CABAR.asia: Как цифровизация в Казахстане стала угрожать кибербезопасности

В 2022 году Казахстану предстоит оценить эффективность сразу двух госпрограмм, которые были нацелены на массовую цифровизацию страны. Упор на количество, а не качество все это время вызывал беспокойство у экспертного сообщества. Пока такой подход лишь способствовал росту числа киберугроз и потворствовал низкой цифровой культуре граждан.

Вопрос государственной важности

Кибербезопасность — это специфическая деятельность госорганов, нацеленная на обеспечение защиты виртуального пространства, ресурсов организации и пользователя от цифровых атак. Эта деятельность включает в себя множество составляющих: от стратегий и принципов до практики и технологий, которые могут быть использованы для обеспечения безопасности на всех уровнях.

Для простоты измерений Международный союз электросвязи (МСЭ) разложил кибербезопасность государств на пять сфер:

  • правовые меры: законы и нормативные акты о киберпреступности и кибербезопасности;
    технические меры: реализация технических возможностей национальными и отраслевыми ведомствами;
  • организационные меры: национальные стратегии и организации, ответственные за кибербезопасность;
  • развитие потенциала: информационные и образовательные кампании, стимулы для развития киберосознанности;
  • сотрудничество: партнерство между компаниями, ведомствами, странами.

С 2015 года МСЭ оценивает киберблагополучие стран, используя эту рамку в Глобальном индексе кибербезопасности. И хотя состав «корзин» остался прежним, методика их оценки за шесть лет претерпела значительные изменения. Сначала все показатели имели равный вес – оценивались в 0, 1 или 2 балла и попросту складывались. К 2021 году количество вопросов в анкете, которую заполняют страны-участницы, выросло почти в пять раз. Респонденты отвечали на закрытые вопросы и подкрепляли ответы нужными данными. При этом каждый индикатор теперь обладает собственным весом в зависимости от важности, а шкала оценки расширилась до 100.

Внешний инструмент для внутренней оценки

Глобальный индекс кибербезопасности МСЭ является «основным индикатором» в сфере кибербезопасности в таких стратегических программах как «Киберщит Казахстана» и «Цифровой Казахстан».

«Почему он важен? Потому что за счет такой небольшой строчки как индекс киберготовности, можно сказать, подтягивается вся сфера», — пытается объяснить логику присутствия индекса в госпрограммах Олжас Сатиев, президент ОЮЛ «Центр анализа и расследования кибератак» (ЦАРКА).

В 2015 году изучение вторичных данных позволило исследователям поместить Казахстан на 23-е место из 29. На той же позиции оказались, к слову, еще 14 стран, среди которых была, например, Сирия, уже четвертый год находившаяся в состоянии гражданской войны. В 2017 году авторы индекса отказались от идеи группировать страны со схожими показателями, и Казахстан занял 82-е место из 164. В 2019 году республика расположилась уже на 40-м месте из 175. В отчете за прошлый год Казахстан поднялся до 31-й строчки в рейтинге из 182 мест.

Сабина Садиева, заместитель директора Казахстанского института стратегических исследований при президенте, убеждена, что глобальные индексы не подходят для национальных систем управления. По её мнению, они играют «этакую роль заменителя», когда на уровне политического руководства отсутствует оценка эффекта мер госрегулирования на общество и экономику.

«В этом плане международные рейтинги — это удобный инструмент. Проблема в том, что инструмент подменяет собой сам результат», — пишет она.

Анна Гусарова. Фото из личного архива

Анна Гусарова, директор Центральноазиатского института стратегических исследований, член Экспертной группы по цифровым правам, тоже считает, что «индекс кибербезопасности не показывает, насколько эффективно были реализованы госпрограммы». Она подчеркивает, что он не отражает глубину проблем, которые в этой сфере есть в самых отдаленных уголках республики. Кроме этого, ориентация на индекс лишь подстегивает убыстряющийся темп цифровизации страны.

Когда пользователь под ударом

Преобладающая роль государства, чрезмерный акцент на технологические аспекты и необходимость получения быстрых количественных результатов (читай: мест в рейтингах) — в этом заключается специфика цифровизации в Казахстане. Такой нестратегический подход чреват неприятностями, пишут Гусарова и Серик Джаксылыков в своем исследовании, посвященном защите персональных данных.

«С одной стороны, речь идет об уязвимостях, исходящих от государственных и негосударственных игроков», — утверждают исследователи.

Уязвимость — это недостаток в компьютерной системе, использование которого приводит к нарушению целостности системы и некорректной работе. В том, что таких недостатков в отечественных системах достаточно, казахстанцы убеждаются все последние годы.

В 2019 году персональные данные 11 млн казахстанцев утекли с серверов Центральной избирательной комиссии. В 2020 году специалисты ЦАРКА обнаружили утечки данных из Генеральной прокуратуры и Системы контроля качества в сфере здравоохранения. В том же году команда «белых» хакеров проверила на наличие уязвимостей 91 государственный веб-ресурс (результаты на графике ниже).

В 2021 году независимые исследователи во время поиска уязвимостей обнаружили доступ к системе управления жизнеобеспечением столицы, а также выяснили, что при получении результатов ПЦР-тестирования можно получить медицинские данные порядка 7 млн граждан, обратившихся в одну из лабораторий страны.

Госпрограмма есть, а культуры нет

«С другой стороны, отсутствует видение по формированию культуры цифровизации, продвижению кибергигиены и цифровой грамотности среди граждан», — исследователи называют еще один недостаток выбранной Казахстаном модели цифровизации.

В 2017 году правительство представило программу «Цифровой Казахстан». В ней пять направлений диджитализации и ни в одном из них не говорится о необходимости защиты персональных данных и продвижении цифровой культуры.

В 2021 году исследовательница Алия Тлегенова решила выяснить отношение гражданского общества к официальным мерам по защите персональных данных и получила вполне закономерные результаты. Она отправила форму с опросом в 160 отечественных НПО. Ответ пришел лишь от 24 организаций, и только в трети сотрудники проходили тренинги по информационной безопасности и кибергигиене.

Валерий Зубанов. Фото: tazabek.kg

«Человеческий фактор все еще остается самым слабым звеном в цепочке цифровой безопасности. По разным данным, 95% всех киберинцидентов происходит именно из-за беспечности человека», — напоминает Валерий Зубанов, коммерческий директор «Лаборатории Касперского» в Центральной Азии.

Между тем, среди целевых индикаторов программы «Цифровой Казахстан» можно обнаружить рост производительности труда и созданных рабочих мест, долю электронных госуслуг и интернет-пользователей, объем инвестиций в стартапы и улучшение в индексе глобальной конкурентоспособности. «Киберщит Казахстана», помимо прочего, нацелен на увеличение количества переподготовленных IT-специалистов и доли отечественных программных продуктов, используемых в госсекторе. Период реализации обоих документов заканчивается в 2022 году.

Туманные перспективы

Анна Гусарова пока затрудняется прогнозировать, к чему приведет выбранная Казахстаном траектория цифровизации, однако уверена – пандемия COVID-19 убедительно продемонстрировала весь масштаб имеющихся в отрасли проблем. При этом эксперт не склонна возлагать всю ответственность на государство — патернализм казахстанцев тоже ощутимо тормозит процесс развития кибербезопасности.

«На данном этапе я не вижу совместного желания со стороны государства, бизнеса и гражданского общества работать в этой сфере», — говорит исследовательница.

Вместе с тем она считает, что именно в части кибербезопасности можно создать «хороший прецедент», объединив усилия и экспертизу всех стейкхолдеров. Первопроходцами в этом, вероятно, можно считать Экспертную группу по цифровым правам и инициативу BugBounty.kz. Первая в Казахстане продвигает повестку соблюдения прав человека в цифровой среде, а вторая – налаживает связь между IT-сообществом, государством и крупным бизнесом.

При этом истинной целью этого диалога должен стать поиск пресловутого баланса между уважением свобод граждан и обеспечением национальной безопасности в виртуальном пространстве. Пожалуй, ни у одной страны мира пока нет универсальной формулы — идеального соотношения прав и ограничений в киберсреде. Поэтому ценность постоянного обмена мнениями в этом контексте не теряет своей актуальности и спустя полвека после появления интернета.

«CABAR.asia»
Маргарита Бочарова
02.02.22