Қазір ақпараттық инфрақұрылымды ғана емес, азаматтардың жеке деректерін қорғау да маңызды. Кейінгі кезде еліміздің аса маңызды нысандарына 163 миллион кибершабуыл жасалған. Аталған өзекті мәселе жөнінде ақпараттық қауіпсіздік туралы зерттеулер жүргізіп жүрген маман, саяси ғылымдар докторы Гүлмира Сұлтанбаевамен тілдескен едік.
– Ақпараттық қауіпсіздіктің классикалық үлгісі бар ма?
– Әрине, бар. Ақпараттық қауіпсіздіктің классикалық үлгісі маңызды үш бөліктен тұрады: құпиялық, тұтастық және қолжетімділік. Ақпараттың құпиялығы өзінің иесі белгілеген қатаң шектелген адамдар тобы ғана таныса алады дегенді білдіреді. Ақпараттың тұтастығы – ақпараттың бұрмаланбаған түрде сақталу қабілеті. Ақпараттың заңсыз және иесі қаламаған өзгеріс (оператор қатесінің немесе уәкілеттігі жоқ адамның қасақана іс-әрекетінің салдарынан) тұтастықтың бұзылуына әкеледі. Ақпараттың қолжетімділігі ақпараттық жүйенің тиісті өкілеттіктері бар субъектілерге деректерге дер кезінде бөгетсіз рұқсат беру қабілетімен анықталады. Ақпаратты жою немесе бұғаттау (қателіктің немесе қасақана іс-әрекеттің салдарынан) қолжетімділікке кедергі келтіреді.
– Шабуылдың қандай түрлері көп кездеседі?
– Олардың түрі көп. Біріншісі – күшпен алушы бағдарлама. Бұл – сатып алуға дейінгі компьютерлік жүйенің файлдарына кіруді бұғаттау арқылы ақша жымқыратын жүйе. Олқылықтың орнын толтыратын сатып алуды аудару файлдарды жүйені қалпына келтіруге немесе жүйенің жұмыс істеп кетуіне кепілдік бермейді. Екіншісі – DdoS шабуылы (ағылшынша Distributed Denial of Service – қызмет көрсетуден бас тарту). Яғни қызмет көрсетуден бас тарту түріндегі шабуыл. Бұл – кең таралған және қауіпті желілік шабуылдың бірі. Шабуыл нәтижесінде заңды пайдаланушыларға, желілерге, жүйелер мен өзге де ресурстарға қызмет көрсету бұзылады немесе толық істен шығарылады. DdoS шабуыл салдарынан сайтқа қызмет көрсететін серверлерге үлкен көлемдегі жалған сұратуларды өңдеуге тура келеді және сайт қарапайым пайдаланушы үшін қолжетімсіз болып қалады. Үшіншісі – әлеуметтік инженерия. Бұл арқылы құпия ақпаратты ашуға болады. Төртінші – фишинг. Компьютерлік айлакерліктің түрі. Оның негізгі мақсаты – адамды алаяққа қажетті ақпаратты ұсынуға еріксіз көндіру. Бұл заңға қайшы компьютер арқылы жасалатын қылмыс. Бесінші – сайтты бұзу. Зиянкес сайттың файлдарына немесе сайтты басқару жүйесінің басты бөліміне рұқсатсыз кіреді.
– Сарапшылардың айтуынша, келеңсіздіктердің алдын алатын ең қарапайым жол – құпиясөзді дұрыс құру. Құпиясөз саясаты туралы пікіріңізді білсек.
– Құпиясөз саясаты қарапайым тәсілдерден тұрады. Мысалы, оны жұмыс орнында электронды түрде сақтамау, әлденеге жазылған болса, көпшілікке қолжетімсіз орындарда жасырын ұстау, үшінші тұлғаға айтпау маңызды. Өндірістік қажеттілік жағдайында құпиясөздің мәнін ашуға жол берілгеннен кейін оны міндетті түрде ауыстыру керек. Құпиясөз кемінде 8 символдан тұруға тиіс.
– Гүлмира Серікбайқызы, еліміздің киберқауіпсіздігі туралы не айтар едіңіз? Қандай мәселе бар?
– Елімізде киберқауіпсіздіктің негіздері игеріліп, оны барынша пайдаға жаратып жүрміз деп айта алмаймыз. Мысалы, киберқауіпсіздік саласындағы мамандар даярлау ісі әлі сылбыр. Бізге киберқауіпсіздік, криптография, коммуникация, кибернетика бағытын терең меңгерген мамандар қажет-ақ. Қолда бар ресурсқа мәз болып жүре бермей, интернет пен ақпараттық әлемнен орын табуымыз керек. «Киберсоғыстағы үкіметтің мүмкіндіктері» деген түсінік бар. Бұл мәселе барлық елге тән. Ал бізде осы киберқауіпсіздікті тереңнен зерттейтін, оның құралдарын әзірлейтін қуатты зертхана жоқтың қасы. Мысалы, Ресейде Касперский платформасы біршама жыл бойы жұмыс істеп келеді. Бұл – белгілі бір деңгейде ақпаратты қорғайтын, IT-мамандардың күшін біріктіретін қуатты платформа. Елімізде мемлекеттік желілерге, мемлекеттік-әлеуметтік желілерге баламаны жасап шығару ісі де ақсап тұр. Негізінен киберқауіпсіздік тұжырымдамасы бекітілген. Бұл – еліміздің киберқалқаны. Ол Президенттің «Қазақстанның үшінші жаңғыруы: жаһандық бәсекеге қабілеттілік» атты Жолдауына сәйкес әзірленді. Тұжырымдамада электронды ақпараттық ресурстарды, ақпараттық жүйелер мен телекоммуникация желілерін қорғау, ақпараттық-коммуникациялық технологияларды қауіпсіз пайдалануды қамтамасыз етудің негізгі бағыттары қамтылған. Бір жақсысы, бұл құжат Орталық Азия киберқауіпсіздік кәсіпқойлар қоғамының қатысуымен әзірленді.
– Киберқауіпсіздікті қарапайым тілмен қалай түсіндіріп берер едіңіз?
– Киберқауіпсіздік – электронды нысандағы ақпаратты өңдеу, сақтау, беру, ақпараттық жүйелер мен ақпараттық-коммуникациялық инфрақұрылымды сыртқы және ішкі қауіп-қатерден қорғау. Қазір мемлекеттің сапалы қызмет етуі, азаматтарға қызмет ұсынуы үшін киберкеңістіктің күннен-күнге маңызы артып келеді. Кибершабуылдар экономикаға орасан зиян келтіреді, қоғамның онлайн қызметтерге деген сенімін төмендетеді. Азаматтарға, олардың меншіктері мен құпиялығына залал келтіреді. Есте сақтайтын бір жайт, кибершабуылдар оңай құпиясөздер, жеке деректерді жариялау сынды адами немқұрайдылық пен абайсыздықтардан туады.
– Кибершабуылдан толықтай қорғану мүмкін бе?
– Өкінішке қарай, жоқ. Шабуылдардан абсолютті қорғаныс кибермердің күрделілігіне және оның өзгеру қабілетіне байланысты мүмкін емес. Дегенмен бұған ұмтылу керек. Өйткені киберқауіпсіздік – ақпараттық қоғамды дамытудың қажетті шарты. Интернет – жұмыс орны ғана емес, өміріміздің бөлшегі. Онлайн-кеңістікте өзіңді қорғау – үйіңді қорғаумен тең. Кибершабуыл алдымен қаржы қорлары мен ақпараттарына жасалады. Қаржы туралы ақпарат – киберқылмыскерлердің басты нысаны. Компьютердегі қауіпсіздік мемлекеттік қауіпсіздіктен бастап коммерциялық сектордағы мәселелерге дейінгі тізбекті жүйені қамтиды. Ақпараттық саясат ұлттық локациядан жаһандық деңгейге дейін кең таралып, күн тәртібіне қорғау шараларын қойып отыр. Компьютер қылмыстары туралы Будапешт конвенциясын Қазақстан 2006 жылдың 1 наурызында қабылдады. Киберқылмыстың халықаралық құқықтық негіздеріне БҰҰ қылмыстық мақсатта ақпараттық-коммуникативті технологияларды қолдануға қарсы актіні де атауға болады. Ұлттық қауіпсіздіктен бастап, азаматтардың жеке деректерін қорғау – әр мемлекеттің басты ақпараттық саясаты. Интернет қылмыстың ең қиыны да оңай олжа көзін іздеген хакерлердің жылдамдықпен айлакерлік технологияны игеруінде. Себебі заңнамалық актілер әзірленіп, қорғау амалдарының құқықтық негіздері қарастырылғанша, хакерлік қылмыстардың айла-шарғылары соғұрлым тез ойластырылады. Тағы бір қиындық бар, қорғалған ақпаратты интеллектісі жоғары қылмыскерлер ұрлайды. Кибершабуыл арқылы интернет қолданушыларының қаржы деректеріне ғана емес, жеке басының мәліметтеріне де шабуыл жасалатыны мәлім. Әсіресе бұл саяси науқандарда жиі орын алады.
– Бұл салада қандай аспектілерге жіті назар аудармай жүрміз?
– Кибер әлемінде ақпаратты қорғау мен онлайн әрекетті барынша қауіпсіз етуде бірнеше амалды есте ұстаған жөн. Бастысы – электронды пошта, әлеуметтік желілердегі аккануттарға ену амалдарын құпия сақтау, құпиялылық амалдарын арттыру, екі реттік тексеруден өткізу және құпиясөзді жиі ауыстырып отыру. Әр азаматтың интернеттегі қауіпсіздігін жеке мүдде деп қарамау керек. Киберқорғау амалдарына қатысты семинарлар, тренингтер, онлайн курстар, бұқаралық курстар дамылсыз ұйымдастырылғаны дұрыс. Кез келген қоғамдық орында кибершабуылға тап болған жағдайда алғашқы цифрлы қауіпсіздік көмек қызметтері де жетіспейді. Сосын кибербуллинг кейінгі жылдары қоғамда белсенді көрініс тауып отыр. Бір қиыны, кибербуллинг сипаты қандай, оған тап болғанда не істеу керек деген сауалдарға азаматтар әлі де жауап таппай жүр. Кезінде қазақ журналисінің өлімін суицидке апарып тіреген сот органдары бұл әрекеттен кибербуллинг нышанын дәлелдей алмағаны өкінішті. Сол үшін де ең алдымен ақпарат майданында журналистердің құқығы мен буллингтен қорғауды халықаралық ұйымдар ұсынған нұсқаулықтардағыдай кеңінен насихаттау керек. Былтыр қараша айында қазақ тілінде Экономикалық ынтымақтастық ұйымы даярлаған журналист әйелдердің интернеттегі қауіпсіздігі #SOFJO анықтамалық нұсқаулығын әзірлеуге қатыстық. Интернет кеңістігі азаматтардан бастап биліктің барлық сатысында, мемлекеттік және ұлттық қауіпсіздікті қорғау мақсатында әрдайым ақпараттық тазалықпен қатар деректердің берік қамалын құруды талап етеді.
– Жақында АҚШ Ұлттық ғылым қоры қаржыландыратын «National Science Foundation» «Цифрлы қоғам» жобасының «Интернеттегі саясат өлшемі» бағыты бойынша интернеттегі бостандық, киберқауіпсіздік, дезинформация, әлеуметтік желілердің поляризациясына ұлттық сарапшы ретінде шақырту алыпсыз.
– Иә, өткен жылы қаңтардан бастап сараптау жұмысына кірістім. Негізінен «Scopus» ғылыми журналы – кітаптардан, конференция материалдарынан дәйексөздер алынатын деректер базасы. Ғылымның техника, медицина, әлеуметтану, өнер және гуманитарлық салаларындағы зерттеу нәтижелерін қамтитын деректер базасы материалдарды жасанды интеллект көмегімен талдап, нәтижелерін метрикалық өлшемдермен ұсынады. Сондықтан халықаралық зерттеу ұйымдары, қорлар, университеттер мен орталықтар әр өңірден ұлттық сарапшы, коллаборатор іздесе, осы базада жарияланған ғалымдардың еңбектеріне қарап, бағалап, ұсыныстар жасайды. Менің электронды демократия туралы еңбегім осы базада жарияланғанына он жылдан асты. АҚШ Ұлттық ғылым қоры «National Science Foundation» қаржыландыратын «Цифрлы қоғам» бағдарламасы аясындағы «Интернеттегі саясат өлшемі» жобасына осылай келдім. Бұл жоба интернеттегі бостандық, киберқауіпсіздік, әлеуметтік желідегі дезинформация және поляризация бағыттары бойынша деректер жинау, сараптаулардан тұрады. Еліміз бойынша жарық көрген еңбек ауқымды жобаға қатысуыма септігін тигізгені рас. Ғылыми жұмысымыз ұлттық қордағы мамандардың ұсыныс жасауына сеп болды.
Әңгімелескен –
Елігімай ТӨҢКЕР,
«Egemen Qazaqstan»