В Кыргызстане при поддержке Российско-Кыргызского Фонда развития (РКФР) запустили в работу первый частный Центр обработки данных.
Участники проекта и представители власти называют это событие знаковым для страны, так как это может позволить КР стать региональным лидером в хранении данных. Но среди обывателей и представителей IT-отрасли высказываются опасения относительно рисков утечки информации.
«Утечки исключены»
О запуске в работу первого в КР Центра обработки данных (ЦОД) уровня Tier III (всего стандарт Tier включает четыре основных уровня надежности и доступности ЦОД, где IV – максимально производительный и работающий практически без простоя – прим. ред.) стало известно 11 июня. РКФР сообщил, что вложил 1 млн долларов в проект, который «позволит на 20% покрыть потребность страны в хранении данных». «Безопасность оборудования и надежность хранения – гарантированы. Утечки информации исключены», – заверили в Фонде развития. Там же процитировали замглавы кабмина КР Эдиля Байсалова, который заявил, что «государственные органы и коммерческие организации смогут с гарантированной безопасностью хранить свою информацию» в данном ЦОД.
В свою очередь председатель Правления РКФР Артем Новиков отметил, что данный «пилотный проект друзей и инвесторов» уже готов к работе:
«Он позволит хранить не только нужную и конфиденциальную информацию, которая есть в нашем банковском секторе, в наших госорганах, но и также предоставлять услуги для размещения данных из других государств, в том числе из Российской Федерации. На текущий момент этот рынок оценивается в объеме более 400 млн долларов и в этом плане развитие IT-инфраструктуры КР тоже выходит на новый современный уровень. Мы надеемся, что в ближайшие 4-5 лет Кыргызстан сможет на 100% обеспечивать потребность в хранении данных за счет собственных мощностей, находящихся на территории КР, обеспечивать гарантированную защиту и безопасность специфической и важной информации, в том числе данных нашего населения на своей территории, чтобы избежать любой утечки этой информации».
Оператором нового ЦОД выступает ОсОО «Дататайм». От имени данной компании СМИ и РКФР цитируют заместителя гендиректора Яна Ильницкого. Так, в интервью изданию Economist.kg он сказал, что клиентами их объекта «могут быть компании из сферы продаж». «В том числе рассматриваем под размещение и госструктуры, не связанные с гостайной или с какими-то требованиями по хранению информации в своей организации… За центром следит служба безопасности, которой помогает система контроля доступа, где применяется отпечаток сетчатки глаза и индивидуальные карты», – подчеркивается в публикации.
В сообщении РКФР же подчеркивается, что данный ЦОД имеет 100 серверных стоек, которые позволяют хранить данные в объеме 100 тысяч петабайт и в дальнейшем планируется приобретение дополнительных 50 стоек. «Мы предоставляем не только услуги по аренде выделенных серверов, но и по colocation – размещению собственных серверов и оборудования», – пояснил Ян Ильницкий. На сайте компании дается пояснение, что «к оборудованию на colocation допуск имеет либо владелец серверов, либо его инженеры: составляется список, согласно которому ЦОД выдает сотрудникам клиента допуски на работу в зале».
Связи с РФ и опасения
Согласно данным «ИКС-МЕДИА», консультантом и техническим заказчиком проекта компании DataTime выступила российская DataDome, работающая на рынке ЦОД с 2000 года. На ее сайте в марте 2023 года вышла публикация под названием «DataDome: курс на Кыргызстан», где сказано, что «DataDome и DataTime совместно выступили бронзовыми партнерами» мероприятия Digital Kyrgyzstan. Далее, в апреле сообщалось, что DataDome построит в КР ЦОД «суммарной мощностью не менее 500 кВт».
На портале osoo.kg поиск по названию «Дататайм» выдает ОсОО, которое прошло перерегистрацию в декабре 2022 года. Директором, а также со-учредителем значится Трескунов Павел Вадимович. Вторым соучредителем выступает Шуршалин Сергей Борисович.
В профессиональной социальной сети LinkedIn имеется профиль Pavel Treskunov, где нет информации о проектах в Кыргызстане, но фото на аватарке идентично фотографии, размещенной в вышеупомянутой публикации с форума Digital Kyrgyzstan – на бейджике спикера указано, что это Павел Трескунов из DataTime.kg.
В качестве последнего места работы Павел Трескунов в LinkedIn указал компанию «Смарт Констракшн» (Smart Construction), являющейся дочерним обществом ПАО «Сбербанк» (перед этим работал в АО АО «Моспромстройинжиниринг» – прим. ред.).
Поиск в Интернете выдает, что гендиректором «Смарт Констракшн» с уставным капиталом в 10 тысяч рублей является уже знакомый нам Шуршалин Сергей Борисович, а головной офис ООО расположен в Сколково (город Москва). Среди реализованных проектов компании значатся Технопарк «Сбербанка» в Сколково и ЦОД российского оператора связи «Мегафон». Полный перечень построенных объектов найти не удалось, так как сайт компании закрыт.
Учитывая вышеперечисленное, некоторые IT-специалисты высказывают опасения относительно сохранности данных, которые будут содержаться в этом ЦОД, и задаются вопросом о том, кто в итоге будет иметь доступ к важной информации. Так, бывший сотрудник представительства одной из российских компаний Жакшылык (имя изменено – прим. ред.) признается, что весьма скептично относится к заявлениям о гарантиях безопасности:
«Они говорят о том, что не будет храниться информация, представляющая гостайну. Но те же банковские данные содержат много персональной информации. А если Кремль хочет через такие центры отслеживать количество своих граждан, которые выехали в СНГ, а также их банковские транзакции и регистрации? России ведь невыгоден вывод капитала. Те же [российские] IТ-специалисты, работающие у нас, получают зарплату через наши банки, делают переводы… У кого будет доступ к этим данным?».
Пользователи кыргызстанского сегмента соцсетей в свою очередь высказывают мнения о том, что соответствующие госорганы КР должны усилить надзор за работой частных ЦОД.
Говорят об этом и специалисты, обращая внимание на обеспечение защиты данных на новом объекте. Уроженец КР, руководитель отдела ИТ-инфраструктуры XQueue GmbH (Франкфурт) Максат Самудинов говорит, что появление в Кыргызстане новых ЦОД – это хорошие новости, так как для этого в стране имеются все условия, в том числе возможность использовать солнечную энергию для работы объекта. Но, по его словам, помимо уровня надежности дата-центра, должен иметься отчет о защищенности данных в нем:
«В сообщениях об этом ЦОД делается упор на обеспечиваемый ими уровень Tier III, что подразумевает лишь физический аспект, то есть запасной генератор, надежная Интернет-связь и так далее, но я не увидел никакой информации о сертификации. К примеру, я сейчас по работе встречаюсь с запросами по дата-центрам, где требуют стандарт SOC 2 Type II. Это очень важный момент, так как SOC (Service and Organization Controls) – это аудит самого процесса работы ЦОД, то есть того, как хранятся данные клиента, и какие меры предпринимаются для защиты конфиденциальной информации, для так называемого privacy. Наличие такого сертификата – отличная гарантия защищенности. Но со стороны государства тоже должны быть какие-то усилия по защите данных, хранящихся в ЦОДах. К примеру, требование о том, что информацию оттуда можно получить только после решения суда или что-то еще. То есть не должно быть такого, что правоохранительные или силовые структуры пришли с требованием «нам нужны такие-то данные» и им отдали. Такого быть не должно. При наличии условий, требуемых стандартом SOC 2 Type II, подобные вмешательства будут минимизированы, им можно будет воспрепятствовать. Наличие уровня Tier III, пусть даже Tier IV еще ни о чем не говорит, так как все равно встанет вопрос о гарантиях защиты».
Мораторий связал руки
Согласно законодательству Кыргызстана, уполномоченным органом в сфере защиты персональных данных является Госагентство по защите персональных данных при кабмине КР. Заведующая юридическим отделом этого ведомства Турсун Мамбетакунова в беседе с «Азаттыком» напомнила, что в стране действует Закон «Об информации персонального характера» и соответствующие подзаконные акты, которые «должны соблюдаться всеми: как госорганами, так и частными организациями»:
«Также существуют требования по обработке персональных данных в информационных системах – как они должны храниться, собираться и так далее… Гарантировать же, что какая-то частная организация обеспечивает полную 100-процентную защиту персональных данных мы не можем без соответствующей проверки. Но учитывая указ президента о введении временного запрета на проверки бизнеса, осуществить ее в настоящее время мы не сможем до получения соответствующей жалобы.
Если какой-то гражданин подаст в наше ведомство заявление о том, что его права были нарушены или его данные неправильно собрали, распространяли, тогда мы можем провести проверку. Госорганы мы проверять можем, то есть это какие-то министерства и ведомства. А частные структуры могут подвергнуться проверке в случае жалобы или по указанию правоохранительных органов в рамках оперативно-розыскных мероприятий и так далее».
Чиновница добавила, что уполномоченным органом, который имеет право применить санкции в отношении нарушителя законодательства в области персональных данных, является МВД КР:
«Все материалы по соответствующим жалобам перенаправляются нами в это ведомство. Недавно мы разработали проект документа о том, чтобы данные полномочия передали нам, но пока он на стадии согласования».
Турсун Мамбетакунова также прокомментировала недавний инцидент, когда хакерская группировка, именующая себя Team Insane Pakistan, сообщила, что опубликовала персональные данные более 600 тысяч граждан и компаний Кыргызстана. «Мы провели соответствующую проверку совместно с Госкомитетом нацбезопасности и она до сих пор продолжается. Было выявлено, что в настоящее время никаких кибератак и утечек со стороны госорганов не было. Но была утечка данных в 2019-2020 годах. И вот эту старую базу они (хакеры – прим. ред.) умножили в несколько раз, то есть сделали по 3-4 копии данных одних и тех же лиц, чтобы придать им массовость», – заключила представитель Госагентства по защите персональных данных и напоследок призвала кыргызстанцев проявлять бдительность в этом вопросе, предпринимая необходимые меры защиты.
Возможности могут перекрыть потенциальные риски?
Между тем, экс-глава отдела цифрового развития администрации президента КР, эксперт по цифровизации Азамат Буржуев говорит, что ЦОД от «Дататайм» на самом деле не является первым подобным объектом в КР, так как в 2018 году уже запускался в работу дата-центр компании NSP (создатель ЦОД Нацбанка КР уровня Tier III – прим. ред.) и тоже при поддержке РКФР. По его словам, данный объект от NSP уже используется многими коммбанками КР:
«Существующие IT-технологии на самом деле подразумевают, что доступ к данным получают только те люди или компании, которые имеют на это право. И если ЦОД частный, это не означает, что владелец данного объекта или люди, которые поддерживают его работу, имеют доступ к информации. Это абсолютно неверное представление. Вообще рынок коммерческих ЦОДов – самый большой в мире. Все крупные банки на Западе и в Юго-Восточной Азии используют, в основном, частные дата-центры. Потому что коммерческие организации намного гибче и быстрее адаптируются под изменения технологий. Те же Amazon, Google, Microsoft предоставляют услуги по платному хранению данных в их облачных сервисах.
Поэтому я не вижу больших рисков. Но тут многое будет зависеть от тех компаний, которые будут размещать свои данные в частных ЦОДах: от компетентности их инженеров, IT-специалистов и так далее. Если они будут соблюдать все необходимые процедуры, установят все положенные системы [защиты], то никаких проблем не будет. Ведь ЦОД – это, по сути, инфраструктура: здание, системы охлаждения и так далее. Затем идут вычислительные ресурсы, то есть стоящие внутри сервера. Третье – непосредственно программы и данные, которые в них находятся. Это можно сравнить с многоуровневой охраняемой парковкой, где вы можете поставить свою машину и в какой-то степени вероятность ее угона зависит от того, установили вы систему сигнализации или нет».
Азамат Буржуев отметил, что в КР пока нет ни одного госоргана, который бы размещал свои данные в коммерческих ЦОДах:
«Министерство цифрового развития до конца текущего года откроет еще один большой государственный ЦОД, куда они будут перемещать все государственные системы. И эта потребность [в хранении данных] для госорганов будет закрыта, я думаю, на ближайшие 2-3 года точно. А частные ЦОДы открываются, в первую очередь, для потребностей бизнеса – местного и регионального. Потому что электричество и рабочая сила у нас дешевле, ниже аренда и ставки налогов. Соответственно, экономически выгоднее хранить данные в Кыргызстане».
Эксперт также констатировал, что в вопросе защиты персональных данных населению КР пока не хватает компетенции и достоверной информации:
«Надо, чтобы люди понимали: утечка или сливы информации – это не так, что кто-то взял, на флешку скачал и все. Любой хакер всегда действует с точки зрения экономической выгоды, поэтому час их времени стоит очень дорого. Поэтому подобные риски серьезны для крупных стран, где есть технологические компании, стратегические производства и так далее. Тем более не надо забывать, что производители, которые поставляют решения для защиты IT-инфраструктуры, порой, искусственно будоражат и создают шумиху наподобие той, что была у нас, чтобы люди и компании покупали их продукты. Это как с фармкомпаниями, которых за глаза обвиняют в том, что они сначала разрабатывают вирус, а потом лекарство от него. То же самое практикуется в этой сфере. Это большой бизнес».
«Мошенники не особо скрываются». Как кыргызстанцам обезопасить себя от киберпреступников?
В начале 2022 года было представлено исследование, где отмечалось, что около 80% интернет-сайтов собирают личные данные кыргызстанцев без их согласия. И там же было сказано, что 40% веб-сайтов находились за пределами страны. В качестве примера утечки данных в КР авторы документа привели случай, когда сделав один запрос, смогли получить список людей (более 100 человек – прим. ред.), которые сдавали ПЦР-анализ в одной из больниц.
В Кыргызстане уже не первый год говорят о том, что власти планируют принять Цифровой кодекс, который призван «выстроить единую систему государственного управления в сфере цифровых технологий». Однако документ до сих пор находится на стадии проекта.
