Кибербезопасность. Как в Кыргызстане формируют защиту от цифровых угроз

The Tech Время чтения: 1 мин

На международном ПЛАС-форуме Digital Kyrgyzstan эксперты обсудили, как технологии меняют комплаенс-контроль, какие угрозы несет искусственный интеллект и как управлять рисками. Представители банков, образовательных платформ и сервисных компаний рассказали, какие решения работают, а какие создают новые проблемы.

Лира Омурбекова, директор, учебный центр Государственной службы финансовой разведки при Министерстве финансов Кыргызской Республики

За последние 10-12 лет система борьбы с отмыванием денег в Кыргызстане претерпела значительные изменения. Если раньше финансовые институты и государственные органы занимались выявлением уже совершенных преступлений, то сегодня контроль начинается с момента, когда клиент только задумывается о входе в финансовое учреждение, и продолжается до полного завершения всех деловых отношений.

Рост технологий и цифровизации сыграл в этом ключевую роль. Искусственный интеллект, с одной стороны, помогает комплаенс-специалистам выявлять риски, а с другой — создает новые угрозы для финансовой и национальной безопасности страны. Кроме того, функции комплаенса значительно расширились. Если раньше речь шла исключительно о борьбе с отмыванием денег, то теперь в зоне ответственности специалистов находятся ОДФТ, санкционный, экологический и коррупционный комплаенс. Современные подходы должны охватывать не только банки и финансовые организации, но и виртуальные активы, а также государственные структуры.

С развитием технологий появляются новые методы отмывания денег и финансирования терроризма, и это создает дополнительную нагрузку на специалистов комплаенса. Сегодня они должны не просто выявлять риски, но и обладать компетенциями в риск-менеджменте, логистике и кибербезопасности. По статистике, 99% финансовых преступлений совершаются с использованием цифровых технологий, что делает киберугрозы ключевым вызовом для всей системы финансового мониторинга.

Кыргызстан уже внедрил уникальную систему подготовки специалистов по финансовой безопасности, не имеющую аналогов в Центральной Азии и Евразийском регионе. Государственный центр разрабатывает полный цикл обучения: от базовых курсов до сертификации и повышения квалификации. Если 10 лет назад такие инициативы отсутствовали, то с 2019 года вопросы финансовой безопасности включены даже в школьные программы. Например, ученики 10–11 классов изучают основы финансовой грамотности и учатся распознавать мошеннические схемы, а некоторые банки внедрили детские карты, чтобы подростки понимали ответственность за финансовые операции.

Правоохранительные органы фиксируют рост числа подростков, вовлеченных в преступные схемы. Чтобы противостоять этому, в Кыргызстане проводятся республиканские олимпиады по финансовой безопасности среди школьников и студентов. Около 70% победителей этих конкурсов в дальнейшем выбирают карьеру в сфере комплаенса. В шести вузах страны уже готовят таких специалистов, и выпускники работают в банках, криптообменниках и страховых компаниях. Образовательные программы охватывают не только финансы и мониторинг, но и информационную безопасность, аналитику, юриспруденцию и международные отношения. 

Для поддержания высокого уровня подготовки специалистов проводятся национальные и международные семинары, а также программы повышения квалификации. Однако кадровый вопрос остается остро актуальным. Отток специалистов комплаенса высок: они работают год-полтора и уходят в компании с более привлекательными условиями. Чтобы решить эту проблему, в Кыргызстане разрабатывается профессиональный стандарт специалиста финансового мониторинга. Его внедрение на национальном уровне поможет сформировать устойчивую систему подготовки кадров и повысить уровень финансовой безопасности страны.

Анар Нарынбек кызы, руководитель отдела информационной безопасности, ФИНКА Банк

Зачем управлять рисками? Может показаться, что это что-то методологическое, сложное, связанное с бумажной работой, но на управлении рисками строится все. Например, так выглядит каталог «День начальника ИБ». Когда мне предложили эту должность, я сначала отказалась — думала, что не буду спать ночами. Но инструментированный подход позволяет управлять приоритетами, фокусироваться на реальных задачах и угрозах, выстраивать модель, ориентированную на развитие, а не просто реагировать на инциденты. Без риск-ориентированного подхода работа отдела сводится к реагированию на сообщения и инциденты.

Второй важный момент — риск-аппетитный подход. Он позволяет видеть будущее, понимать, какие риски стоит снижать. Главная задача подразделения по информационной безопасности — минимизировать инфобезопасные риски до приемлемого уровня и помогать бизнесу в этом. Если у нас есть инструменты, мы можем объяснить бизнесу на его языке, какие меры приняли и насколько снизили риски.

Существует множество регуляторных требований и стандартов. Основные — требования Национального банка к информационной безопасности коммерческих банков. В 2021 году добавлена глава о механизме социума, подчеркивающая важность предупреждения рисков. Агентство по защите данных также утвердило методологию оценки рисков.

Рекомендую три ключевых стандарта:

ISO — управление интернетом, основные этапы

NIST — детализированные технические аспекты

COBIT — рекомендации по планированию и документации.

На практике управление рисками выходит за рамки стандартов. Важно провести инвентаризацию не только информационных активов, но и всех бизнес-процессов, систем, проектов и технологий. Далее оцениваются риски: анализируются реестры, влияние на бизнес, регуляторные требования, критичность и отчеты об инцидентах. На основе этого формируется картина возможных угроз.

Далее выстраиваются контроли — организационные и технические меры, которые могут быть превентивными и детективными. Выбирается стратегия работы с оставшимися рисками. Мониторинг — постоянная деятельность, которая позволяет оценивать текущие угрозы и необходимость усиления контроля. Key Risk Indicator — это ключевые индикаторы рисков. Игнорирование таких рисков может парализовать бизнес, поэтому им уделяется особое внимание. Они отслеживаются по метрикам, отчетам об инцидентах. 

Не менее важно оценивать риски, связанные с третьими лицами — партнерами и поставщиками. Даже если у вас хорошо выстроена внутренняя система, внешние риски могут повлиять на компанию. На сегодняшний день практикуются анкетирования, запросы документов, переговоры. Это не про отсеивание, а про готовность к возможным угрозам. Риски могут быть разными — от утечек данных до остановки систем.

Аналогично оцениваются риски искусственного интеллекта: классификация систем, анализ данных, определение угроз. Для банков и компаний, работающих с ИИ, ключевые риски — утечки, атаки, компрометация данных. Оценив их влияние, можно выбрать соответствующие меры защиты.

Подход всегда один: анализ, сбор информации, понимание процессов. Чем лучше вы знаете, что происходит, тем эффективнее можете управлять рисками и помогать бизнесу.

Меруерт Кенжебекова, директор компании Cyber Formula 3, Казахстан

Мы уже около 10 лет работаем с образовательным сектором и, увидев проблему в модернизации IT-сферы, решили предложить свой вариант решения. 

Мы внедряем киберклассы в школы и колледжи Казахстана. Наша цель — создать новое поколение специалистов, которые будут конкурентоспособными на мировом рынке, и сделать технологии доступными для каждого ребенка, независимо от того, где он учится — в сельской школе, инклюзивном классе или в городе. 

Основная проблема — нехватка подготовленных кадров. Педагоги не являются IT-специалистами, но могут обучать детей искусственному интеллекту, программированию и кибербезопасности. Мы решили эту задачу, обучая преподавателей и сопровождая их в течение года.

Ранее мало кто учитывал индивидуальные способности и интересы детей. Наш подход направлен на выявление их сильных сторон и развитие потенциала. Даже в домашних заданиях есть выбор: снять видео для TikTok или создать собственный проект. Это делает обучение более интересным и мотивирующим.

Мы устраняем разрыв между теорией и практикой, делая обучение максимально прикладным. В отличие от классических уроков информатики, у нас нет зубрежки — только практика. Полученные навыки дети могут применять в реальной жизни.

Почему важно говорить об ИИ в образовании? Уже 50% профессий требуют его использования, и этот показатель растет. ИИ не заменит адвоката, но специалист, владеющий ИИ, будет востребованнее. Технологии также способствуют инклюзии, помогая людям с ограниченными возможностями. Радует и рост числа девочек в IT.

Еще одна проблема — нехватка кадров. Мы создаем киберклассы в госшколах и колледжах, а не сотрудничаем с частными школами. Наш Cyber Formula 3 объединяет пространство, технологии и методологию. Дети должны сразу понимать, что попали в мир IT, а оборудование должно соответствовать современным стандартам.

Методология охватывает искусственный интеллект, программирование и кибербезопасность, включая три уровня: начинающий, средний и продвинутый. Ученики пробуют себя в разных ролях: аналитики, разработчики нейросетей, специалисты по кибербезопасности. Обучение строится на геймификации и практике — дети создают игры, сайты, находят уязвимости, защищают данные.

Цифровая безопасность — ключевой аспект. Мы обучаем детей защите от кибератак, фишинга и угроз в сети, а также проводим тренинги для родителей.