Безопасен ли «Сергек»: почему IT-специалисты бьют тревогу

Более 40 информационных систем Казахстана разрабатывались за рубежом и приносят больше вреда, чем пользы.

Ботагоз Искакова

Накануне был проведен круглый стол «Обеспечение регионов качественными цифровыми услугами», организатором которого является национальная ассоциация коммуникации и цифровизации, передает golos-naroda.kz.

Технический директор ТОО «Балхаш электронный город» Николай Сафиуллин выразил обеспокоенность безопасностью действующих в Казахстане информационных систем.

«Меня, как оператора телекоммуникаций и передачи данных, волнуют информационные системы, которые внедряются в нашей стране. Я говорю о более 40 системах, таких как Ashyq, «Адилет», EduMark, а также различных экологических и образовательных системах. Четко видно, что они в основном разрабатываются за границей и видимо преследуют какие-то двойные или тройные темы (стандарты – прим. авт), потому что видно, что они не адаптированы под наши жизненные условия и приносят больше вреда, чем пользы», - отметил он.

По его мнению, даже официальный сервис государственных закупок не адаптирован для наших условий.

«Надо срочно заниматься информационной безопасностью всех информационных систем. Того же «Сергека», который собирает огромное количество штрафов, и Ashyq, от которого много кто пострадал. А в системе «Адилет» огромное количество нормативных документов, которые не подписаны цифровой подписью тех людей, которые уполномочены их подписывать», - добавил Николай Сафиуллин.

Так, система Ashyq была внедрена без единого нормативного документа: без технических заданий и сертификатов по информационной безопасности.

«Они не прошли никаких проверок и интегрировали эту программу со всеми банками второго уровня, с госструктурами, которые находятся в защитном контуре безопасности. Задним числом был оформлен только единственный документ – это договор дарения на эту программу. По сути, какие-то третьи силы или страны получают доступ к нашим информационным системам, к персональным данным наших граждан, и наносят очень много вреда», - считает технический директор ТОО.

Он подчеркнул, что комитет информационной безопасности министерства цифрового развития, инноваций и аэрокосмической промышленности РК (МЦРИАП) не может проводить проверки, пока не поступят заявки.

«Как в полиции – если вас обокрали, и вы об этом не написали, полиция этим заниматься не будет. Также и здесь. Пока вы не напишете заявку, что информационную систему нужно провести, ее почему-то не проверяют», - обратил внимание он.

В результате в системах здравоохранения и образования имеют место различные нарушения.

«Обслуживая ряд больниц и поликлиник, мы видим, что иногда некоторые сотрудники заходят и выписывают госслужащим справки по болезни, хотя они в это время где-нибудь отдыхают, или выписывают на мертвые души и реализовывают их на черном рынке очень дорогие лекарства, которые должны предоставляться бесплатно. Люди даже не знают, что на них оформлены эти лекарства. Или что касается EduMark – такое ощущение, что кто-то специально это делает. Сколько было случаев в нашей практике, когда обычные дети, студенты получали доступ в эту систему, меняли оценки, получали доступы к персональным данным родителей, учителей, завучей, директора, а потом SMS-бомберами бомбили их телефоны», - подчеркнул Сафиуллин.

В свою очередь, по словам специалиста информационной безопасности Замира Кожаназарова, в Казахстане не работает система сдержек и противовесов в IT-сфере. Она включает два направления: первое – направление информатизации, которое преследует цель внедрения проектов, автоматизации деятельности, и второе направление – информационная безопасность.  

«Сейчас эта система в Казахстане не работает, потому что комитет информационной безопасности, который призван преследовать цель заранее определять утечку информации, находится при МЦРИАП. Здесь получается конфликт интересов. Поэтому я предлагаю выделить этот комитет как отдельную организацию, чтобы любой человек, который усомнился в качестве информационных систем, мог обратиться в эту структуру для проведения экспертизы, и убедиться, что действительно информационная система качественная, и все лазейки перекрыты», - предложил Замир Кожаназаров.

Кроме того, он обратил внимание на нехватку качественных специалистов в государственном и квазигосударственном секторах.

«К примеру, АО «Национальные информационные технологии», Комитет информационной безопасности МЦРИАП превратились в такую прослойку менеджмента, которые зачастую к себе на работу принимают новоиспеченных студентов. По договору с ними работают частные организации, в составе которых – профессиональные IT-сотрудники. Со стороны госоператоров проверка качества и тщательности выполненных работ частных организаций по договору зачастую несопоставима, потому что новоиспеченные студенты никак не могут качественно проверить работу профессиональных IT-специалистов», - отметил эксперт.

По его словам, необходимо разграничить доступ частных организаций к информационным системам государственных организаций, и в составе госорганизаций взращивать своих специалистов, которые одновременно являются госслужащими и профессиональными IT-специалистами.

Реклама
Реклама
Новости партнеров