Казахстан адаптируется к киберэре

Казахстан адаптируется к киберэре

Стремительные перемены ставят перед этой центральноазиатской страной целый комплекс вызовов

Анна Гусарова, Казахстанский институт стратегических исследований

Влияние, которое информационные и коммуникационные технологии оказывают на все сферы человеческой жизни, привело к возникновению новых уязвимостей. Произошли коренные перемены в структуре социальных отношений и в роли государств. На международной арене расцвел кибершпионаж, ставящий под вопрос эффективность международного правового режима. Изменения в балансе сил в виртуальном пространстве может привести к изменениям в геополитическом балансе сил. Государства не только действуют в киберпространстве напрямую, но и активно пользуются возможностями дискредитировать своих политических и экономических соперников в реальном мире. Системы обороны и критическая инфраструктура стали уязвимыми.

В течение последних нескольких лет впечатляющими темпами шла интеграция Казахстана в глобальное информационное сообщество. Недостаточное внимание к новым возможностям, а также к рискам и угрозам, может повредить развитию страны и отбросить ее на периферию международных отношений. В этом смысле существует необходимость в постоянном мониторинге и ситуационном анализе с целью правильного понимания стремительных и фундаментальных изменений в обстановке.

IT-революция

Стремительное развитие информационных технологий привело к возникновению новой конкурентной среды в международных отношениях, в которой кибертехнологии играют ключевую роль в повседневной жизни. Именно здесь проходит передний край борьбы за научное, техническое, политическое и экономическое превосходство.

Разработка цифровых технологий – это дорогая отрасль, требующая огромных инвестиций не только в оборудование и цифровые носители информации, но и в обучение персонала. В результате традиционные ключевые игроки в сфере международных отношений, такие как США, Великобритания, Китай и в определенной степени Россия сохранили лидирующие позиции.

Интернет больше не является лишь надежной системой для передачи электронных сообщений. Сегодня интернет – это место, где в прямом смысле слова миллионы людей живут и работают, продают и покупают товары, организуют онлайн-аукционы, создают семьи, обсуждают интересные темы, развлекаются и различными способами самовыражаются. Другим важным результатом развития кибертехнологий стало уменьшение возможностей охраны государственных секретов. Случай Эдварда Сноудена является примером этой уязвимости.

Потенциал международного кибершпионажа и международное проникновение в национальные секторы киберпространства подняли вопрос о жизнеспособности принципа государственного суверенитета. Эти новые параметры уязвимостей поставили проблему регулирования киберпространства в рамках международного права.

Существует два основных подхода. Они не являются взаимоисключающими, а, скорее, по-разному расставляют акценты. Первый подход основан на глобальной деятельности под руководством Совета Европы по разработке общих стандартов безопасности на основе Конвенции о киберпреступности, которые могли бы заложить основу для противодействия киберугрозам и регулирования межгосударственных отношений в данной сфере. Второй подход уделяет главное внимание национальным системам кибербезопасности на основе потенциалов и интересов, которые могли бы задать глобальные правила поведения в киберпространстве. Действия технологически развитых государств говорят о том, что на данный момент доминирующим является второй подход.

Казахстан и Центральная Азия

Государства Центральной Азии остаются на периферии распространения информационных технологий. Тем не менее цифровые технологии начинают играть все более важную роль в государственных и общественных сферах жизни стран региона. В то же время страны Центральной Азии зачастую подвергаются преступным кибератакам, в основном имеющим своей целью финансовое мошенничество.

По данным сервиса Kaspersky Security Network, Казахстан стал объектом 85% всех интернет-атак на страны региона, по сравнению с 8% Узбекистана, 4% Кыргызской Республики, 2% Туркменистана и 1% Таджикистана. Большинство кибератак были направлены на правительственные веб-сайты с целью получения финансовой информации. Считается, что большинство преступлений в киберпространстве совершается хакерами, относящимися к местным организованным преступным группировкам, пытающимся добыть ценные финансовые и промышленные данные.

По данным Всемирного банка, ежемесячно в Казахстане интернетом пользуется более 10 млн. человек, или около 60% населения. В сельских районах уровень проникновения интернета существенно ниже, около 30%. Однако тренд направлен резко вверх, так как доля интернет-пользователей среди населения выросла с 0,5% в 2000 г. до 15% в 2008 г. и 41% в 2011 г. Среднестатистический пользователь является лицом мужского пола в возрасте от 15 до 35 лет с доходами не ниже среднего – или же студентом.

Электронная коммерция отвечает лишь за 0,45% всего розничного рынка в Казахстане; однако эксперты полагают, что в 2015 г. с использованием электронной торговли было осуществлено до 4% розничных продаж на общую сумму 3 млрд. долл. США. В Обзоре ООН по уровню развития электронного правительства за 2014 г. Казахстан занял 28-е место среди 193 стран по уровню развития электронного правительства, 23-е место по электронному участию и 23-е место по оказанию онлайн-услуг.

Астана, Казахстан АССОШИЭЙТЕД ПРЕСС

Астана, Казахстан
АССОШИЭЙТЕД ПРЕСС

Возникновение электронного правительства способствует изменениям в отношениях между обществами и их властями в направлении демократизации, а также к сокращению административных расходов. В то же время сетевое взаимодействие (в своем кибернетическом и социальном измерении) привело к утрате правительствами монополии на осуществление властных полномочий, определяемых как возможность влиять на деятельность и поведение и задавать тенденции социального поведения. Очевидно, что способность – в первую очередь техническая – влиять на информационное наполнение делает возможным манипулирование общественным сознанием.

Кибербезопасность является относительно новой темой в Казахстане, а защита данных приобрела огромное значение для государства и частных лиц. Тенденции развития киберпространства в Казахстане включают в себя:

Облегчение доступа к информационным ресурсам (интернет, цифровое телевидение, мобильная связь, современные технологии).

Рост компьютерной грамотности и вовлеченности граждан в информационную сферу (электронное обучение, электронные банковские услуги, электронные деньги, электронная коммерция, мобильные терминалы приема платежей «Pay-me», покупки через интернет).

Преобразование многих сфер общественной жизни на основе широкомасштабного прогресса в области информационных и коммуникационных технологий (ИКТ) (появление электронного правительства, Центр оперативного контроля, унифицированные системы контроля).

Интеграция в глобальное информационное пространство.

Проникновение кибертехнологий

Электронное правительство

Казахстан является лидером по предоставлению электронных государственных услуг. Из 675 правительственных служб 236 доступны через портал электронного правительства e-gov.kz, а 77 доступны онлайн (около 11,4%).

В 2010 г. был создан общедоступный портал электронных государственных закупок www.goszakup.gov.kz, находящийся под управлением товарищества с ограниченной ответственностью «Центр электронной коммерции». В 2011 г. начали работать две системы: система электронного лицензирования частных компаний и объединенная система «электронного нотариата» и «электронного акимата» для районных администраторов. С 2012 г. онлайн-платформа www.egov.kz объединяет базы данных Министерства здравоохранения, Министерства внутренних дел и ЗАГСов. На этом же веб-сайте можно оплатить 21 вид госплатежей, 16 видов госпошлины, четыре вида налогов, а также штрафы за нарушение ПДД. В апреле 2012 г. был выдан 1 млн. цифровых подписей – электронных подписей, идентифицирующих граждан.

Согласно правительственной статистике, к маю 2012 г. число пользователей портала egov.kz выросло в 122 раза, с 25-30 посещениями в день. 6% населения пользуется услугами электронного правительства, и эта доля растет быстрыми темпами. По данным Программы по развитию информационных и коммуникационных технологий, в 2013 г. на развитие портала было выделено 5,2 млрд. тенге (34,5 млн. долл. США), а в 2014 г. – 9,7 млрд. тенге (64,5 млн. долл. США).

Казахстан создал Национальный инфокоммуникационный холдинг «Зерде» – государственную компанию, задачей которой является развитие современных информационных и коммуникационных технологий. В стадии разработки находится национальное «облако», в котором будет размещена государственная IT-инфраструктура страны.

Электронная коммерция

Значительная глубина проникновения интернета в Казахстане привела к стремительному росту электронной коммерции. Объемы интернет-торговли выросли на 300% в 2011 г. и на 180% в 2012 г. Согласно правительственной статистике, годовой оборот электронной торговли в 2012 г. приблизился к 400 млн. долл. США (0,7% рынка), а в иностранных магазинах граждане Казахстана тратят более 1,3 млрд. долл. США.

Рынок электронной коммерции Казахстана состоит из более чем 500 интернет-магазинов. По данным Национального банка Казахстана, по состоянию на апрель 2013 г. гражданам страны было выдано 13 млн. кредитных карт. В интернет-торговле успешно участвуют такие фирмы, как АО «Казкоммерцбанк», «Эйр Астана», АО «Казахстанские железные дороги», «Сульпак», «Технодом» и «Меломан».

Кибервызовы

Рука об руку с положительными тенденциями в сфере ИКТ Казахстана идут растущие вызовы в области информационной и кибербезопасности. Казахстан занимает 18-е место в мире по количеству получаемого спама и седьмое по опасности веб-серфинга. По данным опубликованного в декабре 2014 г. информационного бюллетеня «Лаборатории Касперского», «в течение 2013 г. IT-инфраструктура 92% организаций в стране по крайней мере один раз подвергалась внешней кибератаке, а 66% компаний столкнулись с внутренними угрозами информационной безопасности».

Сегодня растущую угрозу представляют мобильные устройства. У 85% компаний в Казахстане был хотя бы один инцидент в области информационной безопасности. Лишь за первую половину 2013 г. «Лабораторией Касперского» было зарегистрировано 53 тыс. уникальных образцов вредоносного кода, направленного на мобильные устройства.

Кроме того, в 2013 г. кибератаке подвергся каждый второй пользователь в стране (55,5%). В 2013-2014 годах в Казнете было зарегистрировано 76 млн. случаев встречи с вредоносным программным обеспечением. Чаще всего с киберугрозами сталкиваются жители Алматы, Атырау и Шымкента (западная и южная части страны).

Развитие глобального киберпространства общественными институтами является гигантским шагом на пути к устойчивому развитию. Однако по сообщениям участников интернет-конференции iProf-2012, безопасность государственных веб-сайтов в Казахстане оставляет желать лучшего и требует значительного внимания (99% сайтов не способны отразить атаки хакеров). Хорошим примером такой уязвимости может служить имевшая место в 2012 г. хакерская атака на официальный веб-сайт Министерства культуры и информации.

На сегодняшний день скимминг мало распространен в Казахстане, однако количество кибератак с использованием этого метода растет, как и во всем мире. Так, например, как сообщает веб-сайт «TengriNews», в 2013 г. несколько граждан Румынии и Молдовы были задержаны в Алматы за использование скимминговых устройств для кражи данных из картоприемников банкоматов. Также стремительно растет число кибератак с использованием мобильного банкинга и случаев компьютерного мошенничества на фондовой бирже.

Имело место несколько кибератак на электронное правительство, как то: попытка хакеров уничтожить сайт e-gov.kz, а также официальную блог-платформу правительства Казахстана (2009 г.); атака на веб-сайт Национального космического агентства Казахстана (2010 г.); атака на веб-сайт Комитета по правам интеллектуальной собственности Министерства юстиции (2012 г.); а также атака на официальный веб-сайт Агентства по борьбе с экономической и коррупционной преступностью, т.е. финансовой полиции (2012 г.).

Нормативно-правовая база в киберсфере

Инициативы в области кибербезопасности в Казахстане зачастую исходят от главы государства. В частности, в ходе юбилейного саммита Шанхайской организации сотрудничества президент Казахстана Нурсултан Назарбаев предложил ввести новое понятие «электронных границ» и создать в рамках организации специальное подразделение для защиты от интернет-агрессии. Он также ввел в международное право термин «электронный суверенитет». На 66-й сессии Генеральной Ассамблеи ООН в 2011 г. Назарбаев предложил ускорить принятие Договора о глобальной кибербезопасности.

Казахстан и другие страны-участницы ОБСЕ выстроили нормативно-правовую базу для киберпространства. В последние годы в Казахстане принят целый ряд законов об электронном правительстве, электронных деньгах, электронной коммерции, интеллектуальной собственности и так далее.

На концептуальном уровне не существует четкого понимания разницы между «информационным пространством» и «киберпространством». В нормативно-правовой терминологии Казахстана практически не встречается префикс «кибер» (киберпространство, кибербезопасность, киберпреступность, кибервойна). Официальная терминология использует в этих понятиях более широкий префикс «информационный» (информационное пространство, информационная безопасность, информационная война). Однако оба варианта считаются эквивалентными в свете их широкого использования в СМИ и обычной речи.

В 2013 г. президент подписал указ, утверждающий государственную программу «Информационный Казахстан – 2020», призванную создать условия для перехода Казахстана к информационному обществу. Программа была разработана совместными усилиями Министерства транспорта и коммуникаций и заинтересованных экспертов. Ее целями являются повышение эффективности государственного управления и доступности информационной инфраструктуры, а также развитие национального информационного пространства. Ожидается, что посредством внедрения ИКТ будут решены задачи по оптимизации государственного управления, а также создано открытое и «мобильное правительство». Однако в программе не рассматриваются вопросы информационной безопасности.

Следует отметить, что кибербезопасность и киберпреступность в Казахстане существуют по большей части в экономической плоскости: оценка материальных и интеллектуальных ресурсов компаний, отношения с партнерами по корпоративным или производственным вопросам и состояние институциональных связей. Это подтверждает уголовный кодекс Казахстана, согласно которому экономические преступления с применением высоких технологий бывают двух разновидностей: «неправомерный доступ к компьютерной информации, создание, использование и распространение вредоносных программ для ЭВМ» и «неправомерное изменение идентификационного кода абонентского устройства сотовой связи».

В целом, данные с 2004 по 2010 годы ясно показывают интенсивный рост этого вида преступности: 26 преступлений в 2004 г., 713 в 2005, 1 437 в 2006, 1 622 в 2008, 2 196 в 2009 и 2 423 в 2010. Хотя не существует общедоступных данных за последующие годы, высока вероятность того, что данная тенденция к росту сохранилась и позже.

Новый проект уголовного кодекса проясняет уголовные преступления против безопасности информационных систем и содержит десять поправок, проясняющих в числе прочих такие преступления, как неправомерный доступ; неправомерная модификация или распространение информации; компьютерный саботаж; создание, использование или распространение вредоносных компьютерных программ и программных продуктов; а также нарушение правил использования информационных систем.

На институциональном уровне президент в 2010 г. дал поручение по созданию Компьютерной группы реагирования на чрезвычайные ситуации Казахстана (KZ-CERT) для защиты от киберугроз, внедрения информационных и коммуникационных технологий и обеспечению кибербезопасности. Ее функции включают анализ информации, вирусов, кодов безопасности и программ «ботнетов» из доменов зоны .kz, а также нарушения законодательства (порнография, насилие, нарушение авторских прав и так далее) пользователями Казнета. KZ-CERT оказывает содействие в реагировании на атаки «отказ в обслуживании» (DoS, DDoS), взлом онлайн-ресурсов, внедрение и распространение вредоносного программного обеспечения, фишинг, вирусы и ботнеты.

Осведомленность об IT-угрозах

Низкая осведомленность о киберугрозах среди IT-пользователей затрудняет защиту национального киберпространства Казахстана. По данным «Лаборатории Касперского», около 17% пользователей мобильных устройств не предпринимают никаких специальных действий для защиты паролей доступа к финансовым и/или платежным службам, а 39% пользователей во всем мире предпочитают использовать лишь один или лишь незначительное количество различных паролей для всего спектра посещаемых ими сайтов. Осведомленность о киберугрозах критически низка: лишь 6% респондентов знакомы с понятиями уязвимостей и атак «нулевого дня», 21% в некоторой степени знакомы с этими понятиями, а 74% совершенно не знакомы с ними. Например, лишь 4% респондентов были осведомлены о трояне Zeus/Zbot, заразившем 196 стран по всему миру, в то время как 73% были совершенно не осведомлены о нем.

Низкая осведомленность о киберугрозах ведет к несоблюдению базовых правил информационной безопасности. Кроме того, более половины компаний в Казахстане (52%) не выделяют денег и ресурсов на разработку политики в области IT-безопасности и покупку лицензионных версий антивирусных программ. Таким образом, в Казахстане наблюдается острая необходимость повысить уровень осведомленности об угрозах среди общественных институтов, частных предприятий, а также среди обычных интернет-пользователей. С апреля 2016 г. сотрудники правительственных ведомств будут обязаны оставлять свои смартфоны и планшеты на пропускных пунктах для минимизации утечки конфиденциальной информации через WhatsApp и другие мессенджеры. Например, в США существуют программы обучения старшеклассников и их учителей, а также широкой публики в области информационной безопасности, а федеральные служащие проходят обучение информационной безопасности.

Недостаточная квалификация в области IT

На сегодняшний день в Казахстане наблюдается острый дефицит квалифицированных IT-специалистов. Обладающих техническими навыками сотрудников трудно удержать по причине высокого спроса на эти навыки на мировом рынке труда. В 87% казахских компаний работают IT-специалисты, не способные адекватно оценить новые угрозы и предотвратить их реализацию. Между тем, по данным «Лаборатории Касперского», корпоративная IT-инфраструктура, которую можно заразить через мобильные устройства сотрудников, является основной мишенью кибератак. Казахстан должен лучше привлекать и удерживать высококвалифицированных профессионалов в области информационной безопасности.

Одной из основных задач по усилению кибербезопасности страны является развитие партнерства между государственным и частным секторами. На сегодняшний день сотрудничество между государством и частными компаниями в области киберобороны находится на критически низком уровне. Также имеет место недостаток сотрудничества между общественными институтами и частными компаниями в сфере компьютерных технологий и разработки программного обеспечения. Для эффективной кибербезопасности требуется дальнейшее развитие сотрудничества между правительством и партнерствами с участием государственных и частных организаций, т.е. операторами критической инфраструктуры и государством.

Новые меры кибербезопасности

Вступивший в силу 1 января 2016 г. новый закон Казахстана «О связи» вводит национальные сертификаты безопасности для пользователей интернета. Все операторы связи обязаны осуществлять пропуск трафика с использованием протоколов, поддерживающих шифрование, с применением сертификата безопасности, за исключением трафика, шифрованного средствами криптографической защиты информации. Целью национального сертификата безопасности является защита жителей Казахстана внутри страны с использованием протоколов шифрованного доступа к зарубежным интернет-ресурсам.

На пути реализации данного закона на всей территории страны есть много трудностей, а стоимость проекта составит миллионы долларов США. Однако по мере того как Казахстан вступает в киберэру, власти должны предпринять шаги по защите своих сетей, критической инфраструктуры и граждан от расширяющегося спектра новых угроз.  ο