Перейти к содержимому

С Киберщитом или на щите?

Каждую секунду на нашей планете хакерским атакам подвергаются около 13 тысяч человек, а глобальный ущерб от киберпреступлений превышает $110 млрд в год. Казахстан, ведущий активную цифровизацию, подвержен тем же рискам.

Недостатки — это продолжение достоинств: всеобщий доступ ко всемирной сети, стремительное развитие IT- технологий, глобальная цифровизация делают нашу жизнь комфортнее, бизнес - прибыльнее, но в тоже время повышают вероятность кибератак. К ним прибегают как обычные преступники, так и террористы, и даже целые государства.

Баунти за тестирование

Напомним, что Концепция «Киберщит Казахстана» вступила в силу в 2017 году. С той поры республика сделала впечатляющий рывок - в 2022 году в рейтинге уровня кибербезопасности Global Cybersecurity Index Казахстан занял 31-е место из 182. Индекс страны составил 93,15. А ведь в 2017 году у нас была только 82-ая позиция.

В целом расходы на реализацию проекта «Киберщит" за 2017-2022 годы оцениваются в 28,8 млрд тенге.

К примеру, в нашем законодательство РК введено понятие "киберстрахование" - страхуется имущественный вред юрлицу, который она понесла в результате компьютерных инцидентов. Также предусмотрено возмещение за моральный вред из-за утечки данных физическому лицу,

А в МЦРИАП создан Комитет по информационной безопасности (КИБ). Этот госорган занимается исключительно защитой казахстанцев от киберугроз, шире - информационной безопасностью государственных электронных баз данных и систем. За этим ведомством также законодательное сопровождение и регулирование отрасли в целом.

Заметным явлением в сфере ИБ является пилотный запуск негосударственной платформы BugBounty. Это - открытый конкурс по поиску уязвимостей (багов) в информационных системах (ИС) и ресурсах. И за это выплачивается достойное вознаграждение. По сути, это оплата труда по тестированию систем на надёжность.

На ресурсе https://bugbounty.kz на 29.05.23 зарегистрировано более 1 тысячи независимых экспертов, от которых получено свыше 1,2 тыс. отчетов с сообщениями об обнаружении слабых мест программ для взломщиков. К примеру, по данным МЦРИАП, была предотвращена возможная утечка медицинских данных на 7 млн человек. С помощью «белых хантеров» или «хороших хакеров» несколько крупных банков РК уберегли данные своих клиентов.

Бюджет вознаграждения за текущий год по нашим меркам солидный - $700 000.

Правила участия просты - «охотник» регистрируется на платформе, формирует отчет с полным описанием уязвимости той или иной программы, участвующей в Bug Bounty. Затем он направляет отчет на платформу. Главное правило - не сообщать об этом в отрытом доступе.

Если аналитик безопасности Bug Bounty подтверждает наличие бага в информационной системе (ИС), то отчет направляется владельцу, который принимает финальное решение. В конечном итоге «багхантер» получает оговорённую сумму.

Вот интересные факты: среди поощряющих поиски уязвимых мест ИС РУК, лидером является программа QazNet - получила 1261 отчетов, принято - 792 или 62.8%.

На втором месте NITEC от «Национальные информационные технологии» (АО «НИТ»)- рассмотрено всего136 отчетов, принятых и оплаченных - 97. Третий призер - Qaznet Financial Sector: 104 и 71, соответственно.

Среди команд охотников за багами 1384 впереди аватар tkn13 с 1360 баллам, но совсем рядом alzey -1360. И замыкает тройку призёров mr. president - 706.

Взломать - не строить

С 2022 по 2027 годы в нашей республике стране будет реализована новая концепция развития цифровой экосистемы «Киберщит-2», отражающая современные реалии. В ней прописаны основные направления повышения кибербезопасности РК. Среди намеченных мер введение административной ответственности за допущение утечки персональных данных.

Также это касается развития отечественного программного обеспечения (ПО) — это один из важных факторов повышения безопасности инфоресурсов и сетей.

Кроме того, будет регулироваться деятельность иностранных социальных и медиа-платформ. Не секрет, что сегодня иностранные русскоязычные интернет-ресурсы в нашей стране, в силу исторических причин и участия РК в ЕАЭС, имеют избыточный информационный вес, часто не соблюдают законодательство РК.

Помимо распространения заведомо ложной информации, некоторые из них целенаправленно продвигают деструктивные идеи, в том числе пропаганду войны, сепаратизма, разжигание межконфессиональной и межэтнической розни. Эти вызовы требуют оперативной и адекватной реакции.

В документе учтены позитивный мировой опыт и рекомендации казахстанских экспертов и участников информационного рынка. В МЦРИАП считают, что необходимо активно сотрудничать в сфере защиты данных с бизнес-сообществом.

Правительство также намерено создать единую техническую политику в сфере информационно-коммуникационных технологий (ИКТ), в частности, предприятия и организации будут ранжировать по критерию ИБ.

А еще будет создано централизованное подразделение радиочастотного мониторинга всей территории страны, появится ИС учета радиоэлектронных средств.

Есть также планы создания резервного Национального координационного центра информационной безопасности (НКЦ ИБ) и «Киберполигона».

Кстати, в конце 2022 года на базе Академии КНБ в Алматы впервые проведены курсы первоначальной подготовки «Основы информационной безопасности (кибергигиена)» для всех категорий работников госорганов и организаций страны. Кибергигиена – это образ мышления, основанный на понимании важности безопасности работы ИС.

Первые 720 участники курсов изучали основные виды распространенных компьютерных преступлений: от привычных DDOS-атак до хитроумных приемов «фишинга», кроме того, методы социального инжиниринга и алгоритмы управления киберинцидентами.

Обучение происходило в формате интерактивных вебинаров, даже контрольные тесты сдавали онлайн. Организаторы курсов кибергигиены планируют продолжить онлайн-формат обучения и в этом году.

0
0
604

Еще по теме

С Киберщитом или на щите? - Yvision.kz