Есть ли будущее у казахстанского киберщита?
Предпосылки
Хочу начать с простой истины: как быстрый рост экономики является уделом слабых стран, так и быстрый рост любой отрасли — признак ее слабости или отсутствия. Пару лет назад в Казахстане не было и речи о таком понятии как информационная безопасность, а сейчас об этом пишут везде. Впрочем, говорить о казахстанской ИБ как сформировавшейся отрасли пока рано. Мало того, её будущее привязано к одному единственному институту — госаппарату, который должен определить и закрепить за отраслью некий объем финансирования. В этой связи могу поделиться цифрой из сложившейся общемировой практики: обычно на безопасность выделяют около 10% общего бюджета IT. Именно этой пропорцией руководствовался наш центр анализа и расследования кибератак (ЦАРКА), когда по просьбе регулятора включился в общую работу по созданию основ информационной безопасности государственных органов и частных организаций Казахстана. Регулятором, как известно, выступило Министерство оборонной и аэрокосмической промышленности РК, подробнее об этом сотрудничестве я напишу в отдельном материале.
На фоне чисто локальных заявлений о системных проблемах с казахстанской безопасностью, в мире также происходила трансформация ИБ. В мае 2018 года Европарламент принял жесткий регламент о защите персональных данных GDPR. За невыполнение закона накладывается штраф до 20 млн евро или 4% от годового мирового оборота компании. Сегодня уже имеются прецеденты: крупные штрафы оплатили такие гиганты как Facebook и Google.
Очевидно, все эти факторы побудили государство принимать мерыдля того, чтобы наверстать отставание в этой области. Так в середине 2017 года правительствоутвердило так называемую Концепцию кибербезопасности, она же «Концепция киберщита».Вкратце суть документа можно очертить следующим образом: для развития отраслинеобходимо распределить роли участников, их зоны ответственности и обязанности,показать перспективы. В этом смысле позиция регулятора крайне важна, ведь бизнесне станет рисковать деньгами, не понимая перспектив.
Общая конструкциякибербезопасности
Возвращаясь к теме совместной работы ЦАРКА с министерством:первым делом участниками была дана оценка потенциала казахстанского рынкакибербезопасности, с учетом вышеуказанной цифры расходов на ИБ — 10%. Вычислитьобъем в абсолютных цифрах не составляет никакого труда: весь рынокотечественной IT-отраслиоценивается в 270 млрд тенге в год, следовательно, потенциальный объем рынка ИБКазахстана — 27 млрд тенге в год.
Анализ предыдущих лет показал, что на обеспечение вопросов ИБ затрачивалось не более 3-4% средств. При более пристальном изучении этого факта выяснилось, что речь идет о бюджетах на приобретение иностранного антивирусного ПО и базового коммутационного оборудования с функциями безопасности. Проще говоря, целое направление отечественной IT-отрасли естественным образом накопило дефицит финансирования, и следом пришло неизбежное отставание. Я называю этот период геноцидом ИБ.
Оценив объем, переходим к общей конструкции системыинформационной безопасности. Регулятор видит ее в форме своеобразной пирамиды.Вершина пирамиды – национальный координационный центр информационнойбезопасности (НКЦИБ). НКЦИБ осуществляет координирование деятельности всех оперативныхцентров информационной безопасности (ОЦИБ), которые, в свою очередь, станутцентрами квалификации ИБ, выполняя мониторинг в зоне ответственности. Согласноплану реализации «Концепции киберщита», строительство НКЦИБ на базе РГП«Государственная техническая служба» КНБ РК завершено в конце 2018 года.
Утвержден порядок отнесения объектов, по которому постановлениемправительства РК ежегодно утверждается список критически важных объектовинфраструктуры (КВОИКИ). Если раньше для отнесения к КВОИКИ требовалосьзаявление организации с просьбой включить ее в список таковых, то по новомурегламенту объект может быть отнесен к списку критически важных и без ведомавладельца. Понятно, что владельцы не горят желанием загружать себядополнительными требованиями, поэтому старый порядок оказался нерабочим изаменен на действующий.
Что мы в итоге имеем: в стране более 200 критически важныхобъектов инфраструктуры и их количество растет. Все КВОИКИ обязаны приниматьмеры для обеспечения безопасности своих объектов, для чего должны либо строитьсобственные ОЦИБ, либо обращаться к услугам на рынке. Так создает, создаетсяспрос на услуги ИБ.
Где квалификация — тами лицензия
Чтобы гарантировать минимальный необходимый уровеньквалификации, работа ОЦИБ отнесена к лицензируемому виду деятельности. Дляполучения лицензии придется сдать соответствующий экзамен и иметь в штатенесколько сертифицированных специалистов. Все эти меры позволят отделитьпрофессионалов от любителей, создавая тем самым условия для развитияотечественной экспертизы. Бизнес, хочет он того или нет, должен выделитьсредства на подготовку специалистов и соответствие требованиям, получая взамен доступк рынку. Убежден, что только так мы сможем вырастить собственную школуэкспертов.
Почему всё это пока неработает?
Вряд ли кто-то будет спорить, что описанная выше конструкция будетработать только при встречной активности и заинтересованности бизнес-сообщества.Потребуется время для того, чтобы будущие игроки подтянулись до нужного уровня ивыполнили все требования новой отрасли. Наличиенескольких лицензированных участников на сегодняшний день не говорит еще о том,что механизм в целом запустился. Орган, координирующий работу всех ОЦИБ, началработу всего несколько месяцев назад, да и список КВОИКИ еще не доведен донужной кондиции, на него даже наложен гриф ДСП.
Изучая механизм ИБ, мы видим лишь очертания вершины пирамиды иее основания. Середина пирамиды, она же несущая конструкция, пока отсутствует.
Цена вопроса
Итак, владельцам КВОИКИ требуется определенное время дляпереформирования запланированного бюджета. В свою очередь компаниям,предлагающим услуги, не хватает квалификации и специалистов. Но государство вцелом методично выстраивает ясную иерархию кибербезопасности страны. Нашахматном поле одна за другой появляются фигуры; правила игры более-менеепонятны; возникающие прецеденты будут решаться по мере их возникновения. Потенциальныхучастников, которые осторожно присматриваются к этому новому виду бизнеса, довольномного.
Впрочем, эта деятельность всё еще остается уделом энтузиастов.Успешных бизнес-кейсов пока нет, имеющиеся на рынке компании пока убыточны. Есликрупные заказчики только присматриваются к полноценной ИБ, то мелкие не могутсебе её позволить в силу дороговизны. Надо полагать, стоимость услуги снизится толькос появлением стойкого, массового спроса на сервис.
Автор:
Арман Абдрасилов, директор казахстанского Центра анализа и расследования кибератак (ЦАРКА), член Общественного совета по ИТ-безопасности.