Информационная безопасность Казахстана, реалии и перспективы — мнение эксперта

Информационная безопасность Казахстана, реалии и перспективы — мнение эксперта
No[1]| IT Новости Bluescreen

Информационная безопасность — это комбинация средств защиты информации от случайного или преднамеренного раскрытия. Владелец информации несет убытки независимо от того, было ли воздействие вызвано естественными или искусственными факторами: от проникновения в инфраструктуру и утечки данных до целевого фишинга. Онлайн-угрозы разнообразны, и они не отличают организации от физических лиц при поиске цели. Как защитить свои данные, распознать фишинговые сайты и не повестись на уловки мошенников, порталу bluescreen.kz рассказал Батыржан Тютеев, директор компании ТОО NitroTeam.

Батыржан, что такое информационная безопасность с вашей точки зрения? 

Это, наверное, самый глупый ответ, но, по моему мнению, это определенный комплекс мер, целью которого является предотвращение несанкционированного доступа, изменения какой-либо конфиденциальной информации 

Насколько на сегодняшний день термин «ИБ» применим и развит в Казахстане?

В Казахстане ИБ только начинает набирать популярность, и мы, что очень радует, идем семимильными шагами, наши команды показывают хорошие, а порой и лучшие результаты на различных мероприятиях и турнирах, посвященных теме ИБ. И речь сейчас идет не только о мероприятиях, проводимых в нашей стране, но и на международной арене. Яркий пример — наша компания, которая в прошлом году в составе другой команды Codeby заняла первое место в The Standoff в Москве среди лучших команд хакеров, а в этом году там же заняли второе место. The Standoff — это соревнование среди команд хакеров, которые за несколько дней должны взломать как можно больше ресурсов в модели реального города. Мы не первый год доказываем, что лучшие, такое мало кому удавалось из казахстанского ИБ-сообщества. 

Какие угрозы и риски ИБ существуют для экосистемы госсайтов в Казахстане? 

Самая большая проблема, как мне кажется, в непонимании — большая часть наших чиновников воспитывалась во времена, когда о компьютерах можно было только услышать, а в тех организациях, у которых были компьютеры, например, школы/университеты, чаще всего техника стояла как экспонаты, к которым нельзя было подходить. В связи с чем большинство ответственных за ИБ лиц просто не понимают, в чем проблема, когда приходишь к такому человеку и говоришь, что ваша база данных «смотрит наружу» и к ней легко можно подключиться, то чаще всего в ответ можно услышать: «И что?». 

Как, на ваш взгляд, обеспечивается ИБ в Казахстане? 

Сегодня видно, что работы в этом направлении ведутся, однако на текущий момент в стране очень большой дефицит специализированных кадров, и многие первоклассные специалисты предпочитают покинуть страну, чтобы работать по специальности за рубежом, где за ту же работу платят на порядок выше. Если на госслужбе для технического персонала повысят ЗП и уберут/сократят бюрократию, люди перестанут уезжать. Также развитие ИБ замедляет обязательная сертификация деятельности в этой области, т.е. если, к примеру, я хочу предоставлять услуги ИБ в РК, я должен пройти обязательную сертификацию, где в условиях указано наличие обязательных сертификатов и людей с образованием в области ИБ — к этим пунктам много вопросов. Например, один мой сотрудник по образованию юрист, и у него нет другого образования в области ИБ, но он один из лучших специалистов, и это я сейчас не только про Казахстан. При этом к нам приходят люди, окончившие факультет ИБ, и они не имеют должных знаний в этой области. 

Батыржан, в последнее время вышло много гос. приложений, к примеру, Ashyq, Damumed и прочие, в которых казахстанцам необходимо оставлять все свои данные. Насколько эта информация защищена? И можно ли доверять свои данные подобным приложениям? 

Учитывая, что за Ashyq нисколько не заплатили (со слов одного из чиновников), а защита информации стоит дорого, непонятно, в каком состоянии уровень защищенности данного приложения. Прежде чем вводить в эксплуатацию приложение, собирающее чувствительную информацию о гражданах РК, было бы правильным провести независимую экспертизу данного сервиса. 

А насколько безопасны и защищены сайты госорганов?

На текущий момент в сегменте подобных сайтов существуют проблемы, я бы дал оценку 7 из 10. Понимаете, процесс ИБ должен быть непрерывным. В наши госсайты изменения вносятся почти каждый день, а аудит они проходят, дай бог, раз в год, и этого недостаточно. Помимо этого каждый день находят новые уязвимости в различных платформах (cms, framework etc.). Некоторые сайты госорганов разработаны как раз на базе таких платформ и могут содержать уже известные уязвимости. 

Как защитить свои личные данные от злоумышленников? 

Самый простой способ — не оставлять свои личные данные в сомнительных приложениях, например, Ashyq (шутка). Старайтесь предоставлять минимум личной информации о себе в социальных сетях, заведите отдельный почтовый ящик для спама и указывайте его для сайтов, имеющих сомнительную репутацию, обязательно используйте разные пароли при регистрации в любых интернет-сервисах и включайте двухфакторную авторизацию везде, где предоставляется такая возможность. 

Если ваши данные все-таки украли, и вас шантажируют, что делать в таком случае?

Первое, что вы должны сделать, — это обратиться в соответствующие органы за помощью. Платить или нет — это сложный вопрос, если человек перешел к шантажу, то, как мне кажется, верить такому человеку точно не стоит, поэтому платить я бы не рекомендовал. 

Насколько безопасно оставлять свои данные на интернет-ресурсах и в соцсетях?

Крайне сомнительное занятие, если, конечно, это не связано с вашей работой. В других случаях люди, знающие вас, и так смогут найти с вами контакт. Здесь важно понимать, что любая информация, указанная в социальных сетях — город, номер телефона и тд. — может быть использована против вас 

Какие последствия могут повлечь за собой, взломанные аккаунты? 

Есть один интересный пример. Мошенники заработали 2 млн долларов, выдавая себя за Илона Маска. Это очень показательно, им даже не приходилось взламывать его аккаунт. Они просто делали поддельные аккаунты в социальных сетях, которые были максимально схожи с его оригинальным аккаунтом, а теперь представьте, сколько бы они смогли заработать, взломав его настоящий аккаунт? 

Как человеку распознать фишинговый интернет-ресурс?

Это не сложно, нужно внимательно относиться к тому, что устанавливаете на ваш смартфон и ПК, обращать внимание на адресную строку браузера и, если замечаете, что адрес хотя бы незначительно отличается от привычного, сразу же закрывайте. 

Батыржан, как повысить грамотность среди граждан Казахстана в плане информационной безопасности?

Я бы предложил провести тендер на выполнение просветительской деятельности в этом направлении. Например, компания, которая выиграет тендер, будет обязана предоставить учебный материал для школ и вузов. Это могут быть обычные видеоролики, в которых специалисты в области ИБ рассказывают и на практике показывают, какие могут быть последствия халатного отношения к безопасности. Данный материал можно будет использовать на протяжении минимум 2-3 лет. За это время можно значительно повысить осведомленность населения. 

Информационные угрозы продолжают развиваться, нанося триллионы убытков информационной безопасности по всему миру. Вот некоторые тревожные факты, цифры и статистика о последних угрозах ИБ: по информации компании IBM, средняя цена утечки данных составляет 3,86 миллиона долларов США. Предполагаемые ежегодные убытки от кибератак в этом году достигнут 6 триллионов долларов США. К 2024 году количество киберпреступлений вырастет на 76%. В этом году бизнес будет подвергаться атакам программ-вымогателей каждые 11 секунд. Если сейчас не уделять информационной безопасности должного внимания, то, по словам Батыржана Тютеева, рано или поздно все наши незащищенные данные, (номера телефонов, адреса, ИИН и т.д.) могут быть использованы против нас. 

Подписывайтесь на наш Telegram-канал и читайте новости первыми!