Краткие итоги проведенного исследования по вопросам модели развития потенциала в области кибербезопасности за 2017 год

27.02.2018

Кыргызская Республика начала процесс развития различных аспектов потенциала в области кибербезопасности. В рамках данного процесса, Государственный комитет информационных технологий и связи Кыргызской Республики (далее – ГКИТС), в сотрудничестве со Всемирным банком, пригласил Глобальный центр развития потенциала в сфере кибербезопасности Оксфордского университета для проведения странового обзора уровня развития потенциала в сфере кибербезопасности. ГКИТС преследовал цель определить потенциал Кыргызской Республики в области кибербезопасности для разработки инвестиционной стратегии развития данной отрасли.

Обзор был проведен с 4 по 6 апреля 2017 года, став первым в Центрально-азиатском регионе. ГКИТС пригласил к участию ряд заинтересованных лиц из государственного и частного сектора, научных кругов, гражданского общества, представителей международных организаций. Консультации проводились по вопросам модели развития потенциала в области кибербезопасности. В результате, ГКИТС получил доклад, с рекомендациями касательно того, как повысить потенциал в области кибербезопасности.

Модель, по которой проводился данный обзор, определяет пять параметров потенциала в области кибербезопасности:

  • Политика и стратегия в области кибербезопасности
  • Культура и общество с точки зрения кибербезопасности
  • Образование, обучение и навыки в области кибербезопасности
  • Законодательная и регуляторная база
  • Стандарты, организации и технологии.

Каждый параметр включает в себя факторы, которые описывают, что означает обладать потенциалом в области кибербезопасности. Факторы состоят из аспектов, и для каждого аспекта существуют свои индикаторы, описывающие шаги и действия, при помощи которых определяется, на какой стадии развития находится данный конкретный элемент. Выделяются пять стадий развития, начиная от стартапа и заканчивая динамичным развитием. Стадия стартапа предполагает ситуативный подход к потенциалу, в то время как динамичная стадия означает стратегический подход и способность динамичной адаптации или изменений в зависимости от внешней среды.

Относительно параметра «Политика и стратегия в области кибербезопасности», эксперты пришли к заключению, что потенциал развития кибербезопасности в КР пребывает между начальной (стадия стартап) и до стадии начального формирования, так как отсутствует официальная национальная стратегия в области кибербезопасности, которая бы детально определяла координацию между ключевыми государственными и негосударственными лицами/организациями, работающими в области кибербезопасности. В то же время, эксперты отметили создание структур, отвечающих за кибербезопасность, развитие процесса дублирования средств связи и наличие процедур, позволяющих определить, каким инфраструктурным объектам необходимо отдать приоритет в случае кризисной ситуации.

Национальный потенциал в рамках параметра «Культура и общество с точки зрения кибербезопасности» оценивался, начиная со стадии стартап и до начального формирования. В целом, эксперты подытожили, что вопросы кибербезопасности еще не стали приоритетными в государственном либо же в частном секторах или же среди конечных пользователей. Одна из причин такой неосведомленности или отсутствия приоритетности заключается в сравнительно низком уровне инцидентов, связанных с безопасностью, в стране.

В ходе проведения консультаций было определено, что потенциал «Образование, обучение и навыки в области кибербезопасности» находится на отрезке стадии стартапа до стадии «формирование». Общее отсутствие осведомленности о вопросах кибербезопасности в КР признавалось различными заинтересованными лицами, принявшими участие в обсуждениях. В то же время, эксперты обратили внимание на развитие образовательных платформ по вопросам кибербезопасности, что представляет собой одно из наиболее продвинутых аспектов потенциала кибербезопасности в стране. Так, отмечаются многочисленные бакалаврские и магистерские программы со специализацией в ИКТ, равно как и специальные программы обучения и курсы по вопросам безопасности.

Респонденты из различных групп выразили единодушное мнение, что правительство является наиболее подходящим органом, который бы мог координировать реализацию национальной программы повышения осведомленности в области кибербезопасности, при условии, что к данной работе будут также привлекаться и другие заинтересованные стороны, в частности, из частного сектора, гражданского общества, научных кругов и ИТ экспертов.

Параметр «Законодательная и регуляторная база» находится на отрезке между стадией стартапа и стадией формирования уровня развития. Полноценная законодательная база, регулирующая все вопросы кибербезопасности и кибепреступлений, все еще в процессе развития. Так, ряд законов затрагивают некоторые аспекты кибербезопасности как, например, защита персональных данных или доступ к государственной информации. Другие ключевые аспекты кибербезопасности как, например, защита прав детей онлайн, вообще не нашли себе закрепления в законодательстве. Более того, существующее законодательство еще недостаточно эффективно для применения, поскольку отсутствуют соответствующие акты о введении их в силу, а также нет специализированных органов, ответственных за исполнение требований таких актов.

Потенциал Кыргызской Республики по параметру «Стандарты, организации и технологии» был оценен как находящийся на отрезке от стадий стартапа до начального формирования. Внедрение стандартов и процесс проверки их соблюдения, по мнению экспертов, проблематично в связи с отсутствием централизованного учреждения, ответственного за выполнение таких задач. Также участников обзора отметили обеспокоенность касательно устойчивости Интернет инфраструктуры, качества программного обеспечения, используемого в государственном и частном секторах, отсутствия политики ответственного раскрытия информации. В то же время, эксперты отметили быстрое развитие мер криптографического контроля, развитие проникновение Интернета в городской местности, и определенный прогресс по данной тематике в финансовом секторе.

В целом, итог обзора выглядит следующим образом. Если попытки в различных организациях и секторах можно связать и скоординировать наряду с созданием всесторонних законодательных, стратегических и операционных основ для национальной кибербезопасности, такое положение дел заложит основы для более продвинутого потенциала в будущем.