© CABAR – Центральноазиатское бюро по аналитической журналистике
При размещении материалов на сторонних ресурсах, гиперссылка на источник обязательна.

Чему Кыргызстан может научиться из подхода Грузии к кибербезопасности?

«Грузия и Кыргызстан схожи во многих отношениях, включая советское прошлое, нехватку ресурсов, бурную политическую историю и другие особенности, когда дело доходит до политического и экономического ландшафта двух стран. Правительству Кыргызстана будет разумно и полезно изучить грузинский подход и опыт в сфере кибербезопасности», — отмечает в своей статье Нурбек Бекмурзаев, независимый исследователь, участник Школы аналитики CABAR.asia из Бишкека.

Материал подготовлен в рамках программы стажировки участников Школы аналитики CABAR.asia в Тбилиси (Грузия).


Подпишитесь на наш канал в Telegram


Краткий обзор статьи:

  1. Приняв концепцию цифровой трансформации «Санарип Кыргызстан», правительство Кыргызстана считает необходимым разработать и внедрить комплексные меры кибербезопасности для обеспечения безопасной и успешной цифровизации (переход на электронные каналы взаимодействия);
  2. Грузия достигла значительных успехов в относительно короткий период времени в сфере обеспечения кибербезопасности и служит хорошим примером для Кыргызстана в целях моделирования своей программы кибербезопасности;
  3. В рамках своей стратегии кибербезопасности правительство Грузии создало эффективную правовую базу, построило архитектуру системы кибербезопасности с нуля, провело программы повышения осведомленности и обучения, а также содействовало местному и международному сотрудничеству;
  4. Кыргызстан больше не может позволить себе отложить принятие своей стратегии кибербезопасности и другого соответствующего законодательства. Правительство должно действовать сейчас и делать это с учетом местных условий и международной передовой практики и опыта;
  5. Простого принятия стратегий и законов будет недостаточно. Правительство должно также создать исследовательские центры, разработать учебные модули и кампании по повышению осведомленности, а также разработать механизмы сотрудничества с международными партнерами и частным сектором в стране.

В 2017 году Грузия заняла 2-е место в списке самых преданных стран по индексу глобальной-кибербезопасности МСЭ (международный союз электросвязи). В 2018 году Грузия заняла 9-е место в Европе и 18-е место в мире по индексу глобальной кибербезопасности. Фото: unian.net

В сентябре 2017 года Глобальный центр по наращиванию потенциала в области кибербезопасности опубликовал отчет под названием «Обзор потенциала Кыргызской Республики в сфере кибербезопасности». Одним словом, результаты этого исследования продемонстрировали довольно плачевное положение дел, присвоив низкие оценки по всем 5 критериям и заявив, что почти все, что касается кибербезопасности в Кыргызстане, все еще находится на самой ранней стадии развития. Спустя два года ситуация не сильно изменилась, но необходимость изменения подхода к кибербезопасности становится все более острой. Эта необходимость особенно очевидна в свете решения правительства о приоритезации проектов цифровой трансформации. Недавнее принятие Концепции цифровой трансформации «Санарип Кыргызстан 2019-2023» и ее Плана действий поставило Кыргызстан на путь цифровизации, который обещает привести к значительным политическим, экономическим и социальным результатам.

Хотя правильно выполненные проекты по цифровизации имеют многочисленные положительные результаты, особенно в том, что касается повышения эффективности и действенности государственного управления и стимулирования экономического развития, они также влекут за собой риски и создают многочисленные уязвимости в киберпространстве. Автоматизация операций, создание информационных систем и подключение к Интернету подвергают государственные агентства, предприятия и частных лиц кибер атакам. Таким образом, важнейшая часть успешной цифровой трансформации будет зависеть от обеспечения кибернетической и информационной безопасности, что потребует создания правовой и институциональной базы, повышения осведомленности и просвещения всех заинтересованных сторон, а также сотрудничества с иностранными и местными партнерами. К сожалению, самым большим достижением правительства в этом отношении стало представление проекта стратегии кибербезопасности в декабре 2018 года, который до сих пор не принят.

Тем не менее, преимуществом опоздавшего — это возможность наблюдать за тем, что уже сделали другие государства, учиться на их опыте и пытаться повторить их политику успеха.

В этом отношении Кыргызстану есть чему поучиться у грузинского подхода и опыта в сфере кибербезопасности. Правительство Грузии находится на пороге принятия своей стратегии кибербезопасности третьего поколения. Грузия неизменно входит в число ведущих стран с хорошо продуманными и эффективными программами кибербезопасности. В 2017 году Грузия заняла 2-е место в списке самых преданных стран по индексу глобальной-кибербезопасности МСЭ (международный союз электросвязи). В 2018 году Грузия заняла 9-е место в Европе и 18-е место в мире по индексу глобальной кибербезопасности. Успех Грузии еще более впечатляющий, учитывая, как мало времени понадобилось ее правительству, чтобы войти в список ведущих стран кибербезопасности — ее первая стратегия кибербезопасности была принята 7 лет назад в 2012 году. Но не только успех Грузии делает ее привлекательной страной для Кыргызстана, чтобы смоделировать свою программу кибербезопасности на ее примере. Грузия и Кыргызстан схожи во многих отношениях, включая советское прошлое, нехватку ресурсов, бурную политическую историю и другие особенности, когда дело доходит до политического и экономического ландшафта двух стран. Таким образом, правительству Кыргызстана будет разумно и полезно изучить грузинский подход и опыт в сфере кибербезопасности.

Что такое кибербезопасность? И почему это важно?

Кибербезопасность — это практика защиты сетей, систем и данных.
В частности, это относится к доступности, целостности и конфиденциальности компьютерных сетей и информационных систем. В этом случае доступность сетей и систем относится к их рабочему состоянию в любое время, когда это необходимо. Целостность систем и сетей означает, что они остаются неизменными, и только авторизованные пользователи могут вносить в них изменения. Если вам когда-либо не удавалось установить внешнюю программу на ваш рабочий компьютер, просто знайте, что вы потерпели неудачу, потому что это нарушило бы целостность компьютерной сети на вашем рабочем месте. Конфиденциальность систем, сетей и данных относится к правилу, согласно которому только авторизованные пользователи имеют доступ к ним, чтобы предотвратить кражу, удаление и другие виды ущерба. Обеспечение доступности, целостности и конфиденциальности компьютерных сетей, информационных систем и данных является основной целью любой программы кибербезопасности.     

Недавние политические события и события в области  безопасности привели к появлению новых типов угроз в киберпространстве. Кибервойна, кибершпионаж, кибертерроризм и киберпреступность — это новый дополнительный набор угроз, которые государства должны решать в настоящее время.  Хакерство, вторжение вредоносных програм, фишинг (сетевое мошенничество) и другие формы кибератак проникли в повседневную жизнь компаний и частных лиц. Для таких государств, как Эстония и Грузия, которые подверглись серьезным кибератакам в 2007 и 2008 годах соответственно, кибератаки были быстро доведены до уровня угроз национальной безопасности. Однако даже для таких стран, как Кыргызстан, которые не подвергались таким масштабным кибератакам и не оказываются во враждебной обстановке, как Грузия в отношении продолжающегося конфликта с Россией, существует ряд других причин серьезно относиться к кибербезопасности.

Во-первых, только 12 процентов кибератак спонсируются государством, то есть кибервойна и кибершпионаж составляют лишь малую часть киберпреступлений. Во-вторых, 80 процентов кибератак направлены на отдельные лица, поскольку люди всегда были самым слабым звеном в кибербезопасности. Большинство киберпреступников преследуют финансовые интересы и крадут личные данные для дальнейшей кражи с банковских счетов, получения выкупа или продажи их третьим лицам. Дело в том, что цифровые решения неизбежно ведут к киберпространству и создают уязвимости, которые гарантированно будут использованы киберпреступниками. Последнее, но не менее важное  — текущая ситуация в восточной Украине демонстрирует, как друзья могут за короткое время превратиться во врагов, и служит дополнительным стимулом для разработки и реализации надлежащих мер кибербезопасности.

Правовая и институциональная база

Одной из фундаментальных предпосылок эффективных мер кибербезопасности является правовая база. Характер угроз, создаваемых кибератаками, и относительная новизна этих угроз означают, что действующее законодательство не распространяется на киберпреступления и не имеет механизма их предотвращения и борьбы с ними. Одним из способов классификации киберпреступлений является рассмотрение их через дихотомию кибер-зависимых и кибер-активированных (cyber-enabled) преступлений. Кибер-зависимые атаки, такие как взлом, вторжение вредоносного ПО или атака-DDoS (распределенная атака на отказ в обслуживании), являются преступлениями, которые могут быть совершены только с использованием компьютера, компьютерных сетей или других форм ИКТ. Кибер-активированные преступления — это традиционные преступления, которые умножаются в масштабе или достигаются за счет использования компьютеров и компьютерных сетей. Грузия с нуля разработала правовую базу для борьбы с киберпреступностью, кибервойной и кибершпионажем. Это началось с принятия первой стратегии кибербезопасности. Стратегия второго поколения была принята в 2017 году. Обе стратегии были направлены на создание правовой основы и архитектуры кибербезопасности. Одновременно правительство Грузии приняло два важных закона: первый — о защите личных данных, и второй — об информационной безопасности — оба были приняты в 2012 году. Эти документы позволили создать новые институты, создать организации, требования и стандарты для обеспечения кибербезопасности персональных данных, критической инфраструктуры и субъектов критических информационных систем.

Вышеупомянутые стратегии и законы привели к созданию в Грузии архитектуры кибербезопасности. Совет государственной безопасности и управления кризисами Грузии обеспечивают стратегическое руководство, и координирует работу соответствующих органов в сфере кибербезопасности. Закон об информационной безопасности привел к созданию Бюро по кибербезопасности при Министерстве обороны. Этот орган отвечает за обеспечение кибербезопасности военных объектов и организаций страны. Агентство по обмену данными (АОД) при Министерстве юстиции занимается кибербезопасностью и информационной безопасностью в государственном секторе. Агентство поддерживает и контролирует выполнение Закона об информационной безопасности путем составления списка критически важных объектов информационных систем и разработки минимальных требований и стандартов для их защиты от кибератак. На сегодняшний день АОД перечислило 40 государственных ведомств в качестве субъектов критических информационных систем и применяет к ним исчерпывающие и строгие меры кибербезопасности. АОД также отвечает за управление Группой реагирования на компьютерные инциденты (CERT), которая состоит из ИТ-специалистов, которые предоставляют техническую поддержку, необходимую для предотвращения и борьбы с кибератаками. Измерение киберпреступности (Cyber Crime Dimension) Центрального управления уголовной полиции при Министерстве внутренних дел была создана для расследования киберпреступлений. В случаях, когда киберпреступления направлены против государства, измерение киберпреступности передает обязанности по расследованию Совету государственной безопасности. Правовые и институциональные рамки Грузии служат прочной основой для реализации политики кибербезопасности.

Повышение осведомленности, обучение и навыки

Для Грузии повышение осведомленности и образование являются одними из наиболее важных аспектов, когда речь идет о реализации политики в области кибербезопасности, учитывая уровень ее новизны, как для государственных чиновников, так и для простых граждан. Словом, большинство людей не знают о рисках и последствиях посещения подозрительных веб-сайтов, нажатия на сомнительные ссылки и электронные письма или загрузки неизвестных файлов, поскольку не всегда легко узнать, когда кто-то подвергается кибератакам. Таким образом, люди всегда были самым слабым звеном в цепи кибербезопасности. Чтобы предотвратить и своевременно бороться с кибератаками, правительство Грузии запустило обязательные учебные курсы для всех государственных чиновников. Эти курсы полезны не только для образовательных целей, но и для обеспечения участия в программах кибербезопасности от высокопоставленных государственных чиновников. Курсы кибергигиены для государственных служащих учат их, как обнаруживать и предотвращать проникновение вредоносных ПО и фишинг, безопасно пользоваться Интернетом, а также обучают их кибер-рискам, типам кибератак и угрозам. Там также есть теоритические задания по кибербезопасности для высшего руководства, в ходе которых государственные чиновники разрабатывают различные сценарии и способы действий в случае кибератак.

АОД обеспечивает потребности в обучении кибербезопасности простых граждан и частных компаний. В рамках своей работы АОД организовывает Форум по кибербезопасности два раза в год. Эта платформа предоставляет возможность экспертам, государственным органам и частным компаниям обсуждать проблемы и обмениваться идеями. Тот факт, что частные компании владеют многочисленными субъектами критических информационных систем, такими как банки и интернет-службы, вынуждает государство организовывать курсы кибергигиены и для частных компаний. Студенты университета также проходят курсы АОД. Начиная с 2020 года, АОД планирует ввести в школах курсы по информационной безопасности и с самого начала обучать детей кибербезопасности. Офис инспектора по защите персональных данных организовывает, ежемесячные бесплатные тренинги и предоставляет консультации по вопросам защиты данных компаниям и государственным органам по их запросу. Все эти государственные программы повышения осведомленности и обучения, которые сопровождаются взаимодополняющими усилиями гражданского общества, основаны на исходном предположении, что знания и навыки в области кибербезопасности являются неотъемлемой частью успеха.

Международное сотрудничество и государственно-частное партнерство

Будь то киберпреступность, кибервойна или кибершпионаж, новизна кибернетических вызовов поставила государства и частные лица в одинаковое положение, когда сотрудничество — это не вариант, а абсолютная необходимость. Кроме того, транснациональный характер кибератак в сочетании с его масштабами и частотой служат еще одним фактором, почему сотрудничество является обязательным. Основными партнерами Грузии являются европейские партнеры и США. Грузия подстраивает свое законодательство под законы Европейского союза, пытаясь вступить в его состав. Это предполагает сотрудничество и в сфере кибербезопасности так же. Грузия установила тесное сотрудничество с Эстонией, которая в 2007 году стала жертвой крупных кибератак и в которой ныне размещен учебный центр по кибербезопасности НАТО (NATO Excellence Center for Cyber Security).  Другим близким партнером являются США, которые поддерживают Грузию путем наращивания технического потенциала и повышения осведомленности о киберугрозах. Разнообразие и растущая интенсивность кибератак означает, что ни одно государство не может эффективно противостоять им самостоятельно.

Не менее важной формой сотрудничества является государственно-частное партнерство. Поскольку большинство кибератак направлено на отдельные лица и частные компании, для государства имеет смысл обмениваться информацией и решениями для этих атак. Большая часть кибер-интеллекта Грузии находится в частном секторе. В условиях нехватки хорошо подготовленных специалистов по кибербезопасности, работающих в государственных органах, и концентрации многих критически важных объектов инфраструктуры и объектов критически важных информационных систем в частных руках, крайне важно разработать механизмы и платформы для обмена информацией о кибератаках, проблемами и обмен передовым опытом. Существуют конфиденциальные платформы для компаний и государственных учреждений для обмена информацией о кибератаках без объявления ущерба — большинство компаний боятся ущерба репутации. Кроме того, для решения проблемы нехватки кибербезопасности, правительство привлекло талантливых специалистов из частного сектора, которые присоединились к его киберрезерву и которые будут вызваны в чрезвычайных ситуациях из-за кибератак. Этот механизм сотрудничества решает проблему готовности к кибератакам, нехватки ресурсов для их регулярной оплаты и общей нехватки специалистов по кибербезопасности.

Выводы     

Подход и опыт Грузии в обеспечении кибербезопасности преподают три важных урока. Во-первых, для достижения значительного прогресса не требуется много времени, но потребуется вклад всего правительства и постоянная политическая воля. Во-вторых, важно создать правовую базу и механизмы для ее изменения. Кроме того, для правильной работы программы кибербезопасности требуется архитектура кибербезопасности, построенная с нуля — старые институты, организации и стандарты не являются ни адекватными, ни достаточными. В-третьих, повышение осведомленности и обучение государственных служащих, частных компаний и простых граждан обеспечивает поддержку и успех мер кибербезопасности. Невозможно двигаться вперед без людей, обладающих знаниями и навыками в области кибербезопасности.

Что касается рекомендаций для правительства Кыргызстана, то это 6 вещей, которые нужно сделать в первую очередь без дальнейших задержек:

  1. Принять стратегию кибербезопасности с четкими целями и измеримыми целями. Стратегия должна ставить реальные цели и фокусироваться на закладке основ с точки зрения правовой и институциональной базы.
  2. Принять закон об информационной безопасности и другие необходимые законы и создать механизмы для его пересмотра и внесения изменений. В этом состоянии важно помнить о важности наличия единого координирующего государственного органа.
  3. Создать институты и организации, которые станут частью архитектуры кибербезопасности. Не нужно назначать обязанности по кибербезопасности существующим государственным органам. Это будет возможно только после расширения их человеческих и финансовых ресурсов.
  4. Создать исследовательские и аналитические центры, которые будут предоставлять общественности, руководителям, и заинтересованным сторонам знания и советы о том, как двигаться вперед в отношении разработки и реализации мер кибербезопасности.
  5. Разработка информационно-просветительских кампаний для общественности и тренинги по кибергигиене для представителей государственных учреждений и частных компаний, которые работают в критически важных объектах инфраструктуры и субъектах критически важных информационных систем.
  6. Поискать дружественные страны, которые продвинули программы кибербезопасности и наладить сотрудничество для обмена опытом и изучения передовой практики. Одновременно создать механизмы государственно-частного партнерства.

Данный материал подготовлен в рамках проекта «Giving Voice, Driving Change — from the Borderland to the Steppes Project», реализуемого при финансовой поддержке Министерства иностранных дел Норвегии. Мнения, озвученные в статье, не отражают позицию редакции или донора.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Сообщить об опечатке
Текст, который будет отправлен нашим редакторам: