Исправить уязвимость сайтов госкомпаний не так просто, констатируют в Министерстве оборонной и аэрокосмической промышленности
5 октября в Алматы прошла киберконференция KazHackStan. Одним из спикеров события стал Руслан Абдикаликов, заместитель председателя Комитета по информационной безопасности Министерства оборонной и аэрокосмической промышленности РК. «Капитал.kz» использовал эту возможность, чтобы обсудить с ним развитие программы «Киберщит Казахстана» и важные аспекты темы информационной безопасности.
- Руслан Кенжебекович, на одном из мероприятий сотрудники КНБ заверили меня, что еще два года - и система информационной безопасности в стране окажется на принципиально новом уровне.
— Очевидно, они имели в виду развитие госпрограммы «Цифровой Казахстан». В 2020 году планируется запуск координационного центра по информационной безопасности, для этого выделены 28 млрд тенге. К концу этого года будет развернуто ядро этой системы, потом начнется подключение участников этой системы, в первую очередь госорганов. Таким образом, к концу 2020 года система «Киберщит Казахстана» будет построена полностью.
— Как продвигается законодательная работа?
— Основной блок вопросов по информбезопасности мы в прошлом году реализовали через 100 поправок в закон об информации и коммуникациях. В этом году реализовали 6 постановлений правительства и 11 приказов министерства обороны и аэрокосмической промышленности. Сейчас на рассмотрении Мажилиса Парламента Казахстана находится законопроект об оборонной и аэрокосмической деятельности. В нем мы попытались трансформировать процедуру аттестации на соответствие требованиям информационной безопасности.
«Чтобы система начала жить, перестанем ее кошмарить»
- В чем смысл этой трансформации?
— На текущий момент есть два столпа системы информбезопасности: испытание на информационную безопасность и аттестация на информационную безопасность. Мы решили процедуру упростить, то есть часть работ процедуры аттестации соединили с процедурой испытаний. А процедуру инструментального обследования вообще перенесли в другой цикл, когда система уже приведена в действие. Получить одну бумажку проще, чем две бумажки, которые действительно были непонятно как связаны: то ли дополняли друг друга, то ли шли параллельно.
- Что это изменит?
— Мы правильно выстраиваем логику ввода информационной системы в промышленную эксплуатацию. Любую новую систему сейчас надо аттестовать, и если находятся ошибки, их приходится исправлять, а это бесконечный процесс. Уязвимость есть у любого продукта. Понимая это, мы решили: чтобы система начала жить, перестанем ее кошмарить. А когда система начнет работать, подключится процесс инструментального обследования, проверки и корректировки. Надеемся, депутаты нас поддержат и поправки будут приняты.
«В будущем будем не только требовать, но и наказывать»
- Не могу упустить возможность узнать, как государственный регулятор относится к действиям «белых хакеров» из ЦАРКА, которые продемонстрировали уязвимости целого ряда госструктур.
- Министерство обороны как регулятор видит неурегулированность общественных отношений. Ни в одном законе не написано, правильно поступает ЦАРКА или нет. Мы видим необходимость наладить сотрудничество, которое было бы взаимовыгодным, по примеру принятой во всем мире программы «Баг Баунти». Там хакеры, исследователи, найдя баг в программе, могут обратиться к ее создателю и получить бонус. Главное условие — нельзя выдавать эту информацию прежде, чем о ней узнает компания. Но если она не исправляет ошибку, тогда есть моральное право об этом заявить.
- Но в нашем случае речь не о частных компаниях, а о госсистемах, которые годами не исправляют ошибки, на которые им давно указали.
— Уязвимости устраняются. Мы точно так же работаем. Когда к нам информация попадает, мы обращаемся в этот госорган и с ним эту работу проводим. Мы пока от него просто требуем, чтобы он это выполнил. В будущем мы уже будем не только требовать, но и наказывать.
- А сейчас наказывать вы не можете?
— Есть возможность наказать. Нет возможности сделать это правильно. Существует целая процедура. У нас же защита бизнеса, Предпринимательский кодекс…
«Нам мешает отсутствие проверочных листов»
- При чем тут частный бизнес и госструктуры? Мы ведь сейчас говорим об уязвимостях, найденных на сайтах Верховного суда, корпорации «Правительство для граждан». Что мешает повлиять на них так, чтобы они быстро исправили ставшие известными уязвимости?
— Нам мешает отсутствие проверочных листов. Чтобы я кого-то наказал, существует целая процедура. Только непосвященным кажется, что все так просто. Предположим, поступает информация о какой-то уязвимости. Чтобы я проверил это, мне необходимо зарегистрировать проверку в Генеральной прокуратуре. Это все делается в соответствии с проверочными листами, которые у меня должны быть утверждены. То есть, когда я иду на проверку, указываю, что собираюсь у них проверять. Эти правила едины и для госорганов, и для бизнеса. Когда защищали бизнес, в том числе под это попало и государство. Предпринимательский кодекс — он один, понимаете. Я не могу просто так пойти кого-то на рынке проверить. И точно так же я не могу просто так проверить госорганы.
- Уязвимость системы — это не повод?
— Это повод, чтобы пойти на проверку. Но так как у меня нет проверочного листа, я не могу этого сделать. Этот документ указан в Предпринимательском кодексе. Для проверки должен быть утвержденный проверочный лист, в котором написаны причины, по которым ты имеешь право пойти на эту проверку. Понимаете?
- Я — нет. Если есть уязвимость госсистемы, это же повод, чтобы взять лист бумаги, вписать туда причины и проверить, не трогая при этом частный бизнес. Что мешает?
— Есть определенный механизм. Чтобы этот лист появился, его нужно сначала создать и утвердить. Вот этот лист я пока не могу создать и утвердить. Понимаете?
- Не понимаю!
— Ну, потому что у нас есть определенные проблемы внутри госорганов. Чтобы мне этот лист создать, мне необходимо сначала пойти в министерство информации и коммуникаций, с ним согласовать. Потом я должен пойти в министерство национальной экономики, с ним согласовать. Потом я должен пойти в Генеральную прокуратуру и там с комитетом по правовой статистике его согласовать.
- И это проблема?
— Да, это проблема.
- По моим представлениям, везде сидят люди, заинтересованные в том, чтобы эта проблема была решена.
— Каждый госорган на эту проблему смотрит со своей кочки. У нас сфера информбезопасности не сама по себе. Она находится внутри какого закона?
- Какого?
— Об информатизации. Отдельного закона об информационной безопасности у нас нет. Соответственно, отдельной отрасли тоже нет. Да и скорее всего быть ее не может, потому что информационная безопасность без информатизации — это просто вещь в пустоте. В отрасли информатизации есть свой регулятор, который за нее отвечает. Мы — как подотрасль в сфере информатизации. Чтобы мне что-то сделать, нужен определенный документ, чтобы это все было легитимно. Так вот, чтобы его создать, у меня есть определенные трудности, над которыми мы сейчас работаем. Когда у меня будут проверочные листы, я смогу пойти и наказать. А пока я, как и ЦАРКА, пишу письма этим госорганам и прошу, чтобы они устранили уязвимости. Но когда они не устраняют, я в ответ ничего не могу им сделать.
- Разве это не дискредитирует саму идею информационной безопасности?
— Имиджевые риски в первую очередь направлены на руководство, наверное, этих государственных органов. Потому что оно несет за это ответственность. Я пока свою роль в полном объеме выполнить не могу.
«Система никак не упростится»
- А можно эту систему как-то оптимизировать, упростить?
— Система никак не упростится. Просто надо нам дать эту возможность. Мы как раз работаем над тем, чтобы договориться с министерством информации вместе с министерством национальной экономики, чтобы была возможность регистрации проверочных листов. Тогда мы сможем выходить на проверки. На госслужбе не так все просто, я обложен внутренними преградами. И эти процедуры не будут специально упрощены для нас.
- Но не ради вас же — ради безопасности государственной системы данных.
— Будет проще, если процедура безопасности данных будет выведена за пределы действия Предпринимательского кодекса.
- Может, имеет смысл разделить для вас степень влияния на государственный уровень, который открыть больше, и частный, в отношении которого действовать мягче?
— Согласен. Но без поддержки других госорганов мы это не решим. В этом сложность, а, может, и прелесть госустройства. Чего бы ни захотел один госорган, без содействия других органов он это никогда не решит. А у других госорганов на этот счет всегда может быть свое мнение. Если тебя хотя бы один заинтересованный госорган не поддержит, то ты никогда такую норму не протащишь. Вы думаете, мы не выходили с идеей вывести нас за пределы Предпринимательского кодекса? Мы уже в самом начале понимали, что для эффективности нам должны развязать руки. Допустим, Миннацэкономики под лозунгом защиты бизнеса не разделяет государственные, квазигосударственные и частные структуры. Там считают, что это в любом случае бизнес, government business. Все выстроилось так, что проверяющему лучше просто сидеть в кабинете. А без этого складывается безнаказанность. Мы стараемся над этим работать. Потому что даже маленькая уязвимость в информсистеме влечет серьезные проблемы. Если серьезный хакер зацепится, то раскрутит так, что мало не покажется.
Источник: Kapital.kz