Согласно индекса кибербезопасности ITU, в странах Центральной Азии наблюдается тенденция к «перерегулированию» законодательства при недостатке внимания к техническим, организационным и прочим важным составляющим.
Действия правительств чаще всего упираются в узкий набор ограничительных мер — блокировки, централизация каналов связи, бесконтрольное применение СОРМ.
Digital.Report поговорил на полях первого Центрально-азиатского Форума по управлению интернетом (CAIGF) с региональными экспертами, чтобы узнать их мнение о состоянии и проблемах информационной безопасности.
Одной из центральных тем на повестке форума было обсуждение национальных стратегий кибербезопасности. Другим важным вопросом, который так или иначе на конференции звучал во всех дискуссиях, был поиск баланса между соображениями безопасности и социально-экономическим развитием — и в том, и в другом в равной степени заинтересованы как правительства, так и бизнес-структуры и население государств Центральной Азии.
По словам Рафала Рогозински, директора SecDev Group и старшего консультанта Международного института стратегических исследований, именно потому, что этот спорный момент касается всех секторов общества, его решение и является их совместной ответственностью. «Частный сектор, владея инфраструктурой, конечно, наделен определенной ответственностью, но он также имеет при этом собственный коммерческий интерес. Государство тоже несет ответственность в других аспектах, в первую очередь за регулирование интернета в той мере, которая обеспечит четкие, понятные и справедливые правила», — объясняет он.
До настоящего времени госорганы стран региона не очень активно прибегали к помощи частного и гражданского сектора при выработке политики по управлению отраслью цифровых технологий и общественными отношениями, сопряженными с ней. Решения, как правило, принимаются наверху и спускаются вниз для исполнения — будь то запуск единой точки коммутации внешнего трафика в Таджикистане или внедрение национального сертификата безопасности в Казахстане.
Президент казахстанской Интернет-Ассоциации Шавкат Сабиров говорит, что в его стране вопросами информационной безопасности — с точки зрения соблюдения законов страны в интернете — занимаются правоохранительные органы. Однако, он тоже разделяет идею многостороннего (multi-stakeholder) подхода. «Бизнес и общественные организации могут и должны помочь государству в вопросах кибербезопасности», — говорит Сабиров, приводя в пример опыт работы своей ассоциации. «Наша борьба против детской порнографии стала намного эффективнее, когда мы вступили в международную организацию INHOPE – мы получаем запросы из разных стран, быстро обмениваемся информацией, предпринимаем действия оперативнее силовиков, хотя являемся общественной организацией», — отмечает глава Интернет-Ассоциации Казахстана, которая уже несколько лет работает в контакте с Генеральной прокуратурой страны.
В Кыргызстане, как раз в дни проведения Форума по управлению интернетом, правительство приняло решение о создании отдельного уполномоченного органа по вопросам интернета и информацонно-коммуникационных технологий. Оценки специалистов по поводу учреждения новой бюрократической структуры разделились — с одной стороны, такой шаг показывает признание государством важности зарождающейся отрасли, а с другой, демонстрирует приверженность старой управленческой схеме, при которой решения принимаются в коридорах госаппарата.
Эрнис Мамырканов, заместитель министра транспорта и коммуникаций Кыргызстана, считает, что ответственность за кибербезопасность страны можно разделить между частным сектором и государством так, что разработчики технологий, провайдеры услуг и контента имеют известную степень автономии, а власти, в рамках новой госструктуры, отвечают за безопасность госсекретов и персональных данных граждан.
Сооснователь кыргызского Центра информационной безопасности Антон Кирсанов отмечает, что государство не намерено ограничиваться этими вопросами. «В нашей главной спецслужбе — Госкомитете нацбезопасности — формируется отдел по делам, связанным с интернетом. Уже работает так называемый 10-й отдел МВД, который тоже занимается правонарушениями в сфере интернета, включая экстремизм онлайн, — рассказывает он.
«Нужно развивать государственно-частное партнерство, — предлагает Кирсанов один из путей сотрудничества. — Коммерческий сектор, обладая экспертизой, может обучить новых специалистов, а государство будет пользоваться ими».
Его коллега из Казахстана, директор Центра анализа и расследования кибератак Арман Абдрасилов, подтверждает, что специалисты концентрируются в частном секторе, тогда как государству очень тяжело удержать их у себя в условиях рыночной экономики. «Поэтому сложился дисбаланс — экспертизой обладает частный сектор, но все функции и рычаги в руках государственного сектора», — констатирует Абдрасилов.
Артем Горяйнов, эксперт в области информационных технологий из Бишкека, добавляет к этой формуле баланса роль гражданского общества, которое бы занималось соблюдением прав человека, которые могут пострадать при поиске решений в вопросах кибербезопасности. «Им нужно повышать потенциал своих экспертов, чтобы те также могли принимать участие в обсуждениях и принятии решений на государственном уровне», — говорит он.
Центр информационной безопасности в Кыргызстане и казахстанский Центр анализа и расследования кибератак позиционируются как независимые, частные CERT, Службы реагирования на компьютерные инциденты. В Казахстане уже пять лет работает и государственная CERT, а в Таджикистане в настоящее время эксперты обсуждают с властями перспективы создания такой службы как раз на принципах сотрудничества бизнеса и государства.
Рустам Косымов, директор таджикского фонда «Интернет», полагает, что для защиты государственных данных каждый госорган вправе на своем уровне прописать внутреннюю политику безопасности информационных систем. Однако для системного мониторинга и чрезвычайного реагирования необходима национальная CERT, которая бы находилась в постоянном контакте с соответствующими службами других стран, получая оперативную информацию о новых уязвимостях, вирусах, атаках, и информируя все заинтересованные стороны, включая госорганы, у себя в стране.
Директор таджикского фонда «Гражданская инициатива интернет политики» Мухаммади Ибодуллоев добавляет, что вопросами кибербезопасности в его республике занимаются все — от конкретных предприятий до отдельных госорганов — но работа везде идет в меру имеющихся у каждой организации ресурсов и знаний. Отделы кибербезопасности есть в МВД и Генпрокуратуре Таджикистана. Ибодуллоев также возлагает надежды на будущий CERT, который, по его мнению, должен быть создан коллегиально из представителей всех сторон. «Частный сектор, гражданское общество, государственные органы — все должны быть вместе в решении этих вопросов», — говорит он.
Однако нехватка взаимодействия в сфере кибербезопасности есть не только между агентами внутри страны, но и на международном уровне. Более того, без этого компонента будут затруднены попытки государств региона определиться на национальном уровне, по отдельности, с распределением ответственности за защиту своих информационных систем и данных.
«Россия и страны Центральной Азии не подписали международную Будапештскую конвенцию по киберпреступности. Вместо этого была разработана “Концепция сотрудничества государств – участников СНГ по борьбе с преступлениями, совершаемыми с использованием информационных технологий”. Она была одобрена в Минске в 2013 году, и с тех пор все еще идет обсуждение Соглашения на ее основе», — напоминает Артем Горяйнов.
«Сегодня, если в регионе и идет какое-то сотрудничество по кибербезопасности, то о нем мало что известно. Возможно, есть какие-то двусторонние соглашения между ведомствами, но рамочного документа для такой кооперации нет, что не позволяет обеспечить целостности и прозрачности политик в этой сфере», — заключает он.
Источник информации: https://digital.report