Возможность общаться с миром, работать на «удалёнке», платить и получать справки, не выходя из дома, D-DOS атаки, телефонные мошенники, утечка данных – это всё осязаемые составляющие нашей жизни, которая уже давно из разряда аналоговой начала переходить в цифровой. Что же здесь не так, если всё чаще и чаще мы стали говорить о безопасности в этой сфере?
На эти проблемы уже обратил внимание и президент Токаев. Выступая в Абае он с недипломатической прямотой говорил о том, что распространение фейков и кибератаки активизировались как раз перед выборами.
- И это неспроста. Определённые внешние силы таким образом намерены посеять смуту в нашей стране. Они хотят воспрепятствовать позитивным изменениям в Казахстане. Но мы не свернем с избранного курса, - заявил Касым-Жомарт Токаев.
Корреспондент Ulysmedia.kz решил выяснить, почему цифровизация, на которую в стране не жалели денег, дала такой сбой. Глава ассоциации информационной безопасности РК Виктор Покусов убеждён, проблема в том, что наводить порядок в IT-сфере начинают, только после окрика президента.
Ситуация с D-DОS атаками на электронные СМИ – что это было и кому это нужно? Сколько могут стоить такие диверсии?
Я думаю, часть атак на СМИ были проверочные, чтобы выяснить, как будут бороться. Часть из них, конечно, с политическим подтекстом – каким-то богатым влиятельным людям могло не понравиться то, что про них пишут. Насчет стоимости атак, есть фанатики, типа террористов, которые любят самоутверждаться, могут сутками не спать и писать вирусные программы. Они вообще делают это бесплатно, им даже инфраструктуру специально покупать не надо - используют чужую.
А другая часть атак на СМИ – это дорогие заказы - суммы на чёрном рынке могут доходить до миллионов долларов. Я знаю кейс, когда один конкурент заказал взломать и украсть базу данных у другого, и заплатил $50 тысяч. А проверочные атаки, мне кажется, вообще делают бесплатно.
На цифровизацию выделяются миллиарды, есть и министерство. Можно ли уже называть эту сферу отраслью экономики?
- Да, телекоммуникации и IT можно считать отдельной отраслью, сейчас мы бьемся за то, чтобы информационная безопасность тоже получила такой статус, то есть, чтобы в законах были прописаны термины, концепции, чтобы был свой кодекс по информационной безопасности.
Цифровой суверенитет – какой смысл вы складываете в эти слова?
- Прежде всего речь идёт об информационной независимости. Это подразумевает, что у нас должны быть свои специалисты, технологии и продукты – мы не должны допускать влияния других государств на эту сферу. У нас есть экономический, политический, юридический суверенитет, должен быть и информационный. Сейчас уровень этой независимости ниже среднего - мы пользуемся иностранными поисковыми системами, приложениями, соцсетями, разве что новостные ресурсы, наверно, процентов на 90 у нас свои - казахстанские.
Есть множество платформ, которые упрощают гражданам жизнь, и награждают множеством проблем. Так у нас всё-таки цифровизация или её имитация?
- К примеру, электронное правительство - очень хороший проект, приносит много пользы. Но реализован, как часто у нас бывает, в спешке, поэтому есть пробелы в безопасности, бывают сбои. Кстати, eGov, по задумке, должен был «летать», не «падать» и выдерживать все атаки. Но получилось с точностью до наоборот.
А чем это на ваш взгляд можно объяснить?
- Говорят, что серверы не выдерживают и т.п., но с этим можно было разобраться. В конце концов, не оцифровывать сразу так много государственных услуг, если знаешь, что серверы не потянут. Сейчас такое ощущение, что eGov эксплуатируют на пределе. Я, кстати, как-то случайно увидел, что сотрудники прямо в режиме онлайн правили портал, а это запрещено правилами безопасности. Я даже не понимаю, как они прошли сертификацию и получили доступ к этой работе, но все стандарты безопасности были нарушены.
Ещё одно известное приложение – Damumed. Это имитация, дань моде или простое разгильдяйство?
- Конечно, это по идее очень полезное приложение, но реализовано как попало. По его поводу ходили слухи, что сработало такое понятие как недобросовестная конкуренция. По неписанным правилам, вперед выходит тот, у кого есть политические связи, он и получает преимущество. Мне кажется взяли зарубежный аналог и получили то…что получили. Нам надо учиться делать свои продукты под свои нужды и потребности, а у нас предпочитают смотреть на западные, хотя там часто берут большие деньги просто за товарный знак.
К слову, как вы объясняете затянувшееся расследование дела бывшего министра Биртанова - такое ощущение, что обвинители запутались в его цифровой составляющей.
- У нас очень слабая правоприменительная практика расследования дел, связанных с компьютерными технологиями. Нет методик проведения экспертизы, четких терминов, специалистов и т.п. У меня есть квалификация судебного эксперта по компьютерным технологиям и интеллектуальной собственности, и я видел много заключений госорганов, которые не соответствуют законодательству и подходам. К делу Биртанова меня не привлекали, поэтому деталей не знаю. Но видно, что дело странное. Словно одна сторона пользуется недочетами другой. Даже президент сказал, что надо сделать резервную копию и продолжать использовать систему, потому что она рабочая, а людей всё равно обвиняют. На мой взгляд выглядит это политизировано. Давайте дождёмся решения суда.
Кстати, а насколько наши чиновники «подкованны»? Например, в Счетном комитете работники считают огромные деньги, они работают с программами или пользуются обычным калькулятором?
- Несколько лет назад МЦРИАП и его подведомственные организации отчитываясь о своих цифровых достижениях, сообщили, что внедрили цифровую бухгалтерию, хотя она и так была, в облако перенесли данные, установили IP-телефонию и цифровые видеокамеры. Ещё мало-мальски цифровизировали документооборот и часть государственных услуг перевели в онлайн – так вот кроме последнего, это всё не столько цифровизация, сколько необходимость. Так что, по сути, мы не далеко ушли.
А как же государственная программа «Цифровой Казахстан»?
- Она провалилась, хотели уже взяться за «Цифровой Казахстан 2.0», но дальше встреч общественников и чиновников дело не пошло. В итоге в спешке создали новую программу, и, как всегда - на бумаге всё замечательно, кажется, вот сейчас как заживём! То есть планы супер-оптимистичные и супер-нереалистичные, а в ведомствах как не было специалистов, так и нет.
На этом фоне информационная безопасность – это уже беда. Какая-то бумажная безопасность получается. Раньше хакеры нападали на Россию, мы же им были неинтересны, а сейчас стали делать пробные атаки на Казахстан. Ещё в июле наши специалисты на закрытых ресурсах хакеров увидели, что планируются крупные D-DoS-атаки на наши госорганы, телекоммуникации - мы предупредили, однако на это даже внимания не обратили.
То есть решили, что у нас с защитой всё ОК?
- А думать, что ты такой крутой и супер-защищенный – это самая большая ошибка - всегда найдётся мошенник, который вскроет любой замок! На инфраструктуру и госорганы до сих пор идут атаки в масштабах страны, но, думаю, пока хакеры только прощупывают почву. На днях мы заметили, что внутри Казахстана взламывают роутеры и загружают зловредное ПО для атак. Мы обнаружили это совершенно случайно – у одного из клиентов было аномальное поведение коммуникационного оборудования. Думаю, роутеры компаний завирусовали не просто так – нас ещё ждут сильные атаки.
Недавно мы возмущались решением отдать разработку главной казахстанской платформы российскому СберБанку. Но у нас и без этого расплодилось много мошенников.
- У нас нет культуры информационной безопасности и, опять же, правоприменительной практики и специалистов. Я не знаю ни одного кейса, когда человека реально наказали бы за слив информации. Председатель комитета по информационной безопасности недавно сказал, что у них всего 4 человек работают на проверках. Даже если будут отличные законы, проверять-то некому! Это, как если бы были ПДД, но без полицейских и камер. Вот и получается - то там базу продали, то там данные утекли. В идеале все сотрудники, которые имеют доступ к данным, будь то банк или госструктура, должны проходить сертификацию и нести ответственность.
А чем занимается ЦАРКА - центр анализа и расследования кибератак? Они как-то публиковали отчет о том, что банки не защищены на 100 процентов.
- Это коммерческая организация, они оказывают услуги. На мой взгляд, их бюджет сильно нацелен на PR, они много полезного делают для популяризации проблематики цифровой безопасности, работают с молодёжью. Это, кстати, важно, ведь специалист по информационной безопасности может работать как на благо, так и во зло, здесь легко перейти грань, поэтому ребят надо воспитывать. Кроме того, ЦАРКА иногда раскрывают информацию о так называемых «дырках» в разных организациях, что, по-моему, не очень этично.
А компании «Зерде»? Её правительство с помпой открыло, вложило кучу денег и…закрыло.
- Лично у меня, да и у IT-сообщества Казахстана были большие надежды на Абдрасилова - супер-специалиста и «белого хакера», но они не оправдались. «Зерде» начала оказывать услуги госкомпаниям, то есть зарабатывать – хотя, по-моему, они как, впрочем, и любая госструктура должна не зарабатывать, а помогать рынку и создавать условия. Они должны были управлять, разрабатывать терминологию, отдать максимум услуг рынку, а самим следить как всё развивается. А Абдрасилов устроил там целую перестройку, начал делать IT-компанию, потом сотрудники начали жаловаться на увольнения. Поэтому правильно сделали, что её расформировали.
Уволенные сотрудники компаний, например, «Зерде», могут обидеться и унести с собой данные?
- К сожалению, да. У нас люди не чувствуют ответственности - ни сотрудники, ни руководители. Сотрудникам дают бумажку о неразглашении, они подписывают, не глядя, лишь бы взяли на работу. Потом кто-то сливает информацию с целью наживы, а кто-то и случайно, не задумываясь об ответственности. Надо проводить обучение и сертификацию тех, кто работает с персональными данными в банках, госорганах и т.п. Потому что отследить того, кто слил данные, практически невозможно. В Европе, кстати, компаниям могут прийти огромные штрафы за халатное отношение к информационной безопасности, поэтому руководители серьезно к этому относятся. В той же России в этой сфере, больше регуляторов чем у нас, и больше проверок. Там уже мошенникам жизнь осложнили, и они переключились на наш рынок. У нас для них сейчас хорошие условия - законодательство шаткое, ответственности нет. Поэтому не надо удивляться тому, что транснациональным группировкам и хакерам свои интересы перенесли к нам.
Как вы оцениваете нашумевший проект Astana Hub?
- Я не вижу особого эффекта. На содержание Astana Hub выделяют казённые деньги, которые можно было бы пустить на реальное развитие цифровизации. А здесь неоправданный ничем ажиотаж в сфере молодёжных стартапов. Ребятам голову морочат рассказами о перспективах, они тратят время, пока их друзья учатся и начинают работать. А потом у нас остаются единицы, а основная масса уезжает работать за границу. Реальность такова, что пробиться могут только те, у кого есть связи или богатые родители.
Недавно обнаружили, что одна компания совершенно необоснованно пользовалась льготами Astana Hub, но пришла налоговая и выставила и другим компаниям-участникам предписания на большие суммы.
Получилось, что из-за коллизий в законодательстве в Astana Hub идти не выгодно даже из-за льгот.
Как мошенники получают наши данные? Реально ли их отследить?
- Очень часто мы сами легкомысленно оставляем свои данные – на AliExpress или WildBerries, участвуем в розыгрышах, скачиваем бесплатные игры с вирусами. Сейчас мошенники чаще не взламывают, а приобретают базы, и, по сути, любой сотрудник какого-нибудь интернет-магазина может слить информацию. Я видел, как люди покупали в интернет-магазинах товары, но не получали их, и тогда появлялись те, кто предлагал вернуть деньги за некоторую плату – то есть покупателей обманывали уже второй раз. Бывало и такое, что за автомобиль переводили за рубеж десятки тысяч долларов. А по законодательству наказать можно только в том случае, если мошенник находится в Казахстане. В этом году в Украине поставили мошенничество на поток. Как я уже говорил, сфокусировались на Казахстане, потому что в России уже повыше уровень культуры информационной грамотности.
Всё-таки возможно вычислить, кто стоит за тем или иным анонимным каналом?
- Нет ничего невозможного, но найти тех, кто стоит за анонимными каналами или вбросами, крайне сложно. Они могут стоить от $50 до $50 тысяч, кто как договорится. Но если фейковая информация сделана добротно, то её подхватят и другие каналы и бесплатно начнут хайповать. К тому же, иногда вбросы делают, чтобы интриговать, а не зарабатывать на этом деньги. Это, кстати, вопрос информационного суверенитета. У нас иногда звучат предложения типа закрыть Google, потому что там можно найти наши личные данные на левых сайтах. Закрыть его, конечно, нельзя, но правительство может хотя бы потребовать у Google предоставить информацию о нарушителях, чтобы заблокировать их в Казахстане.
Почему это не происходит?
- Боятся, что опять это расценят как ограничения гражданских прав, и мы скатимся вниз в международных рейтингах. Но тех, кто эти рейтинги составляет совершенно не волнуют наши национальные интересы и национальная безопасность. Проблема в том, что наши люди привыкли к удобным иностранным продуктам и не хотят от них отказываться. В этом плане можно брать пример с Китая – у них свои поисковики, социальные сети, мессенджеры. Мы с коллегами как-то анализировали популярные браузеры Mozilla Goggle Chrome и увидели около 30 (!) возможностей утечки информации. А ведь ими пользуются не задумываясь, как и айфонами, которые собирают и передают наши данные. Но, когда вдруг заходит речь о сертификате безопасности, то все сразу против. Мне кажется, это отголоски советского воспитания – люди боятся государство – и все имеют какие-то скелеты в шкафу, но для национальной безопасности неважно, если у вас есть любовница или вы обналичили несколько миллионов тенге. Считаю, надо жить так, чтобы нечего было скрывать.
Почему не сработала прошлая госпрограмма «Цифровой Казахстан»? Чего не хватает для качественной цифровизации – денег, профессионализма или заинтересованности?
- Главное - отсутствие правильного подхода и специалистов. Авторы красиво написали программу, но нет согласованности с рынком, она оторвана от реальности. Всё правильно, но ничего не работает. В самом профильном министерстве не хватает кадров, а у тех что есть сравнительно маленькие зарплаты - IT-специалисты зарабатывают от 500 тысяч тенге. А ещё согласования и сжатые сроки для большого объёма работы. Часть этих проблем должна была решить «Зерде», но не вышло. Пару лет назад мы сделали безопасный браузер для госслужающих, чтобы не было утечек, но его так и не внедрили.
Министры до сих пор общаются по линиям правительственной связи. А как тогда объяснить распечатки телефонных разговоров высоких чиновников, которые в своё время публиковал Рахат Алиев?
- Что касается Рахата Алиева, думаю, всего не предусмотришь, у всех могут оказаться специальные технические средства. Надо просто следить за тем, где, кому и что ты говоришь – не только высоким лицам в государстве, а вообще всем. И, конечно, какие данные и где ты публикуешь. Например, в Instagram многие сами рассказывают, когда они получили деньги, где они находятся, с кем и т.п.
Можно ли себя обезопасить от прослушки и слежки? Возможно ли, что наш разговор сейчас кто-то слушает?
- Способов защититься много – от автоматического стирания информации до разных способов авторизации, но никто и ничто не гарантирует конфиденциальность. Самая большая ошибка - быть уверенным, что ты в безопасности. Есть сотрудники, есть недостатки систем, вполне можно перехватить информацию так или иначе. Многие переживают, что спецслужбы их слушают, но, повторюсь, для национальной безопасности обычные люди неинтересны – им и так работы хватает. Нас прослушивают и используют наши переписки в целях рекламы – это факт. Я спокойно отношусь, даже если меня прослушивают, потому что мне нечего скрывать, суперконфиденциальной информации у меня нет. Ну, жена по телефону просит купит продукты. Кому это интересно?
В идеале как должно быть? На кого равняться? Кто на планете Земля больше всех приближён к цифровому идеалу?
Идеала нет, везде свои плюсы и минусы. В Китае есть много хорошего, у них удобная геополитическая ситуация - свои язык и алфавит, легче закрыться от внешнего мира, население очень любит свои информационные продукты. Сингапур грамотно подошел к цифровизации. Некоторые страны защищают персональные данные людей, другие дают доступ компаниям, но с соблюдением некоторых норм. Нельзя просто скопировать информационные решения других стран – не факт, что они у нас приживутся. Цифровой суверенитет в любой стране делают люди, и здесь не всегда можно обойтись наёмными специалистами – есть риск стать зависимыми. Нам надо экстренно привлекать хороших специалистов к образованию и обучать молодежь. Также вводить сертификацию для спецов – жесткую проверку уровня знаний, которую нельзя подделать. Надо создавать исследовательские институты по цифровизации, а у нас услышат послание президента, и все делают вид, что побежали исполнять. А цифровизация и информационная безопасность – это большая планомерная работа, которая требует профессионализма и вдумчивости, а не только периодической активности, потому что президент очередной раз сказал.