Перейти к основному содержанию


502 просмотра

Вендоры просят отменить требования по раскрытию кодов своей продукции в Казахстане

Эта проблема вскрылась в ходе форума Security Operations Center

Фото: Shutterstock.com

Отечественные и иностранные производители софта в области безопасности готовы отказаться от присутствия в реестре доверенной IT-продукции, если требование МЦРОАП РК по раскрытию исходных кодов софта не будет отменено.

Проблема с кодами всплыла в ходе форума SOC (Security Operations Center), на котором зампредседателя Комитета по информационной безопасности МЦРОАП РК Руслан Абдикаликов рассказывал о преимуществах выстраиваемой в Казахстане архитектуры безопасности в сравнении с российским аналогом. В России, напомним, существуют достаточно жесткие ограничения относительно иностранного софта, и связаны они не столько с мерами безопасности, сколько с программой импортозамещения, которая в свете западных санкций получила дополнительный импульс развития.

В Казахстане же, по утверждению спикера, более либеральный подход к иностранному присутствию на рынке информационной безопасности по очевидной причине: SOC-велосипед, на котором давно ездит весь мир, изобретать дорого и бессмысленно.

«Казахстан с населением в 18 миллионов человек не может самоизолироваться, для нас это будет просто смертельно, – заявил Абдикаликов. – Соответственно, мы выстраиваем достаточно гибкую модель, которая реализуется путем создания реестра доверенной продукции программного обеспечения и электронной промышленности. В этот реестр может зайти любой иностранный вендор, но компания должна пройти сертификацию, она должна быть локальной, то есть мы видим развитие рынка в том, чтобы не просто купить готовый продукт, а локализовать в стране», – добавил он.

В качестве примера Абдикаликов привел российскую компанию Positive Technologies, которая открыла свое представительство в РК и получила все необходимые права интеллектуальной собственности для работы на территории республики.

Что смущает и чужих, и своих

Либеральность условий входа на SOC-рынок Казахстана ставят под сомнение вендоры, причем как иностранные, так и отечественные. Присутствие в реестре требует открыть исходные коды продуктов, но выполнить это требование они не могут.

«Мы, как американская компания, не сможем поучаствовать в этой программе, потому что в Штатах есть закон, запрещающий американским компаниям открывать коды от продуктов безопасности и некоторых других видов интеллектуальной собственности каким бы то ни было третьим странам, – заявил территориальный менеджер по СНГ компании McAfee Руслан Барбашин. – Поэтому в данном случае мы будем присутствовать на рынке Казахстана большей частью в коммерческом секторе, а с таким решением многие американские производители просто не попадут в этот реестр и не будут представлены, к примеру, в госорганах Казахстана».

Требование по открытию исходных кодов выводит компании в реестре на четвертый уровень доверия, позволяющий работать с инфосистемами не только государственных органов, но и КВОИКов – критически важных объектов информационно-коммуникационной инфраструктуры республики. По итогам 2018 года в РК насчитали 219 КВОИКов, а до конца текущего года в этот статус собираются возвести еще 130 объектов информационной экосистемы Казахстана.

Любопытно, что список КВОИКов, по признанию Абдикаликова, предназначен только для служебного пользования и не подлежит обнародованию, и это логично: к чему облегчать хакерам задачу, публично признавая стратегическую важность объекта. С другой стороны, ежегодное расширение перечня КВОИКов сужает рынок для компаний, которые не попадают в реестр. И среди этих компаний будут не только американские, но и казахстанские производители «защитного» софта.

«Мы – отечественный производитель, и тоже пока не в реестре, поскольку передача исходного кода для анализа – это, честно говоря, очень нежелательный шаг для серьезного продукта, – сказал директор казахстанского ТОО T&TSecurity Арнур Тохтабаев. – Дело в том, что мы собираемся выходить на внешние рынки и искать инвестора снаружи. Но любой из них, когда скажешь, что ты передал кому-то исходный код, просто не станет с тобой работать». Тохтабаев предлагает действительно «локальным» – то есть тем, кто появился и развивается именно в Казахстане – производителям давать доступ четвертого уровня автоматически, без раскрытия исходных кодов их продукции.

Выбор системы SOC – дело добровольное

В Казахстане сейчас только 49% организаций, у которых есть IT-системы, имеют и систему управления информационной безопасности, хотя интерес к вопросу растет.

«Все больше частных компаний хотят строить свою систему безопасности, – говорит исполнительный директор ТОО «ПАЦИФИКА» Павел Гениевский. – Сейчас каждый выбирает свою модель, к нам и кредитные организации обращаются, и квазигосударственный сектор. Они пока прощупывают, что им выгоднее – подключиться к существующему центру или строить собственную архитектуру. Поскольку со стороны министерства уже есть определенные требования к КВОИКам, это подтолкнет рынок к выстраиванию своих систем инфобезопасности».

Министерство цифрового развития уже определило порядка 4,2 тыс. субъектов в стране, на которые в обязательном порядке будут распространены требования по информационной безопасности. В это количество входят и госорганы, и уже упомянутые КВОИКи, и некоторое число частных компаний, которые обяжут к введению SOC-среды. С учетом того, что, по данным министерства, интернет в своей повседневной деятельности использует порядка 80 тыс. хозсубъектов и организаций страны, обязаловка пока касается только двадцатой части рынка.

Подпадающие под обязательные требования компании и госучреждения вправе выбрать: строить им собственный центр инфобезопасности или обращаться к уже существующим структурам. По словам Абдикаликова, в стране сейчас имеется национальный центр информационной безопасности, который занимается сбором и анализом всей информации в этой сфере, а также включается в обеспечение инфобезопасности в случае глобальной угрозы. Под национальным центром информационной безопасности располагаются два оперативных центра SOC (Security Operations Center), которые должны реагировать на проявления угроз кибербезопасности в каждой отдельной структуре – государственной или частной. До конца года таких центров в стране должно стать уже пять, и тогда у компаний появится выбор: создавать собственную защитную инфосистему или заключить договор с одним из этих центров. Правда, экспертное мнение по поводу подготовки сотрудников таких центров пока не слишком высоко.

«Есть требование, что члены компании должны иметь какой-то международный сертификат, например OSCP-сертификат (Offensive Security Certified Professional. – «Курсив»), – говорит Тохтабаев. – Да, это хороший сертификат, но есть одна маленькая проблема. При сертификации не контролируется, кто сдает задание. По сути, можно очень легко получить липовый сертификат. В Казахстане в последнее время произошел резкий наплыв этих сертификатов. Сомневаемся, что все сдали сами, скорее всего, за них кто-то другой это сделал. Сейчас организаторы поставили веб-камеру при сдаче теста, но к одному компьютеру можно подключить две клавиатуры, две мышки, и сдающий будет имитировать деятельность, а по сути, работу за него будет делать другой человек».

Избежать мошенничества при получении сертификатов Тохтабаев предлагает простым способом: признавать подлинность OSCP-сертификата только за теми специалистами, кто побеждает в турнирах, проводимых на конференциях хакеров.

Министерство цифрового развития эту инициативу пока никак не прокомментировало, хотя Абдикаликов и признал, что 674 образовательных гранта, выделенных со стороны государства для подготовки специалистов в области инфобезопасности в прошлом году и 19 стипендий по международной программе «Болашак», явно недостаточно для выстраиваемой в стране отрасли.


359 просмотров

За нарушение строительных норм в Шымкенте штрафуют предпринимателей

С начала года с них собрали свыше 60 млн тенге

Фото автора

Штрафы в размере 62,7 млн тенге за нарушение норм и правил строительства в Шымкенте в 2019 году получили 214 предпринимателей. Однако, как отмечают специалисты, проконтролировать процесс возведения зданий госорганы никак не могут.

Управление государственного архитектурно-строительного контроля (ГАСК) в Шымкенте, созданное в июле 2018 года, фактически начало проверять объекты строительства в городе с октября 2018 года. За три месяца 2018 года было проведено 110 проверок, начислено штрафов на 35 млн тенге. За шесть месяцев 2019 года были привлечены к административной ответственности 214 лиц, на них наложено штрафов на сумму 62,7 млн тенге. Из них на 66 лиц дела направлены в специализированный административный суд, с них взыскано 8,5 млн тенге.

Как рассказал «Курсиву» руководитель городского управления ГАСК Берик Дуйсенов, в 95 из 100 случаев, зарегистрированных с нарушениями, при строительстве объектов в Шымкенте отсутствуют рабочие проекты. Далее следует отсутствие таких документов, как экспертиза и уведомление ГАСК о начале строительно-монтажных работ.

«Раньше был акт приемки, благодаря этому документу сотрудники профильных государственных органов по окончании строительства проверяли объекты на качество и соответствие строительным нормам. Сейчас и этого нет. Объект вводится в эксплуатацию и документы тут же отправляются на регистрацию в органы юстиции. Иногда мы видим массу нарушений, но объект введен в эксплуатацию, а по собственной инициативе мы его проверить не можем», – констатировал Берик Дуйсенов.

Он также отметил, что после получения положительной экспертизы собственник обязан вначале уведомить органы ГАСК о начале строительно-монтажных работ и только после этого нанимать строительно-монтажную бригаду, проводить технический надзор на соответствие рабочему проекту и авторский надзор.

«Это конкурентная среда, государство никак не контролирует процесс строительства, – объясняет сложившуюся ситуацию Берик Дуйсенов. – Фактически строительство ведется в частном порядке. Объект строительства частный, ТОО, которое ведет строительство, тоже принадлежит частнику, экспертизу и проекты проводят частные компании. То есть все четыре лица, которые осуществляют строительство, являются частниками».

Госорганы реагируют только в том случае, если поступило заявление от граждан или обращение от акиматов. Таким образом, в Шымкенте было выявлено девять случаев самовольного строительства.

«Мы подали девять исковых заявлений о сносе, из них в первой инстанции все девять были удовлетворены. Но в ходе апелляции собственники двух объектов изменили целевое назначение своих земельных участков, тем самым приведя их в соответствие. Поэтому суд отменил решение суда первой инстанции и, соответственно, нам отказал в удовлетворении иска», – поведал собеседник.

Как пояснили «Курсиву» в управлении земельных отношений и отделе земельной инспекции, эти органы также не могут проводить плановые проверки, поскольку их нет даже в регламенте. «Все проверки только внеплановые – по письмам и обращениям. Управление было создано в октябре прошлого года. За три месяца 2018 года было выявлено примерно около 30–40 нарушений – нецелевого использования земельных участков. В 2019 году зарегистрировано около 20 нарушений. И все факты были обнаружены только на основании обращений жителей города и акиматов», – сообщил представитель отдела земельной инспекции.

Сейчас в Шымкенте проводится беспрецедентная работа: ГАСК начал признавать недействительными зарегистрированные в юстиции акты приемки.

«То есть мы начали обращаться в суд и привлекать людей, которые принимали в эксплуатацию объекты, построенные с нарушениями. На сегодня о признании недействительными актов ввода в эксплуатацию направили в суд три дела. Мы выявили грубейшие нарушения, вплоть до того, что недостроенные объекты были введены в эксплуатацию. Одно из таких дел, когда второй этаж только поднимается, а здание уже введено в эксплуатацию, мы передали в суд», – рассказал Дуйсенов.

Всего в Шымкенте за полгода в управление поступило 126 уведомлений о начале строительно-монтажных работ. Из них 108 строятся за счет частных инвестиций, 18 – за счет бюджета.

Рейтинг прозрачности крупнейших компаний Казахстана

Читайте нас в TELEGRAM | https://t.me/kursivkz

Вопрос дня

Архив опросов

Депозиты в какой валюте вы предпочитаете?

Варианты

Цифра дня

старше 20 лет
половина продаваемых авто в Казахстане

Цитата дня

Земля должна принадлежать тем, кто на ней работает. Земля иностранцам продаваться не будет. Это моя принципиальная позиция

Касым-Жомарт Токаев
президент Республики Казахстан

Спецпроекты

Рейтинг прозрачности крупнейших компаний Казахстана

Рейтинг прозрачности крупнейших компаний Казахстана

Биржевой навигатор от Freedom Finance

Биржевой навигатор от Freedom Finance


KAZATOMPROM - IPO уранового гиганта
Новый Курс - все о мире инвестиций

Банк Хоум Кредит

Home Credit Bank


Новый Курс - все о мире инвестиций
Новый Курс - все о мире инвестиций