В последние годы в Казахстане все чаще поднимаются вопросы целесообразности внедрения национального сертификата безопасности, а также запрета на использование интернета через незащищенные шифрованием протоколы
 
В информационном пространстве Казахстана сегодня множество электронных и программных систем и сервисов.
В информационном пространстве Казахстана сегодня множество электронных и программных систем и сервисов.

Хотя идея и не обсуждалась широкой общественностью, ряд экспертов-скептиков успел заявить о потенциальной возможности его использования для «прослушки» всего внешнего трафика и нарушения принципа конфиденциальности.

Вопросы обеспечения информационной безопасности «Комсомолка» обсудила с директором школы программирования «GRAND master» Алматом Куанышбаевым (на фото).

Алмат Куанышбаев. Фото: Фото автора.

Алмат Куанышбаев.

- Кто в информационном пространстве более защищен 0 гражданин или государство?

- В информационном пространстве Казахстана сегодня множество электронных и программных систем и сервисов, которые, несомненно, облегчают нашу с вами жизнь. И практически каждая из этих систем имеет «точки уязвимости», причем в большинстве случаев элементарные. Это, нужно отметить, лакомый кусочек для хакеров. По статистике Алматинского Центра анализа и расследования кибератак (ЦАРКА), в 2016 году произошла утечка информации в 83% госорганов Казахстана. И не случайно, что у нас в госорганах и учреждениях образования ввели запрет на использование мобильных устройств, оснащенных интернет-модулями, фото и видеокамерами.

- Если госорганы бессильны перед хакерами, что же тогда говорить о простых гражданах?

- Сегодня собрать досье на человека в интернете не представляет особого труда. Например, была обнародована статистика Казахстанской Ассоциации IT-компании о том, что в Кызылординской области люди в возрасте от 18 до 55 лет практически не умеют правильно обращаться с компьютером. Это говорит о цифровой безграмотности наших соотечественников в XXI веке. Напомню, что еще в 1984 году в мире впервые был запущен вирус «Иерусалим», который, распространяясь по Сети, удалял все данные в компьютерах. С тех пор различные компьютерные вирусы продолжают прогрессировать и разрастаться. Появились новые виды, основанные на возможности несанкционированного и неправомерного доступа к информации. Замыслы у злоумышленников при этом могут быть любые: от кражи денег до шпионажа.

- Что же тогда делать?

- Нам нужно привыкнуть жить в информационном мире и в первую очередь понять, что сегодня самое главное 0 это информационная безопасность. Практически нет ни одной системы безопасности, которую нельзя было «взломать». Есть политика информационной безопасности, есть методы защиты. И если пользователи интернета будут соблюдать их, то они будут защищены. Но зачастую парадокс в том, что не вирус заражает компьютер, а сам пользователь - потому что именно он открывает зараженный документ, переходит на «интересный» сайт, качает нелицензионное программное обеспечение и так далее. Словом, нам нужно научиться соблюдать элементарные правила поведения в информационном мире, привить эти навыки родным и близким.

Говоря о необходимости цифровой «гигиены», хотелось бы сказать еще вот о чем. Есть такое понятие, как «социальная инженерия» 0 метод управления действиями человека без использования технических средств. Пару лет назад наш Центр с разрешения местного акимата провел исследование: представившись сотрудниками Управления внутренней политики, мы звонили в государственные органы, акиматы районов, школы и запрашивали информацию об IT-сотрудниках. И что вы думаете? Нам удалось собрать полную информацию о них, включая паспортные данные, адреса, электронные почты, номера телефонов, 0 все, что считается конфиденциальным и не должно передаваться третьим лицам. Бывало, получали ответы на фирменных бланках с печатями.

- Что скажете по поводу идеи внедрения национального электронного сертификата безопасности?

- Этот вопрос не один год находится в повестке дня соответствующих министерств и ведомств. В настоящее время разработаны подзаконные акты, которые будут регулировать эти вопросы. Изменения в Законе о связи, направленные на регулирование отношений с передачей шифрованной информации, подразумевают внедрение определенных норм, которые будут регулировать шифрованный трафик, передаваемый за пределами Казахстана и получаемые извне. Естественно, неосведомленных в этом вопросе пользователей ресурсов в первую очередь беспокоит конфиденциальная безопасность. Люди почему-то склонны думать о том, что с введением новшества спецслужбы будут отслеживать всю информацию, передающуюся по Сети. Но на самом деле это не так. Цель внедрения сертификата состоит в повышении безопасности казахстанских пользователей интернета при пользовании зарубежными ресурсами, а также для борьбы с международным терроризмом, детской порнографией, транснациональной преступностью. Дело в том, что социальные сети и мессенджеры, такие как «В Контакте», «Mail.ru», «Facebook», «Google», «WhatsApp» и другие, находятся за рубежом. И все сообщения, которые мы пишем, находятся «у них», и нет никакой гарантии в том, что к ним нет доступа спецслужб этих стран. История с Эдвардом Сноуденом бывшим сотрудником ЦРУ и АНБ 0 наглядно показала, что от этого не застрахован никто, включая самых высших чинов государств.

В силу моей профессиональной деятельности я часто слышу вопрос о возможности тотальной «прослушки». Люди наивно полагают, что, мол, у спецслужб есть какое-то чудо-устройство, с помощью которого при желании можно «сканировать» всех и вся. Вместе с тем они забывают о том, что в каждом телефоне есть протокол защиты, который прежде надо взломать.

- В случае внедрения сертификата безопасности каковым представляется механизм его работы?

- Это будет своего рода информационная таможня. Информация, передаваемая за границы Казахстана и, наоборот, через зарубежные мессенджеры, будет проходить в зашифрованном виде. И это правильно, ведь, как уже говорил, пользователи интернета не соблюдают элементарные меры информационной безопасности. Это чревато последствиями. Например, на браузер можно записать вредоносную программу, код, по которым в последующем можно контролировать каждый вход, заполучить доступ к налоговым отчетам организаций и ведомств, денежным средствам граждан. На этот счет можно привести немало примеров. Вот для чего нужен сертификат безопасности. Он не пропустит вредоносные программы и спамы, делая фильтрацию, будет их автоматически блокировать.

Как сказал основатель и владелец «Лаборатории Касперского» Евгений Касперский, «чем больше государство будет нуждаться в онлайн-обработке материалов, тем больше для него угроз». Сегодня мир на пороге пятой промышленной революции. Хотим мы того или нет, скоро всюду будет властвовать цифровая технология, обуславливая необходимость укрепления информационной безопасности. И не случайно в Послании «Третья модернизация Казахстана: глобальная конкурентоспособность» Первый Президент РК Нурсултан Назарбаев отметил все большую актуальность борьбы с киберпреступностью и поручил правительству и КНБ принять меры по созданию системы «Киберщит Казахстана».

Если плюсы новшества так очевидны, то какие трудности с его внедрением?

Трудности, на мой взгляд, заключаются в том, что у нас не на должном уровне ведется разъяснительная работа. Люди на самом деле не знают, зачем стране нужен сертификат безопасности. Вместе с тем еще свежи в памяти печальные истории с «Синим китом». Их фигуранты переписывались через социальные сети, а надлежащего контроля со стороны государства не было.

При этом сама новость о том, что в Казахстане планируется внедрение национального сертификата безопасности, СМИ изначально была подана некорректно - с намеком на тотальную «прослушку». Соответственно, отсюда и протестное отношение общества к новшеству.

Кроме того, отдельная тема для разговора - уровень квалификации отечественных IT-специалистов. В марте 2017 года в стране произошла хакерская атака на казахстанские банки, в результате чего работа ряда из них была парализована. Это говорит о низком уровне кадров. Есть даже анализ о том, что в случае чего 90% банков второго уровня страны не сумеют отразить хакерские атаки. Не хочу никого обидеть, но зачастую наши «айтишники» даже не умеют создавать обычные почтовые серверы. Весь оборот документации госорганов, передаваемый через социальные сети, является секретной информацией. И здесь помощь сертификата безопасности была бы очень кстати. С его помощью информация будет проходить через серверы в зашифрованном виде, и «посредники» не смогут ее прочесть. А пока, к сожалению, в этом плане в Казахстане везде и всюду информационная «дыра».

Источник www.kp.kz