Кибербезопасность в Индонезии или Nama saya Cyber Security

Евгений Баклушин

Руководитель направления аудитов ИБ УЦСБ

С середины ХХ века, после завершения второй мировой войны, началось независимое развитие Индо-Тихоокеанского региона, а уже с конца ХХ века началось и продолжается по сей день быстрое развитие этого региона в области ИТ. Активная цифровизация ставит на повестку дня вопрос обеспечения кибербезопасности.

Одним из крупнейших представителей этой области земного шара является Индонезия (4 место в мире по численности населения, 7 экономика мира, 14 место по территории). В этой статье рассмотрим, как обеспечивается кибербезопасность в Индонезии через четыре вопроса:

1. История возникновения.
2. Регулирующие органы.
3. Стандарты в области кибербезопасности.
4. Международное сотрудничество.

1 Cyber Sejarah

Согласно различным исследованиям (с небольшими отклонениями) последний период развития Индонезии как независимого государства начался с 1998 года, но цифровизация государства получила активный толчок только в XXI веке. Однако этот толчок дал очень ощутимые результаты. Так в отчете ООН за 2018 год Индонезия уже отнесена к странам со средним и высоким индексом развития цифровых услуг и сервисов. Также по данным отчета 2020 года (опубликован в 2021) международного союза электросвязи Индонезия занимает 31 место по индексу кибербезопасности в мире (в 2018 году занимала 41 место, в 2017 году – 69 место). Судя по тенденции, в следующем отчете Индонезия может войти в топ-25, т.к. в отличие от стран выше (Египет, Финляндия, Оман, Италия, Бельгия и Бразилия) есть еще достаточно аспектов, которые можно улучшить, но при этом разрыв по показателям не такой высокий, как с топ-20.

Первые разговоры о необходимости включения государственного аппарата в вопросы обеспечения кибербезопасности начались в 2012 году, тогда был сформирован и опубликован первый проект билля о защите персональных данных граждан Индонезии. Однако документ был подвержен резкой критике за неоднозначность определения киберпреступлений и наличие возможных рисков, связанных со злоупотреблениями со стороны правительственных органов.

2 Organisasi regulasi

В связи с явными проблемами в области кибербезопасности и двусмысленностью нормативных актов, не связанных с военной отраслью и обеспечением государственной безопасности, в 2017 году Президент Республики Индонезия подписал указ о создании, а в 2021 году – о выделении в самостоятельную структуру Национальногоагентства по кибербезопасности и криптографии (eng. National Cyber and Crypto Agency, ind. Badan Siber dan Sandi Negaga, BSSN).

Однако по факту это было не совсем создание, а скорее реструктуризация существующей государственной системы. BSSN было сформировано на базе Координационного совета при седьмом заместителе координационного министерства по политическим и правовым вопросам и вопросам безопасности (Desk Ketahanan dan Keamanan Infomasi Cyber Nasional, DK2ICN), а также Государственного агентства связи (Lembaga Sandi Negara, Lemsaneg).

BSSN на текущий момент является основным регулирующим органом в области кибербезопасности и подчиняется непосредственно президенту Индонезии.

Помимо административных подразделений в агентство входит:

1. Четыре основных производственных департамента:

• По стратегии и политике кибербезопасности и криптографии.
• По кибербезопасности и криптооперациям.
• По правительственной кибербезопасности, криптографии и развитию человеческих ресурсов.
• По кибербезопасности и разведке в экономике.

2. Департамент по проверкам (инспекциям).

3. Три центра:

• Сертификации кибертехнологий и криптотехнологий.
• Данных, информационных технологий и связи.
• Развития человеческих ресурсов.

4. Два технических подразделения:

• Электронный удостоверяющий центр.
• По обнаружению вторжений.

Помимо этого, BSSN курирует работу Государственного политехнического института связи (PoltekSSN), в котором обучают специалистов по кибербезопасности

Таким образом можно констатировать, что в область деятельности BSSN входит:

1. Развитие и утверждение нормативной правовой базы в области кибербезопасности во всех отраслях страны.
2. Разработка и развитие технологий и средств кибербезопасности.
3. Формирование человеческого капитала в отрасли.
4. Государственный контроль и сертификация технологий и средств кибербезопасности.
5. Противодействие компьютерным атакам.

Для выполнения последней функции одновременно с BSSN был создан NSOC, в задачи которого входит мониторинг всего трафика в сети и даже публикация результатов его анализа через промежуток не менее 3 лет.

3 Standar

После создания BSSN началась системная и поступательная работа с нормативным полем в области кибербезопасности Индонезии, ее граждан и партнеров.

3.1 Strategi Keamanan Siber Indonesia

Наиболее важным этапом в этой части стала разработка и публикация в 2018 году Национальной стратегии кибербезопасности (Strategi Keamanan Siber Indonesia). Стратегия направлена на обеспечение киберустойчивости, применение современных безопасных технологий, повышение осведомленности пользователей. Ответственность за реализацию стратегии лежит на BSSN, которое и является основным разработчиком стратегии. Сама реализация планируется по пяти основным направлениям:

1. Правовые аспекты, достижение которых определяется за счет создания:

• Закона о кибербезопасности.
• Обучений по кибербезопасности для различных юридических лиц.
• Различных методических рекомендаций по применению лучших практик в области кибербезопасности.

2. Технические аспекты, достижение которых определяется за счет создания:

• Национального центра мониторинга кибербезопасности.
• Центра мониторинга кибербезопасности госсектора.
• Отраслевых центров мониторинга кибербезопасности.
• Стандартов по кибербезопасности для организаций.
• Системы сертификации специалистов по кибербезопасности.
• Инструментов для онлайн-защиты детей.

3. Организационные аспекты, достижение которых определяется за счет:

• Утверждения и обновлений Национальной стратегии кибербезопасности.
• Определения ответственных за кибербезопасность.
• Определения измеримых показателей эффективности и результативности кибербезопасности.

4. Аспекты развития, достижение которых определяется за счет наличия:

• Стандартизации в области кибербезопасности.
• Лучших практик в стране по кибербезопасности.
• Программ исследований и разработок в области кибербезопасности.
• Кампаний по информированию общества и граждан.
• Курсов профессиональной переподготовки.
• Утвержденных образовательных программ.
• Механизмов стимулирования организаций и граждан по улучшению кибербезопасности страны.

5. Аспекты сотрудничества, оцениваются на основе показателей:

• Двустороннего сотрудничества между организациями.
• Многостороннего сотрудничества между организациями.
• Участие в международных форумах.
• Сотрудничества государства с частными организациями.
• Сотрудничества между государствами.

Текущая Национальная стратегия кибербезопасности Индонезии охватывает период с 2020 до 2024 год. При этом содержание стратегии учитывает, что достичь поставленных критериев и целей могут помочь:

1. Использование новых технологий эпохи: Индустриализация 4.0, искусственный интеллект, беспилотные летательные аппараты.
2. Разработка стандартов в области кибербезопасности и постоянное периодическое проведение аудитов кибербезопасности.

К основным угрозам относятся:

1. Кибершпионаж.
2. Усложнение кибер-ландшафта.
3. Рост киберпрестуности и ее влияние на развитие экономики Индонезии.
4. Низкий уровень осведомленности о кибербезопасности у граждан.

3.2 Personal Data Protection (PDP Law)

Также в октябре 2022 года в Индонезии вступил в силу Закон о защите персональных данных (Personal DataProtection Law, PDP), действующий до октября 2024 года.

Закон PDP основан на European Union’s General Data Protection Regulation(GDPR) и во много повторяет его основные требования и положения, при этом в настоящее время в Индонезии не существует единого регулирующего и контролирующего органа по защите персональных данных, однако закон предусматривает его создание. Сегодня его обязанности в основном исполняет Министерство связи и информатики Индонезии. Также для некоторых категорий персональных данных (например, банковских сведений) планируется публикация отдельных, более точечных и строгих требований по защите.

Важно, что PDP ориентирован на защиту граждан и предусматривает обязательное информирование граждан и регулирующих органов в случае утечки персональных данных.

В случае нарушения требований PDP возможны следующие виды ответственности:

• предписание о нарушениях;
• приостановление деятельности по обработке персональных данных;
• запрет на деятельность по обработке персональных данных;
• штраф в размере не более 2% годового дохода или годовой выручки.

4 Hubungan internasional

Одним из успешных критериев достижения Национальной стратегии кибербезопасности Индонезии является активное участие в мировом сообществе по кибербезопасности и сотрудничество с государствами и организациями.

На сегодняшний день Индонезия заключила соглашения об обмене опытом с Японией, Россией, Канадой, Великобританией и другими странами (в том числе G20) по вопросам:

1. Изменений ландшафта киберугроз.
2. Противодействию кибератакам и киберпреступникам.
3. Повышения осведомленности в области кибербезопасности.
4. Обмена опытом.
5. Проведения совместных исследований.

Помимо межгосударственного сотрудничества в Индонезии представлены многие игроки мирового рынка ИТ и кибербезопасности, такие как Cisco и Sophos.

Kesimpulan (Conclusions)

Рост Индонезии и ее влияния на мировую экономику огромны, как и цифровизация, а значит и рост количества кибератак и киберпреступлений. При этом государством и организациями ведется активная работа по улучшению киберустойчивости страны, в ее основе лежат лучшие мировые практики и сотрудничество с наиболее развитыми в вопросах кибербезопасности странами. Ведущие мировые эксперты из США, Германии, России, Китая, Японии, Франции отмечают Индонезию как один из самых перспективных рынков кибербезопасности в мире.

Изучение этого региона, в том числе по вопросам кибербезопасности, будет актуально еще долгое время.