Введение
Концепция кибербезопасности ("Киберщит Казахстана") (далее – Концепция) разработана в соответствии с Посланием Президента Республики Казахстан "Третья модернизация Казахстана: Глобальная конкурентоспособность" с учетом подходов Стратегии "Казахстан-2050" по вхождению Казахстана в число 30-ти самых развитых государств мира.
Концепция основана на оценке текущей ситуации в сфере информатизации государственных органов, автоматизации государственных услуг, перспектив развития "цифровой" экономики и технологической модернизации производственных процессов в промышленности, расширения сферы оказания информационно-коммуникационных услуг.
Концепция определяет основные направления реализации государственной политики в сфере защиты электронных информационных ресурсов, информационных систем и сетей телекоммуникаций, обеспечения безопасного использования информационно-коммуникационных технологий (далее – ИКТ).
Концепция призвана обеспечить единство подходов к мониторингу обеспечения информационной безопасности государственных органов, физических и юридических лиц, а также выработку механизмов предупреждения и оперативного реагирования на инциденты информационной безопасности, в том числе в условиях чрезвычайных ситуаций социального, природного и техногенного характера, введения чрезвычайного или военного положения.
При разработке Концепции изучен международный опыт в области формирования подходов к защите национальной информационно-коммуникационной инфраструктуры государств-лидеров в сфере разработки и использования информационно-коммуникационных технологий, так и стран, стремящихся расширить сферу их применения для достижения целей социально-экономического развития.
Выполнение данной Концепции послужит дальнейшей модернизации казахстанского общества и станет вкладом Казахстана в реализацию Глобальной программы кибербезопасности ООН.
Термины и определения
Для целей настоящей Концепции под кибербезопасностью понимаются состояние защищенности информации в электронной форме и среды ее обработки, хранения, передачи (электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры) от внешних и внутренних угроз, то есть информационная безопасность в сфере информатизации.
Защита информации или электронных информационных ресурсов и информационных систем – комплекс физических, технических, программных, криптографических и административных мер, направленных на обеспечение информационной безопасности.
Классическая модель информационной безопасности базируется на обеспечении трех значимых для безопасности информации атрибутов: конфиденциальность, целостность и доступность.
Конфиденциальность информации означает, что с ней может ознакомиться только строго ограниченный круг лиц, определенный ее владельцем.
Если доступ к информации получает неуполномоченное лицо, происходят несанкционированный доступ или нарушение конфиденциальности.
Для некоторых видов защищаемых законом или владельцем типов информации конфиденциальность является одним из наиболее важных атрибутов (служебная информация, охраняемые законом виды тайн, персональные данные ограниченного доступа, например, сведения о клиентах банка, кредиторах, налоговые данные, сведения медицинских учреждений о состоянии здоровья пациентов и т. д.).
Целостность информации – способность информации (данных) сохраняться в неискаженном виде. Неправомочные и не предусмотренные владельцем изменения информации (в результате ошибки оператора или преднамеренного действия неуполномоченного лица) приводят к нарушению целостности.
Особенно важна целостность данных, связанных с функционированием объектов критической информационно-коммуникационной инфраструктуры (например, автоматизированные системы управления воздушным движением, электро и энергоснабжения и так далее).
Доступность информации определяется способностью информационной системы предоставлять своевременный беспрепятственный доступ к информации субъектам, обладающим соответствующими полномочиями. Уничтожение или блокирование информации (в результате ошибки или преднамеренного действия) приводят к потере доступности.
Доступность – важный атрибут для функционирования информационных систем, ориентированных на обслуживание клиентов путем предоставления информационно-коммуникационных услуг (информационные системы продажи железнодорожных и авиационных билетов, банковских услуг, распространение продукции Интернет-ресурсами и электронными СМИ в Интернете). Ситуацию, когда уполномоченный пользователь не может получить доступ к определенным услугам (чаще всего сетевым), называют отказом в обслуживании.
В связи с развитием коммуникационных (сетевых технологий) также дополнительно выделяют еще два свойства информационной безопасности, связанные с личностью лица, управляющего или использующего информационную систему или электронный информационный ресурс с использованием сети удаленно: аутентичность и апеллируемость.
Аутентичность – возможность достоверно установить автора юридически значимого действия с информацией или сообщения в сфере оказания информационно-коммуникационных услуг, например, в электронной коммерции, когда используются электронно-цифровая подпись или иной способ аутентификации.
Апеллируемость (неотрекаемость) – возможность при отказе от авторства доказать, что автором действий с информацией в информационной системе или ресурсе является именно данный пользователь и никто другой путем регистрации совершаемых действий.
Аутентификация (установление подлинности) – проверка принадлежности к субъекту доступа предъявленного им идентификатора и подтверждение его подлинности.
Идентификация – присвоение субъектам доступа к информационной системе или электронному ресурсу личного идентификатора, обеспечивающего установление подлинности и определение полномочий субъекта при его допуске в информационную систему, контроль полномочий в процессе сеанса работы и регистрацию действий.
Идентификация и аутентификация – основа современных программно-технических средств безопасности, так как любые ИКТ-услуги и сервисы в основном рассчитаны на обслуживание субъектов-пользователей.
Угроза информационной безопасности – потенциально возможное событие, процесс или явление, которые посредством воздействия на информацию или компоненты информационной системы или ресурса могут прямо или косвенно привести к нанесению ущерба интересам владельцев и пользователей.
Наиболее распространенные угрозы информационной безопасности – это сбои оборудования (кабельной системы, дисковых систем, серверов, рабочих станций и так далее), неправильное хранение архивных данных, нарушения прав доступа к данным, некорректная работа пользователей и обслуживающего персонала, потери информации (из-за несанкционированного доступа или инфицирования вредоносными программами – компьютерными вирусами).
Компьютерная атака – целенаправленная попытка реализации угрозы несанкционированного воздействия на информацию, электронный ресурс, информационную систему или получения доступа к ним с применением программных или программно–аппаратных средств (или протоколов межсетевого взаимодействия).
Все иные термины приведены в значениях, используемых в Конституции Республики Казахстан, Уголовном кодексе Республики Казахстан, Кодексе Республики Казахстан "Об административных правонарушениях", законах Республики Казахстан "О национальной безопасности Республики Казахстан", "О государственных секретах", "О противодействии терроризму", "Об электронном документе и электронной цифровой подписи", "Об информатизации", "О техническом регулировании", "О разрешениях и уведомлениях", "О средствах массовой информации", "О связи", "О персональных данных и их защите", "О доступе к информации" и национальных технических стандартах.
Анализ текущей ситуации
Характерная для последних десятилетий общемировая тенденция внедрения достижений информационно-коммуникационных технологий с темпами, существенно опережающими формирование культуры их использования, и укоренения общественных и производственных отношений, характерных для "информационного общества", в первую очередь, в вопросах обеспечения кибербезопасности, в Казахстане также находит свое подтверждение.
Тем не менее, начиная с 1998 года, когда было принято постановление Правительства Республики Казахстан от 31 декабря 1998 года № 1384 "О координации работ по формированию и развитию национальной информационной инфраструктуры, процессов информатизации и обеспечению информационной безопасности", было принято 3 новых редакции законов Республики Казахстан "Об информатизации" (2003, 2007, 2015 годы) и несколько специализированных законов Республики Казахстан о внесении в них соответствующих изменений по вопросам электронных форматов представления информации (данных) в том числе по вопросам информационно-коммуникационных сетей, "электронного правительства".
За прошедший период электронные информационные ресурсы и информационные системы введены в хозяйственный оборот наряду с другими видами имущественных активов, расширена сфера их рыночного использования.
Сфера автоматизации государственных услуг, рынок электронной коммерции и электронных платежей развиваются на принципах обеспечения безопасности личности, общества и государства при применении информационно-коммуникационных технологий, а также осуществления деятельности на основе единых стандартов, обеспечивающих надежность и управляемость объектов информатизации и связи.
С этапа становления вопросов информационной безопасности с учетом характера содержащейся информации дифференцированы правовые режимы общедоступных и конфиденциальных электронных информационных ресурсов и систем, установлены права и обязанности собственников, владельцев и пользователей по их защите.
Деятельность государственных органов и других субъектов по обеспечению информационной безопасности в области информатизации и связи осуществляется в соответствии с их отраслевой компетенцией, а также целями и задачами в предметных областях, связанных с использованием ИКТ (регулирование связи и информационных технологий, защита персональных данных, защита государственных секретов, противодействие деятельности иностранных технических разведок, оперативно-розыскная деятельность на сетях связи, расследование преступлений, совершаемых с использованием ИКТ и другие).
В целом, в Республике Казахстан организационно-правовые и технические основы системы мер по обеспечению информационной безопасности в области информатизации и связи (кибербезопасности) формировались и законодательно закреплялись как составляющие информационной безопасности и обеспечения безопасности информационного пространства и инфраструктуры связи в соответствии с Законом Республики Казахстан "О национальной безопасности".
В последние годы различные взаимоувязанные аспекты обеспечения информационной безопасности в области информатизации и связи нашли свое отражение и развитие в Уголовном кодексе Республики Казахстан, Кодексе Республики Казахстан "Об административных правонарушениях", законах Республики Казахстан "О государственных секретах", "О персональных данных и их защите", "Об электронном документе и электронной цифровой подписи", "О связи", и целом ряде подзаконных актов, разработанных в реализацию новой редакции Закона Республики Казахстан "Об информатизации", вступившего в силу с 1 января 2016 года.
Ряд подзаконных актов, принятых в последнее время, еще не получил развернутой правоприменительной практики. В частности, постановление Правительства Республики Казахстан от 20 декабря 2016 года № 832 "Об утверждении Единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности" (далее – Единые требования), представляющих собой кодификацию правовых и технических норм из национальных и гармонизированных стандартов. Документ подробно описывает процедуры и правила по использованию информационно-коммуникационных технологий при обработке защищаемых законом видов информации, содержит важные нормы по обеспечению технологической безопасности информационной инфраструктуры, информационных систем и ресурсов, программного обеспечения, технических средств на всех этапах их жизненного цикла.
На законодательном уровне регламентировано функционирование системы мониторинга обеспечения информационной безопасности объектов информатизации "электронного правительства", включающих в себя как государственные, так и негосударственные информационные системы, интегрируемые с государственными.
В Правилах проведения мониторинга обеспечения информационной безопасности, защиты и безопасного функционирования объектов информатизации "электронного правительства", утвержденных приказом и.о. Министра по инвестициям и развитию Республики Казахстан от 26 января 2016 года № 66, заложены основные принципы взаимодействия между заинтересованными сторонами при технологических сбоях или признаках компьютерных атак, а также алгоритмы реагирования на возникающие события и инциденты информационной безопасности.
Центр мониторинга безопасности "электронного правительства" ежедневно выявляет не устраненные уязвимости, о чем для принятия мер направляет уведомления владельцам информационных систем, являющиеся его компонентами. Имеется положительная динамика выявляемых уязвимостей и принимаемых в отношении них мер. Так в 2014 году было выявлена 1241 не устраненная уязвимость, в 2015 – 469, в 2016 – 355.
Также постановлением Правительства Республики Казахстан от 8 сентября 2016 года № 529 утверждены Правила и критерии отнесения объектов к критически важным объектам информационно-коммуникационной инфраструктуры из числа особо важных государственных и стратегических объектов, а также объектов отраслей экономики, имеющих стратегическое значение.
На подобные объекты, вошедшие в перечень критически важных объектов информационно-коммуникационной инфраструктуры, распространяются Единые требования, а также необходимость участия в предусмотренных законодательством совместных мероприятиях по обеспечению мониторинга их информационной безопасности, защиты и безопасного функционирования, включая обязанность информирования об инцидентах информационной безопасности.
Совершенствуются процедуры введения информационных систем в промышленную эксплуатацию. В этой связи, законодательно дифференцированы меры безопасности к информационным системам в зависимости от их отнесения к определенному классу, ограничен срок нахождения информационной системы в режиме опытной эксплуатации.
На соответствие требованиям информационной безопасности проведено более 500 аттестационных обследований государственных и негосударственных информационных систем, интегрируемых с государственными, по результатам которых выдано 199 аттестатов, являющихся основанием для введения в промышленную эксплуатацию. Оставшаяся часть информационных систем в соответствии с Законом Республики Казахстан "Об информатизации" должны быть аттестована до конца 2018 года.
С 1 января 2016 года информационные системы государственных органов, негосударственные информационные системы, интегрируемые с государственными информационными системами на этапе опытной эксплуатации, проходят испытания на соответствие требованиям информационной безопасности. Во время испытаний проверке подвергаются исходные коды, настройки функций безопасности, обследуется сетевое и серверное оборудование и осуществляется нагрузочное тестирование.
Результаты проведения испытаний отражаются в повышении защищенности и отказоустойчивости информационных систем, безопасности программного обеспечения информационных систем, снижении влияния факторов нарушений информационной безопасности информационных систем, внедрении механизмов контроля и мониторинга безопасности информационных систем.
Система технического регулирования предусматривает подтверждение соответствия программного обеспечения и телекоммуникационного оборудования, в том числе с определением случаев их обязательной сертификации при использовании в государственном секторе. В этих целях ежегодно актуализируется свод национальных и гармонизированных технических стандартов в сфере информационной безопасности, защиты информации, безопасности информационных технологий. В настоящее время это 68 технических стандартов.
Благодаря централизации подключения к Интернету через Единый шлюз доступа к Интернету государственных органов существенно снижены угрозы несанкционированного доступа и вредоносного воздействия на электронные информационные ресурсы государственных органов. На ежедневной основе фиксируется и отражается более 180 миллионов атак различного уровня.
Создана и совершенствуется система правовых, организационных, технических и криптографических мер защиты государственных секретов, обрабатываемых с использованием средств вычислительной техники.
Наиболее чувствительная для безопасности государства информация в электронной форме передается только через сети телекоммуникаций специального назначения, физически отделенные от Интернета и использующие криптографические средства защиты информации.
Подходы к обеспечению безопасности инфраструктуры связи и сетей телекоммуникаций общего пользования выстраиваются вокруг системы централизованного управления сетями телекоммуникаций, через возможности магистральных операторов связи, реализующих на пограничном оборудовании концепцию "электронной границы".
Национальный сегмент Интернета насчитывает более 120 тысяч Интернет-ресурсов в доменах.KZ и.ҚАЗ, в соответствии с законодательством физически размещаемых на территории Республики Казахстан. В целях оказания содействия владельцам и пользователям информационных ресурсов и систем по вопросам безопасного использования ИКТ с 2010 года функционирует национальная Служба реагирования на компьютерные инциденты KZ-CERT. Служба является участником ряда международных организаций, в т.ч. FIRST (Forum of Incident Response and Security Teams), TI (Trusted Introducer for Security and Incident Response Teams), OIC-CERT (Организация исламского взаимодействия Служб реагирования на компьютерные инциденты).
Службой заключено 20 меморандумов о взаимопонимании и сотрудничестве с профильными структурами зарубежных стран, зафиксировано и обработано более 66 тысяч инцидентов информационной безопасности.
На казахстанском рынке появились первые отечественные компании, занимающиеся инструментальным аудитом по оценке защищенности (тестированием на проникновение) на соответствие требованиям информационной безопасности и специализирующиеся на исследовании обстоятельств, причин и условий инцидентов информационной безопасности, а также техническом исследовании вредоносного программного обеспечения. Разработаны первые отечественные средства антивирусной защиты.
В ряде национальных компаний и частных структурах существуют подразделения мониторинга технических событий и технологических процессов, которые в круглосуточном режиме ведут дежурство для оперативного реагирования на внештатные ситуации.
Законодательно определены цели сбора, обработки персональных данных граждан в электронном виде, а также порядок и меры по их защите. Законодательство регламентирует как процедуры их сбора исключительно с согласия граждан, так и уничтожения по их требованию операторами персональных данных, а также условия безопасного хранения персональных данных на территории страны и их трансграничной передачи.
Требования по безопасности банковских информационных систем обеспечиваются нормативно-правовыми актами Национального Банка Республики Казахстан с учетом отраслевых и международных требований по обеспечению безопасности информационных систем.
Новая редакция Уголовного кодекса Республики Казахстан, действующая с 2014 года, предусматривает отдельную главу, посвященную преступлениям, совершаемым в сфере информатизации и связи. С учетом квалифицирующих обстоятельств в ней содержится 38 составов преступлений против электронных информационных ресурсов и систем или сетей телекоммуникаций.
Кодекс Республики Казахстан "Об административных правонарушениях" также содержит ряд составов административных правонарушений, за совершение которых предусмотрены меры административной ответственности, в том числе на должностных лиц, не выполняющих обязанности по обеспечению информационной безопасности в виде нарушения требований по эксплуатации средств защиты электронных информационных ресурсов, невыполнения Единых требований, неосуществления или ненадлежащего осуществления собственником или владельцем информационных систем, содержащих персональные данные, мер по их защите.
На сегодняшний день в учебные планы специальности "Системы информационной безопасности" кроме изучения прикладных дисциплин включены дисциплины, формирующие знания и навыки по прикладному программированию микропроцессорных систем и устройств, автоматизированному проектированию и разработке радиоэлектронных устройств, используемые в интегрированных системах безопасности.
Ведущими техническими высшими учебными заведениями страны преподаются дисциплины: "Прикладные инженерные программы", "Микропроцессоры и микропроцессорные системы", "Программирование и реализация встроенных систем".
Складывается практика проведения аналитических исследований, научно-исследовательских и опытно-конструкторских работ, организации профильных конференций и семинаров, что отражает растущий интерес общества, научных кругов и субъектов информатизации к различным аспектам деятельности в сфере информационной безопасности.
Проведенное Международным союзом электросвязи исследование "Глобальный индекс кибербезопасности" (далее – Глобальный индекс кибербезопасности), оценивающее правовую, техническую, организационную готовность и потенциал 195 стран, зафиксировало 23 групповое место Казахстана с индексом 0,176 из 29 групп стран.
Ключевые проблемы
1. В Республике Казахстан за период с 2010 по 2016 год плотность пользователей Интернета увеличилась с 36,1% до 75%, а количество пользователей мобильного Интернета с 3 миллионов 694 тысяч практически утроилось и достигло 10 миллионов 567 тысяч. Такое экспоненциальное увеличение числа пользователей Интернета повышает критичность и делает более ощутимыми последствия в случае отказов или вредоносного воздействия на технические средства.
Распространенность вредоносных программ для персональных компьютеров и мобильных устройств растет вместе с числом их пользователей. При этом подавляющее большинство пользователей не используют специализированное программное обеспечение для защиты своих персональных компьютеров, смартфонов, планшетов.
Этот фактор эксплуатируется "хакерами", что каждый день приводит к увеличению количества атак, нацеленных на заражение абонентских устройств вредоносным программным обеспечением.
В то время, как количество абонентских устройств, подключенных к Интернету, увеличивается и большинство пользователей продолжает игнорировать меры "цифровой гигиены" в отношении себя и принадлежащих им устройств, концепция "Интернета вещей" только усиливает проблему их безопасного использования.
Если традиционные электронные устройства, такие как персональные компьютеры и ноутбуки имеют возможности по установке и обновлению антивирусного программного обеспечения, то пользователи "Интернета вещей", часто даже не знают, как обезопасить их функционирование.
Такие устройства пока, в принципе, создаются без учета технологических рисков, что делает их потенциальными элементами вредоносных сетей, ("ботнет"), используемых для осуществления различных сетевых атак, направленных на потерю доступности информационных систем и влекущих для добросовестных пользователей отказ в обслуживании при оказании информационно-коммуникационных услуг.
Пренебрежение соображениями безопасности при использовании Интернет-ресурсов и социальных сетей ведет к повышенному риску для неприкосновенности частной жизни, несанкционированному использованию или модификации общедоступных персональных данных, а также разглашению персональных данных ограниченного доступа или их экстерриториальной доступности для преступных сообществ или разведывательных структур при их хранении на территории других государств.
Низкая правовая грамотность по вопросам информационной безопасности и отсутствие сформировавшихся потребностей в ее повышении у населения, работников сферы ИКТ и руководителей организаций создают питательную почву для развития правонарушений и преступлений в информационной сфере.
Отсутствие знаний о правовых ограничениях создает иллюзию дозволенности действий, нарушающих права и свободы других граждан, права обладателей авторских и смежных прав на программное обеспечение и влияющих на функционирование информационных ресурсов.
Таким образом, низкий уровень цифровой грамотности конечных пользователей в вопросах защиты персональных данных при отсутствии базовых знаний по общим методам распространения вредоносных компьютерных программ и программных продуктов (особенно "фишинговые" страницы поддельных интернет-магазинов и банков, распространение вирусных и "троянских" программ через "взломанные" сайты, скачивание нелицензионного ("пиратского") программного обеспечения) приводят к тысячам случаев, когда граждане Республики Казахстан становятся жертвами, а принадлежащие им технические средства орудиями противоправного использования ИКТ.
2. Недостаточная осведомленность в методах защиты информации и низкая обеспеченность в системах информационной безопасности предприятий малого и среднего бизнеса, в том числе занятых в сфере оказания информационно-коммуникационных услуг, которые зачастую даже не могут оценить состояние принадлежащей информационно-коммуникационной инфраструктуры, приводят к большому количеству не анализируемых событий и инцидентов информационной безопасности, затрудняющих как профилактику технологических уязвимостей, так и борьбу с преступниками, использующими ИКТ как средство для совершения преступлений.
Кроме того, такие хозяйствующие субъекты представляют угрозу для других, в первую очередь, крупных предприятий или государственных органов и организаций, с которыми они работают в качестве партнеров или подрядчиков.
При этом, крупный частный и финансовый сектор склонен полагаться исключительно на собственные силы, недооценивая важность совместных усилий и отраслевых инициатив по формированию действительно безопасной среды операционной деятельности.
В тоже время низкая заинтересованность работодателей и отсутствие профессиональной конкуренции являются демотивирующим фактором для инициативного саморазвития практикующих специалистов в сфере информационной безопасности, а также создают предпосылки для занятия последних незаконными видами деятельности.
3. Существующая казахстанская модель школьного, средне-специального, высшего и послевузовского образования в области ИКТ, включая специализацию в сфере информационной безопасности, требует постоянного и тщательного анализа со стороны всех заинтересованных лиц (включая Министерство образования и науки Республики Казахстан, высшие учебные заведения и потенциальных работодателей) на предмет соответствия современным потребностям общества и тенденциям обеспечения безопасного развития информационных технологий в виду динамического развития данной области.
В частности, периодического пересмотра требуют образовательные и профессиональные стандарты, классификаторы специальностей, дисциплины, их контентное содержание и результаты обучения. Возникает необходимость разработки механизма, позволяющего более гибко реагировать на современные вызовы в области ИКТ. В виду того, что знания в данной области быстро устаревают, требуется периодическое подтверждение квалификации специалистов.
Из 93 высших учебных заведений, в которых готовят специалистов в сфере ИКТ, только 7 готовят специалистов по специальности "Системы информационной безопасности". Из 32439 студентов, обучавшихся в 2015-2016 годах, в указанных высших учебных заведениях только 362 (1,1%) обучались по специальности "Системы информационной безопасности", из них по государственному заказу 226 человек. Плановый выпуск в 2016 году составил 85 выпускников.
В 2016-2017 учебном году по государственному заказу на подготовку специалистов по специальности "Системы информационной безопасности" выделено 40 мест, 2014-2015 году – 60 мест, 2015-2016 году – 60 мест.
В этой связи будет уделено повышенное внимание на профориентационную работу по специальности "Системы информационной безопасности", в том числе обращено внимание абитуриентов на актуальность данной специальности, потребность специалистов данного профиля в индустрии.
Прием абитуриентов на обучение по специальности "Системы информационной безопасности" на коммерческой основе в недостаточной мере продвигается и рекламируется. Специальные дисциплины лишены наполнения, необходимого для применения выпускниками в специальных государственных органах после завершения обучения.
В учебных программах не учитываются требования к знаниям, умениям и навыкам профессионального стандарта "Специалист по информационной безопасности", утвержденного Национальной палатой предпринимателей "Атамекен" и основанного на отраслевой рамке квалификации.
Как следствие, в сфере ИКТ существует нехватка специалистов по информационной безопасности, как в государственном, так и частном секторе. Так в центральных государственных органах обеспеченность составляет всего 25%, в местных – 6%.
4. Отечественный сектор IT-отрасли не вносит существенного практического вклада в программу диверсификации национальной экономики (менее 5 процентов продуктов из используемых в государственном секторе имеют казахстанское происхождение), а культура кибербезопасности, в том числе производственная культура в сфере разработки и использования продуктов, не всегда является определяющей.
Несмотря на достигнутый высокий уровень информатизации сферы государственного управления, включая оборону и безопасность, широкое использование ИКТ в различных сферах жизни личности и общества, Казахстан как страна, пока, в значительной мере импортирует (заимствует) не только IT-технологии, но и готовые программные продукты, включая продукты обеспечения информационной безопасности в сфере информатизации и связи, что указывает с одной стороны на давление со стороны гигантов IT-индустрии, а с другой на недостаточность принимаемых усилий и мер по их рациональному замещению с опорой на собственные силы в критически важных сферах разработок, от которых зависит обеспечение безопасности государства.
5. Меры, связанные с автоматизацией государственных функций и оказанием государственных услуг в электронной форме, а также продолжающаяся цифровизация доступа к информации о деятельности государственных органов несут в себе определенные риски.
Некачественные услуги и приложения, предоставляемые гражданам и частным организациям в рамках "электронного правительства", в том числе машиночитаемые открытые данные, могут привести к нарушению прав и законных интересов граждан.
Отклонения от установленных требований технических стандартов, вызванные низким уровнем производственной и эксплуатационной культуры, небрежность и халатность со стороны заказчиков и разработчиков решений на этапе создания, принцип остаточного финансирования обеспечения информационных систем системами защиты информации и контроля защищенности несут в себе высокие риски технологических сбоев.
Несвоевременное устранение владельцами информационных систем уязвимостей в программном обеспечении существенно увеличивает угрозы несанкционированного доступа.
Объем данных, обрабатываемых в государственном и частном секторах, растет, что приводит к необходимости выработки новых форм их хранения. В тоже время, такие формы хранения данных как облачное хранилище или использование онлайн-сервисов часто основываются операторами и поставщиками услуг на непрозрачных или не стандартизованных решениях, в том числе с точки зрения безопасности данных. При этом гармонизированные стандарты значительно отличаются от первоисточника из-за низкого качества их перевода и адаптации.
Ситуация усугубляется возможностью намеренного внедрения в программное обеспечение и телекоммуникационное оборудование не декларируемых функций (так называемых "бэкдоров"), которые не всегда могут быть выявлены на этапе сертификации, устранения уязвимостей в процессе эксплуатации или распознаны антивирусными программами и потому могут быть использованы для нарушения работы информационных систем и сетей телекоммуникаций.
6. Транснациональный и трансграничный характер многих продуктов ИКТ и международная связанность сетей телекоммуникаций общего пользования используются преступностью в целях совершения противоправных действий в отношении пользователей и операторов ИКТ-услуг и владельцев Интернет-ресурсов, размещенных в национальном сегменте, а также информационных систем, взаимодействующих с Интернетом.
Высокая латентность и зачастую международный характер таких преступлений повышают их общественную опасность. Ситуация усугубляется укоренившимися в обществе стереотипами о безнаказанности так называемой "киберпреступности", ненужности принимаемых государством мер по укреплению сферы безопасного использования ИКТ, ограниченными возможностями органов правопорядка по привлечению к ответственности виновных в совершении высокотехнологичных преступлений, несмотря на развитые уголовно-правовые институты информационной безопасности.
7. Нагнетаемая отдельными странами милитаризация сферы ИКТ, трудности в доказывании причастности государств к использованию ИКТ в нарушение принципов международного права, вызванные в значительной степени стихийно сложившимся характером существующей международной системы управления Интернетом, сохраняющийся цифровой разрыв между странами препятствует формированию в мировом сообществе надежных международно-правовых инструментов предотвращения военного использования достижений в сфере информатизации и телекоммуникаций.
При этом по своей сути арсенал, используемый в военных целях, не отличается от арсенала программно-технических средств, используемых киберпреступностью, о чем свидетельствуют массовые случаи использования ИКТ в разведывательных, подрывных и иных целях, угрожающих поддержанию международного мира и безопасности.
Таким образом, Казахстан в сфере кибербезопасности испытывает такие серьезные угрозы как:
низкая правовая грамотность населения, работников сферы ИКТ и руководителей организаций по вопросам информационной безопасности;
нарушение государственными и негосударственными субъектами информатизации и пользователями услуг в сфере ИКТ установленных требований, технических стандартов и регламентов сбора, обработки, хранения и передачи информации в электронной форме;
не