в законодательстве: в конкурсах на оказание услуг в сфере строительства по ЗКО побеждают лишь актюбинские или алматинские фирмы, у которых суммы налоговых отчислений в бюджет много выше, чем у местных технадзорных компаний. 

Всего в ЗКО около 20 фирм, оказывающих услуги технического надзора при строительстве зданий, сооружений и автомобильных дорог. С начала 2019 года в условиях конкурсов на проведение государственных закупок определяющим показателем была внесена сумма уплаченных предприятием налогов за последние четыре года. И уральские фирмы-технадзоры перестали побеждать в тендерах. Победителями конкурсов на оказание услуг технадзора при строительстве государственных объектов в ЗКО стали иногородние фирмы – ТОО «Дирекция строящихся предприятий «Стройинтеграция» (Алматы), ТОО «Актаустройэксперт» (Нур-Султан), ТОО «Инженерное бюро NURTAU» (Актобе), ТОО «Актобестройэксперт» (Актобе), ТОО «DS&V» (Костанай).

Выиграли много, а спецов мало?

В октябре 2019 года пять инжиниринговых компаний Уральска – ТОО «Сана Маркет», ТОО «АНТинжсервис», ТОО «Сектор строительных услуг «Сенiмдi сапа», ТОО «БатысСапа Инжиниринг», ТОО «КИУС» – написали заявление в управление государственного архитектурно-строительного контроля ЗКО. Они попросили ведомство провести проверку соответствия качества услуг по техническому надзору за строительными объектами в области. 

Причиной проверки, с точки зрения местных предпринимателей, может служить тот факт, что неместные фирмы выиграли огромное количество лотов на технадзор при строительстве 14 многоэтажных домов, 4 водопроводов, 67 одноэтажных домов, 3 школ, 6 дорог. Учитывая разбросанность объектов по области, у местных фирм возник вопрос: сумеют ли победители качественно выполнить взятые на себя обязательства? 

Не получив из ГАСКа ответа, в ноябре 2019 года бизнесмены обратились в Палату предпринимателей ЗКО, где помимо вопросов качества услуг затронули и больной для инжиниринговых компаний области вопрос – близкое к банкротству финансовое положение. 

Руководитель ТОО «КИУС» Мурат Бахишев – именно он и стал инициатором написания тревожных писем в ГАСК и ПП – объяснил «Курсиву», что его предприятие работает с 2007 года, и при участии ТОО «КИУС» в ЗКО были построены десятки социальных объектов, много­этажных домов, автодорог.

«Во многих договорах на наши услуги прописано, что представители фирмы-технадзора должны постоянно находиться на строительном объекте. При возведении многоэтажного дома или, к примеру, строительстве автодороги там должны работать до шести специалистов технадзора. У нас вызывает большое сомнение, как фирмы из Алматы или Актобе, выигравшие не один десяток тендеров по стране, смогут обеспечить при строительстве объектов должное количество специалистов», – рассуждает Мурат Бахишев.

По его словам, уже сейчас иногородние компании переманивают к себе на работу сотрудников местных фирм. 

Аналогичного мнения придерживается и руководитель фирмы-технадзора ТОО «АНТинж­сервис» Нурлан Мурзагалиев. Он считает, что сложившаяся ситуация с технадзором в ЗКО породит лишь одно: отсутствие надлежащего контроля со стороны госорганов, поскольку фирмы-технадзоры нанимает именно государство в лице областных управлений строительства. В итоге может пострадать качество строительных работ. 

Узкая направленность – путь к разорению

Относительно нового условия участия в тендере – отнесения в зачет участника конкурса суммы уплаченных налогов за последние четыре года – оба руководителя инжиниринговых компаний считают, что именно оно выбило из участия в госзакупках всех уральских технадзоров. 

«Уральские инжиниринговые фирмы заняты только в сфере технадзора за строительством. В то время как алматинские или актюбинские фирмы – победители большинства конкурсов – выполняют весь комплекс строительных работ – от проектирования до строительно-монтажных работ плюс технический и авторский надзор за строительством», – говорит  Нурлан Мурзагалиев.  

Сейчас, по его словам, «АНТинж­сервис» переживает нелегкие времена: из фирмы уже ушли два специалиста, осталось пятеро. Платить зарплату людям нечем. Из госзаказа у ТОО остался лишь проект по газоснабжению сел Казталовского района ЗКО. В конце декабря «АНТинж­сервис» завершит проект, и фирма сократит свой штат еще на три специалиста.

Аналогичная ситуация у большинства инжиниринговых компаний Уральска. В ТОО «КИУС» из 11 специалистов сейчас работают шесть. Люди уходят, потому что нет тендеров, соответственно, нет и достойной зарплаты. 

«Сейчас мы даже не заглядываем на портал госзакупок – шансов выиграть тендеры на технадзор у нас нет никаких. У меня осталось несколько проектов прошлых лет: спортивная школа-интернат в поселке Деркул и пристройка к зданию ДКНБ. К середине лета 2020 года мы их завершим и пойдем ко дну», – констатирует Мурат Бахишев.

Главы уральских инжиниринговых фирм отмечают, что новые нормы закона о госзакупках, по сути, монополизируют рынок услуг технадзора в сфере строительства. И даже если правила госзакупок будут изменяться в перспективе, не исключено, что к тому времени инжиниринговые фирмы Уральска уже разорятся.

Выше закона не прыгнешь 

Руководитель управления госзакупок по ЗКО Бибигуль Ниеткалиева сообщила «Курсиву», что с начала 2019 года они провели 29 конкурсов на услуги технадзора. Один из них выиграла местная фирма – ТОО «Жана консалтинг Ltd», в других победили иногородние инжиниринговые компании. Средняя сумма одного лота по технадзору, по словам г-жи Ниеткалиевой, – 10 млн тенге. 

«Раньше технадзоры, чтобы выиграть конкурс, могли демпинговать, предлагать цену услуг ниже заявленной в тендере на 40-50%. Теперь, во избежание получения некачественных услуг, внесена норма, предписывающая участникам тендеров не допускать понижения цены ниже 15%», – пояснила Бибигуль Ниеткалиева.

То, что местные фирмы из-за меньших сумм налоговых отчислений оказались аутсайдерами тендеров на услуги технадзоров, изменить в управлении госзакупок не в силах.  

Председатель совета по защите прав предпринимателей ПП ЗКО Хайдар Капанов считает, что в этой ситуации побороться все-таки стоит. На местном уровне, как подчеркивает г-н Капанов, такие вопросы не решаются. Поэтому обращение инжиниринговых компаний Уральска они перенаправили в РПП «Атамекен». 

«Наша резолюция – из законодательства нужно убирать норму о включении суммы уплаты налогов за четыре года в список ключевых при участии бизнеса в тендерах на госзакупки в сфере строительства. О какой поддержке малого и среднего бизнеса со стороны государства может идти речь, если такими поправками в законодательстве мы душим МСБ на корню?» – заключил Хайдар Капанов.
 

Биржевой навигатор от Freedom Finance

Биржевой навигатор от Freedom Finance

Читайте нас в TELEGRAM | https://t.me/kursivkz

 

kursiv_akulyata.gif

 

Спецпроекты

Рейтинг прозрачности крупнейших компаний Казахстана

Рейтинг прозрачности крупнейших компаний Казахстана

Биржевой навигатор от Freedom Finance

Биржевой навигатор от Freedom Finance


KAZATOMPROM - IPO уранового гиганта
Новый Курс - все о мире инвестиций

Банк Хоум Кредит

Home Credit Bank

Вы - главная инвест-идея

Home Credit Bank


Новый Курс - все о мире инвестиций
Новый Курс - все о мире инвестиций