«Грузия и Кыргызстан схожи во многих отношениях, включая советское прошлое, нехватку ресурсов, бурную политическую историю и другие особенности, когда дело доходит до политического и экономического ландшафта двух стран. Правительству Кыргызстана будет разумно и полезно изучить грузинский подход и опыт в сфере кибербезопасности», — отмечает в своей статье Нурбек Бекмурзаев, независимый исследователь, участник Школы аналитики CABAR.asia из Бишкека.
Материал подготовлен в рамках программы стажировки участников Школы аналитики CABAR.asia в Тбилиси (Грузия).
Подпишитесь на наш канал в Telegram!
Краткий обзор статьи:
- Приняв концепцию цифровой трансформации «Санарип Кыргызстан», правительство Кыргызстана считает необходимым разработать и внедрить комплексные меры кибербезопасности для обеспечения безопасной и успешной цифровизации (переход на электронные каналы взаимодействия);
- Грузия достигла значительных успехов в относительно короткий период времени в сфере обеспечения кибербезопасности и служит хорошим примером для Кыргызстана в целях моделирования своей программы кибербезопасности;
- В рамках своей стратегии кибербезопасности правительство Грузии создало эффективную правовую базу, построило архитектуру системы кибербезопасности с нуля, провело программы повышения осведомленности и обучения, а также содействовало местному и международному сотрудничеству;
- Кыргызстан больше не может позволить себе отложить принятие своей стратегии кибербезопасности и другого соответствующего законодательства. Правительство должно действовать сейчас и делать это с учетом местных условий и международной передовой практики и опыта;
- Простого принятия стратегий и законов будет недостаточно. Правительство должно также создать исследовательские центры, разработать учебные модули и кампании по повышению осведомленности, а также разработать механизмы сотрудничества с международными партнерами и частным сектором в стране.
В сентябре 2017 года Глобальный центр по наращиванию потенциала в области кибербезопасности опубликовал отчет под названием «Обзор потенциала Кыргызской Республики в сфере кибербезопасности». Одним словом, результаты этого исследования продемонстрировали довольно плачевное положение дел, присвоив низкие оценки по всем 5 критериям и заявив, что почти все, что касается кибербезопасности в Кыргызстане, все еще находится на самой ранней стадии развития. Спустя два года ситуация не сильно изменилась, но необходимость изменения подхода к кибербезопасности становится все более острой. Эта необходимость особенно очевидна в свете решения правительства о приоритезации проектов цифровой трансформации. Недавнее принятие Концепции цифровой трансформации «Санарип Кыргызстан 2019-2023» и ее Плана действий поставило Кыргызстан на путь цифровизации, который обещает привести к значительным политическим, экономическим и социальным результатам.
Хотя правильно выполненные проекты по цифровизации имеют многочисленные положительные результаты, особенно в том, что касается повышения эффективности и действенности государственного управления и стимулирования экономического развития, они также влекут за собой риски и создают многочисленные уязвимости в киберпространстве. Автоматизация операций, создание информационных систем и подключение к Интернету подвергают государственные агентства, предприятия и частных лиц кибер атакам. Таким образом, важнейшая часть успешной цифровой трансформации будет зависеть от обеспечения кибернетической и информационной безопасности, что потребует создания правовой и институциональной базы, повышения осведомленности и просвещения всех заинтересованных сторон, а также сотрудничества с иностранными и местными партнерами. К сожалению, самым большим достижением правительства в этом отношении стало представление проекта стратегии кибербезопасности в декабре 2018 года, который до сих пор не принят.
В этом отношении Кыргызстану есть чему поучиться у грузинского подхода и опыта в сфере кибербезопасности. Правительство Грузии находится на пороге принятия своей стратегии кибербезопасности третьего поколения. Грузия неизменно входит в число ведущих стран с хорошо продуманными и эффективными программами кибербезопасности. В 2017 году Грузия заняла 2-е место в списке самых преданных стран по индексу глобальной-кибербезопасности МСЭ (международный союз электросвязи). В 2018 году Грузия заняла 9-е место в Европе и 18-е место в мире по индексу глобальной кибербезопасности. Успех Грузии еще более впечатляющий, учитывая, как мало времени понадобилось ее правительству, чтобы войти в список ведущих стран кибербезопасности — ее первая стратегия кибербезопасности была принята 7 лет назад в 2012 году. Но не только успех Грузии делает ее привлекательной страной для Кыргызстана, чтобы смоделировать свою программу кибербезопасности на ее примере. Грузия и Кыргызстан схожи во многих отношениях, включая советское прошлое, нехватку ресурсов, бурную политическую историю и другие особенности, когда дело доходит до политического и экономического ландшафта двух стран. Таким образом, правительству Кыргызстана будет разумно и полезно изучить грузинский подход и опыт в сфере кибербезопасности.
Что такое кибербезопасность? И почему это важно?
Недавние политические события и события в области безопасности привели к появлению новых типов угроз в киберпространстве. Кибервойна, кибершпионаж, кибертерроризм и киберпреступность — это новый дополнительный набор угроз, которые государства должны решать в настоящее время. Хакерство, вторжение вредоносных програм, фишинг (сетевое мошенничество) и другие формы кибератак проникли в повседневную жизнь компаний и частных лиц. Для таких государств, как Эстония и Грузия, которые подверглись серьезным кибератакам в 2007 и 2008 годах соответственно, кибератаки были быстро доведены до уровня угроз национальной безопасности. Однако даже для таких стран, как Кыргызстан, которые не подвергались таким масштабным кибератакам и не оказываются во враждебной обстановке, как Грузия в отношении продолжающегося конфликта с Россией, существует ряд других причин серьезно относиться к кибербезопасности.
Во-первых, только 12 процентов кибератак спонсируются государством, то есть кибервойна и кибершпионаж составляют лишь малую часть киберпреступлений. Во-вторых, 80 процентов кибератак направлены на отдельные лица, поскольку люди всегда были самым слабым звеном в кибербезопасности. Большинство киберпреступников преследуют финансовые интересы и крадут личные данные для дальнейшей кражи с банковских счетов, получения выкупа или продажи их третьим лицам. Дело в том, что цифровые решения неизбежно ведут к киберпространству и создают уязвимости, которые гарантированно будут использованы киберпреступниками. Последнее, но не менее важное — текущая ситуация в восточной Украине демонстрирует, как друзья могут за короткое время превратиться во врагов, и служит дополнительным стимулом для разработки и реализации надлежащих мер кибербезопасности.
Правовая и институциональная база
Одной из фундаментальных предпосылок эффективных мер кибербезопасности является правовая база. Характер угроз, создаваемых кибератаками, и относительная новизна этих угроз означают, что действующее законодательство не распространяется на киберпреступления и не имеет механизма их предотвращения и борьбы с ними. Одним из способов классификации киберпреступлений является рассмотрение их через дихотомию кибер-зависимых и кибер-активированных (cyber-enabled) преступлений. Кибер-зависимые атаки, такие как взлом, вторжение вредоносного ПО или атака-DDoS (распределенная атака на отказ в обслуживании), являются преступлениями, которые могут быть совершены только с использованием компьютера, компьютерных сетей или других форм ИКТ. Кибер-активированные преступления — это традиционные преступления, которые умножаются в масштабе или достигаются за счет использования компьютеров и компьютерных сетей. Грузия с нуля разработала правовую базу для борьбы с киберпреступностью, кибервойной и кибершпионажем. Это началось с принятия первой стратегии кибербезопасности. Стратегия второго поколения была принята в 2017 году. Обе стратегии были направлены на создание правовой основы и архитектуры кибербезопасности. Одновременно правительство Грузии приняло два важных закона: первый — о защите личных данных, и второй — об информационной безопасности — оба были приняты в 2012 году. Эти документы позволили создать новые институты, создать организации, требования и стандарты для обеспечения кибербезопасности персональных данных, критической инфраструктуры и субъектов критических информационных систем.
Вышеупомянутые стратегии и законы привели к созданию в Грузии архитектуры кибербезопасности. Совет государственной безопасности и управления кризисами Грузии обеспечивают стратегическое руководство, и координирует работу соответствующих органов в сфере кибербезопасности. Закон об информационной безопасности привел к созданию Бюро по кибербезопасности при Министерстве обороны. Этот орган отвечает за обеспечение кибербезопасности военных объектов и организаций страны. Агентство по обмену данными (АОД) при Министерстве юстиции занимается кибербезопасностью и информационной безопасностью в государственном секторе. Агентство поддерживает и контролирует выполнение Закона об информационной безопасности путем составления списка критически важных объектов информационных систем и разработки минимальных требований и стандартов для их защиты от кибератак. На сегодняшний день АОД перечислило 40 государственных ведомств в качестве субъектов критических информационных систем и применяет к ним исчерпывающие и строгие меры кибербезопасности. АОД также отвечает за управление Группой реагирования на компьютерные инциденты (CERT), которая состоит из ИТ-специалистов, которые предоставляют техническую поддержку, необходимую для предотвращения и борьбы с кибератаками. Измерение киберпреступности (Cyber Crime Dimension) Центрального управления уголовной полиции при Министерстве внутренних дел была создана для расследования киберпреступлений. В случаях, когда киберпреступления направлены против государства, измерение киберпреступности передает обязанности по расследованию Совету государственной безопасности. Правовые и институциональные рамки Грузии служат прочной основой для реализации политики кибербезопасности.
Повышение осведомленности, обучение и навыки
Для Грузии повышение осведомленности и образование являются одними из наиболее важных аспектов, когда речь идет о реализации политики в области кибербезопасности, учитывая уровень ее новизны, как для государственных чиновников, так и для простых граждан. Словом, большинство людей не знают о рисках и последствиях посещения подозрительных веб-сайтов, нажатия на сомнительные ссылки и электронные письма или загрузки неизвестных файлов, поскольку не всегда легко узнать, когда кто-то подвергается кибератакам. Таким образом, люди всегда были самым слабым звеном в цепи кибербезопасности. Чтобы предотвратить и своевременно бороться с кибератаками, правительство Грузии запустило обязательные учебные курсы для всех государственных чиновников. Эти курсы полезны не только для образовательных целей, но и для обеспечения участия в программах кибербезопасности от высокопоставленных государственных чиновников. Курсы кибергигиены для государственных служащих учат их, как обнаруживать и предотвращать проникновение вредоносных ПО и фишинг, безопасно пользоваться Интернетом, а также обучают их кибер-рискам, типам кибератак и угрозам. Там также есть теоритические задания по кибербезопасности для высшего руководства, в ходе которых государственные чиновники разрабатывают различные сценарии и способы действий в случае кибератак.
АОД обеспечивает потребности в обучении кибербезопасности простых граждан и частных компаний. В рамках своей работы АОД организовывает Форум по кибербезопасности два раза в год. Эта платформа предоставляет возможность экспертам, государственным органам и частным компаниям обсуждать проблемы и обмениваться идеями. Тот факт, что частные компании владеют многочисленными субъектами критических информационных систем, такими как банки и интернет-службы, вынуждает государство организовывать курсы кибергигиены и для частных компаний. Студенты университета также проходят курсы АОД. Начиная с 2020 года, АОД планирует ввести в школах курсы по информационной безопасности и с самого начала обучать детей кибербезопасности. Офис инспектора по защите персональных данных организовывает, ежемесячные бесплатные тренинги и предоставляет консультации по вопросам защиты данных компаниям и государственным органам по их запросу. Все эти государственные программы повышения осведомленности и обучения, которые сопровождаются взаимодополняющими усилиями гражданского общества, основаны на исходном предположении, что знания и навыки в области кибербезопасности являются неотъемлемой частью успеха.
Международное сотрудничество и государственно-частное партнерство
Будь то киберпреступность, кибервойна или кибершпионаж, новизна кибернетических вызовов поставила государства и частные лица в одинаковое положение, когда сотрудничество — это не вариант, а абсолютная необходимость. Кроме того, транснациональный характер кибератак в сочетании с его масштабами и частотой служат еще одним фактором, почему сотрудничество является обязательным. Основными партнерами Грузии являются европейские партнеры и США. Грузия подстраивает свое законодательство под законы Европейского союза, пытаясь вступить в его состав. Это предполагает сотрудничество и в сфере кибербезопасности так же. Грузия установила тесное сотрудничество с Эстонией, которая в 2007 году стала жертвой крупных кибератак и в которой ныне размещен учебный центр по кибербезопасности НАТО (NATO Excellence Center for Cyber Security). Другим близким партнером являются США, которые поддерживают Грузию путем наращивания технического потенциала и повышения осведомленности о киберугрозах. Разнообразие и растущая интенсивность кибератак означает, что ни одно государство не может эффективно противостоять им самостоятельно.
Не менее важной формой сотрудничества является государственно-частное партнерство. Поскольку большинство кибератак направлено на отдельные лица и частные компании, для государства имеет смысл обмениваться информацией и решениями для этих атак. Большая часть кибер-интеллекта Грузии находится в частном секторе. В условиях нехватки хорошо подготовленных специалистов по кибербезопасности, работающих в государственных органах, и концентрации многих критически важных объектов инфраструктуры и объектов критически важных информационных систем в частных руках, крайне важно разработать механизмы и платформы для обмена информацией о кибератаках, проблемами и обмен передовым опытом. Существуют конфиденциальные платформы для компаний и государственных учреждений для обмена информацией о кибератаках без объявления ущерба — большинство компаний боятся ущерба репутации. Кроме того, для решения проблемы нехватки кибербезопасности, правительство привлекло талантливых специалистов из частного сектора, которые присоединились к его киберрезерву и которые будут вызваны в чрезвычайных ситуациях из-за кибератак. Этот механизм сотрудничества решает проблему готовности к кибератакам, нехватки ресурсов для их регулярной оплаты и общей нехватки специалистов по кибербезопасности.
Выводы
Подход и опыт Грузии в обеспечении кибербезопасности преподают три важных урока. Во-первых, для достижения значительного прогресса не требуется много времени, но потребуется вклад всего правительства и постоянная политическая воля. Во-вторых, важно создать правовую базу и механизмы для ее изменения. Кроме того, для правильной работы программы кибербезопасности требуется архитектура кибербезопасности, построенная с нуля — старые институты, организации и стандарты не являются ни адекватными, ни достаточными. В-третьих, повышение осведомленности и обучение государственных служащих, частных компаний и простых граждан обеспечивает поддержку и успех мер кибербезопасности. Невозможно двигаться вперед без людей, обладающих знаниями и навыками в области кибербезопасности.
Что касается рекомендаций для правительства Кыргызстана, то это 6 вещей, которые нужно сделать в первую очередь без дальнейших задержек:
- Принять стратегию кибербезопасности с четкими целями и измеримыми целями. Стратегия должна ставить реальные цели и фокусироваться на закладке основ с точки зрения правовой и институциональной базы.
- Принять закон об информационной безопасности и другие необходимые законы и создать механизмы для его пересмотра и внесения изменений. В этом состоянии важно помнить о важности наличия единого координирующего государственного органа.
- Создать институты и организации, которые станут частью архитектуры кибербезопасности. Не нужно назначать обязанности по кибербезопасности существующим государственным органам. Это будет возможно только после расширения их человеческих и финансовых ресурсов.
- Создать исследовательские и аналитические центры, которые будут предоставлять общественности, руководителям, и заинтересованным сторонам знания и советы о том, как двигаться вперед в отношении разработки и реализации мер кибербезопасности.
- Разработка информационно-просветительских кампаний для общественности и тренинги по кибергигиене для представителей государственных учреждений и частных компаний, которые работают в критически важных объектах инфраструктуры и субъектах критически важных информационных систем.
- Поискать дружественные страны, которые продвинули программы кибербезопасности и наладить сотрудничество для обмена опытом и изучения передовой практики. Одновременно создать механизмы государственно-частного партнерства.
Данный материал подготовлен в рамках проекта «Giving Voice, Driving Change — from the Borderland to the Steppes Project», реализуемого при финансовой поддержке Министерства иностранных дел Норвегии. Мнения, озвученные в статье, не отражают позицию редакции или донора.