Кишиневский аэропорт. Коллизии новостей: 363

Приднестровье новостей: 1381

Прокуратура в Молдове новостей: 1244

Война в Украине новостей: 5303

Евровидение новостей: 503

Железная дорога Молдовы новостей: 235

Президент новостей: 3997

ЕЩЁ темы

Аналитика и Интервью

Противоречия и коллизии истории. Принцип справедливости. Аргентина и югославская война. Часть 2

За рамками Конституции: Как в Молдове нарушают закон ради сиюминутных интересов. Ч.1

Анна Егорова: ”Ребенок с эпилепсией - это не приговор”

Время политических маньяков. Как сохранить здравомыслие в эпоху массового безумия?

Поколение Z или «новые молчаливые»

Сергей Орлов: «В этом году "Евровидение" будет совсем другим»

Скандальное строительство на археологическом объекте в Городиште: вопросы множатся, экологи бьют тревогу

ВСЕ материалы

moldovenii.md

Гордиев узел молдавской кибербезопасности

14 фев. 18:00 Наука и IT

7236 0

Уже много лет Республика Молдова остается на лидирующих позициях в рейтинге государств с самым высоким уровнем цифровизации и доступности интернет-коммуникаций. Проекты по переводу в киберпространство различных процессов и целых отраслей стали едва ли не первыми, принятыми к реализации сразу после обретения Молдовой независимости.

Напомним, что Министерство информатики, информации и телекоммуникаций было создано в 1992 году. Практически сразу возникло понимание, что одна из самых значимых отраслей цифровизации - это обеспечение безопасности данных и защита информационных процессов от неблагоприятных воздействий. Этот комплекс технологий и мероприятий сейчас известен как информационная безопасность или CyberSecurity.

Подводя итоги 2023 года, следует отметить, что обеспечению информационной безопасности уделяется, вроде бы, значительное внимание. Однако, по мнению экспертов, его все еще недостаточно.

«На уровне банковско-финансовой сферы к вопросам кибербезопасности традиционно относятся особенно внимательно. Именно этот сектор лидирует в данной сфере, - считает Валерий Черней, эксперт в области аудита безопасности информационных систем, администратор профильной компании BSD Management. – Также более или менее поддерживается близкий к должному уровень в силовых ведомствах и органах госбезопасности. Однако в гражданских ведомствах и в корпоративном секторе ситуация далека от нормальной. Средний сисадмин на предприятии или в организации руководствуется принципом «должно работать». Вопросам же обеспечения безопасности уделяется третьестепенное внимание».

«Давайте взглянем правде в глаза – из-за подобного подхода у большинства руководителей на местах, что в государственном, что в корпоративном секторах экономики нашей страны, уровень знаний о кибербезопасности ограничивается пониманием «пароли должны быть сложными», - продолжает эксперт. - И они эти сложные пароли выдумывают и заставляют подчиненных выдумывать. Иногда и те, и другие пароли эти забывают, однако это не мешает им всем с гордой самоуверенностью утверждать, что у них-де «в конторе» с обеспечением компьютерной и информационной безопасности «все в полном порядке». Но на самом деле сложившаяся ситуация - не проблема IT-администраторов или руководителей предприятий. Это проблема государства. В стране отсутствуют комплексные программы информирования и обучения, а бюджеты на безопасность, выделяются по остаточному принципу. Это крайне неверный и вредный подход».

Ни для кого не секрет, что идейные хакеры и деятели теневой цифровой экономики постоянно совершенствуют методы взлома и воздействия на информационные системы. Работают они не на некую отдаленную перспективу, а на поток. Ежесуточно на мировых информационных коммуникациях разворачиваются настоящие битвы. Однако большинство людей узнают о них, чаще всего, после взлома их собственных сетей.

Написали на бумаге, да забыли про овраги

И ведь, казалось бы, еще в 2011 году принят Закон РМ №133/211 «О защите персональных данных», вроде бы реализуется Решение правительства №201/2017 «Об утверждении Минимальных обязательных требований кибернетической безопасности». С августа 2021-го по февраль 2023 года в правительстве даже был «специальный» вице-премьер по цифровизации. И, наконец-то весной 2023-го, парламент принял Закон № 48 «О кибернетической безопасности» (правда, в действие он вступит лишь с 1 января 2025 года).

«Да, исполнителям «спустили сверху» указания по обеспечению кибербезопасности, - рассуждает Сергей Охрименко, доктор хабилитат, профессор, заведующий лабораторией информационной безопасности при Экономической академии Молдовы. - Выстроена функциональная вертикаль, и даже предоставлены кое-какие методики, протоколы и технологии. Но осталась проблема горизонтальных связей. Работники на местах не всегда знают и понимают - как правильно использовать наличный инструментарий, методическую и законодательную базы.

И действительно, граждане довольно часто сталкиваются с ситуациями, иллюстрирующими нестабильную работу систем цифровых услуг либо создающими прямую угрозу безопасности их персональных данных. При предварительной записи на оформление документов зачастую приходится долго стоять в отдельной очереди из таких же «заранее запрограммированных». Специалист может потребовать давно не предусмотренные доверенности. В районах плохо представляют работу с документами, которые не входят в повседневный перечень задач. Начинаются последовательные звонки в Кишинев с уточнениями у старших товарищей и… знакомых, - «как надо сделать правильно».

После внедрения положений закона «О защите персональных данных» у сотрудников государственных ведомств возникла проблема с быстрым обращением к базам данных граждан для получения информации, которая необходима в рамках их служебной деятельности. В то же время у компаний связи, например, таких проблем нет. Так же, как и с бесконтрольным распространением данных.

В частности, значительное количество телефонных сим-карт, продаваемых молдавскими операторами сотовой связи это, своего рода, «секонд хенд». Кто-то по каким-то причинам отказался от номера или лишился его, а через некоторое время оператором эмитируется новая сим-карта, которая поступает в продажу. Купив такую карту, ни в чем не повинный гражданин, с удивлением обнаруживает в своем смартфоне свободный доступ к профилям в социальных сетях, которые ему не принадлежат. Они принадлежат бывшему владельцу сим-карты. А другому гражданину, начинают названивать вежливые клерки из микрокредитных организаций, с которыми не рассчитался бывший владелец телефонного номера. Они могут звонить годами! При этом никакие объяснения гражданина, что он понятия не имеет ни о каких кредитах и не владеет профилями в соцсетях, сообщения с которых бомбят его телефон, ни на кого не действуют.

Операторы мобильной связи утверждают, что не в состоянии очистить сим-карты от привязок бывшего владельца. Уведомлять кредитные организации о повторной продаже телефонных номеров, числящихся в базах данных злостных неплательщиков, компании связи тоже не собираются. Но что это, если не угроза безопасности граждан РМ? Имеет место систематическое нарушение законодательства в сфере защиты информации и персональных данных, однако никто за происходящее не отвечает.

Кадры решают все

«Положения действующего законодательство исполняются не в полном объеме, - подтверждает Валерий Черней, - и связано это, в основном, с двумя факторами: нехваткой квалифицированных кадров и отсутствием действенной системы контроля.

В Молдове не хватает нескольких сотен специалистов в области информационной безопасности. Казалось бы, наши вузы выпускают достаточно IT-шников, однако, значительная часть из них уходят из Cyber Security в разработчики, так как заработки в программировании существенно выше. Особенно на начальных этапах построения карьеры. Точно так же молодые специалисты из госсектора «бегут» в корпоративный. Причина - низкие зарплаты. Кроме того, наши высшие школы не всегда своевременно совершенствуют программы подготовки. Объяснений этому множество, но результат, в целом негативный», - подчеркнул Валерий Черней.

«Действительно, вузы не всегда методически успевают за стремительной динамикой современного киберпространства, - добавляет Сергей Охрименко. - Но это только часть проблемы. Грамотного специалиста с высшим образованием несложно обучить чему-то новому уже в процессе работы. Однако наблюдается тенденция преобладания на IT-специальностях студентов с низким уровнем математических знаний. Это связано и с пробелами в программах средних общеобразовательных учреждений и с современными особенностями приема студентов в вузы. Преподавателям высшей школы зачастую приходится «на пальцах» разъяснять нынешним студентам базовые положения».

Другая сторона медали - это возможность для самых грамотных и подготовленных молодых ребят выбрать обучение за границей. «Собственно, ничего плохого в этом нет, но фактически Молдова эти лучшие головы теряет. Да и если кто-то из них, в конце концов, возвращается домой - стоимость этого специалиста существенно выше. Не любое предприятие, не говоря уже о госведомствах, эту стоимость, потянет», - считает Сергей Охрименко.

К тому же до сих пор не решена проблема эффективного контроля над соблюдением нормативных положений в области защиты информации, добавил эксперт.

В дело вступают киберагенты

Именно в этом направлении прошедший год был как никогда богат на позитивные подвижки. Вслед за принятием в марте Закона «О кибернетической безопасности» (№ 48/2023) в кратчайшие сроки было разработано предложение о формировании при Министерстве экономического развития и цифровизации Агентства по кибернетической безопасности. 21 декабря 2023 года правительство эту инициативу одобрило. Агентство должно быть организовано и готово начать работу с 1 января 2025 года.

Согласно регламенту его организации и функционировании, задачей новой структуры станет «реализация государственной политики в сфере кибернетической безопасности, с тем, чтобы обеспечить общий высокий уровень безопасности сетей и IT-систем поставщиков услуг, влияющих на функционирование общества и государства».

Для реализации возложенных задач агентство будет исполнять следующие функции:

- идентификация и учет поставщиков услуг;

- надзор и государственный контроль над соблюдением поставщиками положений действующего законодательства;

- национальное и международное сотрудничество и обмен информацией по вопросам кибербезопасности;

- создание единого национального контактного пункта по проблемам кибербезопасности;

- формирование национальной группы реагирования на инциденты в киберпространстве;

- методическое руководство и регулирование;

- проведение исследований и научных разработок.

Все документы, касающиеся вновь формируемого Агентства по кибербезопасности, разработанные к настоящему моменту, можно найти на сайте Госканцелярии.

«Это очень правильная и своевременная инициатива, - считает Валерий Черней. – О необходимости комплексного подхода к внедрению информационной безопасности на уровне государства и в том числе формирования подобного органа я и другие эксперты говорили на профильных конференциях еще семь-восемь лет назад. Но тут следует четко осознавать, что за годы независимости мы научились разрабатывать замечательные законы и политики, однако следовало бы уметь предлагать и инструменты их применения, проработанные так, чтобы все, что предусмотрено нашими законами и политиками, еще и работало.

«Надеюсь, в этот раз все будет организовано правильно и станет эффективно функционировать в рамках единой, поддерживаемой государством системы кибербезопасности, - отметил профессор Сергей Охрименко. – Агентство по кибербезопасности призвано стать методическим и контрольным органом. Его сотрудникам предстоит разрабатывать и внедрять новые методики, а также контролировать их правильное и органичное применение специалистами на местах. Также отдельной функцией станет объединение усилий всех ведомств, имеющих собственные подразделения кибербезопасности.

Экономика кибербезопасности

Даже при поверхностном взгляде необходимость налаживания эффективной системы безопасности киберпространства не вызывает сомнений. Понятна и объективная необходимость в государственном контроле над процессами в этой отрасли. Однако, столь же ясно, что все эти процессы не бесплатны и, более того, отнюдь не дешевы. Поэтому для объективности суждений следует понимать, в чем выражена «оборачиваемость средств» в сфере обеспечения кибербезопасности.

Видятся три наиболее заинтересованных группы участников:

- граждане, как потребители различных IT-услуг;

- государство, как институт, организующий и контролирующий процессы, проходящие на контролируемой им территории;

- поставщики услуг и инвесторы, действующие в отрасли обеспечения кибербезопасности.

В интересы последних входит получение прибыли, развитие в рамках проектов государственно-частного партнерства и, в немалой мере, интернационализация деятельности.

Рядовые граждане получат IT-услуги в более совершенной форме и в постоянно растущем количестве областей применения. Это здравоохранение, транспорт, коммунальные и социальные услуги, обеспечение безопасности личных профилей и сетей и т.д. Кроме того, сфера IT постоянно требует все больше и больше специалистов. Следовательно, многостороннее развитие этой отрасли предоставит гражданам новые рабочие места. Таким образом, совершенствование Cyber Security напрямую влияет на рост благосостояния граждан.

Что же касается государства в целом, развитие этого сектора делает предоставление услуг населению более продуктивным, усиливает потенциал межведомственной активности, оптимизирует затраты, в том числе за счет более эффективного менеджмента персонала, задействованного в предоставлении услуг. Сэкономленные ресурсы перенаправляются на иные важные направления.

В общем же развитие сектора кибербезопасности очевидно способствует развитию национальной экономики и повышению международного престижа страны.

Семен Никулин