4. Адаптирование нормативно-правовой базы для предприятий к новым цифровым вызовам
Казахстан начал адаптировать нормативно-правовую базу и принципы экономической политики, регулирующие деятельность предприятий, к реалиям цифровой эпохи, в частности, в области персональных данных и стандартов доверия. Однако низкие темпы внедрения изменений в сочетании с частыми и частичными поправками в законодательство создают дополнительные сложности для компаний. Кроме того, большинство предприятий недостаточно хорошо оснащены для управления цифровыми угрозами и угрозами кибербезопасности. Таким образом, правительство должно оказать поддержку бизнесу в его цифровой трансформации, упростив нормативно-правовую среду в сферах, связанных с цифровыми технологиями, и разработав общедоступные инструменты как для повышения осведомленности, так и для развития способности компаний управлять рисками в области цифровой безопасности.
Казахстан работает над адаптацией нормативно-правовой базы, регулирующей деятельность компаний, к требованиям цифровой эпохи
Цифровая трансформация правительств, предприятий и общества в равной степени зависит от технологических инноваций, которые способствуют возникновению новых практик, и от доверия к цифровой экономике, которое побуждает участников переходить на цифровые технологии. Нормативно-правовая база играет центральную роль в обеспечении качества и возможности адаптации законов и нормативных актов к потребностям и вызовам, создаваемым новыми цифровыми технологиями и вариантами их использования, таким как незаконное присвоение данных или нарушение прав собственности и неприкосновенности частной жизни. Она имеет особое значение для поддержки цифровой трансформации МСП, поскольку неэффективность институтов и нормативно-правовой базы сказывается на них непропорционально сильно (OECD, n.d.[1]).
В последние годы, следуя своим планам по поддержке цифровой трансформации, Казахстан предпринял значительные усилия по адаптации нормативно-правовой базы, регулирующей деятельность компаний, к вызовам цифровой эпохи. В частности, в сфере защиты данных Казахстан регулярно вносит поправки в свою нормативно-правовую базу, обеспечивающие ее постепенное приведение в соответствие со стандартами конфиденциальности и безопасности, установленными Общим регламентом ЕС по защите персональных данных (ОРЗД) (Government of Kazakhstan, 2013[2]; Government of Kazakhstan, 2017[3]). В рамках этих усилий правительство создало Комитет по информационной безопасности при МЦРИАП, которому поручено внедрение закона «О защите данных» и контроль за его соблюдением (Government of Kazkahstan, 2022[4]). Начальная цель состояла в том, чтобы создать агентство по защите данных в соответствии с моделью ОРЗД, однако полномочия Комитета до сих пор сосредоточены вокруг технологического решения проблем с данными, а не на законодательных и исполнительных аспектах их защиты (CAISS, 2020[5]). Новая законодательная база также обязует компании нанимать специалиста по защите данных для обеспечения внутреннего соблюдения указанного закона, уведомления Комитета об утечках данных и оценки воздействия на защиту данных до начала какой-либо деятельности, требующей сбора и обработки данных (Dentons, 2021[6]).
Кроме того, правительство признало необходимость привлечения частного сектора к адаптации нормативно-правовых актов в соответствии с новыми потребностями, обусловленными цифровой трансформацией бизнеса и коммерческих практик. Например, процесс внесения поправок в законы о защите данных и прав потребителей, гражданский кодекс и кодекс об авторском праве, а также патентное законодательство по вопросам киберсквоттинга и защиты прав на объекты интеллектуальной собственности (ПОИС) включал как межведомственные обсуждения, так и консультации с представителями частного сектора, в основном от палаты «Атамекен» и бизнес-ассоциаций.
Однако темпы реализации изменений и упрощения нормативно-правовой среды остаются невысокими и способствуют возникновению новых барьеров для предприятий
Несмотря на эти реформы, интервью ОЭСР показывают, что нормативно-правовая среда пока не способствует внедрению цифровых технологий предприятиями, поскольку не в состоянии предвидеть и удовлетворить их потребности, не учитывает важные аспекты их цифровой деятельности, включая электронную коммерцию, и остается сложной для понимания компаниями и внедрения государственными органами. Ситуация с защитой данных обстоит примерно так же. Интервью ОЭСР показывают, что многочисленные поправки к закону «О защите данных» привели к возникновению дополнительных технических требований, которые могут оказаться обременительными для предприятий, особенно небольших, снижая их мотивацию работать в цифровом формате и градус доверия со стороны бизнеса или потребителей, поскольку процесс внесения поправок воспринимался непрозрачным и недостаточно освещенным в прессе.
В целом интервью ОЭСР показали, что темпы изменения нормативно-правовой среды остаются слишком низкими для эффективной адаптации к новым технологиям и проблемам, которые они создают для бизнеса, а также слишком фрагментарными для внедрения бизнесом и государственными органами, что создает новые барьеры. Например, с 2016 года в закон «О защите данных» поправки вносились не менее пяти раз, а на момент написания настоящего отчета на стадии разработки и обсуждения находился новый пакет поправок, касающихся управления и владения данными. Представители бизнеса сообщили сотрудникам ОЭСР, что, несмотря на официальное участие «Атамекен» и других представительных ассоциаций, они по-прежнему плохо осведомлены о цели и сути многочисленных поправок. В тех случаях, когда определенная картина все же складывалась, они подчеркивали, что лишь небольшое количество предоставленных рекомендаций были учтены в окончательных редакциях закона. Их слова подтвердили международные организации, специализирующиеся на подобных вопросах (CAISS, 2020[5]; Portulans Institute, 2021[7]). Кроме того, Казахстан недотягивает до уровня достаточности защиты персональных данных, установленного ОРЗД ЕС (CNIL, 2022[8]).
Аналогичным образом, нормативно-правовая база, регулирующая права на объекты интеллектуальной собственности, еще не адаптирована к проблемам, характерным для цифровой эпохи, таким как киберсквоттинг или ответственность за продажу контрафактной продукции на онлайн-платформах. Проведенные ОЭСР интервью свидетельствуют о том, что Министерству юстиции известно об этой проблеме, однако пока неясно, начались ли дискуссии об адаптации системы защиты прав на объекты интеллектуальной собственности к цифровой эпохе.
Наконец, в Казахстане отсутствует специальный закон об электронной коммерции и онлайн-платформах, которые являются одними из самых быстрорастущих секторов в стране и где подавляющее большинство МСП ведет активную деятельность. Общие аспекты этой деятельности по-прежнему регулируются законом «О регулировании торговой деятельности» 2004 года (Government of Kazakhstan, 2004[9]) в сочетании с законами о правах потребителей, цифровизации и защите персональных данных по отдельным вопросам. В результате многие предприятия не осведомлены об изменениях требований или возможностей, связанных с их цифровыми операциями, что еще больше усложняет условия их деятельности и препятствует переходу на цифровые технологии. Проведенные ОЭСР интервью показывают, что частично эти сложности обусловлены нормативно-правовой и институциональной базами как таковыми, в рамках которых ответственность за вопросы, связанные с электронной коммерцией, обращением с данными, защитой прав потребителей и правами на объекты интеллектуальной собственности, а также за другие юридические вопросы распределена между различными министерствами и ведомствами, каждое из которых отвечает за отдельные элементы закона и его реализации.
Масштабы изменений и размах амбиций Казахстана в области цифровизации указывают на несколько проблем для бизнеса. Во-первых, необходимо следить за тем, чтобы адаптация нормативно-правовой базы к новым потребностям, обусловленным цифровой деятельностью компаний, не привела к формированию фрагментарной, непоследовательной и противоречивой операционной среды. Во-вторых, следует урегулировать обращение с данными таким образом, чтобы предприятия могли разрабатывать новые бизнес-модели без создания уязвимостей в сфере цифровой безопасности. Таким образом, правительство должно играть центральную роль в поддержании правовой и судебной среды, в рамках которой функционирует государственное управление и рынки, воздерживаясь от незаконного присвоения данных и нарушения прав собственности и неприкосновенности частной жизни.
В частности, Казахстан мог бы провести обзор нормативно-правовой базы в консультации с частным сектором и обновить все законы, касающиеся цифровой трансформации компаний, начиная с защиты прав потребителей и данных, ПОИС и электронной коммерции. По каждой теме правительству следует сначала проконсультироваться с бизнесом, чтобы получить достоверную информацию о текущих проблемах и пробелах в законодательстве, которые мешают ему полностью перейти на цифровые технологии. С этой целью можно использовать формальные механизмы ДГЧС с участием представителей частного сектора, таких как «Атамекен» и отраслевые бизнес-ассоциации, уделяя особое внимание участию МСП в таком диалоге. «Атамекен» и ассоциации малого бизнеса могли бы заранее обеспечить участие МСП в нем посредством целенаправленной информационной работы, обучения и коучинга по вопросам эффективной защиты собственных интересов, а также путем компенсации некоторых расходов на участие (например, выплаты командировочных или оплаты топлива).
После сбора исходных данных правительство должно использовать их для внесения изменений в соответствующие законы, сформулировав все такие изменения в виде единого и последовательного законодательного акта. Использование подходов «один на входе, X на выходе» или регуляторной гильотины, принятых, например, в нескольких странах — членах ОЭСР, могло бы способствовать упразднению устаревших законодательных норм и проведению регуляторной компенсации (OECD, 2017[10]). Однако использование таких подходов, ориентированных на количество нормативных актов, не должно отвлекать от аспектов их эффективного воздействия и качества, достичь которых можно лишь посредством регулярных обсуждений с частным сектором и мониторинга (Trnka and Thuerer, 2019[11]).
С более общей точки зрения, в области защиты данных Казахстан мог бы также укрепить свою нормативно-правовую и институциональную базы, приблизив их к стандартам ОРЗД Европейского союза. В частности, создание специального органа по защите данных может способствовать повышению осведомленности и улучшению методов защиты данных как для предприятий, так и для частных лиц. Это потребует отделения Комитета по информационной безопасности от МЦРИАП, что позволит ему стать независимым государственным органом, уполномоченным осуществлять надзор за применением закона о защите данных (European Commission, 2022[12]). Новый регулятор в сфере защите данных должен обладать полномочиями по расследованию жалоб и принятию соответствующих мер реагирования, а также иметь возможность предоставлять экспертные консультации по вопросам соблюдения предприятиями требований к защите данных. В этом отношении Казахстан мог бы расширить свое сотрудничество с ЕС в рамках Соглашения о всеобъемлющем и расширенном партнерстве и Стратегии ЕС по Центральной Азии.
Пример Директивы ЕС об электронной коммерции и Закона о цифровых услугах
Директива об электронной коммерции, принятая в 2000 году, обеспечивает основу для цифрового регулирования торговли на едином рынке ЕС. Помимо основных требований в отношении обязательного предоставления информации для потребителей, шагов, которые необходимо соблюдать при заключении договоров через интернет, и правил коммерческой коммуникации, она также охватывает более сложные вопросы, включая конкуренцию.
В 2015 году Европейская комиссия признала, что с начала 2000-х годов цифровой ландшафт претерпел глубинные изменения и поставил перед предприятиями новые задачи, связанные, например, с онлайн-посредниками. В связи с этим Комиссия инициировала пересмотр законодательства с целью обновления нормативно-правовой базы, касающейся цифровых технологий, чтобы обеспечить защиту основных прав пользователей и равные условия для бизнеса.
Были проведены две публичные консультации с участием потребителей, государственных органов, неправительственных организаций, МСП и других сторон, заинтересованных в цифровых вопросах. Обсуждение было сосредоточено на оценке актуальности правил ЕС в области электронной коммерции и выявлении новых проблем, с которыми европейские граждане и предприятия сталкиваются в этой сфере.
Затем были созданы группы экспертов для обсуждения вопросов применения Директивы, а также новых вопросов в сфере электронной коммерции.
В итоге в декабре 2020 года Комиссия опубликовала предложения по закону «О цифровых услугах», дополненные законом «О цифровых рынках» — новым, единым сводом правил, применимых к цифровому пространству в ЕС.
Источник: (European Commission, 2022[13]; European Commission, 2022[14]).
Цифровая безопасность стала приоритетным направлением экономической политики в последние годы
С 2017 года, когда цифровизация экономики набирала обороты, Казахстан начал разрабатывать политику цифровой безопасности, чтобы снизить уязвимость страны перед киберугрозами (Government of Kazakhstan, 2017[15]). В частности, правительство запустило концепцию кибербезопасности на период до 2022 года («Киберщит Казахстана»), направленную на развитие сектора кибербезопасности в стране, которого в 2016 году практически не существовало (Government of Kazakhstan, 2017[16]). Эта инициатива охватывала основные элементы принятой стратегии, начиная с (i) создания национального реестра надежного цифрового программного обеспечения и IT-продуктов в целях снижения зависимости от иностранных решений; (ii) расширенного международного сотрудничества с признанными во всем мире частными поставщиками решений в области цифровой безопасности и международными организациями, действующими в этой сфере, для наращивания местного потенциала; и (iii) развития цифровой культуры среди населения в целом и подготовки специалистов по кибербезопасности. Некоторые задачи этой инициативы были дополнительно включены в задачи программы «Цифровой Казахстан». В этом году правительство объявило о запуске программы «Киберщит 2.0», охватывающей новые вызовы и аспекты цифровой трансформации в Казахстане, особенно в отношении либерализации и вовлечения бизнеса, правоохранительных органов, секторов безопасности и обороны.
До сих пор эта стратегия приносила свои плоды в деле формирования благоприятного ландшафта кибербезопасности в стране. Говоря об институтах, стоит упомянуть о создании Совета национальной безопасности, Совета по кибербезопасности, Комитета по информационной безопасности в структуре МЦРИАП и отраслевого центра информационной безопасности в рамках финансового сектора страны (ITU, 2021[17]). Однако проведенные ОЭСР интервью показывают, что текущая институциональная архитектура может привести к проблемам с координированием действий, при этом бизнес все еще плохо осведомлен о реализуемых инициативах. Тем не менее Казахстан активно стремится к расширению международного сотрудничества, в частности, с Международным союзом электросвязи (МСЭ), а также посредством своего участия в рабочей группе Всемирного экономического форума (ВЭФ) по вопросам четвертой промышленной революции.
В частном секторе вопросами кибербезопасности в настоящее время занимаются несколько компаний, которые сотрудничают с правительством в целях защиты критически важной цифровой инфраструктуры, особенно на веб-сайтах электронного правительства. В частности, в Центре анализа и расследования кибератак (ЦАРКА) работает платформа BugBounty, позволяющая выявлять цифровые уязвимости и киберугрозы (TSARKA, 2022[18]). Тем не менее, по данным интервью, проведенных ОЭСР, этой услугой пользуются исключительно службы электронного правительства и крупный бизнес, поскольку плата является слишком высокой для МСП, которые ко всему прочему менее осведомлены о существовании этой инициативы, хотя МСП, ведущие деятельность в секторе IT и электронной коммерции, могли бы получить наибольшую выгоду от таких услуг. В последние годы также была создана Компьютерная группа реагирования на чрезвычайные ситуации (KZ-CERT), обладающая более широкими полномочиями, с целью сбора и анализа отчетов об инцидентах в области цифровой безопасности, а также для оказания консультативно-технической помощи всем пользователям, включая МСП, в деле предотвращения киберугроз (Computer Emergency Response Team, 2022[19]). Кроме того, Комитет по информационной безопасности при МЦРИАП на ежегодной основе активно предоставляет гранты и программы переподготовки для безработных с целью развития компетенций в области кибербезопасности. По данным Министерства, на сегодняшний день ежегодные гранты на изучение основ кибербезопасности получили 3000 человек, а за последние шесть лет переподготовку в этой сфере прошли более 36 000 человек.
В 2017 году в Казахстане была принята программа «Киберщит», призванная поддержать развитие цифровой экономики в стране посредством разработки нормативно-правовой базы для обеспечения кибербезопасности и формирования ее культуры. Государственно-частные рабочие группы выявили несколько проблем в этой области, в том числе недостаточную осведомленность граждан об угрозах для кибербезопасности, нехватку специалистов по информационной безопасности, слаборазвитую инфраструктуру защиты информации, риски, связанные с оказанием государственных услуг в электронной форме, и пренебрежение требованиями к информационной безопасности со стороны большинства государственных и частных организаций.
Комитет по информационной безопасности реализует государственную политику в области кибербезопасности, уделяя особое внимание вышеупомянутым проблемам. С 2016 года Комитет добился впечатляющего успеха в формировании пула экспертов по кибербезопасности в разных регионах страны, в частности, путем предоставления грантов на изучение основ кибербезопасности и бесплатной переподготовки безработных с целью развития компетенций в этой области:
ежегодно выделяется около 3000 пятилетних стипендий на обучение в области информации и кибербезопасности. Например, в 2021 году было предоставлено 2632 стипендии;
в Академии при Президенте Республики Казахстан ведется переподготовка безработных. В 2021 году программу прошел 5921 человек.
Источник: (Government of Kazakhstan, 2022[20]).
Тем не менее предприятия по-прежнему недостаточно оснащены для управления рисками цифровой безопасности
Цифровая культура частного сектора и его способность управлять цифровыми рисками, по-видимому, являются основным слабым звеном в усилиях, предпринятых Казахстаном в области цифровых технологий за последние годы, что обусловлено быстрым развитием и цифровизацией страны в последнее десятилетие, а также отсутствием внимания законодательных органов к этой сфере (CAISS, 2020[5]). Недавно принятые меры в области цифровой безопасности действительно были направлены преимущественно на государственные и связанные с ними организации, такие как госпредприятия, ведущие деятельность в так называемых «стратегически важных» отраслях. Например, ни одно из пяти направлений программы «Цифровой Казахстан» не касается вопросов защиты данных или продвижения цифровой культуры среди населения и частных предприятий. Программы, направленные на повышение осведомленности о цифровых технологиях и развитие навыков борьбы с цифровыми рисками в рамках программы «Киберщит», ориентированы преимущественно на государственных служащих (Government of Kazakhstan, 2017[21]). В результате уровень осведомленности населения и бизнеса о киберугрозах и способность бороться с ними остаются крайне низким, что делает их уязвимыми перед лицом набирающих обороты рисков для безопасности в интернете (CABAR, 2022[22]). Например, недавний отчет по банковскому сектору Казахстана выявил высокий уровень неосведомленности об основных рекомендациях по обеспечению цифровой безопасности среди персонала всех уровней (Deloitte, 2021[23]).
Предприятия и МСП, в частности, уязвимы перед цифровыми угрозами, что ограничивает их рост и перспективы в плане конкурентоспособности. Например, в последние годы участились фишинговые атаки, особенно в отношении популярных сервисов, и рассылки от лица банков второго уровня, почтовых организаций, торговых площадок и интернет-магазинов. Учитывая тот факт, что большинство малых предприятий в Казахстане используют лишь базовые цифровые инструменты, такие как почтовые сервисы и платформы для онлайн-продаж, они находятся на передовой этих атак. Использование вредоносного программного обеспечения также становится все более популярным: около 2500 инцидентов, связанных с этой угрозой, были зарегистрированы и обработаны национальной Компьютерной группой реагирования на чрезвычайные ситуации KZ-CERT в 2020 году, что на 6 % больше, чем в 2019 году (Government of Kazakhstan, 2021[24]). Кроме того, несмотря на отсутствие точных и актуальных данных, интервью ОЭСР подтверждают, что целевые атаки остаются серьезной угрозой для казахстанского бизнеса. Эта проблема уже была отмечена в 2016 году «Лабораторией Касперского», которая обнаружила, что 39 % казахстанских компаний потеряли доступ к бизнес-информации в результате кибератак, а каждый корпоративный компьютер в стране подвергся в среднем 13 атакам со стороны вредоносного ПО в течение первой половины 2016 года (Kazakhstan Today, 2017[25]). К 2019 году ситуация особенно не улучшилась: «Лаборатория Касперского» обнаружила, что 92 % организаций в Казахстане хотя бы раз подвергались внешней кибератаке, а 66 % компаний столкнулись с внутренними угрозами для информационной безопасности (Kaspersky Lab, 2021[26]). Интервью, проведенные ОЭСР, также показали, что после пандемии эта тенденция, по всей видимости, усилилась, ведь огромное количество предприятий перевели часть своей деятельности в онлайн-сферу.
Проведенные ОЭСР интервью показывают, что, как и во многих странах — членах ОЭСР и странах-партнерах, большинство предприятий в Казахстане не используют процедуры управления рисками цифровой безопасности даже на самом базовом уровне и не всегда осознают преимущества их интеграции в свои бизнес-процессы. Например, многие предприятия не имеют в штате специального сотрудника, не ищут информацию во внешних источниках и, как правило, не используют никаких протоколов для отслеживания случаев проникновения в их системы. Лишь несколько компаний, в основном крупные, пользуются услугами консультантов по безопасности, поскольку стоимость подобных услуг остается слишком высокой для малых предприятий. В частности, полномочия KZ-CERT включают оказание консультационно-технической помощи пользователям в предотвращении киберугроз, а на ее веб-сайте описаны конкретные меры для МСП (Computer Emergency Response Team, 2022[19]), однако проведенные ОЭСР интервью показывают, что немногие МСП знают об этой услуге и пользуются ею.
Создание условий для повышения осведомленности о цифровых рисках и эффективного управления ими может помочь МСП извлечь максимальную выгоду из возможностей цифровой трансформации (OECD, 2015[27]; OECD, n.d.[1]). Для того чтобы цифровая стратегия Казахстана могла достичь поставленных целей в области развития безопасного цифрового общества, решающее значение будет иметь формирование цифровой культуры и оснащение компаний инструментами для управления рисками цифровой безопасности. Это потребует внедрения более эффективных методов обеспечения цифровой безопасности на уровне МСП при поддержке специализированных государственных организаций, более масштабного предоставления МСП различных бизнес-решений и их использования ими, а также интеграции некоторых аспектов экономической политики, направленных на поддержку МСП, в стратегию «Киберщит».
Правительства многих стран — членов ОЭСР и стран-партнеров все активнее разрабатывают и вводят в действие схемы сертификации, стандарты безопасности и правила защиты персональных данных для общей поддержки бизнеса в области цифровой безопасности. Тем не менее специально разработанные инициативы, направленные на повышение осведомленности МСП и развитие их компетенций в области цифровой безопасности, по-прежнему имеют критически важное значение, поскольку именно МСП являются наиболее уязвимыми в этом отношении. Казахстан мог бы расширить объем услуг по консультированию и обучению для предприятий и включить в них вопросы управления рисками цифровой безопасности, которыми ведает KZ-CERT. В предоставлении таких услуг могли бы принять участие специальные организации (например, «ДАМУ» или «Атамекен») по примеру многих стран — членов ОЭСР, где агентства по развитию МСП взяли на себя ведущую роль в инициировании изменений в культуре и практике малого бизнеса и предоставлении ему инструментов для управления рисками цифровой безопасности. Предложение консультационных услуг может быть организовано либо через такие агентства, которые займутся предоставлением МСП информации о рисках цифровой безопасности и учебных материалов (в режиме онлайн и офлайн), позволяющих им интегрировать такие практики в существующие бизнес-процессы, либо через создание реестра сертифицированных внешних консультантов, к которым МСП могли бы обратиться в случае необходимости. Вся предлагаемая поддержка должна быть легкодоступна на веб-сайте агентства-исполнителя и широко рекламироваться для обеспечения ее фактического использования МСП. В качестве альтернативы или в дополнение к этим мерам все консультационные услуги и инструменты можно было бы обнародовать на веб-сайте «Правительство для бизнеса».
Что касается стороны спроса, правительство должно предложить льготный доступ к таким услугам, чтобы обеспечить их широкое использование малыми компаниями, а также оно может рассмотреть варианты разделения затрат либо через «ДАМУ», либо через специальную строку бюджета в рамках новой фазы реализации «Киберщита». Например, обучение и консультационные услуги могут первоначально предоставляться либо бесплатно, либо по субсидируемой ставке, поскольку МСП зачастую трудно получить необходимое финансирование. Поскольку на начальном этапе доверие к качеству предоставляемых услуг может быть ограниченным, ваучеры или налоговые льготы для МСП также могут способствовать формированию частного рынка консультационных услуг. Правительство могло бы использовать опыт МСП, которые уже активно применяют различные методы управления цифровыми рисками, для создания сетей для обмена передовым опытом и наработками. Что касается стороны предложения, Казахстан мог бы ввести аналогичные стимулы для разработки бизнес-решений, которые помогли бы МСП усовершенствовать управление цифровыми рисками, а также адаптировать законодательные нормы для поддержки производства более безопасных цифровых продуктов.
Наконец, Казахстан мог бы интегрировать вопросы цифровой безопасности МСП либо в новую фазу реализации инициативы «Киберщит», либо непосредственно в следующую версию НЦС. В соответствии с Рекомендацией ОЭСР по управлению рисками цифровой безопасности для экономического и социального процветания, разработанной в 2015 году, этот шаг необходим для учета потребностей МСП при разработке и реализации стратегии, а также для сведения к минимуму конфликтов между деятельностью агентств, занимающихся обеспечением цифровой безопасности, и экономической политикой по развитию МСП (OECD, n.d.[1]).
Правительства могут поддерживать повышение общего уровня цифровой безопасности на рынках, воздействуя (i) на предприятия со стороны предложения и побуждая их предлагать существующие/новые решения в области цифровой безопасности; (ii) на предприятия со стороны спроса и побуждая их практиковать более эффективные методы управления рисками цифровой безопасности; а также (iii) на цифровую культуру и навыки кибербезопасности населения и бизнеса в целом.
На стороне предложения решения по обеспечению цифровой безопасности внедрялись в основном путем разработки нормативных актов, направленных на создание IT-продуктов с функцией «безопасности на уровне дизайна» или «конфиденциальности на уровне дизайна», а также финансовых стимулов и кластерных экосистем для разработки новых технологий цифровой безопасности.
На стороне спроса соответствующие меры экономической политики направлены на установление правил и рекомендаций по управлению данными, снижение асимметрии информации для пользователей продуктов, обеспечивающих цифровую безопасность, и расширение возможностей бизнеса по управлению цифровыми рисками. В первых двух случаях наиболее широко используемыми инструментами этой политики являются изменения в нормах и законодательстве, а также введение стандартов и процедур безопасности. Кроме того, большинство стран — членов ОЭСР доверили разработку консультационных услуг и информационных ресурсов для бизнеса своим агентствам по развитию МСП.
Формирование цифровой культуры и развитие навыков в области кибербезопасности достигается главным образом за счет предоставления учебных материалов и тренингов, проведения кампаний по повышению осведомленности о рисках цифровой безопасности и передовом опыте, а также создания базы знаний о рисках цифровой безопасности с помощью компьютерных групп реагирования на чрезвычайные ситуации (CERT).
Отдельные примеры инструментов для МСП
В рамках реализации Стратегии кибербезопасности на период до 2020 года Австралийскому центру кибербезопасности было поручено предоставить рекомендации о том, какие меры должны быть приняты МСП и как стратегия цифровой безопасности должна ими осуществляться, а также разработать специальные наборы инструментов (например, для оценки цифровой зрелости), организовать процесс установления контактов между поставщиками решений в области цифровой безопасности и МСП и выдавать гранты на каждом этапе процесса.
Бельгийская федеральная государственная служба по вопросам экономики, МСП, среднего класса и энергетики также предлагает онлайн-набор ресурсов для информирования МСП и оказания им помощи в вопросах цифровой безопасности, включая документы по проведению оценки рисков, основные принципы обеспечения цифровой безопасности, правила поведения в случае инцидента и глоссарий основных технических терминов.
В Германии в рамках инициативы по поддержке цифровизации МСП (Go-Digital), запущенной в 2017 году Федеральным министерством экономики, был создан цифровой центр, где МСП могут пройти диагностические и целевые учебные программы по цифровой безопасности с возмещением 50 % затрат.
Национальная политика кибербезопасности Чили включает в себя разработку широкомасштабной кампании, которая посвящена вопросам кибербезопасности и направлена на содействие реализации программ повышения осведомленности и распространения информации в партнерстве с частным сектором.
Источник: по материалам (OECD, n.d.[1]; Belgian Federal Public Service for the Economy, SMEs, Middle Classes and Energy, 2018[28]; Government of Chile, 2018[29]).
Список литературы
[28] Belgian Federal Public Service for the Economy, SMEs, Middle Classes and Energy (2018), Cybersecurity – is your enterprise ready?, https://economie.fgov.be/fr/publications/cybersecurite-votre-entreprise.
[22] CABAR (2022), How Digitalisation Became a Cyber Security Threat in Kazakhstan, https://cabar.asia/en/how-digitalisation-became-a-cyber-security-threat-in-kazakhstan (accessed on 2 June 2022).
[5] CAISS (2020), Protection of personal data in Kazakhstan: status, risks and opportunities (Защита персональных данных в Казахстане: статус, риски и возможности), https://www.soros.kz/wp-content/uploads/2020/04/Personal_data_report.pdf.
[8] CNIL (2022), Map of data protection around the world, https://www.cnil.fr/en/data-protection-around-the-world (accessed on 15 July 2022).
[19] Computer Emergency Response Team (2022), Computer Emergency Response Team, https://www.cert.gov.kz/about/kz_cert (accessed on 20 July 2022).
[23] Deloitte (2021), Assessment of cyber risks in banks of Kazakhstan, https://www2.deloitte.com/kz/ru/pages/risk/articles/cyber_risk_assessment_kazakhstan_banks.html.
[6] Dentons (2021), The impact of the GDPR in Kazakhstan, https://www.dentons.com/en/insights/alerts/2021/may/5/the-impact-of-the-gdpr-in-kazakhstan.
[13] European Commission (2022), Shaping Europe’s digital future - e-Commerce Directive, https://digital-strategy.ec.europa.eu/en/policies/e-commerce-directive (accessed on 31 May 2022).
[14] European Commission (2022), Shaping Europe’s Digital Future - The Digital Services Act package, https://digital-strategy.ec.europa.eu/en/policies/digital-services-act-package (accessed on 31 May 2022).
[12] European Commission (2022), What are Data Protection Authorities (DPAs)?, https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-are-data-protection-authorities-dpas_en (accessed on 18 July 2022).
[29] Government of Chile (2018), National Cybersecurity Policy, https://www.ciberseguridad.gob.cl/media/2017/05/NCSP-ENG.pdf.
[20] Government of Kazakhstan (2022), В 2022 году будет принята новая редакция концепции «Киберщит Казахстана».
[24] Government of Kazakhstan (2021), Phishing websites, spear-phishing, whaling — Cyber Shield of Kazakhstan improves security systems, https://www.primeminister.kz/en/news/reviews/phishing-websites-spear-phishing-whaling-cyber-shield-of-kazakhstan-improves-security-systems7698 (accessed on 21 July 2022).
[16] Government of Kazakhstan (2017), Approval of the Cybersecurity Concept (“Cyber Shield of Kazakhstan”), Resolution by the Government of the Republic of Kazakhstan No. 407, https://adilet.zan.kz/rus/docs/P1700000407 (accessed on 31 May 2022).
[3] Government of Kazakhstan (2017), Law “On Amendments and Additions to Certain Legislative Acts of the Republic of Kazakhstan on Regulation of Digital Technologies”, 25 June 2020, https://adilet.zan.kz/eng/docs/Z1700000051 (accessed on 6 July 2022).
[15] Government of Kazakhstan (2017), State of the Nation Address, https://www.akorda.kz/en/addresses/addresses_of_president/the-president-of-kazakhstan-nursultan-nazarbayevs-address-to-the-nation-of-kazakhstan-january-31-2017 (accessed on 13 July 2022).
[21] Government of Kazakhstan (2017), State programme “Digital Kazakhstan:, https://digitalkz.kz/wp-content/uploads/2020/03/%D0%93%D0%9F%20%D0%A6%D0%9A%20%D0%BD%D0%B0%20%D0%B0%D0%BD%D0%B3%D0%BB%2003,06,2020.pdf.
[2] Government of Kazakhstan (2013), Law of the Republic of Kazakhstan dated 21 May 2013 On personal data and their protection, https://adilet.zan.kz/eng/docs/Z1300000094#:~:text=The%20Law%20of%20the%20Republic,94%2DV.&text=This%20Law%20regulates%20the%20public,and%20protection%20of%20personal%20data. (accessed on 7 July 2022).
[9] Government of Kazakhstan (2004), Law “On the regulation of trading activities” dated April 12, 2004 No. 544-II, https://adilet.zan.kz/eng/docs/Z040000544_ (accessed on 1 June 2022).
[4] Government of Kazkahstan (2022), Information Security Committee under the Ministry of Digital Development, Innovation and Aerospace Industry, https://www.gov.kz/memleket/entities/infsecurity/activities/directions?lang=en (accessed on 12 July 2022).
[17] ITU (2021), How Kazakhstan Efficiently Implements Its National Cybersecurity Strategy, https://www.itu.int/en/ITU-D/Regional-Presence/CIS/Pages/News/20210810.aspx (accessed on 1 June 2022).
[26] Kaspersky Lab (2021), Kaspersky Security Bulletin 2021 Statistics, https://go.kaspersky.com/rs/802-IJN-240/images/KSB_statistics_2021_eng.pdf.
[25] Kazakhstan Today (2017), One in three companies in Kazakhstan loses critical data to cyber-attacks (Каждая третья компания в Казахстане теряет важные данные из-за кибератак), https://www.kt.kz/rus/reviews/kazhdaja_tretjja_kompanija_v_kazahstane_terjaet_vazhnie_dannie_izza_kiberatak_1153624177.html (accessed on 11 July 2022).
[10] OECD (2017), Regulatory Policy in Korea: Towards Better Regulation, OECD Reviews of Regulatory Reform, OECD Publishing, Paris, https://doi.org/10.1787/9789264274600-en.
[27] OECD (2015), Digital Security Risk Management for Economic and Social Prosperity: OECD Recommendation and Companion Document, OECD Publishing, Paris, https://doi.org/10.1787/9789264245471-en.
[1] OECD (n.d.), OECD Studies on SMEs and Entrepreneurship, OECD Publishing, Paris, https://doi.org/10.1787/20780990.
[7] Portulans Institute (2021), Network Readiness Index - Kazakhstan Country Profile, https://networkreadinessindex.org/country/kazakhstan/.
[11] Trnka, D. and Y. Thuerer (2019), “One-In, X-Out: Regulatory offsetting in selected OECD countries”, OECD Regulatory Policy Working Papers, No. 11, OECD Publishing, Paris, https://doi.org/10.1787/67d71764-en.
[18] TSARKA (2022), Center for analysis and investigation of cyber attacks, https://cybersec.kz/en (accessed on 19 July 2022).