ИНСТИТУТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И КРИПТОЛОГИИ

ИНСТИТУТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И КРИПТОЛОГИИ

Информационная безопасность Республики Казахстан: состояние и перспективы

Сейткулов Ержан Нураханович,

директор НИИ информационной безопасности и криптологии Евразийского национального университета им. Л.Н. Гумилева, член общественного совета Министерства информации и коммуникаций Республики Казахстан (01.08.2016 - 07.02.2017), член общественного совета Министерства оборонной и аэрокосмической промышленности Республики Казахстан (08.02.2017 - 22.10.2018)

6 октября 2016 года Указом Президента Республики Казахстан было образовано Министерство оборонной и аэрокосмической промышленности Республики Казахстан. Одним из основных направлений деятельности данного министерства является реализация государственной политики в области информационной безопасности в сфере информатизации и связи (кибербезопасности). Этим же Указом Правительству Республики Казахстан поручено обеспечить создание Комитета по информационной безопасности, который фактически теперь будет выполнять функции уполномоченного органа (регулятора) по разработке государственной политики в сфере национальной информационной безопасности.

О назревающей угрозе киберпространства страны неоднократно говорили и предупреждали специалисты на профильных конференциях по информационной безопасности, а именно на международной научно-практической конференции «Информационная безопасность в свете Стратегии “Казахстан – 2050”» и DEFCON, проходивших в Евразийском национальном университете. И вот сейчас проблемы компьютерной и интернет безопасности всплыли на поверхность как никогда. Считаю, что новому министерству надо пересмотреть все применяемые подходы к обеспечению информационной безопасности, надо разработать качественно новый стратегический план (концепция, доктрина) с привлечением научной общественности и с учетом мировой практики.

Задачи

Задача №1. Данное новое министерство призвано развивать оборонную промышленность, в частности, промышленность в сфере информационной безопасности, то есть решать стратегическую задачу поэтапного импортозамещения в сфере защиты информации. А это весьма сложная и долгосрочная задача, но своевременная и выполнимая. Конечно, реализация наукоемкого проекта государственной важности, прежде всего, предполагает проведение научно-исследовательских и опытно-конструкторских работ в интересах развития отечественных разработок.

Организация научных исследований, разработка и производство собственных аппаратных и программных средств защиты информации, а также ключевых элементов информационно-коммуникационной инфраструктуры является необходимым условием обеспечения информационной безопасности и «цифрового суверенитета» Республики Казахстан.

В настоящее время отечественные ученые в области криптографии, компьютерной безопасности, вычислительной техники, радиоэлектроники и схемотехники рассредоточены по всему Казахстану и заняты в основном преподавательской деятельностью в различных вузах страны. А выполнение наукоемких и сложных проектов в области информационной безопасности и защиты информации, безусловно, требует консолидации ученых и специалистов. Разрозненность специалистов – это одна из кадровых проблем в данном стратегическом вопросе.

Поэтому реализация масштабных задач государственной важности по защите информации требует создания мощного централизованного института, который мог бы объединить специалистов со всех уголков Казахстана. В качестве примера предлагается изучить опыт Южной Кореи, которая создала Исследовательский институт электроники и телекоммуникаций (Electronics and Telecommunications Research Institute) и собрала квалифицированный штатный состав в единую организацию. Другой пример головной организации – это научно-исследовательский институт «Техническая защита информации» оперативно-аналитического центра при Президенте Республики Беларусь. Представляется целесообразным создать в Республике Казахстан аналогичный головной научно-исследовательский институт в сфере защиты информации, в функции которого будет входить стратегическая задача поэтапного импортозамещения.

Задача №2. Старший советник Проекта по кибербезопасности в Гарвардском университете Мелисса Хатауэй в своей авторской статье «Кибербезопасность — основа развития страны», отмечает, насколько тесно вопросы национальной безопасности переплетены с интернет-соединением и стремительным внедрением ИКТ, которые – если обезопасены – ведут к росту экономического благосостояния.

В настоящее время, как отмечают эксперты, ежегодный экономический ущерб от непрофессионального использования и вредоносного воздействия на компьютерные системы составляет сотни миллиардов долларов. Выведение из строя компьютеров только на один час для средней компании обойдется в несколько десятков тысяч долларов, для крупной – в несколько миллионов.

По всему миру предпринимаются меры по борьбе с киберпреступлениями. Нидерланды создали в рамках государственно-частного партнерства Национальный центр кибербезопасности для увеличения обмена информацией и сотрудничества в стране. Израиль предоставляет существенные налоговые льготы компаниям, которые размещают свои офисы в национальном киберпарке в Беер-Шеве как механизм поощрения научно-исследовательского направления. Россия разрабатывает средства защиты на случай киберкризиса. Это лишь немногочисленные примеры растущей зрелости государств в конкретных сферах кибербезопасности.

Предлагается изучить мировой опыт государственно-частного сотрудничества по кибербезопасности и создать в Республике Казахстан Национальный центр кибербезопасности с использованием механизма государственно-частного сотрудничества.

Задача №3. Отметим, что реализация первых двух задач предполагает наличия подготовленных национальных кадров. Поэтому корнем проблем в вопросах обеспечения информационной безопасности является дефицит национальных кадров.

Отечественная индустрия

В Республике Казахстан острой проблемой также является слабое развитие отечественной индустрии информационной безопасности. И этому причиной являются крупные иностранные компании-гиганты. К примеру, когда государственными органами и иными организациями объявляются конкурсы на закуп определенных средств защиты информации, то выигрывают компании, фактически являющиеся партнерами ведущих иностранных производителей. То есть иностранные компании-гиганты через своих представителей в Казахстане не дают возможность встать на ноги отечественным стартап-компаниям.

Истинно отечественные разработчики, которым требуется время и деньги на разработку отечественных средств защиты информации и иных программно-технических продуктов, остаются в проигрыше, так как предоставить готовую продукцию в течение установленного срока в рамках закона о государственных закупках не представляется возможным. Поэтому требуется принятие определенных мер, в том числе законодательных, по стимулированию отечественных стартап-компаний по производству продукций в области защиты информации.

С целью поддержки отечественных производителей, необходимо рассмотреть вопрос законодательного регулирования закупа иностранного программного обеспечения (ПО). В качестве примера предлагается изучить опыт Российской Федерации, которая законодательно с 1 января 2016 года запретила государственным органам закупать иностранные программные обеспечения, кроме случаев, когда в стране нет программного обеспечения с необходимыми функциональными, техническими и (или) эксплуатационными характеристиками. Аналогичные НПА будут актуальны и для Казахстана и будут стимулировать отечественных производителей ПО.

Далее, с учетом того, что разработки в области защиты информации напрямую связаны с деятельностью по обеспечению государственных и коммерческих секретов, использование готовых иностранных продукций небезопасно. Представляется крайне сложным проведение исследований по обнаружению наличия возможных незадекларированных программных и аппаратных закладок в данных готовых продуктах. Поэтому разработки средств защиты и иных программно-технических продуктов государственной важности должны выполняться в специализированных национальных лабораториях с привлечением отечественных ученых и специалистов. Также необходимо развивать отечественные лаборатории по сертификации на отсутствие технических каналов утечки информации.

Разработка национальных стандартов и методик в сфере информационной безопасности, включая гармонизацию с международными стандартами и техническими регламентами – также одна из приоритетных и актуальных задач для Республики Казахстан в сфере защиты информации.

Подготовка национальных кадров

Как отмечается в документе Стратегического плана Министерства информации и коммуникаций на 2014-2018 гг., 70% компаний Казахстана считают низкий уровень подготовки ИКТ-кадров серьезным препятствием для развития бизнеса и производства. Рабочие кадры страны не владеют навыками компьютерного проектирования, работы со сложными системами, техническим английским языком. Ежегодно привлекается 30 тысяч иностранных работников, из них 24,9 тысяч (83%) - для промышленности. В свою очередь, согласно данным Министерства образования и науки Республики Казахстан, ежегодно выпускаются по специальностям ИКТ в среднем 11 тыс. человек.

Также в этом документе отмечается отсутствие условий для развития производства (разработка, внедрение) отечественных программных и технических средств обеспечения информационной безопасности. Низкий уровень конкурентоспособности Республики Казахстан в одном из самых перспективных направлений в ИТ-отрасли по разработке решений в сфере информационной безопасности.

Но как реализовать стратегическую программу импортозамещения в условиях отсутствия необходимых квалифицированных национальных кадров? В Казахстане отсутствует сконцентрированная критическая масса ученых в сфере защиты информации, то есть слабо развита научная школа в области информационной безопасности. И, как следствие, идет пассивная подготовка специалистов, которые становятся неконкурентоспособными в сфере защиты информации. Отсюда вытекает другая острая проблема для Казахстана – отсутствие отечественного стандарта шифрования и вообще национальной (гражданской) криптографии в целом.

Подготовка специалистов в области информационной безопасности в зарубежных вузах для обеспечения государственных органов квалифицированными кадрами является дорогостоящим и несет большую нагрузку для бюджета страны. Поэтому подготовку национальных кадров в данной области необходимо осуществлять через качественное улучшение образовательных программ в национальных вузах РК и разработать ряд стимулирующих мер для отечественных ученых и профессорско-преподавательского состава. Также нужно рассмотреть возможность выделения определенного количества квот в рамках программы «Болашак» для подготовки кадров по программам магистратуры, докторантуры и научных стажировок в сфере защиты информации.

Далее. Необходима организация сотрудничества с ведущими зарубежными вузами в части обучения и обмена опытом в рамках академической мобильности. К примеру, можно использовать потенциал вузов и НИИ страны, в частности, потенциал Назарбаев университета, ЕНУ им. Л.Н. Гумилева, КазНУ им. аль-Фараби, КарГУ, КазНИТУ, МУИТ по части международного сотрудничества с ведущими зарубежными вузами в области защиты информации, с которыми достигнута договоренность о научной стажировке молодых ученых в рамках программы «Болашак», двудипломные магистерские программы, целевая подготовка по докторантуре, а также в рамках иных государственных и зарубежных образовательных программ.

Целесообразно начать работу по открытию специальных кафедр информационной безопасности в ведущих вузах страны для качественной подготовки кадров по специальности «Системы информационной безопасности» (бакалавр, магистратура, докторантура), а также работу по открытию двух специальных криптографических факультетов в Астане и Алматы путем объединения взаимодополняющих кафедр «Информационная безопасность», «Радиоэлектроника, электротехника и телекоммуникация» и «Вычислительная техника».

Перспективные специализации

Предлагается увеличить количество ежегодно выделяемых образовательных грантов МОН РК (или предусмотреть в бюджете Комитета информационной безопасности Министерства оборонной и аэрокосмической промышленности) по военной специальности «Системы информационной безопасности» с 60 до 300 грантов по бакалавру, с 5 до 30 грантов – магистратура, количество образовательных грантов по программе докторантуры – не менее 10 ежегодно. Кроме того, предлагается внести изменения в классификаторе специальностей РК и данную военную специальность перевести в разряд технических специальностей.

Считаю, что подготовка кадров по специальности «Системы информационной безопасности» необходимо осуществлять по 5 учебным программам, а именно по следующим специализациям:

- Компьютерная безопасность; - Информационная безопасность телекоммуникационных систем; - Информационная безопасность автоматизированных систем; - Информационно-аналитические системы безопасности; - Безопасность информационных технологий в правоохранительной сфере.

Специальность «Компьютерная безопасность» охватывает совокупность криптографических, программных, аппаратных и организационно-правовых методов и средств обеспечения безопасности информации при её обработке, хранении и передаче.

Специальность «Информационная безопасность телекоммуникационных систем» содержит набор специализированных дополнительных дисциплин, связанных с построением, исследованием и эксплуатацией систем обеспечения информационной безопасности телекоммуникационных систем.

Специальность «Информационная безопасность автоматизированных систем» охватывает сферы безопасности автоматизированных банковских систем, защищенных автоматизированных систем управления, распределенных информационных систем.

Специальность «Информационно-аналитические системы безопасности» в большей степени ориентирована на информационно-аналитическое обеспечение информационной безопасности.

Специальность «Безопасность информационных технологий в правоохранительной сфере» ориентирована на изучение технологии защиты информации в правоохранительной сфере, информационно-аналитического, информационно-психологического обеспечения правоохранительной деятельности.

Эти специализации взяты из государственного стандарта образования Российской Федерации, и, соответственно, эти учебные программы в целом известны и апробированы.

Также нужно вести сотрудничество с производственными предприятиями для определения необходимых элективных дисциплин и включить в образовательные учебные планы вузов данные элективные дисциплины в соответствии с потребностями рынка (облачные технологии, схемотехники, криптография и т.д.)

Необходимо учесть современные тенденции в сфере информационной безопасности – это квантовая криптография. Отмечу, что квантовая криптография – это новый тренд в сфере информационной безопасности. Недавно, 1 августа, в Китае запустили первый в мире спутник квантовой связи, не поддающейся взлому. То есть, казалось бы, далекое будущее в сфере информационной безопасности на самом деле уже наступило.

Выводы

· Министерству оборонной и аэрокосмической промышленности надо пересмотреть все применяемые подходы к обеспечению информационной безопасности, надо разработать качественно новый стратегический план (концепция, доктрина) с привлечением научной общественности и с учетом мировой практики; · Необходимо проработать вопрос создания головного научно-исследовательского и производственного Института информационной безопасности при Комитете информационной безопасности Министерства оборонной и аэрокосмической промышленности; · Необходимо проработать вопрос создания Национального центра кибербезопасности с использованием механизма государственно-частного сотрудничества при Комитете информационной безопасности Министерства оборонной и аэрокосмической промышленности; · Необходимо проработать вопрос создания Академии информационной безопасности при Комитете информационной безопасности Министерства оборонной и аэрокосмической промышленности РК для качественной подготовки национальных кадров по перечисленным специализациям в области информационной безопасности; · Увеличение образовательных квот в рамках программы «Болашак» по специальности «Методы и системы защиты информации, информационная безопасность» для магистратуры, докторантуры и научных стажировок; · Увеличение количества ежегодно выделяемых образовательных грантов МОН РК (или предлагается предусмотреть в бюджете Комитета информационной безопасности Министерства оборонной и аэрокосмической промышленности) по военной специальности «Системы информационной безопасности» с 60 до 300 грантов по бакалавру, с 5 до 30 грантов – магистратура, количество образовательных грантов по программе докторантуры – не менее 10 ежегодно. Кроме того, предлагается внести изменения в классификатор специальностей РК, и данную военную специальность перевести в разряд технических специальностей. · Создание специальных кафедр информационной безопасности в ведущих вузах страны и двух специальных факультетов в Астане и Алматы для качественной подготовки кадров в области информационной безопасности; · Открытие при вузах научно-исследовательских институтов и лабораторий по разработке СКЗИ (средств криптографической защиты информации), проектированию ПЛИС (Программируемая логическая интегральная схема), микропроцессоров, квантовой криптографии; · С целью поддержки отечественных производителей необходимо изучить вопрос законодательного регулирования закупа иностранного программного обеспечения в сфере защиты информации.

📎📎📎📎📎📎📎📎📎📎