По мере внедрения информационных технологий в стране возрастают угрозы в режиме онлайн
ЗМАРИАЛАЙ ВАФА, директор Управления безопасности информационных систем и глава отдела инфраструктур открытых ключей (PKI) при Министерстве коммуникаций и информационных технологий Исламской Республики Афганистан
Bнынешнем виртуальном мире, где коммуникациии в режиме онлайн являются насущной необходимостью, правительства и частные компании сталкиваются с вероятностью кибератак. Чтобы бороться с киберпреступлениями и снизить степень риска таких нападений, необходимо сотрудничать на глобальном уровне с целью создания эффективной модели противостояния таким угрозам.
Начиная с 2002г., Афганистан смог многого достигнуть в сфере кибербезопасности. До 2001 г. в стране было не более 15 тыс. телефонных линий. Интернет для афганцев просто не существовал; в стране не было ни организаций информационных и коммуникационных технологий (ИКТ), ни интернет-провайдеров (ИП). Чтобы позвонить за границу или получить международный звонок, афганцы обычно должны были ехать в соседние страны. Телефонный код Пакистана также обслуживал и отдельные территории Афганистана. Это совсем не означает, что в Афганистане компьютерные технологии полностью отсутствовали.
Технология изначально появилась в 1973 г. с покупкой большого универсального компьютера IBM. Функция этой самой первой в стране компьютерной системы состояла в том, чтобы хранить документацию по внешней торговле, помогать в выписывании счетов за коммунальные услуги, а также выполнять роль национального банка данных. Теперь, более 40 лет спустя, это устаревшее оборудование находится в музее.
МОДЕРНИЗИРУЯ СРЕДСТВА КОММУНИКАЦИЙ
Министерство коммуникаций и информационных технологий Афганистана (МКИТ) играет ключевую роль в распространении ИКТ в стране. В 2003 г. мы разработали политику ИКТ, а чуть позднее, в 2003 и 2005 годах, разработали новую политику в сфере телекоммуникаций и приняли соответствующие законы. Более сложной задачей оказалось принятие основного закона по вопросам ИКТ в 2009 г. Проект закона, представленный Министерству юстиции, был трудным для понимания и изобиловал техническими терминами. Выбора не было, и мы изложили суть политики в отдельных документах, а именно: законе о киберпреступлениях, о транзакциях и электронной подписи, а также о политике кибербезопасности. Некоторые из них еще должны получить окончательное одобрение.
В 2005 г. под руководством корпорации “Afghan Telecom” Афганистан создал свою первую проводную телефонную линию. Сейчас у нас 58 интернет-провайдеров, тогда как еще 13 лет назад у нас не было ни одного. Большинство из этих ИП выполняют функции перепродажи интернет-услуг. Они не предоставляют сами непосредственно интернет-услуги; они не предоставляют информационное наполнение. Они просто предоставляют афганским пользователям возможность подключиться к интернету. Большинство соединений происходит при помощи кольца оптоволоконной связи вокруг Афганистана. Примерно 70% ИП получают доступ в интернет от “Afghan Telecom.”
58 ИП вызывают серьезную обеспокоенность в плане безопасности. Как можно следить за соблюдением законов и контролировать интернет-трафик при таком количестве провайдеров? Это одна из основных проблем, с которой сталкивается страна. Мы работаем над новым дизайном сетевой инфраструктуры. Надеемся, что в ближайшие годы мы его сможем внедрить.
С 2002 г. в сектор ИКТ было инвестировано в общей сложности 2.4 млрд. долларов. Примерно 89% населения имеют доступ к мобильной телефонной связи. Это означает, что к мобильной связи имеет доступ 23 млн. афганцев из общего населения страны в 32 млн. человек. Когда-то SIM-карта (портативный чип памяти, используемый в мобильных телефонах) стоила 300 долл., но сейчас вы можете получить ее почти бесплатно.
Я помню, что когда я получал свою первую SIM-карту, я должен был ждать три месяца, хотя все документы у меня были оформлены надлежащим образом. Спрос на этот товар намного превышал предложение. Но сейчас цены на SIM-карты падают каждый день. Цена международных переговоров раньше составляла 2 долл. за минуту. Сейчас их стоимость составляет всего лишь 10 центов за минуту.
НАЦИОНАЛЬНАЯ ЭЛЕКТРОННАЯ ИДЕНТИФИКАЦИОННАЯ КАРТА (E-NID) ИЛИ ПРОЕКТ «E-TAZKIRA”
Введение национальных электронных идентификационных карт было важным шагом вперед. Этот проект первоначально был одобрен в 2010 г. Была временная задержка в реализации проекта из-за сложных технологических и политических вопросов в правительстве, но сейчас работа над этим проектом возобновилась.
В начале 2015 г. мы провели сквозное тестирование, которое не выявило никаких дефектов в электронных картах. Все работало отлично. Президент уже издал указ об использовании биометрических данных и о выпуске национальной идентификационной карты. Карты выпускаются Министерством внутренних дел. Наше МКИТ является техническим партнером в этом проекте.
При изготовлении идентификационной карты применяется технология смарт-карт. Большинство из нас знает, как работает технология смарт-карт. Это одна из наиболее надежных информационных сред при определении аутентичности. У нее довольно высокая степень кодирования. E-NID, или проект “Tazkira,” использует самые современные технологии. Внутри каждой карты есть чип, активированный инфраструктурой открытых ключей. Это означает, что каждый гражданин может иметь в своей идентификационной карте три ключа: один для подписи, второй для идентификации и третий для кодирования.
Технология смарт-карт также предлагает много государственнх выгод. Каждый раз, когда пользователь кодирует сообщение, технология генерирует уникальный алгоритм. Если какая-то карта оказывается рассекреченной, то рассекречивается только эта одна карта, а не вся система. Каждая карта имеет свой уникальный код.
Карта E-NID является основой для электронных государственных услуг. Мы можем использовать их в каких угодно целях, например, для захода в какую-то электронную систему, для получения услуг в сфере здравоохранения, налогообложения или банковских операций. Вначале мы собирались использовать одну карту для предоставления 17 видов услуг, но потом поняли, что если с картой что-то случиться, то пользователь потеряет доступ сразу ко всем этим услугам. Например, мы хотели сначала также ввести водительские права в эту идентификационную карту, но потом решили все-таки выпускать их отдельно.
Идентификационные карты также используются и для электронного голосования. Вопрос обеспечения открытых выборов вызывает серьезную озабоченность как на местном, так и на международном уровне. Мы видели, как на предыдущих выборах в Афганистане наблюдатели работали несколько месяцев, чтобы убедиться, что выборы прошли честно. Несмотря на прозрачность выборов, все же нельзя гарантировать, что они проходят вообще без погрешностей. Использование платформы E-NID будет наиболее надежным способом проведения честных выборов.
ПРОГРАММЫ МКИТ
МКИТ также спонсирует целый ряд вспомогательных программ. Цель состоит в оказании поддержки молодым талантливым студентам в Афганистане. В рамках одной из программ студентам и молодым людям разрешается работать над специальными приложениями, связанными с государственными услугами. На сегодняшний день они уже разработали более 30 приложений для правительства, включая программу, позволяющую гражданам производить оплату за коммунальные услуги со своих мобильных телефонов.
У нас также есть программа по предоставлению грантов для поддержания новаторских идей студентов в различных университетах. Они выдвигают интересные идеи в сфере ИКТ. В прошлом году мы выдали денежные призы трем победителям конкурсов в области ИКТ, а также грант одному студенту. Мы также организовали «бизнес-инкубатор» в рамках программы, которая предоставляет студентам офисное помещение, доступ к интернету и компьютерам. Студенты могут развивать свой собственный бизнес и проводить маркетинг из этого «инкубатора».
Также у нас есть программа «Женщины и технологии в Афганистане», которая обучает женщин пользованию различными программами и приложениями Google и Microsoft. Недавно мы стали выпускать газету Tech Times Afghanistan. Газета выходит раз в два месяца и освещает события в стране, относящиеся к ИКТ.
ПОВЫШЕННАЯ БДИТЕЛЬНОСТЬ
В 2009 г., опираясь на результаты анализа экономической целесообразности, представленные Международным союзом телекоммуникаций (МСТ), МКИТ создал первую в стране Группу реагирования на чрезвычайные киберситуации. Сокращенно эта группа называется AFCERT. В настоящее время она подчиняется Управлению безопасности информационных систем. Группа создала судебную лабораторию для того, чтобы помочь правительству и частным компаниям отслеживать проблемы, связанные с кибербезопасностью. К концу 2015 г. AFCERT соединится с Глобальным центром реагирования при МСТ. Мы хотели бы иметь связь и с другими центрами, чтобы получать от них информацию об угрозах и инцидентах.
С 2011 по 2015 гг. общие потери, связанные с кибер-преступлениями, составили 1.3 млрд. афгани или 28 млн. долларов. Большинство (70%) этих преступлений было совершено сотрудниками финансовых учреждений. Остальные 30% составляли кражи удостоверений личности, подделки сообщений по электронной почте и намеренное введение неверных данных. Больше всего киберпреступлений было зарегистрировано в 2014 г., а потери он них составили 827 млн. афгани. Каждые три компьютера из четырех в Афганистане заражены вирусом, что составляет примерно 75% интернет-трафика.
Проводя расследование, мы обнаружили, что некоторые жертв преступлений не имели внутренних правил кибербезопасности, что явилось шокирующим открытием для всех. Только представьте – банк, совершающий транзакции на миллионы долларов ежедневно, не имел тщательно разработанных правил кибербезопасности.
Принимая во внимание все эти преступления, в 2014 г. правительство решило представить Национальную стратегию Афганистана в сфере кибербезопасности. Как и в любой другой стране, цель такой стратегии состоит в обеспечении надежного и безопасного киберпространства для государственных и частных компаний. Наша стратегия берет за основу именно эту цель.
Стратегия базируется на руководящих принципах МТС в сфере кибербезопасности, которые основываются на пяти принципах. Во-первых, создание законодательной базы. Применительно к киберпреступлениям в Афганистане такой базы не существовало. Какие наказания будет нести киберпреступник? Во-вторых, принятие технических и процедурных мер, которые идут в одной связке с юридическими мерами. В-третьих, наличие организационной структуры, чего у нас пока нет. В нашем правительстве нет главного лица, отвечающего за кибербезопасность; нам хотелось бы, чтобы такой ответственный чиновник в правительстве был. В-четвертых, необходимо развивать и укреплять потенциал. В-пятых, необходимо международное сотрудничество. Международное сотрудничество является очень важным. Киберпространство не имеет границ. Это глобальный вопрос. Мы должны работать сообща. Только так мы сможем снизить угрозы в киберпространстве. Какое-то одно учреждение не может бороться с этими угрозами в одиночку.
МЕХАНИЗМЫ ПОДДЕРЖКИ АФГАНСКОЙ ПОЛИТИКИ В СФЕРЕ КИБЕРБЕЗОПАСНОСТИ
- Межправительственная поддержка
- Выделение достаточных средств
- Эффективная организационная структура
- Партнерские отношения с общественностью и частным сектором
- Стандарты и основные принципы информационной безопасности
- Регулирующий орган, стратегия, политика и передовой опыт
- Меры реагирования и восстановление после кибераварии
- Регулярные проверки на соответствие требованиям и обновление правил
- Международное сотрудничество