С середины ХХ века, после завершения второй мировой войны, началось независимое развитие Индо-Тихоокеанского региона, а уже с конца ХХ века началось и продолжается по сей день быстрое развитие этого региона в области ИТ. Активная цифровизация ставит на повестку дня вопрос обеспечения кибербезопасности.
Одним из крупнейших представителей этой области земного шара является Индонезия (4 место в мире по численности населения, 7 экономика мира, 14 место по территории). В этой статье рассмотрим, как обеспечивается кибербезопасность в Индонезии через четыре вопроса:
1. История возникновения.
2. Регулирующие органы.
3. Стандарты в области кибербезопасности.
4. Международное сотрудничество.
1 Cyber Sejarah
Согласно различным исследованиям (с небольшими отклонениями) последний период развития Индонезии как независимого государства начался с 1998 года, но цифровизация государства получила активный толчок только в XXI веке. Однако этот толчок дал очень ощутимые результаты. Так в отчете ООН за 2018 год Индонезия уже отнесена к странам со средним и высоким индексом развития цифровых услуг и сервисов. Также по данным отчета 2020 года (опубликован в 2021) международного союза электросвязи Индонезия занимает 31 место по индексу кибербезопасности в мире (в 2018 году занимала 41 место, в 2017 году – 69 место). Судя по тенденции, в следующем отчете Индонезия может войти в топ-25, т.к. в отличие от стран выше (Египет, Финляндия, Оман, Италия, Бельгия и Бразилия) есть еще достаточно аспектов, которые можно улучшить, но при этом разрыв по показателям не такой высокий, как с топ-20.
Первые разговоры о необходимости включения государственного аппарата в вопросы обеспечения кибербезопасности начались в 2012 году, тогда был сформирован и опубликован первый проект билля о защите персональных данных граждан Индонезии. Однако документ был подвержен резкой критике за неоднозначность определения киберпреступлений и наличие возможных рисков, связанных со злоупотреблениями со стороны правительственных органов.
2 Organisasi regulasi
В связи с явными проблемами в области кибербезопасности и двусмысленностью нормативных актов, не связанных с военной отраслью и обеспечением государственной безопасности, в 2017 году Президент Республики Индонезия подписал указ о создании, а в 2021 году – о выделении в самостоятельную структуру Национального агентства по кибербезопасности и криптографии (eng. National Cyber and Crypto Agency, ind. Badan Siber dan Sandi Negaga, BSSN).
Однако по факту это было не совсем создание, а скорее реструктуризация существующей государственной системы. BSSN было сформировано на базе Координационного совета при седьмом заместителе координационного министерства по политическим и правовым вопросам и вопросам безопасности (Desk Ketahanan dan Keamanan Infomasi Cyber Nasional, DK2ICN), а также Государственного агентства связи (Lembaga Sandi Negara, Lemsaneg).
BSSN на текущий момент является основным регулирующим органом в области кибербезопасности и подчиняется непосредственно президенту Индонезии.
Помимо административных подразделений в агентство входит:
1. Четыре основных производственных департамента:
- По стратегии и политике кибербезопасности и криптографии.
- По кибербезопасности и криптооперациям.
- По правительственной кибербезопасности, криптографии и развитию человеческих ресурсов.
- По кибербезопасности и разведке в экономике.
2. Департамент по проверкам (инспекциям).
3. Три центра:
- Сертификации кибертехнологий и криптотехнологий.
- Данных, информационных технологий и связи.
- Развития человеческих ресурсов.
4. Два технических подразделения:
- Электронный удостоверяющий центр.
- По обнаружению вторжений.
Помимо этого, BSSN курирует работу Государственного политехнического института связи (PoltekSSN), в котором обучают специалистов по кибербезопасности
Таким образом можно констатировать, что в область деятельности BSSN входит:
1. Развитие и утверждение нормативной правовой базы в области кибербезопасности во всех отраслях страны.
2. Разработка и развитие технологий и средств кибербезопасности.
3. Формирование человеческого капитала в отрасли.
4. Государственный контроль и сертификация технологий и средств кибербезопасности.
5. Противодействие компьютерным атакам.
Для выполнения последней функции одновременно с BSSN был создан NSOC, в задачи которого входит мониторинг всего трафика в сети и даже публикация результатов его анализа через промежуток не менее 3 лет.
3 Standar
После создания BSSN началась системная и поступательная работа с нормативным полем в области кибербезопасности Индонезии, ее граждан и партнеров.
3.1 Strategi Keamanan Siber Indonesia
Наиболее важным этапом в этой части стала разработка и публикация в 2018 году Национальной стратегии кибербезопасности (Strategi Keamanan Siber Indonesia). Стратегия направлена на обеспечение киберустойчивости, применение современных безопасных технологий, повышение осведомленности пользователей. Ответственность за реализацию стратегии лежит на BSSN, которое и является основным разработчиком стратегии. Сама реализация планируется по пяти основным направлениям:
1. Правовые аспекты, достижение которых определяется за счет создания:
- Закона о кибербезопасности.
- Обучений по кибербезопасности для различных юридических лиц.
- Различных методических рекомендаций по применению лучших практик в области кибербезопасности.
2. Технические аспекты, достижение которых определяется за счет создания:
- Национального центра мониторинга кибербезопасности.
- Центра мониторинга кибербезопасности госсектора.
- Отраслевых центров мониторинга кибербезопасности.
- Стандартов по кибербезопасности для организаций.
- Системы сертификации специалистов по кибербезопасности.
- Инструментов для онлайн-защиты детей.
3. Организационные аспекты, достижение которых определяется за счет:
- Утверждения и обновлений Национальной стратегии кибербезопасности.
- Определения ответственных за кибербезопасность.
- Определения измеримых показателей эффективности и результативности кибербезопасности.
4. Аспекты развития, достижение которых определяется за счет наличия:
- Стандартизации в области кибербезопасности.
- Лучших практик в стране по кибербезопасности.
- Программ исследований и разработок в области кибербезопасности.
- Кампаний по информированию общества и граждан.
- Курсов профессиональной переподготовки.
- Утвержденных образовательных программ.
- Механизмов стимулирования организаций и граждан по улучшению кибербезопасности страны.
5. Аспекты сотрудничества, оцениваются на основе показателей:
- Двустороннего сотрудничества между организациями.
- Многостороннего сотрудничества между организациями.
- Участие в международных форумах.
- Сотрудничества государства с частными организациями.
- Сотрудничества между государствами.
Текущая Национальная стратегия кибербезопасности Индонезии охватывает период с 2020 до 2024 год. При этом содержание стратегии учитывает, что достичь поставленных критериев и целей могут помочь:
1. Использование новых технологий эпохи: Индустриализация 4.0, искусственный интеллект, беспилотные летательные аппараты.
2. Разработка стандартов в области кибербезопасности и постоянное периодическое проведение аудитов кибербезопасности.
К основным угрозам относятся:
1. Кибершпионаж.
2. Усложнение кибер-ландшафта.
3. Рост киберпрестуности и ее влияние на развитие экономики Индонезии.
4. Низкий уровень осведомленности о кибербезопасности у граждан.
3.2 Personal Data Protection (PDP Law)
Также в октябре 2022 года в Индонезии вступил в силу Закон о защите персональных данных (Personal DataProtection Law, PDP), действующий до октября 2024 года.
Закон PDP основан на European Union’s General Data Protection Regulation(GDPR) и во много повторяет его основные требования и положения, при этом в настоящее время в Индонезии не существует единого регулирующего и контролирующего органа по защите персональных данных, однако закон предусматривает его создание. Сегодня его обязанности в основном исполняет Министерство связи и информатики Индонезии. Также для некоторых категорий персональных данных (например, банковских сведений) планируется публикация отдельных, более точечных и строгих требований по защите.
Важно, что PDP ориентирован на защиту граждан и предусматривает обязательное информирование граждан и регулирующих органов в случае утечки персональных данных.
В случае нарушения требований PDP возможны следующие виды ответственности:
- предписание о нарушениях;
- приостановление деятельности по обработке персональных данных;
- запрет на деятельность по обработке персональных данных;
- штраф в размере не более 2% годового дохода или годовой выручки.
4 Hubungan internasional
Одним из успешных критериев достижения Национальной стратегии кибербезопасности Индонезии является активное участие в мировом сообществе по кибербезопасности и сотрудничество с государствами и организациями.
На сегодняшний день Индонезия заключила соглашения об обмене опытом с Японией, Россией, Канадой, Великобританией и другими странами (в том числе G20) по вопросам:
1. Изменений ландшафта киберугроз.
2. Противодействию кибератакам и киберпреступникам.
3. Повышения осведомленности в области кибербезопасности.
4. Обмена опытом.
5. Проведения совместных исследований.
Помимо межгосударственного сотрудничества в Индонезии представлены многие игроки мирового рынка ИТ и кибербезопасности, такие как Cisco и Sophos.
Kesimpulan (Conclusions)
Рост Индонезии и ее влияния на мировую экономику огромны, как и цифровизация, а значит и рост количества кибератак и киберпреступлений. При этом государством и организациями ведется активная работа по улучшению киберустойчивости страны, в ее основе лежат лучшие мировые практики и сотрудничество с наиболее развитыми в вопросах кибербезопасности странами. Ведущие мировые эксперты из США, Германии, России, Китая, Японии, Франции отмечают Индонезию как один из самых перспективных рынков кибербезопасности в мире.
Изучение этого региона, в том числе по вопросам кибербезопасности, будет актуально еще долгое время.
Автор: Евгений Баклушин, руководитель направления аудитов и соответствия требованиям ИБ компании УЦСБ, автор блога BESSEC
Источник: Cyber Media