В ходе очередной экспертной встречи на площадке аналитической платформы CABAR. asia эксперты из четырех стран региона (кроме Туркменистана) обсудили вопросы кибербезопасности в странах Центральной Азии и меры, которые предпринимаются правительствами стран и гражданским обществом для ее улучшения.
В Центральной Азии стремительно идет процесс цифровизации – как на уровне государств, так и в жизни самих людей. Электронный документооборот, цифровизация госуслуг, интернет-покупки, электронные кошельки – все это уже прочно вошло в урбанизированную жизнь жителей региона, и этот процесс продолжается.
Но его обратная сторона – это утечка персональных данных, списание средств, использование чужих данных в различных операциях и другие, подобные риски. Киберпреступления, кибершпионаж и кибервойны в мире – это реальность, которая уже достигла регион Центральной Азии.
Насколько страны региона – законодательно и практически – готовы ко всем потенциальным рискам от процесса цифровизации? На эти и другие вопросы ответили эксперты – из Казахстана, Ал-Айдар Амирсейит, аналитик по кибербезопасности компании TSARKA, из Кыргызстана – Артем Горяйнов, заместитель директора по информационным технологиям Общественного фонда “Гражданская инициатива Интернет политики”, Асомиддин Атоев, региональный эксперт в области информационных технологий и кибербезопасности, региональный координатор проекта CyberSTAR Фонда SecDev в Центральной Евразии по наращиванию потенциала гражданского общества в области культуры цифровой безопасности и Шухрат Саттаров, исследователь вопросов информационной (кибер-) безопасности, международной информационной безопасности, специалист в области противодействия информационным угрозам, кибер-терроризму из Узбекистана.
В глобальном индексе кибербезопасности, который составляют эксперты Международного союза электросвязи ООН (International Telecommunication Union) из стран ЦА наиболее высокие позиции в 2020 году занимал Казахстан- 38 место из 192 стран. Далее идет Узбекистан – 78, Кыргызстан – 100, Таджикистан в этом рейтинге на 146 месте.
Все страны Центральной Азии приняли множество законодательных документов, стратегий, концепций в области цифровой и кибербезопасности и стремятся наращивать свой потенциал, понимая, что в современных реалиях риски и угрозы в этой области будут только нарастать. Однако есть множество моментов, на которые стоит обратить внимание правительствам для того, чтобы усилить киберщиты и обезопасить не только свои государственные интересы, но и данные населения своих стран, отмечали эксперты.
В частности, Казахстан уже сделал многое для защиты своего киберпространства от внешних угроз, а также уделяет большое внимание обучению специалистов, сообщил Ал- Айдар Амирсейит, аналитик компании TSARKA.
«На законодательном уровне у нас сейчас разрабатывается вторая интерпретация Национальной политики «Киберщит 2.0», в которую включены уже более практические направления по обеспечению безопасности. Помимо этого на данный момент у нас идёт пересмотр политики защиты персональных данных с участием Международного финансового центра Астана и национальной аудитной среды для того, чтобы сделать более защищёнными государственные органы и частный сектор более ответственными за хранение и обработку персональных данных, а также об использовании этих персональных данных для обучения искусственным интеллектам машинного обучения», – сказал аналитик из Казахстана
Он также рассказал о том, что в настоящий момент Министерство цифровизации, инноваций аэрокосмической промышленности усилило работу по подготовке кадров. Уже в конце этого года это министерство намерено выпускать специальные ваучеры, которые будут выдаваться школам программирования по республике для обучения и переобучения специалистов, чтобы усилить их подготовку в области реагирования на кибер инциденты и для того, чтобы они были более подготовленными и компетентными.
Кроме того, в стране ежегодно увеличивается доля грантов на специальность «информационная безопасность». В этом плане показательны усилия частных компаний, которые отбирают студентов из вузов в свои оперативные центры информационной безопасности для того, чтобы они наработали себе определенный опыт и развивались.
Артем Горяйнов, заместитель директора по информационным технологиям Общественного фонда “ГИИП” из Кыргызстана обратил внимание на разницу между законодательными инициативами и нормами и практическим применением усилий по защите киберпространства в странах региона.
В Кыргызстане есть много хороших инициатив. Была принята стратегия кибербезопасности, которая разрабатывалась с учетом интересов всех сторон, организовался координационный совет, при в Совете безопасности, включавший специалистов из госорганов, из-за экономической среды и частного сектора и так далее.
«Но, как всегда, что-то пошло не так. Теперь кибербезопасность у нас полностью пошла в ведение Госкомитета национальной безопасности. Но вы сами понимаете, наши комитеты небезопасности, в силу мандата – это закрытые структуры. … Но на самом деле, кибербезопасность подразумевает открытость. Чтобы об этом не говорили, она подразумевает открытость, она подразумевает обмен информацией. А наши Комитеты нацбезопасности в силу мандата не могут этим заниматься», – считает кыргызстанский эксперт.
В рамках проектов, помимо всех остальных инициатив по цифровизации, включая создание государственного облака для государственных информационных систем, в стране идет разработка цифрового кодекса, который будет включать в себя регулирование цифрового пространства и компонент по кибербезопасности, разрабатывается закон о безопасности, который будет включать в себя, а в том числе защиту критической информационной инфраструктуры, сообщил Горяйнов.
«К сожалению, мало можно сказать об их работе, потому что я говорю всё-таки основная задача сервера – это обмен информацией, в том числе и обмен угрозами, это предупреждение об угрозах, анализ угроз и так далее. Но так как структура достаточно закрытая, поэтому информации об этом не сказать, что так много», – сказал он.
Кыргызстанский эксперт отметил положительные инициативы правительства и сказал, что спустя 14 лет или 13 лет после создания и принятия Закона об информации персонального характера в стране была создано и хорошо заработало Агентство по защите персональных данных.
В соответствии с еще одним индексом кибербезопасности, Эстонской Академия управления и Governments Academy, Таджикистан занимает 143 место. Если сравнивать с другими странами Центральной Азии, то, включая Афганистан, Таджикистан занимает шестое или пятое место после Афганистана и опережает только Туркменистан, сообщил Асомиддин Атоев, региональный эксперт в области информационных технологий и кибербезопасности.
В Таджикистане этот вопрос регулируется Концепцией информационной безопасности Республики Таджикистан, Концепцией информационной государственной информационной политики, рядом других ведомственных законов, связанных с противодействием с киберпреступностью и противодействием насильственному экстремизму онлайн и оффлайн.
На практическом уровне создан хороший потенциал создан у частного сектора, банковской сферы, сферы телекоммуникационного сектора. У каждой компании созданы свои «серты».
К сожалению, на национальном уровне пока таких серверов ни для государственного, ни для негосударственного сектора не существует. Есть подразделения в правоохранительных органах и органах безопасности, которые взаимодействуют и борются в киберпреступлениями в рамках борьбы с экстремизмом и терроризмом, отметил Атоев.
«Согласно Концепции информационной безопасности Республики Таджикистан – информационная безопасность, это защита национальных интересов в информационном пространстве, включая интернет. И национальные интересы составляют сбалансирование интересов личности, общества и государства. Мне очень нравится представить эту формулу в виде – интересы личности умноженное на интересы общества, умноженное на интересы государства. В таком виде формула показывает важность того определения, которое даёт концепция роли каждого в этом процессе. И если интересы одного субъекта не учитываются или ущемляются, то для общих национальных интересов будут равны либо минусу либо нулю. Что сводит информационную безопасность на нет», – сказал эксперт из Таджикистана.
На текущий момент в Узбекистане есть актуальность понимания и важности вопросов цифровой безопасности и сделаны уже достаточно хорошие шаги, отметил Шухрат Саттаров, исследователь вопросов информационной безопасности из Узбекистана.
В 20219 году был принят Закон о защите персональных данных, где была определена структуризация, что такое персональные данные, как и где они должны храниться. В 2021 году были внесены ещё дополнения, которые ужесточают санкционную политику со стороны государства за разглашение персональных данных. Саттаров считает, что в этом есть определённые плюсы и минусы.
«То, что этот закон подразумевает хранение данных в информационных системах, в том числе, в глобальных социальных сетях и так далее на территории Узбекистана, с точки зрения мировой практики, это нормальная процедура. Но опять же, с точки зрения исполнения и имплементации на техническом уровне — это достаточно серьёзный вопрос. Как и кто будет размещать эти сведения на территории страны? Кто, в конце концов, за это будет платить? У кого какие мощности, ресурсы на этот счёт?», – задается вопросом эксперт.
Саттаров подчеркнул, что государство уделяет большое внимание развитию цифрового сектора. В начале нынешнего года в Узбекистане был принят Закон о кибербезопасности. И несмотря на то, что он в большей степени относится к вопросу обеспечения кибербезопасности государства, но там определены понимание и понятия самой системы кибербезопасности.
Он считает, что «как бы ни парадоксально это звучало, Сovid, очень серьёзно способствовал развитию информационных услуг в Узбекистане. Например, банковская сфера капитально развилась за один год. Вплоть до доставок, до огромного количества цифровых услуг», – сказал он.
Между тем, все эксперты отмечали очень низкий уровень цифровой грамотности среди населения почти во всем регионе Центральной Азии. Это происходит из-за отсутствия или низкого уровня государственных программ по развитию осведомлённости собственного населения в странах Центральной Азии.
«Я бы сказал, что уровень цифровой грамотности среди населения в Казахстане достаточно низкий. Потому что, опять-таки, как уже упоминали раньше, люди передают свои удостоверения, копии удостоверения личностей или же какие-то свои паспортные данные по Ватсапу, по Телеграму, через любые мессенджеры, любому человеку, который об этом попросит. Что создаёт очень большую угрозу похищения персональных данных, оформления каких-то кошельков или совершения каких-то мошеннических действий», – сказал Ал- Айдар Амирсейит.
Эксперты считают, что государства стран региона и организации неправительственного сектора должны усилить работу по развитию образования в области цифровизации среди населения, обратить пристальное внимание на подготовку кадров и усилить работу по защите собственного цифрового пространства.
Полную версию экспертной встречи можно посмотреть здесь: