– Кибербезопасность – уже не узкоспециализированная сфера, а вопрос национальной устойчивос­ти. Казахстан за последние годы сделал значительный рывок в этом направлении. Расскажите, пожалуйста, как удалось укрепить позиции на меж­дународной арене?

– Начну с того, что мы первая в Казахстане ассоциация по кибербезопас­ности, которая поднимает вопросы

кибергигиены. Мы стали одними из тех, кто инициировал программу «Киберщит Казахстана» и вносил изменения в

законодательство.

Когда 10 лет назад мы только начали работу, Казахстан находился на 118-м мес­те в мировом индексе киберготовности – это рейтинг ООН, который оценивает уровень готовности страны к кибератакам. Вместе с Комитетом по информационной безопасности Минис­терства цифрового развития, инноваций и аэрокосмической промышленности мы начали системную работу по улучшению этой позиции. За пять лет нам удалось подняться со 118-го на 31-е место, то есть улучшить результат почти в пять раз.

В последнем обновлении рейтинга структура изменилась: страны теперь делятся на уровни – с первого по пятый. Казахстан сейчас находится на втором уровне (Tier 2), и нам не хватает всего одного балла, чтобы перейти на первый, то есть встать в один ряд с ведущими странами мира по уровню кибербезопас­ности. Это уже вопрос времени.

Этот рейтинг составляет ITU – меж­дународная организация при ООН, которая занимается оценкой в области телекоммуникаций и информационных технологий, включая кибербезопасность. Они часто ставят Казахстан в пример, потому что за относительно короткий срок у нас произошел серьезный скачок в развитии.

Например, упоминается и значительный прогресс в сфере законодательства, и активное развитие государственно-частного партнерства. В современных реалиях невозможно строить устойчивую систему безопасности, опираясь только на государство или на частный бизнес – нужна коллаборация. Если все делает только государство, рынок не развивается. Если работает только бизнес, но нет поддержки сверху, эффекта тоже не будет.

Именно такой сбалансированный подход позволил добиться результатов. Наш опыт интересен за пределами страны, нас приглашают делиться кейсами. Мы рассказываем о реализации программы «Киберщит Казахстана», которая уже частично выполнена, и о переходе ко второму этапу – «Киберщит 2.0».

В рамках программы появилось понятие объектов критической информацион­ной инфраструктуры, их на сегодня более 500. Государство обязало такие объекты подключаться к центрам реагирования на инциденты информацион­ной безопасности (Security Operation Center), то есть к компаниям, занимающимся киберзащитой.

Казахстан благодаря принятым мерам смог избежать подобных ситуаций. На сегодня уже порядка 60–70 процентов критической инфраструктуры подключены к SOC, которые обеспечивают их безопасность. В результате такого подхода у нас появилось более 50 компаний, предоставляющих услуги в области кибербезопасности. Еще 10 лет назад их можно было пересчитать по пальцам.

Более того, раньше основными поставщиками подобных услуг в Казахстане были зарубежные компании. Совмест­но с МЦРИАП наша ассоциация изменила весь ландшафт: сегодня более 90 процентов всех работ в этой области выполняются силами местных специалистов. Это крайне важно для технологического суверенитета.

Я глубоко убежден, что государство не может быть по-настоящему независимым, если не обладает технологичес­кой независимостью. Мы все больше понимаем, что владение технологиями – это один из главных факторов устойчивости страны.

– Казахстан стал одной из немногих стран, где этичный хакинг легализован на государственном уровне. Как это работает и почему так важно?

– Да, это одно из значимых достижений в нашем законодательстве. Этот шаг стал заметным успехом и на международной арене. Когда мы рассказываем об этом за рубежом, коллеги искренне удивляются: в большинстве стран мира подобные инициативы еще не реализованы.

Сейчас по нашему примеру аналогичные шаги предпринимают, например, Азербайджан и Россия. Этичные хакеры, или багхантеры, занимаются поиском уязвимостей в системах. Во многих странах такая деятельность либо запрещена, либо находится в серой зоне.

Мы же выстроили модель win-win: допустим, школьник, студент, журналист или специалист находит уязвимость, которая может привести к утечке персональных данных или повлиять на функционирование важной системы. Он может легально передать информацию через специальную платформу, государство устранит уязвимость, а специалист получит за это денежное вознаграждение.

Таким образом, мы создаем безопас­ный и легальный механизм для работы молодых талантов и предотвращаем риск их ухода на «темную сторону», ведь, найдя уязвимость, человек может попытаться продать ее на черном рынке. А у нас есть возможность сделать все правильно – и для общества, и для самого исследователя.

Это решение стало неожиданно успешным. Мы думали, что в системе зарегист­рируются 10 человек и будет найдено 10 уязвимостей. На деле в проекте уже участвуют более трех тысяч специалис­тов по кибербезопасности – не только из Казахстана, но и со всего региона Центральной Азии. Мы стали первыми, кто запустил такую платформу в СНГ, включая Россию. Суммарно было сдано более трех тысяч уязвимостей в наших системах.

И самое важное – государственный кейс перешел в коммерческий сектор. Многие крупные банки уже подключились к системе и доверяют этичным хакерам круглосуточную проверку своих систем. Причем это решение стало не только локальным, но и экспортируемым, например, его уже применяют в Кыргызстане и Узбекистане.

– Каким вы видите будущее отрасли? Какие направления станут ключевыми в ближайшие годы?

– Мы активно продвигаем такие инициативы, как создание национального киберполигона для обучения и проведения киберучений, а также международную конференцию KazHackStan, которая уже входит в топ-10 хакерских конференций мира. Среди участников будут представители Министерства обороны, Службы государственной охраны, Государственной технической службы и другие.

Если не ошибаюсь, будет уже седьмое или восьмое мероприятие. И оно стало по-настоящему признанным. На конференцию стремятся попасть лучшие специалисты со всего мира: в этом году, например, подались участники с PhD из Японии и Европы. Они представляют исследования по атакам на ядерные реакторы, рассказывают, как такие системы можно взломать и как защититься. Для Казахстана это особенно актуально, учитывая предстоящее строительство АЭС.

На конференции мы также проводим трехдневные соревнования по кибербезопасности: 25–30 хакерских команд пытаются взломать инфраструктуру, в то время как другие команды должны ее защитить. Это уже не просто энтузиасты. За 10 лет в стране сформировалось сообщество из тысяч специалис­тов по кибербезопасности. Более того, международные IT-компании все чаще нанимают казахстанских специалистов. Наши ребята уже работают в Google в сфере кибербезопасности. Это настоящий экспорт deep-tech-кадров, и мы как ассоциация гордимся этим.

Недавно мы обсуждали создание федерации CTF (Capture the Flag) для хакеров-исследователей. У нас уже есть федерации киберспорта и олимпиадного программирования, так почему бы не создать федерацию для киберспециалистов?

На деле она практически существует: почти в каждом университете есть CTF-команды, которые участвуют и побеждают в международных соревнованиях. В прошлом году мы возили казахстанскую команду в Турцию, где она заняла первое место. Наши ребята входят в топ-10 команд, выступают в России, Таиланде, Франции и других странах. Сейчас задача – объединить все эти усилия, дать движение новому витку развития.

У Казахстана огромная территория, при этом малое население. Возможно, приоритетом должна стать защита

киберпространства наравне с физической обороной. Конфликты могут прийти с другого конца планеты. Уже были случаи, когда хакерские группировки, не связанные с государством, по политическим заявлениям атаковали целые страны. Мы строим экосистему киберпродуктов, которую можно использовать и в компаниях, и на уровне государства как киберщит Казахстана.

– Ваша оценка готовности инфраструктуры и экосистемы в стране к развитию технологий искусственного интеллекта?

– Если говорить про ИИ, то да, страна вкладывается в это направление. Но у нас есть фундаментальные проблемы. Искусственный интеллект – это верхушка пирамиды. Внизу – дата-центры, Интернет, инфраструктура, кибербезопасность, а там у нас пока слабо. Не хватает дата-центров, не везде стабильный Интернет, с киберграмотностью беда. Специалистов в области ИИ единицы. И даже такую простую вещь, как токен, мы не можем изготовить, а заказываем в Китае.

Понятно, что и США печатают в Китае. Но они уже разворачивают производство у себя. Мы пока даже не знаем, как это делать. Мы потребители. И вот если в этой пирамиде хоть одно звено сломается, развитие остановится. Китай перестанет поставлять чипы – и все!

Простой пример: нам пришлось договариваться с госорганами, чтобы в Казахстан завезли видеокарты NVIDIA для ИИ. А на них ограничения. Если завтра их перестанут поставлять, ИИ у нас просто не будет. Поэтому мы в уязвимом положении. И если не развивать фундамент, все красивые проекты сверху просто обрушатся.