Глава НИИ информбезопасности Казахстана: «Национальная криптография — это архиважный вопрос для государства»

В Казахстане определен национальный институт развития в сфере обеспечения информационной безопасности, основной целью которого является проведение научно-исследовательских работ государственной важности для реализации стратегической задачи по поэтапному импортозамещению. Об этом в интервью Digital.Report рассказал инициатор и автор идеи создания данного головного Института, директор НИИ информационной безопасности и криптологии ЕНУ им. Л.Н.Гумилева, член общественного совета Министерства оборонной и аэрокосмической промышленности РК Ержан Сейткулов.

Как вы считаете реально ли добиться полного импортозамещения программных и аппаратных решений для обеспечения информационной защиты и безопасности?

Поэтапное импортозамещение ключевых элементов средств защиты и иных программно-технических продуктов является стратегической задачей для Казахстана. Когда цифровизация становится локомотивом экономического роста и принимаются национальные программы развития в этой области, мы неизбежно сталкиваемся с вопросами обеспечения национальной (кибер-)безопасности. Работа в этом направлении у нас ведется, в прошлом году правительством была утверждена государственная концепция «Киберщит Казахстана». Реализация этой концепции, на мой взгляд, идет очень медленно, но верно. Очень тяжело решаются вопросы, связанные с финансированием научно-технологических программ, например, ни один из проектов, представленных на конкурс министерства оборонной и аэрокосмической промышленности РК в сентябре 2017 года, не был одобрен Высшей научно-технической комиссией. Но не менее важные вопросы организационного характера уже решены или решаются.

Самое главное – полностью решены два моих инициативных предложений, имеющих стратегическое значение в долгосрочной перспективе. Первое, это создание головного Института для эффективной реализации научно-исследовательских и опытно-конструкторских работ государственной важности в области информационной безопасности. Второе, это решение кадрового вопроса, то есть увеличение количества образовательных грантов по специальности «Системы информационной безопасности». До 2016 года МОН РК выделяло только 60 образовательных грантов по этой специальности, в 2017 году это количество было увеличено до 167. С 2018 года планируется увеличить количество грантов до 500 в год.

Создание головного (национального) научного Института развития вкупе с решением кадрового вопроса в области информационной безопасности можно было бы назвать первым этапом процесса импортозамещения.

Может ли институт развития стать драйвером развития национальной разработки важных программных и аппаратных решения в области кибербезопасности?

Одно из направлений национального института развития является разработка документов по стандартизации в сфере обеспечения информационной безопасности. Это очень важная функция Института, так как у министерства стоит задача по развитию отечественной индустрии информационной безопасности. Разработками программных и аппаратных решений может и должен заниматься бизнес, а Институт совместно с министерством должны способствовать созданию всех условий, чтобы у отечественного бизнес-сообщества были определенные преимущества перед иностранными поставщиками. Мне очень импонирует опыт белорусских коллег, которые разработали для своей страны стандарты в области криптографии, отличные от российских, и тем самым поддерживают отечественных производителей средств защиты информации.

Сейчас белорусские разработчики, как мне кажется, полностью удовлетворяют внутренний спрос на продукты в области криптографической защиты информации, а наработанная компетенция позволяет им быстро адаптироваться к условиям внешнего рынка. В России также практически все стандарты в области криптографии являются отечественными продуктами. В Казахстане же полностью отсутствует национальная (гражданская) криптография, все стандарты у нас иностранного производства, что наносит непоправимый урон отечественной индустрии информационной безопасности.

Во-первых, нужно полностью заменить иностранную криптографию на отечественную. Национальная криптография — это архиважный вопрос для любого государства. Для этого нужно создать и развить собственную школу криптологии с привлечением молодых ученых.  Во-вторых, необходимо поддерживать и выделять гранты отечественным разработчикам инновационных решений (например, антивирусные решения) в области компьютерной безопасности. В-третьих, нужно создавать при университетах специализированные лаборатории по разработке технических средств защиты информации (проектирование ПЛИС, разработки СКЗИ) с привлечением в ее работу студентов старших курсов, магистрантов и докторантов.

Почему говоря о необходимости импортозамещения вы говорите об уменьшении присутствия иностранного бизнеса, ведь западные компании обладают уникальными разработками, которые сложно повторить?

По поручению Президента Нурсултана Назарбаева в Казахстане на базе EXPO создается международный технопарк IT—стартапов, в котором ведущим мировым производителям и стартапам предоставят целый спектр налоговых льгот. На правительственном уровне ведутся переговоры с ведущими транснациональными компаниями в сфере информационных технологий, разрабатываются модели ГЧП, прорабатываются законодательные меры по привлечению инвестиций.  Конечно, надо учитывать интегрированность Казахстана в мировую экономику, мы все переплетены экономическими связями. Кроме того, на повестке дня стоят вопросы разработки единых межгосударственных стандартов в рамках таких объединений как СНГ и ЕАЭС.  Это особенно важно для развития ИТ-индустрии, поэтому практически все стандарты должны быть гармонизированы с международными техническими регламентами.

Я же говорю о тех ключевых элементах, которые влияют на безопасность информационных систем. Тут важно понимать две вещи. Во-первых, во многих странах мира, в частности в Казахстане, принимаются государственные программы по цифровизации экономики, а это влечет за собой автоматизацию многих процессов и некоторые профессии исчезнут, люди будут доверять информационным технологиям. В таком случае, обеспечение бесперебойной работы автоматизированных процессов и критических объектов информатизации является задачей национальной безопасности, и соответственно оно не может полностью возлагаться на иностранные решения, разработчики которых работают под юрисдикцией иностранных государств. Во-вторых, разработки в области защиты информации напрямую связаны с деятельностью по обеспечению государственных и коммерческих секретов, а также по обеспечению защиты персональных данных. Проводить исследования на наличие или отсутствие недекларированных возможностей практически невозможно, методики сертификации средств защиты информации устаревают и их надо актуализировать, а разработчики антивирусных программ, сканеры и прочие анализаторы не поспевают за разработчиками вредоносного кода.

Далее, не секрет, что в Казахстане очень много представительств зарубежных вендоров, которые позиционируют себя отечественными компаниями, и они без труда попадают в реестр отечественных производителей Казахстана. Недавно об этом также обсуждали на площадке НПП «Атамекен», где представители бизнеса в области электронной промышленности просили регулятора доработать правила включения в данный реестр. Проблема в том, что данные иностранные поставщики не создают рабочие места в Казахстане, не инвестируют, а занимаются исключительно сбытом своих продукций.  Думаю, так обстоят дела во многих странах СНГ, поэтому надо изучать и перенимать международный опыт (прежде всего, опыт Белоруссии и России) в вопросах поддержки отечественных производителей, которые в свою очередь будут создавать рабочие места в Казахстане. Поэтому, Институту совместно с министерством надо проработать вопросы по оказанию разумного протекционизма для продвижения отечественных исследователей, разработчиков и стартапов.

Насколько важная роль у национального института развития в общей картине работы системы управления страны?

Национальный институт развития будет принимать участие в реализации государственной политики в сфере обеспечения информационной безопасности. То есть головной Институт будет участвовать в разработке стратегии по развитию информационной безопасности, разрабатывать научно-аналитические отчеты и рекомендации для министерства, предложения по стимулированию развития государственно-частного партнерства, изучать вопросы по трансферу технологий в области защиты информации и т.д.

Кроме того, Институт уполномочен проводить экспертизу важных для государства научно-технических проектов. В связи с этим, хотелось бы отметить необходимость внедрения эффективного проектного менеджмента, о котором я говорил. То есть необходимо в данном Институте сформировать экспертный научный совет по проектному менеджменту.

В процессе подготовки кадров, готовы ли вы опираться на иностранный опыт и обучать специалистов пользоваться разными инструментами, не только созданными в рамках программ по импортозамещению?

Безусловно, так как реализация программы по импортозамещению предполагает привлечение первоклассных ученых, экспертов международного уровня и экспатов. Молодых специалистов лучше всего готовить в лучших технических университетах мира, например в рамках президентской программы «Болашак» есть уникальная возможность получить хорошее образование за рубежом по программам магистратуры и докторантуры.

Далее, необходимо совместно с НПП «Атамекен» прорабатывать вопросы по качественному улучшению образовательных программ в национальных вузах РК и разработать ряд стимулирующих мер для отечественных ученых и профессорско-преподавательского состава. В ближайшей перспективе, считаю целесообразным создание кафедр в ведущих технических вузах и двух специальных факультетов в Астане и Алматы для качественной подготовки кадров в области информационной безопасности.