«АКИпресс-Кибердемократ»: Нет хозяина, нет того, кто стратегически мыслит — Т.Мамбеталиева об информбезопасности

20.06.2013. Директор Общественного фонда «Гражданская инициатива Интернет политики» Татту Мамбеталиева дала Интервью проекту «АКИпресс-Кибердемократ».

— Как вы считаете, насколько остро стоит проблема кибербезопасности в Кыргызстане?

— Судить о том, какой уровень кибербезопасности обеспечен у нас в стране можно по событиям 2010 года, когда была большая серьезная информационная война в интернете. Со стороны государства практически не последовало никаких действий. Государство подходит старым методом к этой проблеме: надо все заблокировать, все закрыть и ограничить доступ. Сейчас в век информационных технологий старые методы в виде блокировки и запрета не работают, потому что интернет сам по себе трансграничен, и информация сама по себе стала весомой в качестве предмета купли-продажи и имеет ценность. Иногда она оценивается дороже, чем какие-то виды недвижимости. Поэтому правительство должно координатно пересматривать такие вещи и предлагать совершенно другие методы по обеспечению безопасности. Информационные войны были плохи не тем, что критиковали Кыргызстан или какие-то правительственные действия, а тем, что в результате мы не смогли обеспечивать уверенность и стабильность среди населения в ощущении безопасности. Никаких контрмер не было принято.

— А какие меры должно было принять правительство?

— Вот эта безопасность совершенно разноплановая. Я говорю только об одном аспекте. Правительство должно было по примеру цивилизованных государств нанимать и принимать на работу целую гвардию журналистов, блоггеров, разных специалистов, которые могли бы очень быстро размещать информацию, очень быстро реагировать на различные запросы, очень быстро подтверждать и опровергать те или иные факты. Это все шло настолько запоздало, что выглядело как оправдывание или как несоответствующее действительности. Это вот один из аспектов безопасности.

 А ГКНБ чем у нас занимается?

— Это неправильная постановка вопроса, когда мы думаем, что обеспечением безопасности должна заниматься отдельная структура. Сейчас такой век, что безопасностью надо заниматься всем на всех уровнях. Если мы обратимся к Концепции информационной безопасности, которую у нас тысячу раз пытаются принимать в разных вариантах, она всегда принимается так, как будто один орган должен это все реализовывать, и он должен сам себе придумывать стратегию, сам ее реализовывать и сам себя мониторить. Соответственно ничего не работает, потому что информационная безопасность — это комплекс мер. Не только правоохранительные органы должны работать. В большей степени должны работать какие-то социальные службы, поскольку информационная безопасность относится и к обеспечению защиты от вирусов, хакерских атак.

Человек себя должен в информационном плане тоже ощущать безопасно. К примеру, возьмем персональные данные граждан, которые сейчас находятся на всех информационных ресурсах. Мы недавно проводили анализ закона об информации персонального характера и проверяли на практике, как он работает. Никто не занимается защитой наших данных. Сейчас любой государственный орган может отправить другому государственному органу запрос. Они предоставляют данные не только в отношении того лица, о котором идет запрос или возбуждено дело, они могут дать данные на любую тему. Хотя закон это запрещает. В нем говорится, что каждый орган может получать только ту информацию, которую этот орган компетентен получить, и данная информация должна относиться только к его обязательствам в отношении того субъекта, о котором ведется разговор. Субъект должен быть при этом предупрежден. Этого не происходит. Пожалуйста, это тоже безопасность.
ГКНБ должен по идее заниматься безопасностью, которая связана только с терроризмом, экстремизмом, с различными видами таких угроз, которые могут повлиять на национальную безопасность, целостность государства. Это другой аспект.

Еще есть безопасность инфраструктуры. Кто за это отвечает? Тоже никто не знает. Мы много раз были свидетелями того, сколько раз хакеры взламывают сайты. Когда gov.kg «положили», что сделало правительство? Оно начинает обвинять программистов. Вот вы там неправильно что-то прикрутили и так далее. Ребята, так безопасность не обеспечивается, это все-таки государственный ресурс, где находится огромное количество данных. Я вообще поражаюсь, почему наше правительство об этом не думает. С точки зрения правительства, если мы говорим о безопасности, то это все надо заблокировать, все засекретить и всех арестовать. Это неправильно. Эти меры уже устарели даже с точки зрения современных вызовов.

— Есть еще такая категория проблем, связанных с безопасностью, как авторские права. У нас сплошь и рядом используют все пиратские продукты. Как вы в этой связи можете охарактеризовать деятельность таких ресурсов как Torrent и Namba?

— Это совсем другая история, их не надо смешивать. Дело в том, что Namba — это просто площадка, куда пользователи сами загружают видео и распространяют его. Вот еще есть вопрос, относящийся к безопасности, — это порнография. Не надо путать. Если есть просто техническая услуга, которая улучшает скорость как torrent, чтобы люди получили доступ и быстрее что-то скачали, то ответственность несет тот, кто видео повесил, и тот, который скачал. Тот, кто скачивает, должен понимать, что он использует чьи-то авторские права. Он должен за это платить. Тот, кто технически выкладывает это видео, знает, что есть авторские права и дает возможность скачать. А те, кто технически обеспечивают разные виды скорости, они не несут ответственности. Надо разграничивать.

 В то же самое время на этой площадке может быть размещено то же самое порно, кто за это несет ответственность?

— Пользователь, который закачивает. Знаете, Namba как автобус. Владельцы Namba — это водители автобуса. Люди забежали, заплатили деньги, проехали, вышли. Люди внутри автобуса могут воровать, кричать, визжать. Опять надо все это разграничивать.

С точки зрения кибербезопасности можно еще рассмотреть киберпреступления. Очень много существует случаев мошенничества. Те же самые атаки, те же самые вирусы — это все относится к киберпреступлениям. Что делает в этом отношении государство? Ничего.

— Что должно делать?

— Поскольку киберпреступления сами по себе трансграничны, есть необходимость и потребность в том, чтобы мы договорились с другими странами о совместных мерах, потому что, закрыв интернет в Кыргызстане, мы не сможем обеспечить эту безопасность. Существует множество международных конвенций о кибербезопасности. Надо к ним присоединяться.

Вот у нас было несколько уголовных дел, связанных стем, что воровали трафик, нелегальный контент качали туда-сюда? и никто не смог это доказать, потому что все эти ресурсы, где эти преступления совершались, находятся за пределами Кыргызстана. Наши правоохранительные органы отправляют запросы, а никто им не отвечает.

Вот, например, та же история, связанная с экстрадицией различного рода преступников. Нет никаких договоров, поэтому на запросы Кыргызстана другие государства не реагируют. Это тоже для киберпреступлений актуально. Нам надо присоединиться к европейской конвенции по киберпреступлениям, куда уже многие страны СНГ присоединяются, и они делают запросы? и тут же моментально операторы начинают сохранять лог-файлы и предоставляют доказательства совершения тех или иных преступлений.

По экстремизму и терроризму тоже не надо зацикливаться на том, что надо проводить только какие-то учения. Нужно разрабатывать совместные механизмы. Кыргызстан один не может заниматься борьбой с терроризмом. Он обязательно должен это делать в сотрудничестве с несколькими странами, которые должны применить организованно совместные меры по обеспечению безопасности. Посмотрите как сделала Европа в отношении тех лиц, которые в интернете стали распространять фашистскую свастику. Они просто совместно приняли решение, и все страны заблокировали сайты. Понимаете, как это важно, чтобы мы все вместе это делали.

Основная стратегическая проблема по информационной безопасности заключается в том, что нет хозяина, нет того, кто стратегически мыслит, создает политику, не определены стратегические реализаторы, те, кто должен заниматься имплементацией этой конвенции. На административном уровне нет лидеров, которые должны мониторить процесс. Документ сам по себе принимается. Я же говорю, что ГКНБ сам себе придумал, сам себе реализатор и сам себя мониторит. В результате никто не знает, что на самом деле делается.

Сейчас очень много говорят о государственном регистре населения. И все зациклили свое внимание на том, как бы быстрее этот регистр создать. Но никто не думает о том, что сам процесс создания государственного регистра сопряжен с персональными данными. Мы, граждане, вообще согласны, чтобы нас куда-то всех вместе вписывали и нас мониторили? У наших граждан осталось советское мышление. Когда я людям начинаю рассказывать, что по персональным данным такие нарушения идут, люди говорят: «Ну и что, я ничего не своровал, ничего не украл. Пускай за мной смотрят, следят и прослушивают». По прослушке та же самая история была. Никто не думал, хорошо это или плохо, что тебя прослушивают.

 Так у нас работает система СОРМ?

— Сами правоохранительные органы подтверждают, что есть система прослушки. Это потому что необходима легальная форма по обеспечению борьбы с различными видами преступлений. Это реальность. Это все делается легально. У нас уже в законы внесены изменения, поправки. Почему люди до сих пор думают, что прослушки нет?

— Но это не ущемляет права людей?

— В том-то и дело, что мы боремся против ущемления. Законодательно границы прослушивания, методы прослушивания, способы прослушивания не определены. Сам по себе факт прослушки существует, но никто не знает, до каких границ идет прослушивание.

Есть европейская конвенция именно по прослушкам, где пишется, что человека можно прослушивать только на основании санкций суда или прокурора и только в тех рамках и тех сроках, которые определил судья иди прокурор. Прослушивать нельзя тексты разговоров, прослушивать можно только, кто кому звонил. Там есть очень много разных ограничений. Разговор нельзя прослушивать, потому что человек сам по себе является коммуникатором. Он общается с разным кругом людей. Почему другие люди, которые разговаривают со мной, должны тоже страдать, потому что это их частная жизнь. Почему мы должны прослушивать их разговоры?

Существует очень много разных международных стандартов, которые ограничивают, и все правоохранительные органы загоняют в ту концепцию, которая называется защита частной жизни. Поэтому пределы прослушивания находятся только в тех рамках, которые дают понять, кто кому звонил. Если доказывается, что этот человек совершал преступление совместно с этим человеком, идет угроза, тогда уже идет прослушивание текста разговора. Это все должно быть по санкции суда. И прокуратура должна нести ответственность за то, что этот правоохранительный орган делает это в рамках определенного дела.

У нас все это не работает. Лет пять назад я думала, что все это происходит в силу того, что отсутствует нормативная база. Сейчас я думаю, что отсутствие нормативной базы выгодно тем органам, которые хотят это делать по своему усмотрению. Вопросы безопасности охватывают настолько широкий спектр проблем. Концепция информационной безопасности во всем мире в передовых странах определена тем, что она предполагает не только защиту информационных ресурсов, борьбу с терроризмом и экстремизмом, но и также она захватывает соблюдение авторских прав, защиту персональных данных, отдельные проблемы, связанные с защитой чести и достоинства.

— Какие первоочередные меры должны быть приняты со стороны государства? Я так понимаю, что наше правительство особо и не интересуется кибербезопасностью.

— Правительство всегда реагирует только тогда, когда петух клюнет. Первоочередные меры по безопасности у нас должны быть определены по всем этим вопросам, которые я перечислила. Кто-то должен заниматься безопасностью по авторским правам, кто-то должен отдельно заниматься защитой персональных данных. Кстати говоря, закон о защите информации персонального характера предполагает, что этим должен заниматься отдельный государственный орган. Кто-то должен заниматься стандартизацией обеспечения безопасности информационных ресурсов, которые находятся в ведении государственных органов. Это должны быть отдельные игроки и должен быть создан один координирующий орган, который отвечает за всю безопасность.

Сейчас проблема в обеспечении безопасности состоит в том, что не определены ответственные лица, ответственные органы. Например, создается Министерство культуры и информации. Они хотели бы контролировать с точки зрения безопасности именно деятельность средств массовой информации. Это уже есть в планах, это уже понятно. Но какие методы и механизмы будут приниматься — это еще большой вопрос. У нас есть куча органов, которые занимаются защитой прав ребенка. Они должны заниматься обеспечением безопасности детей. Они должны поднимать вопрос о таком контенте, как порнография. У нас все эти министерства существуют, только они не озадачены решать такие проблемы.

Первая мера заключается в том, чтобы все подняли вопрос. IT уже вошла в жизнь министерств. В Министерстве здравоохранения тоже эти услуги развиты. Если они хвастаются IT-разработками по предоставлению электронных услуг, тогда они должны предложить свою концепцию информационной безопасности, потому что информация о болезнях? и все эти данные являются чувствительной информацией. Нужно принимать особые меры по защите этих вопросов. В силу плохой работы Минздрава могут возникнуть различные эпидемии. Позднее реагирование Министерства здравоохранения может привести к очень большим проблемам. Информационная безопасность по лекарствам, больным, информационная безопасность, связанная с распространением каких-либо видов эпидемий.

Основная проблема заключается в том, что государственные органы реагируют тогда, когда какой-то факт уже совершен. Никаких мер профилактики каких-либо возможных рисков не производится. Первым шагом надо определить, что для нас — для страны, для государственных органов, для гражданина — означает информационная безопасность как таковая, а потом уже нужно от этого плясать. Концепция информационной безопасности четко не определила, что такое безопасность. Вот для меня как для гражданина безопасность — это свободный доступ к информации. Я всегда чувствую себя безопасно, если я знаю, что вокруг меня творится. Это вот первая мера по обеспечению безопасности.

У нас как были труднодоступные села без интернета, так и остались. Решением ООН в прошлом году отсутствие доступа к информации было принято как один из главных критериев для определения человека бедным. Вот я живу, к примеру, в каком-то селе. Нет у меня ни телефона, ни интернета, что-то со мной случилось. Я заболела. Куда мне бежать, если у меня нет доступа? Вопрос, что делает государство?

— Все ведь упирается в денежные средства?

— У нас на все вопросы, почему что-то не делается, один ответ — у нас нет денег. Правительство должно заниматься в первую очередь политикой, созданием нормативной базы. Это главная миссия и задача государства. Вот создайте нам это, а у нас есть бизнес-сектор, есть люди, которые все это реализовывают.

Недавно я поднимала вопрос, что у нас достаточно серьезной проблемой по безопасности является тот факт, что большое количество IT-оборудования сейчас списывается. Большие компьютерные парки списываются. За 12 лет компьютеризации страны сотни тысяч компьютеров лежат на различных складах. Их нельзя выбрасывать в мусорку, потому что компьютер содержит вредные для экологии вещества. Мы спрашивали правительство 2 года назад, какие меры вы можете принять для утилизации этого оборудования? Недавно специалист Министерства экономики сказал, что мы постоянно поднимаем проблемы, а сами не хотим ничего делать, вы обязаны нам помогать. Я говорю: «Слушайте. Мы от вас просим только одно. Скажите, как утилизировать? Куда это отнести, чтобы не навредить природе? Мы сами отнесем, и бизнес-сектор сам переработает и сделает из них ведра и лопаты, вы только нам разрешите это сделать и скажите, как это сделать. Больше от вас ничего не требуется».

— То есть можно построить перерабатывающий завод?

— Конечно, просто государство должно разрешить и сказать, как это делать. Нужны правила игры. Если взять компьютерную безопасность, то если они определяют, что безопасностью являются такие-то уровни. Допустим для безопасности человека должен быть доступ к информации, чтобы в компьютер не проходил вирус, спам, не происходила кража информации. Если они определят стандарт безопасности человека, тогда коммерческие структуры будут эти услуги продавать с удовольствием.

— А сам человек не несет ответственность? Многие пользуются пиратскими копиями софта.

— Несет. У нас за нарушение авторских прав даже предусмотрена уголовная ответственность. Почему в этом отношении государство ничего не делает? Потому что сами государственные органы сидят на пиратских софтах. Пойдемте сейчас проверять любой компьютер, который стоит в любом министерстве, и проверим его на предмет лицензионности софтвееров. Вы увидите, что именно государственные органы в первую очередь сидят на пиратских программных продуктах. Тогда надо сажать не только граждан, которые нарушают авторские права, давайте начнем с себя.

— See more at: http://kiber.akipress.org/news:137#sthash.itsbFfFs.dpuf