Концепцию «Киберщит Казахстана» планируется утвердить до конца июня 2017 года. Директор НИИ информационной безопасности и криптологии ЕНУ им. Л.Н.Гумилева, член общественного совета министерства оборонной и аэрокосмической промышленности РК Ержан Сейткулов рассуждает об отдельных аспектах, на которые нужно обратить внимание при реализации доктрины, передает Digital Report.
«В течение двух-трех месяцев после утверждения концепции Киберщит Казахстана министерство оборонной и аэрокосмической промышленности намерено представить план реализации этой доктрины. Я считаю, что к работе над ее претворением в жизнь необходимо привлечь экспертное сообщество. Это связано с тем, что процесс реализации концепции нуждается в эффективном проектном менеджменте. В частности, надо учесть три основных подхода.
В концепции предусматривается создание национального координационного центра информационной безопасности, к работе в котором будут привлечены научное сообщество и частный сектор. Для эффективной деятельности данной структуры считаю крайне полезным внедрение практики проведения тестов на устойчивость к кибератакам всех государственных информационных систем путем привлечения этичных хакеров. Безусловно, это требует проработки механизма сотрудничества и выработки некой формы государственно-частного партнерства.
В качестве примера предлагаю изучить опыт Южной Кореи, когда государственные специальные органы и независимые высокопрофессиональные специалисты (пентестеры) работают в тандеме. Обращаю ваше внимание, что сегодня Южная Корея считается наиболее защищенной в мире с точки зрения кибербезопасности. Стресс-тест позволит, во-первых, встряхнуть информационные системы, и тем самым понять и выявить наиболее уязвимые места в киберпространстве нашей страны. Во-вторых, стресс-тест является, на мой взгляд, единственной превентивной мерой по защите государственных информационных систем от реальных кибератак.
Киберзащита нуждается в особом проектном менеджменте. Необходимо сформировать пул актуальных научно-исследовательских и опытно-конструкторских тем для их финансирования. Однако существуют разные модели реализации проектов, и это зависит от специфики конкретного проекта. Первая модель — классическая — это когда финансируется ход реализации научного проекта. Вторая модель — это когда вознаграждение в виде общественного признания или денежной форме дается разработчику-победителю после завершения проекта. Надо изучать международный опыт в вопросах управления по реализации наукоемких проектов государственной важности, в том числе по разработке алгоритма блочного шифрования. К примеру, в национальном институте стандартов и технологий США для принятия нового стандарта блочного шифрования была использована вторая модель. Конкурс и общественное научное обсуждение начались в 1997 году, и только в октябре 2000 года было объявлено, что алгоритм шифрования Rijndael стал победителем среди 15 претендентов. В России использовалась несколько иная модель, но также до принятия нового стандарта блочного шифрования в 2015 году, широкое научное обсуждение на криптостойкость самого алгоритма длилось не менее 4-х лет на многочисленных научных семинарах и профильных международных конференциях.
Первая же модель необходима для развития отечественной научной школы информационной безопасности, и темы проектов должны быть научными и «диссертабельными». Также хочу отметить, что реализация научных проектов под грифом секретности — неэффективна. Согласно принципу Керкгоффса, чем больше частей криптографической системы хранится в секрете, тем более хрупкой становится система. Известный криптограф и специалист по безопасности Брюс Шнайер также по этому поводу отмечал, что секретность и безопасность — это не одно и то же, даже если так кажется. Только плохие системы безопасности основаны на секретности; хорошие системы надежно работают, даже если все их детали общедоступны.
Также необходим разумный протекционизм для поддержки отечественных производителей средств защиты информации. В проекте концепции Киберщит Казахстана прописаны некоторые меры поддержки отечественных производителей, но предлагается дополнить их еще одним важным элементом проектного менеджмента — экспертиза на открытых научных семинарах. Считаю, что это будет эффективной мерой по выявлению и поддержки истинно отечественных стартапов и исследователей. Также предлагается тщательно и всесторонне изучить международный опыт, в частности опыт России в вопросах импортозамещения в сфере защиты информации».