Защита персональных данных — это тот самый вопрос, который с каждым годом будет обретать все большую актуальность и проблематичность. Чем больше развивается Азербайджан, тем привлекательнее он становится для киберпреступников. В современном мире, где цифровые технологии играют все большую роль, кибербезопасность становится наиболее важной проблемой. Но все еще большая часть населения Азербайджана не научена соблюдать цифровую гигиену, несмотря на то, что банковские карты привязаны к мобильному телефону, хотя это не единственная причина, по которой стоит быть предусмотрительным и более осторожным.
Сегодня криминальная сфера претерпела трансформацию, и это, прежде всего, связано с транснационализацией преступности. Об этом в эксклюзивном интервью «Минвалу» заявил председатель Ассоциации организаций кибербезопасности Азербайджана, доктор философии по праву Эльвин Баладжанов.
— Одной из главных проблем кибербезопасности является недостаточная осведомленность пользователей. Многие пользователи не понимают, насколько важно защищать свои данные в цифровой среде. Они могут использовать слабые пароли, не обновлять программное обеспечение и не обращать внимание на подозрительные сообщения, которые могут содержать вирусы. И чтобы решить проблему недостаточной осведомленности пользователей, необходимо проводить более широкую кампанию по пропаганде кибербезопасности. Что делает ваша Ассоциация в этом направлении? Расскажите о вашей деятельности и о том, что вы успели сделать за тот короткий срок, что существуете?
— Ассоциация организаций кибербезопасности Азербайджана (АОКА) была зарегистрирована в апреле 2022 года, основная цель наша заключается в поддержке шагов, способствующих развитию экосистемы в области кибербезопасности. Потому что в направлении обеспечения кибербезопасности в стране в правовой, организационной, технической, образовательной сферах, а также в сфере сотрудничества в настоящее время принимаются систематические меры. И поэтому наша деятельность поделена на перечисленные направления. Естественно, просвещение является основной деятельностью в направлении обеспечения кибербезопасности, потому что главным компонентом кибербезопасности является человеческий фактор. Если просвещение населения будет не на должном уровне, то злоумышленники будут пользоваться пробелами в их знаниях и способностях, что они, впрочем, и делают.
В целом, повышение культуры кибербезопасности является одним из приоритетных направлений «Стратегии информационной и кибербезопасности Азербайджанской Республики на 2023-2027 годы».
Как АОКА, в целях просвещения населения и членов организации мы провели десятки мероприятий, в частности с населением работает наша команда исследований и развития. Мы организуем семинары и вебинары. В составе АОКА действуют четыре экспертных комитета, один из них работает в сфере образовательного просвещения и человеческих ресурсов, но хочу отметить, что недостаточно привлечения лишь одного субъекта, организации, для просвещения населения. Среди госорганов, компетентных проводить просвещение населения в области кибербезопасности, нужно отметить Службу электронной безопасности при Министерстве цифрового развития и транспорта Азербайджана. Они также проводят просветительские кампании. Но, считаю, что просветительские кампании должны проводиться не только госорганами, но и частным сектором, компаниями, которые предпочитают работать в электронном формате.
Для обеспечения комплексности этой работы мы постоянно сотрудничаем с различными госструктурами, компаниями, финансовым сектором, сектором образования. Вы знаете, во всех странах мира эта проблема существует, сколько бы просветительных работ не проводилось. Важно объединить все усилия в этом направлении, и мы, как АОКА, поддерживаем данные инициативы и намерены расширять работу в этой области и в будущем. В то же время мы должны стараться, чтобы был разработан механизм оценки эффективности мероприятий в области просвещения. АОКА провела несколько опросов общественного мнения.
— Кстати, это очень важный момент. Практика показывает, что отечественный банковский сектор не только плох в области просвещения населения, но слабо обеспечил свою информационную безопасность, потому как в правоохранительные органы участились жалобы граждан на вскрытия банковских счетов и хищение средств.
— Я думаю, что ответственность лежит на каждом: и на гражданах, и на субъектах, организациях. Мало кто в Азербайджане задумывается над тем, куда уходят его персональные данные, например, с карт лояльности, заполненных в брендовых магазинах или других учреждениях. Но, естественно, есть такой момент, как распределение ответственности. Если человек с легкостью вверяет свои персональные данные какой-то организации…
— А такое часто бывает, потому что мы приходим в какую-либо организацию и у нас просят паспортные данные, мы их передаем, но проблема в том, что эти организации не чувствуют никакой ответственности, в результате наши персональные данные ходят по рукам.
— У нас есть закон о защите персональных данных.
— Но он малоэффективен.
— Надо учесть, что применение всех нормативных актов не ложится только на плечи одной стороны. К примеру, в Законе «О персональных данных» есть положения по части сбора, обработки и защиты персональных данных, но я с вами согласен, что некоторые субъекты не соблюдают эти принципы. Однако есть нормы, которые регулируют отношения в этой области, и органы, которые контролируют этот вопрос.
— Согласна, есть нормы, есть структуры, отвечающие за применение этих норм, но их работу эффективной назвать нельзя. Мы изучаем практику развитых стран и видим, что там за нарушения закона о защите персональных данных люди и структуры несут реальную ответственность, то есть работает система с хорошо отлаженным механизмом. Но наши эксперты говорят о том, что отечественное законодательство в этой сфере имеет много пробелов, а в некоторых случаях механизма и вовсе нет. Далеко не все граждане знают, куда обращаться и с кого спрашивать в случае нарушения закона «О персональных данных». В судебной практике, можно сказать, что до сих пор не появился такой прецедент.
— Создана целая система, и в нее входят как правовые вопросы, так и технические, управленческие и другие. С правовой точки зрения, можем сказать, что закон у нас есть, правда, он нуждается в дополнениях и изменениях. И надо сказать, что сейчас ведется работа по его обновлению и подведению под международные стандарты. Надеемся, что очень скоро будет принят новый, более совершенный закон о защите персональных данных.
Но в республике давно уже действует орган по выявлению нарушений в области использования персональных данных — это Служба электронной безопасности при Министерстве цифрового развития и транспорта, туда могут обращаться граждане при соответствующих нарушениях. И как я уже отметил, есть технические стороны данного вопроса: во многих случаях персональные данные граждан распространяются на различных платформах по причине их собственной невнимательности. Общество должно научиться культуре использования персональных данных, что является составляющим культуры кибербезопасности. Если у граждан просят персональные данные, то они должны спросить: «Для чего и каким образом будут использованы?».
Отмечу и то, что нарушения закона «О персональных данных» караются согласно Кодексу об административных проступках. Может быть, в будущем будет рассмотрена уголовная ответственность за эти правонарушения. В европейской практике такие санкции очень жёсткие. Однако в Азербайджане необходимо ужесточить санкции, применяемые за нарушение законодательства в сфере защиты персональных данных.
— Здесь считают, что эти преступления не столь серьезны?
— Должно измениться отношение к этому. Знаете, откуда это подпитывается? К примеру, если посмотреть на санкции 30-ой главы Уголовного кодекса «Киберпреступления», то мы увидим, что среди них самым тяжким считается кибератака на структуры критической информации и объекты общественного значения, но даже это нарушение отнесено к категории менее тяжких преступлений.
Я 7-8 лет назад проводил исследование в связи с этим и взял несколько интервью у представителей соответствующих структур. Дело вот в чем. Сначала мы должны определить, является ли незаконное распространение персональных данных для Азербайджана проблемой? И тогда мне сказали, что киберпреступления для Азербайджана не являются проблемой. Я спросил: «А как мы определяем, проблема ли это? Они сказали: «Давайте посмотрим, сколько обращений было со стороны граждан в правоохранительные органы и соответствующие структуры?».
— Не обращались, потому что не информированы.
— С одной стороны, можно с этим согласиться, в связи с этим мы проводили опрос и я ознакомлю вас с его результатами, а с другой…
— А еще отсутствие специализированных кадров, на тот момент их было недостаточно.
— Сейчас в области борьбы с киберпреступностью принимаются более систематические шаги. Я хочу сказать, что, в первую очередь, мы должны доказать, что это проблема для нас. А для этого должны быть обращения со стороны граждан. То есть должно быть основание для того, чтобы ты смог выступить с инициативой, предложением. Если мы видим, что, по сравнению с прошлым годом, в этом году увеличилось количество жалоб, значит, это становится проблемой для нас. После этого уже можно рассматривать вопрос ужесточения санкций, увеличения количества специалистов и так далее.
— По вашему, мы опоздали с жёсткими мерами в области борьбы с киберпреступностью или сейчас самое время?
— Мне кажется, было бы хорошо, если бы наш закон о персональных данных к сегодняшнему дню уже был усовершенствован. Потому что, если мы обратимся к международной европейской практике, к The General Data Protection Regulation (GDPR), то увидим, что этот закон был принят в апреле 2016 года. Было бы хорошо, если бы и у нас в правовом регулировании были сделаны более интенсивные шаги, и это касается не только закона о персональных данных, но и борьбы с киберпреступностью, в целом. Но даже у отсутствия интенсивных шагов есть свои объективные и субъективные причины.
Во-первых, на киберпространстве процессы происходят стремительно, а традиционные механизмы нормотворчества принимаются для регулирования общественных отношений в офлайн. Но киберпространство вынудило преступления, которые совершаются в нашем обществе, трансформироваться. И если преступления трансформировались, то и наши механизмы нормотворчества должны трансформироваться.
— А преступления трансформировались уже давно. Многим кажется, что криминала в обществе стало меньше. Но это не так. Сегодня кражи, мошенничество, торговля наркотиками, оружием, людьми и органами совершаются в интернет-пространстве.
— Для борьбы с этими преступлениями на глобальном уровне при ООН создан временный комитет, подготовивший проект универсальной Конвенцию по борьбе c киберпреступностью с использованием ИКТ в преступных целях. В разработке этой конвенции участвовали все страны-члены ООН, в том числе и Азербайджан. И если мы ознакомимся с данной конвенцией, то увидим десятки новых составов преступлений. В августе обсуждения этой конвенции были завершены, в будущем, в случае ее принятия, Азербайджан, вероятно, рассмотрит вопрос ее ратификации и примет меры по криминализации новых составов преступлений. И даже то, что мы разовьем свои правовые нормы, не означает, что они будут имплементированы на высшем уровне. Для этого должны быть правовая культура, организованность, технический потенциал. А поскольку правонарушения на киберпространстве носят транснациональный характер, мы должны наладить международное сотрудничество, как формальное, так и информальное.
К слову с казать, в начале года мы провели опрос, пытаясь определить, насколько население проинформировано. Было опрошено более 500 пользователей соцсетей и выяснилось, что примерно половина населения при столкновении с киберугрозой или кибермошенничеством не знает, куда обращаться. Мы информировали об этом соответствующие структуры и начали проводить дополнительную просветительскую работу о том, что при кибермошенничестве следует обращаться в МВД, а при других киберинцидентах — в Службу электронной безопасности.
Выяснилось также, что две третьих населения пользуются одним и тем же шифром на разных счетах, не соблюдая уникальность.
— Потому что забывают пароли и шифры. Поэтому пользуются одинаковым, легким.
— Верно. После этого мы стали вести просветительскую работу в этом направлении, объясняя риски использования одинаковых шифров.
Стало известно и то, что примерно половина опрошенных в своих гаджетах использует нелицензированные программные обеспечения. А поскольку в них очень много пустот, связанных с кибербезопасностью, рисков много, это создает для киберпреступников благоприятную среду. Мы стали рассказывать людям о печальных последствиях применения нелицензированных программ.
Ну а причина необращения людьми в органы в случаях правонарушений заключается в том, что они: не могут понять, пострадали ли он в результате хакерской атаки; либо понимают, но не знают, куда обращаться; либо из-за малого размера причинённого ущерба ленятся обращаться в правоохранительные органы. И киберпреступники этим, несомненно, пользуются.
В МВД уже действует Главное управление по борьбе с киберпреступностью. Следует отметить, что в последние годы Служба государственной безопасности и МВД проводят системную деятельность по борьбе с киберпреступностью, особенно в борьбе с незаконным доступом к компьютерной системе, незаконным захватом компьютерных данных, незаконным вмешательством и другими подобными действиями. Отмечу, что согласно уголовному законодательству, серьезным основанием для возбуждения уголовного дела считается, когда в результате кражи или мошенничества размер причинённого вреда превышает 500 манатов. Но при краже с применением информационных и коммуникационных технологий деяние может считаться преступлением, если его размер превышает 100 манатов и возникает основание для привлечения к уголовной ответственности.
При совершении же мошенничества, и в том, и в другом случаях, ущерб в размере 500 манатов формирует состав преступления. Таким образом, криминализация кражи, совершенной с применением информационных и коммуникационных технологий, начинается со ста манатов. Меньшая сумма, несомненно, — преступление, но это — мелкое хищение. Однако надо отдать должно МВД, за последнее время оно выявило и обезвредило несколько групп, промышлявших киберпреступностью.
А наблюдения, сделанные за последние два года, показали, что жалоб и обращений со стороны населения стало больше. Эта динамика роста сохранится и в будущем. И если мы посмотрим на практику Великобритании, то увидим, впервые правовое определение киберпреступности в этой стране было дано в 2013 году. На следующий год статистика показала, что свыше 50 процентов выявленных по стране преступлений составляют киберпреступления. Это десятки тысяч преступлений. В настоящее время большая часть выявленных здесь преступлений приходится на долю киберпрестпуности. А есть ли налаженный механизм для борьбы с ними? У них борьбу с этим ведет полиция. Так вот она вынуждена была отправить 40 тысяч своих сотрудников на тренинги, чтобы те научились работать в этой сфере.
— Как вы считаете, у нас достаточно кадров для борьбы с кибепреступностью?
— Кибепреступления носят латентный характер, даже если все граждане станут обращаться за помощью в органы. Ни в одной стране не смогут сказать, что у них достаточно кадрового потенциала для работы в этой сфере.
— Так-то оно так. Но как вы знаете, все госорганы перешли на электронный формат работы, и при каждом входе в систему требуются пароли, шифры — это тоже осложняет нашу жизнь, когда вроде бы призвано облегчить ее. С какими рисками в будущем, в связи с полным переходом на электронный формат, столкнемся мы?
— Главная цель электронизации — повысить эффективность деятельности госструктур, оптимизировать ее и обеспечить доступ граждан к госуслугам, облегчить им жизнь. Но в то же время электронизация и цифровизация требуют параллельных мер по предотвращению рисков и обеспечению безопасности. В некоторых странах кибербезопасность стала обеспечиваться после процесса электронизации, а в других — электронизация шла параллельно с принятием норм по кибербезопасности, для баланса и быстрого реагирования.
А вообще, оперативность, легкость, эффективность и безопасность — на разных чашах весов, по мере того, как ты облегчаешь задачу, растут риски, связанные с кибербезопасностью. С другой стороны, если ты применяешь чрезмерное количество механизмов для предупреждения рисков, то усложняется доступ к услугам. Должен быть определенный баланс.
В Азербайджане за последние 10 лет в области цифровизации и электронизации формировался опыт, реализуются госпрограммы. Первые шаги по киберпреступности мы начали делать в 2012 году, но наша Стратегия была принята в 2023-ем. Сегодня у нас уже есть Стратегия, которая предусматривает механизмы по реализации 56 мер до конца 2027 года. В эту работу вовлечены 23 госструктуры. Потому что кибербезопасность должна обеспечиваться всеми органами исполнительной власти.
Есть такие страны, где индекс кибербезопасности выше индекса цифровизации и электронизации. Это те страны, которые в свое время подверглись массовым кибератакам — Эстония, Грузия, поэтому из стратегия по киберпреступности и информационной безопасности была принята намного раньше. Наше счастье, что мы никогда не подвергались массовым кибератакам.
Но должен отметить, что в 2021 году президентом Ильхамом Алиевым был подписан Указ «О некоторых мерах по обеспечению безопасности критической информационной инфраструктуры», на основе которой и началась работа в этом направлении. А когда это случилось? После победы в Отечественной войне. Это уже объективный хронологический алгоритм.
— Ваша организация может выступать с предложениями к законодательным органам?
— Мы регулярно вносим предложения по нормативно-правовым актам. При АОКА действует Комитет общественных и правовых инициатив. И целью является как раз то, чтобы делать предложения в сфере правового регулирования. С другой стороны, наша Ассоциация также участвует в даче заключений по нормативно-правовым проектам. Мы уже превратили это в традицию. И в Форуме национальной кибербезопасности поднимаем эти вопросы. На панелях форума постоянно обсуждаются вопросы правового регулирования. У нас насчитывается более 70 экспертов: они готовят свои предложения, мы рассматриваем их и продвигаем, когда обнаруживаем бреши в законодательстве.
Более того, наши эксперты подготовили несколько исследовательских проектов, они сотрудничают с вузами, с частным сектором. В настоящее время мы работаем над формированием национального индекса кибербезопасности, его применением и проведением оценивания. Уже подготовлена методология индекса, готова онлайн-платформа, где будут производиться расчёты. В ближайшее будущее мы начнем действовать в направлении измерения индекса кибербезопасности. В то же время наша команда развития и исследований в этом году подготовит учебные пособия и материалы по нескольким предметам, включенным в учебную программу по информационной безопасности в вузах. В 10 вузах мы проводили тренинги о том, какие моменты должны учитываться педагогами в процессе обучения.
— На каком уровне находится профессиональная подготовка сотрудников, предотвращающих кибератаки?
— Для подготовки кадров мы тесно сотрудничаем с вузами, и в учебном процессе помогаем, проводим для студентов семинары, вебинары. В 15 университетах мы создали кибер-клубы, которые собирают молодежь, заинтересованную в вопросах информационной безопасности и кибербезопасности. Мы делимся с вузами новыми исследовательскими материалами. Привлекаем членов клубов к семинарам, конференциям. В то же время в направлении усиления кадрового потенциала мы организуем координацию и контакты между компаниями и организациями-членами АОКА и вузами.
— Сколько времени нужно для подготовки полноценного сотрудника в вашей сфере?
— Это зависит от задач, поставленных перед ним, и специфики его работы. Для получения фундаментальных знаний по IT достаточно и нескольких месяцев. Если же нужен кадр, способный организовать кибербезопасность в структуре, то срок подготовки будет более долгим. Если нужны кадры для обеспечения безопасности критической информационной структуры, то понадобится несколько лет, ведь параллельно необходимо развить в себе и мягкие навыки. Подготовка аудитора также потребует несколько лет. Поэтому в азербайджанских вузах в бакалавриате есть специальность «Информационная безопасность», в магистратуре есть «Кибербезопасность». Но даже этого недостаточно для того, чтобы полностью обеспечить нашу экосистему.
14 февраля этого года Ильхам Алиев сказал, что ИИ, кибертехнологии стали частью жизни общества и государства, угрозы растут и поэтому Азербайджан нуждается в десятках тысяч кадров. Но 14 вузов не смогут за короткий срок дать нам десятки тысяч кадров. Это уже потребует совместной работы госструктур, вузов и крупных организаций.
— В будущем АОКА будет только развиваться и расширяться, потому что работы у вас непочатый край. Достаточно ли средств выделяется для реализации ваших проектов?
— Наш основный источник финансирования — это члены АОКА, компании. Наша команда исследования и развития для реализации своих проектов получает гранты, например, для разработки национального индекса кибербезопасности деньги выделило Госагентство по поддержке НПО. В то же время минобразования выделило гранты для реализации сразу нескольких проектов. Госструктуры всячески поддерживают нас в реализации проектов по просвещению населения. В экосистеме очень хорошее сотрудничество налажено, мы также стараемся сотрудничать с зарубежными структурами. Роль АОКА в обеспечении платформы для сотрудничества в сфере кибербезопасности стран ОТГ была велика. В 2023 году, когда организовали Национальный форум кибербезопасности, мы создали отдельную панель стран-членов ОТГ.
В 2024 году Ильхам Алиев на церемонии инаугурации отметил, что ОТГ надо усилить, ОТГ — наша семья. И мы вняли его словам, и в этом году еще больше расширили наше сотрудничество. Пригласили на форум высокопоставленных представителей стран ОТГ. По кибердипломатии было проведено мероприятие, оно хоть и было организовано Госслужбой специальной связи, но мы принимали в нем активное участие. В сентябре этого года нас к себе пригласили Казахстан и Узбекистан на мероприятие по кибербезопасности. Мы стараемся формировать киберальянс. АОКА заинтересована и во внутреннем сотрудничестве, и во внешнем.