Опасные цифровые связи

В области кибербезопасности уровень подготовки государства, бизнеса и общества не соответствует уровню угроз. Ситуацию должен изменить «Киберщит»

Хакеры — это из фильмов, в крайнем случае — из сводок новостей, причем преимущественно зарубежных, уверена большая часть казахстанского общества, далекая от проблем информационной безопасности (ИБ). Эту уверенность не разделяют специалисты по ИБ. «Мы не слышали о масштабных хакерских атаках в Казахстане не потому, что их нет, а потому что в республике компании не обязаны публично заявлять о такого рода инцидентах и стараются спустить дело на тормозах», — говорили они в интервью «Эксперту Казахстан» (см. expertonline.kz/a14406). Тем заметнее стала атака шифровальщика-вымогателя WannaCry: он шифрует и блокирует доступ к данным и требует за восстановление деньги. В республике вирусом оказались заражены более сотни машин, в том числе на крупных казахстанских предприятиях. Казахстан занял шестое место в мире по количеству организаций, пострадавших от WannaCry.

Компьютеры в коме

Начало мая выдалось урожайным на сообщения о компаниях, приостановивших свою работу из-за кибератак. Вирус-шифровальщик привел к частичной остановке заводов Renault во Франции и дочернего предприятия Renault в Румынии; об атаке на серверы производства в английском Сандерленде сообщила и Nissan. В числе пострадавших российский «Мегафон», газовая компания Gas Natural и оператор электросетей Iberdrola в Испании. О сильнейшей кибератаке на серверы оператора Кашаганского проекта — компании NCOC — пишет атырауское издание «АҚ ЖайыҚ»: «Все корпоративные компьютеры были в коматозном состоянии: на них появился так называемый “синий экран смерти” — сообщение о критической системной ошибке в операционной системе». В качестве превентивной меры, сообщили в пресс-службе NCOC, пришлось отключить всю почту, сеть и корпоративные компьютеры. При этом на работу Кашагана и завода «Болашак» на Карабатане инцидент не повлиял.

Но немало примеров, когда кибератака все же повлияла на деятельность предприятий и на жизнь людей. В ночь с 17 на 18 декабря 2016 года в результате хакерской атаки без электричества оказались несколько кварталов на севере и северо-западе Киева, а также Киевская гидроаккумулирующая электростанция. В конце 2016‑го несколько многоквартирных домов в финском городе Лаппеэнранта остались без горячего водоснабжения, тепла и вентиляции, так как DDoS-атака вывела из строя контролирующее оборудование.

Защищенность промышленных объектов — сейчас одна из самых горячих тем ИБ. «Информационная безопасность как самостоятельное направление ново и не совсем понятно для топ-менеджмента производственных компаний, но высокие темпы развития систем автоматизации, а также их внедрение в процессы управления производством обуславливают значительное увеличение количества рисков и потенциальных угроз для жизнедеятельности компании», — комментирует менеджер по информационной безопасности АО «КазТрансОйл» Ержан Мурзалин.

В отчете «Лаборатории Касперского», посвященном исследованию ландшафта угроз промышленных предприятий, отмечается, что растущая сложность оборудования и программного обеспечения на промышленных предприятиях ведет к высокой вероятности ошибок и уязвимостей, которые могут быть использованы злоумышленниками. Вот несколько ключевых проблем ИБ промышленных предприятий: решения по безопасности, ориентированные только на информационное окружение, не могут гарантировать соответствующий уровень защищенности промпредприятиям; как правило, меры обеспечения функциональной безопасности технологических процессов не рассчитаны на намеренное нарушение удаленным нарушителем или злоупотребление внутренним пользователем возможностями доступа; и, наконец,  изоляция технологической сети от любых внешних систем (10–15 лет назад это требование считалось незыблемым) уже не может рассматриваться как адекватная защитная мера. В условиях Индустрии 4.0 изоляция компании невыгодна экономически и крайне трудно реализуема на практике.

По данным того же отчета «Лаборатории Касперского», промышленные компьютеры подвергаются атакам все-таки реже, чем компьютеры корпоративные, к которым относится и техника «на госслужбе». Защищенность госструктур после ряда инцидентов вызывает сомнения. В начале 2017 года в Казахстане взломали более 300 серверов министерств, акиматов и маслихатов. Оказался взломан даже сайт Министерства обороны РК: хакеры разместили на главной странице изображение солдата и надпись «Свободу Палестине». Справедливости ради стоит отметить, что технические специалисты отреагировали на взлом быстро — картинка висела на сайте буквально час, и уже на следующий день стал доступен обычный контент сайта. Президент Центра анализа и расследования кибератак (ЦАРКА) Олжас Сатиев отмечает, что если «баловство» хакеров со взломом сайтов можно увидеть и вмешаться, то демонстрировать свое присутствие на объектах критической инфраструктуры (от дорог и трубопроводов до АЭС) они не будут. «Если хакеры получают доступ к таким объектам, они не будут публиковать картинки. Мы проводили проверки некоторых серьезных госорганизаций и обнаружили, что хакеры выкачивают оттуда информацию уже два-три года. Понять, что происходит, можно слишком поздно», — заключает глава ЦАРКА и напоминает про один из самых известных случаев кибератаки на критическую инфраструктуру, когда вирус Stuxnet, заразив компьютерную систему ядерной программы Ирана, нарушил работу почти тысячи центрифуг для обогащения уранового топлива.

Канал для угрозы

Бессмысленно рассчитывать на то, что компания своими силами обеспечит себе стопроцентную защиту в условиях растущей зависимости от глобальной информационной среды. Подрядчики, провайдеры услуг, банки, клиенты, госструктуры — брешь в защите любого элемента может стать в итоге проблемой всех, с ним связанных. О необходимости глобального подхода к киберзащите в Казахстане президент Нурсултан Назарбаев напомнил в своем послании народу в январе 2017 года и поручил правительству и Комитету национальной безопасности принять соответствующие меры, создав «Киберщит Казахстана». Концепция с таким названием должна быть вынесена на рассмотрение правительства буквально на днях — в конце июня 2017‑го. Заявлено, что концепция «разработана в целях обеспечения информационной безопасности общества и государства в сфере информатизации и связи, а также защиты неприкосновенности частной жизни граждан при использовании ими информационно-коммуникационных технологий». Под кибербезопасностью в концепции понимается состояние защищенности средств телекоммуникаций, электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз. Основана концепция на «текущей ситуации в сфере автоматизации государственных услуг и промышленного сектора, оказания услуг связи, состояния “цифровой” экономики и определяет основные направления государственной политики, вызываемые потребностью в обеспечении информационной безопасности всех участников процессов информатизации, использующих единую сеть телекоммуникаций Республики Казахстан».

Довольно большая часть концепции посвящена анализу текущей ситуации и перспективы рисует нерадостные. «Казахстан как страна, пока в значительной мере заимствующая передовые IT-технологии, включая технологии обеспечения кибербезопасности, в любой момент может столкнуться с ситуацией, в которой мы выступим в качестве объекта экспериментов или действительной атаки на критически важные объекты информационно-коммуникационной инфраструктуры страны со стороны преступных организаций и отдельных лиц с непредсказуемым результатом» — цитата из выложенного в открытом доступе проекта концепции. Что, в общем, согласуется с оценкой, которую дали ситуации с ИБ по Казахстану в целом те же «белые хакеры» в лице Олжаса Сатиева: «Все очень печально, мягко говоря».

Свои софт и «железо»

Цель концепции, если говорить официальным языком, в создании «системы правовых, организационных и технических мер безопасного использования информационно-коммуникационных технологий», что, полагают ее авторы, повысит уровень кибербезопасности в республике. Фактически «Киберщит» должен обеспечить координацию всех усилий в области повышения кибербезопасности — от оповещения об угрозах до обучения специалистов по ИБ. Заместитель председателя комитета по информационной безопасности Министерства оборонной и аэрокосмической промышленности РК (МОАП РК) Руслан Абдикаликов объяснял на брифинге, посвященном вопросам создания «Киберщита Казахстана», что реализация концепции будет проходить в два этапа. Первый этап рассчитан на год — с 2017‑го по 2018 год, второй этап займет три года — 2019–2022 годы. На первом этапе должна быть сформирована развернутая правоприменительная практика соблюдения уже установленных требований в сфере обеспечения ИБ. Ряд аспектов кибербезопасности отражен в таких документах, как законы РК «О национальной безопасности», «О государственных секретах», «О персональных данных и их защите», «Об электронном документе и электронной цифровой подписи», «О связи», а также в Уголовном кодексе и Кодексе об административных правонарушениях. Правительством не так давно утверждены еще и «Единые требования в области информационно-коммуникационных технологий и обеспечения информационной безопасности». Этот документ подробно описывает процедуры и правила по использованию информационно-коммуникационных технологий при обработке защищаемых законом видов информации, содержит нормы по обеспечению технологической безопасности информационной инфраструктуры, информационных систем и ресурсов, программного обеспечения, технических средств на всех этапах их жизненного цикла.

Подрядчики, провайдеры услуг, банки, клиенты, госструктуры — брешь в защите любого элемента может стать в итоге проблемой всех, с ним связанных

Установить правила — полдела, их выполнение необходимо контролировать. Для этого, по мнению авторов концепции, необходимо определить уполномоченный орган по обеспечению информационной безопасности и его компетенцию, выделить госконтроль в сфере информационной безопасности в самостоятельную область. Это должно быть сделано уже в текущем году. Судя по концепции, первым делом этому уполномоченному органу предстоит определиться, какие объекты (помимо стратегических и особо важных государственных объектов) и из каких секторов экономики отнести к критически важным объектам информационно-коммуникационной инфраструктуры (КВОИКИ). Например, к КВОИКИ предлагается отнести сервисы, ориентированные на оказание онлайн-услуг населению, в том числе информационные системы электронных средств массовой информации. В МОАП РК, которое разработало концепцию, пояснили, что руководящие документы, созданные на основе «Единых требований» и действующих «Правил проведения мониторинга обеспечения информационной безопасности, защиты и безопасного функционирования объектов информатизации электронного правительства», будут распространять свое действие не только на госсектор и собственников частных информационных систем, интегрируемых с государственными, но и владельцев промышленных предприятий и иные объекты, имеющие автоматизированные технологические процессы, «нарушение которых может сказаться на других участниках процессов информатизации». То есть, если упростить, все сводится к тому, что законодательство в области ИБ должно быть, во-первых, гармонизировано; во-вторых, его соблюдение должно контролироваться; в-третьих, законодательство должно своевременно обновляться, для чего при уполномоченном органе по ИБ должен быть образован Совет по кибербезопасности. Его главная задача — поддержание в актуальном состоянии руководящих документов и нормативно-правовой базы.

Также на первом этапе планируется провести ревизию образовательных программ и профессиональных стандартов с тем, чтобы увеличить количество и качество подготавливаемых специалистов в области ИБ и повысить квалификацию тех, кто в этой сфере уже работает. Если приведение учебных программ в соответствие с отраслевыми стандартами только начнется в следующем году, то число государственных образовательных грантов по ИБ-специальностям уже увеличено: выделено около 160 грантов на 2017–2018 учебный год по такой специальности, как «Квантовая криптография». В будущем, по словам г-на Абдикаликова, число грантов вырастет до 500.

На первом же этапе к реализации проектов в сфере информационной безопасности будут привлечены ВУЗы, предприятия электронной промышленности, научно-исследовательские и опытно-конструкторские лаборатории. Если выстроить эффективную схему взаимодействия и кооперации между промышленностью и наукой в создании отечественных разработок, это позволит уже на втором этапе реализации концепции привлечь казахстанские IT-компании к участию в обеспечении национальной информационно-коммуникационной инфраструктуры системами ИБ. В результате можно будет разместить заказы на телекоммуникационное оборудование для госорганов и квазигоссектора среди отечественных предприятий электронной промышленности.

Одна из задач уже упомянутого Совета по кибербезопасности — содействие приоритетному использованию продукции отечественной электронной и софтверной промышленности. Как отмечено в концепции, «необходимо преодолеть проблему невысокой востребованности отечественных разработок в сфере программного обеспечения, одной из причин которой является отсутствие обязательности их приоритетного использования в государственных органах». Преимущество при госзакупках получат компании, имеющие зарегистрированные авторские права на территории Казахстана и сертификат подтверждения соответствия не ниже четвертого уровня доверия по стандартам безопасности в области информационных технологий, а также компании, проходящие по требованиям по локализации производства.

Среди остальных мероприятий, запланированных для реализации концепции, — создание общедоступного электронного информационного ресурса, содержащего данные об уязвимостях в программном обеспечении; создание обособленных подразделений по информационной безопасности в ГО, МИО, КВОИКИ и квазигосударственном секторе. Авторы концепции предполагают, что одновременно с этим должны создаваться и взаимодействовать между собой отраслевые структуры реагирования на инциденты информационной безопасности для взаимного оповещения о возникающих угрозах.

И, наконец, согласно концепции, для объединения усилий при участии научного сообщества и частного сектора будет создан координационный Национальный оперативный центр информационной безопасности, который в онлайн-режиме будет обрабатывать информацию о состоянии защищенности наиболее важных компонентов национальной информационной инфраструктуры и обеспечивать обмен информацией. И это позволит как на государственном уровне, так и на уровне компании быстро оценивать ситуацию, особенно в случаях ЧП, и вырабатывать решения.

В концепции ничего не сказано об источниках финансирования «Киберщита», но министр финансов Бахыт Султанов на презентации поправок в Закон «О республиканском бюджете на 2017–2019 годы» заявлял, что на безопасность и борьбу с коррупцией должны быть направлены 23,9 млрд тенге, и часть этой суммы — 7,4 млрд — предлагается направить на борьбу с киберпреступностью.

Щит для всех и каждого

Концепция «Киберщит Казахстана» — документ стратегический, предлагающий единый подход и единую основу для взаимодействия государства, бизнеса и общества в вопросах кибербезопасности. И это логично, считает начальник АСУП АО «Каустик» Игорь Ершов: «Государство — заказчик и главное заинтересованное лицо, стейкхолдер построения защиты информационного пространства, именно государство и должно устанавливать требования к уровню и качеству этой защиты. Конечно же, мнение экспертов в соответствующих областях должно быть тщательным образом изучено и учтено». Сам документ г-н Ершов оценивает как достаточно проработанный: «Мне трудно выделить моменты, слабо или вообще не затронутые. Тут и силовые госструктуры озадачены, и МОН — стратегия на вовлечение будущих поколений в обеспечение безопасности страны, и бизнес как потребитель информации от госструктур и как активный элемент всеобщей системы информационной защиты».

Ержан Мурзалин продолжает: «Концепция кибербезопасности “Киберщит Казахстана” необходима и своевременна, она дает общее понимание проблемы и путей решения. С нашей стороны есть пожелание в организации круглых столов, площадок для обсуждения основных моментов концепции, чтобы при реализации не пришлось на ходу что-то “допиливать” и доделывать».

В общих чертах «Киберщит» достаточно полно охватывает вопросы кибербезопасности на государственном уровне, теперь дело за практической реализацией концепции. Так, в целом положительно оценивая появление такого документа, некоторые из опрошенных экспертов высказывали опасения по поводу отечественных разработок в сфере программного обеспечения и их преимуществе для госзаказа. Общий смысл сказанного сводился к «хорошо, если такая протекционистская политика даст толчок к развитию отечественного софта, и плохо, если казахстанский продукт будут просто пропихивать на тендерах, несмотря на его невысокое качество».

Еще один момент — повышение осведомленности населения в вопросах безопасности. Предполагается, что «Киберщит» будет способствовать формированию в обществе устойчивых представлений о «кибергигиене». Например, согласно документу тренинги и обучающие практики по защите персональных данных среди несовершеннолетних пользователей интернета и их родителей должны стать обязательным элементом образовательных программ, включая школьные. Поставлена задача, с виду простая — научить всех казахстанцев защищать свои персональные данные: не откровенничать в соцсетях, не пересылать ПИН-коды от банковской карты, использовать более сложные пароли, чем 1234 или дата рождения. Несмотря на банальность всех этих правил, повышение осведомленности населения в вопросах информационной безопасности специалисты по ИБ считают очень важным и предлагают максимально на нем сфокусироваться. «Всегда и везде, как бы идеально ни была выстроена система обороны, самым уязвимым звеном оказывается пресловутый человеческий фактор. Даже “защита от дурака” не всегда спасает», — констатирует Игорь Ершов. Его слова могут быть проиллюстрированы результатами довольно часто упоминаемого безопасниками эксперимента, когда на парковку одной из крупных компаний была подброшена флэшка. 60% сотрудников этой компании подобрали ее, принесли на рабочее место и воткнули в свой рабочий компьютер. Это еще раз подтверждает: люди игнорируют самые простые правила информационной безопасности.

Задача «Киберщита» — поменять отношение к информационной безопасности как на уровне государства, так и на уровне бизнеса и общества. Все должны осознать, что угроза реальна, а беспечность в этом вопросе обойдется слишком дорого. Идея, безусловно, правильная. Стратегия, определяющая, в каком направлении двигаться, есть. Теперь главное, чтобы «Киберщит» не оказался бумажным.

Читайте редакционную статью: Укроемся киберщитом

Не для галочки

Президент ЦАРКА Олжас Сатиев уверен, что для повышения уровня кибербезопасности Казахстану нужно прежде всего решить кадровый вопрос.

— На что в первую очередь стоит обратить внимание в контексте кибербезопасности страны?

— Главная проблема Казахстана — кадры. Все говорят о «Киберщите», нормативно-правовых документах, внедрении новых стандартов… Это все хорошо, но, чтобы все заявленное осуществить, нужны кадры. Мы пока единственные в республике, кто начал формировать и тренировать команду пентестеров, то есть тех, кто занимается этичным хакингом. Мы эмулируем хакерскую атаку, проводим те же действия, что и хакеры, и показываем уязвимость системы. Никто до нас этим не занимался, обычно проверку информационной безопасности какой-либо казахстанской структуры проводили российские или зарубежные компании. Из-за этого отечественная школа ИБ не развивалась. Плюс аудиты систем с точки зрения ИБ проводились в основном бумажные. Есть антивирус — галочка, есть файрвол — галочка, соответствует пароль по сложности — галочка. А тех, кто сможет проверить уровень защищенности системы на практике, к сожалению, очень мало.

— Чего, на ваш взгляд, не хватает в концепции «Киберщит»?

— Пока вас не взломали, оценить уровень ИБ сложно. В страновом масштабе очень бы помог независимый оценочный индикатор — индекс киберготовности, это мировой показатель, по разным параметрам оценивающий готовность страны к киберугрозам. Индекс киберготовности учитывает около 70 параметров, из них семь основных: национальная стратегия, реагирование на инциденты, интернет-преступность и правоохранительная практика, обмен информацией, инвестиции в исследования и разработки, дипломатия и торговля, оборона и реакция на кризисные ситуации. У Казахстана на данный момент индекс киберготовности — 0,176, это уровень африканских стран, чтобы вы понимали. У России этот индекс — 0,5. Я думаю, нужно в концепции «Киберщит» запланировать повышение показателя с текущего значения хотя бы до российского уровня. Число подписанных меморандумов не может быть показателем повысившегося уровня кибербезопасности в стране, а введение индекса позволит объективно проводить оценку ситуации с киберзащищенностью.

Еще один момент. В Евросоюзе принят закон, согласно которому компании обязаны докладывать о случившихся утечках и взломах национальным органам правопорядка в течение 72 часов, в противном случае им грозит крупный штраф до 4 процентов общемирового оборота, или до 20 миллионов евро. У нас пока в большинстве случаев никто не делится информацией, и это неправильно. И, наконец, владельцев систем нужно обязать исправлять обнаруженные уязвимости. Пока, например, если мы находим уязвимость на государственном ресурсе, уведомляем владельца, но исправлять ее или нет — это уже его дело. Мы пишем официальные уведомления, но ситуация исправляется только через два-три месяца, когда, не дождавшись реакции от владельца системы, мы сообщаем об уязвимости в СМИ.

Статьи по теме:
Казахстанский бизнес

Прорваться к полимерам

Потенциал индустрии производства и переработки полимеров в РК неплохой, но без выпуска собственного сырья реализовать его не получится

Тема недели

Узбекистан пореформенный

Ташкент приступил к экономическим реформам, призванным усилить частный бизнес. Казахстан от этого пока выигрывает, однако выигрыш не следует переоценивать

Спецвыпуск

В ожидании перемен

Точками роста для страховых компаний, скорее всего, станут инициативы регулятора

Наука и технологии

Точная копия

“Электромарганец” из Текели применяет технологию 3D-сканирования при изготовлении литейной оснастки