04/05/2020
Защита персональных данных в Казахстане: статус, риски и возможности
29/04/2020
«Как вести себя во время карантина»-книга для детей
17/05/2020

«Кибер-гигиена прививается точно так же, как и правило чистить зубы – с детства»

Всеобщий карантин в крупнейших городах Казахстана этой весной обнажил проблемы, имеющие глубокие корни в цифровизации страны. О том, куда движется Казахстан в эпоху кибер-безопасности и больших данных, мы поговорили с авторами исследования о защите персональных данных — директором Центральноазиатского института стратегических исследований Анной Гусаровой и социологом Сериком Джаксылыковым. Исследование проводилось при поддержке инициативы «Публичная политика» Фонда Сорос-Казахстан. 

Для записи интервью мы решили созвониться с Анной и Сериком в популярном мессенджере WhatsApp. По иронии, безопасность использования этого приложения неоднократно подвергалась критике, а политика конфиденциальности личных данных пользователей Facebook (компания Марка Цукерберга приобрела WhatsApp в 2014 году) продолжает вызывать вопросы. Тем не менее, именно о безопасности личных данных пользователей в интернете мы и решили поговорить.

Анна Гусарова: Персональные данные – это одна из тем, которая мне интересна с исследовательской точки зрения. В большей степени это вопросы обеспечения кибер-безопасности, в том числе реализация нашей программы кибер-щита. Что касается именно персональных данных, мне всегда было интересно наблюдать за людьми, которые не обновляют свои пароли, не заморачиваются о безопасности и спокойно передают личную информацию третьим людям. В последнее время участились случаи утечки данных казахстанцев и все это вместе привело к идее сделать исследование, – начинает наш разговор Анна.

Раз вы упомянули это обширное поле кибер-безопасности, давайте сразу разграничим понятия.  В исследовании вы пишите о важности понимания концептуальных различий между информационной безопасностью и кибер-безопасностью. Можно подробнее об этом?

Анна Гусарова:: Во-первых, разница проявляется уже в языковом разрезе. Кибер-безопасность – это концепция, которая пришла из англоязычного мира. Информационная безопасность – это тот концепт, который активно продвигается Российской Федерацией. Два эти концепта достаточно похожи, но, тем не менее, есть принципиальные различия. Кибер-безопасность, в основном, связана с обеспечением технологической безопасности. При этом, кибер-безопасность несет в себе концепцию открытого доступного интернета для развития общества, экономики и благосостояния граждан. Информационная безопасность в большей степени связана с обеспечением общественной безопасности с точки зрения информации. Последние годы мы активно видим попытки ограничения доступа к определенным ресурсам — цензуру. Так вот, это в большей степени относится к информационной безопасности.

Во-вторых, и в кибер-безопасности, и в информационной безопасности речь идет об обеспечении безопасности информации как таковой. Причем информация может быть на любых носителях: от напечатанной на бумаге до хранящейся на серверах. Тем не менее, подходы к обеспечению безопасности разнятся. Здесь все зависит от стратегии государств с демократическими и недемократическими системами, то есть от обеспечения прав граждан.

Вы упоминали такой важный компонент в регулировании информационной и кибер-безопасности, как позиция государства. Какой позиции придерживается Казахстан в этих вопросах?

Анна Гусарова: С каждым годом я убеждаюсь все больше в том, что Казахстан пытается найти свою модель и свое видение, и понимание ситуации. Это даже не середина между демократическим и авторитарным взглядом на вопрос. Это действительно что-то на грани. С одной стороны, мы имеем достаточно либеральное законодательство, с другой стороны – большинство нововведений и поправок свидетельствует о том, что государство в большей степени сосредоточено на технологическом аспекте. Вне поля внимания остаются кибер-гигиена, цифровая грамотность, правовая грамотность. То есть мы строим информационную крепость, которая будет защищать Казахстан от хакеров, но насколько хороша эта крепость, если за ее пределами есть люди, которые не знают о ней ничего? Я не думаю, что эта крепость долго устоит.

В наших реалиях сложилась именно такая ситуация: вспомните недавнее выступление министра образования и науки, который подтвердил, что проблема не в приложении Zoom, а проблема в том, что люди не умеют им пользоваться. Всегда будет присутствовать человеческий фактор – об этом говорят специалисты по кибер-безопасности и хакеры. Большинство ошибок и угроз, связанных с обеспечением кибер-безопасности, происходят по вине человека. Вопрос в том, как мы можем расширить границы возводимой крепости? Как многим людям мы сможем рассказать про важность этой темы?

Есть ощущение, что государство гонится именно за техническим обеспечением безопасности и при этом несколько просидает юридическая сторона вопроса. Согласны ли вы с этим?

Анна Гусарова: Я согласна с тем, что Казахстан в большей степени стремится к технологическому аспекту. Возможно, это то, что нужно, учитывая все наши планы по цифровизации. Я просматривала несколько законов и сравнивала их с европейским GDPR (Общий регламент по защите данных – Прим.), концепцией российского суверенного интернета. Существует проблема, и она не столько юридическая. Эта проблема в написании законодательных актов языком, который позволяет трактовать их массой разных способов. Причем это касается законодательства не только в сфере защиты данных. Соответственно и правоприменительная практика может быть абсолютно разной. Какие-то вещи могут просто не учитываться в законах. Например, недавно обсуждалось введение кибер-страхования. Однако поправки в закон «О персональных данных и их защите» помимо профильного ведомства и бизнеса, касаются и тех, кто предоставляет свои данные. Компонент человека – индивидуума – не рассматривается вообще.

Министерство информации и общественного развития на своем сайте открыто заявляет, что Казахстан движется в сторону GDPR. Да, это крайне важно, но нельзя забывать о том, что GDPR – это не только сбор, обработка и хранение данных. Это еще и культура защиты персональных данных, которая включает в себя понимание ценности этой информации теми, кто работает с данными. Нужно говорить людям, что это такое, почему это важно, и что мы должны делать. Специалисты говорят о том, что обеспечить 100% защиту невозможно даже технически, но можно снизить риски, повышая этот уровень культуры и обеспечивая технологическое развитие.

Что, на ваш взгляд, может помочь поднять уровень осведомленности казахстанцев о том, что такое персональные данные и почему в наших же интересах отнестись к этому со всей серьезностью?

Анна Гусарова: Это нужно воспитывать с детства и говорить об этом на протяжении всей жизни. Это – как элемент культуры. Результаты нашего исследования частично говорят о том, что казахстанцы не беспокоятся о безопасности своих данных в интернете до тех пор, пока это не коснется их финансов: то есть, пока не похитят деньги с их банковских карточек. Это нужно менять, поскольку на протяжении последних нескольких лет кибер-атаки в Казахстане в большей степени связаны с банковским сектором.

Конечно, в вопросах осведомленности цифровых прав не обойтись без гражданского общества. Вспомните, когда вводили сертификат безопасности в столице, а затем и в других городах Казахстана — общество ответило на введение сертификата использованием VPN. Я рассматриваю это, как возросшую осознанность казахстанцев.

С другой стороны, установка VPN – это довольно пассивная позиция, это далеко не требование диалога с властью по вопросам сохранения права на анонимность. Думаю, что это было единственным выходом для сохранения идеи конфиденциальности и приватности в интернете. Да, мы должны выходить на диалог – между государством и гражданским обществом. Опыт последних лет показывает, что этого диалога просто нет. Примерно с тех пор, как приняли закон «Об НПО» в конце 2015 года. Сотрудничество сохранилось на уровне рабочих групп, но как мы видим в результатах работы над законом о митингах: рабочие группы ничего не смогли сделать и диалога не состоялось. К сожалению, пока в сфере безопасности данных и цифровых прав у нас немного неправительственных организаций.

Расскажите немного о самом исследовании «Защита персональных данных в Казахстане: статус, риски и возможности». Как вы его проводили, получилось ли охватить все регионы Казахстана?

Анна Гусарова: В рамках нашего исследования мой коллега – социолог Серик Джаксылыков  провел 12 фокус-групповых дискуссий в 6 городах Казахстана. В дискуссиях принимали участие активные пользователи интернет-магазинов и социальных сетей в возрасте 25-30 лет и 40-45 лет. Исследование ставило перед собой задачу узнать, насколько хорошо казахстанцы осведомлены о сборе, хранении и обработке персональных данных, и своих правах в интернете. Например, участники фокус-групповых дискуссий не верят в то, что могут контролировать свои данные, которые они предоставляют сайтам. При этом, отсутствие контроля не представляется для них серьезной проблемой.

Серик, какие у вас были ожидания от результатов фокус-групповых дискуссий по тому, насколько важным участники считают безопасность в интернете?

Серик Джаксылыков: У меня были некоторые ожидания, поскольку ранее в других исследованиях я уже сталкивался с темой охвата интернетом и привычкой его использовать. Я знал, что уровень осведомленности о правах (в интернете – Прим.), о защите персональных данных будут низким. Конечно, есть люди, которые об этом знают и это представители более молодой части населения. Также я понимал, что люди будут достаточно пассивны с точки зрения гражданской позиции. В то же время у меня не было представления о том, что люди думают о сертификате безопасности. Кроме того, хотелось понять, как отличаются мнения людей в регионах от мнений в Алматы и Нур-Султане. Мы привыкли, что во многих вопросах алматинцы оказываются менее лояльны инициативам правительства. Как выяснилось, на западе и юге страны, особенно в Актобе, люди чаще выражали критику действиям правительства, чем в Усть-Каменогорске или Петропавловске.

Что для вас стало неожиданностью во время дискуссий?

Серик Джаксылыков: Я бы отметил то, что каждый раз нам удавалось завязать интересную дискуссию о сертификатах безопасности, которая затем переходила в спор. Дискуссия постепенно переходила к вопросу о том, имеет ли государство право отслеживать наши действия в интернете? Этот сертификат в случае необходимости позволяет просматривать активность пользователей. К моменту проведения фокус-группы, в медиа публиковали статьи о том, что крупные IT-компании выступили с критикой этой казахстанской инициативы, сообщив, что не намерены открывать свои коды. Одни участники фокус-групп сначала говорили о том, что они доверяют государству и им нечего скрывать. Они аргументировали это тем, что в целях обеспечения безопасности, они готовы предоставить государству возможность следить. Другие участники фокус-групп, которые имели чуть более продвинутое, чем у среднего обывателя, представление об интернете, социальных сетях и защите данных, спорили в ответ. Аргументы вторых заставляли первых задуматься. В ходе споров я наблюдал, как первые постепенно соглашались со вторыми и переходили на их сторону. Это говорит о том, что люди привыкли жить в нашем патерналистском обществе, где государство предлагает какой-то образец поведения (возможность жить, зарабатывать, иметь социальные условия: бесплатное образование, медицина и пенсии). Взамен на это вы принимаете условия и молчите.

Как только кто-то начинает сомневаться, смотрит на это критически, приводит аргументы, то эта «легенда» от правительства начинает рушиться. Можно сказать, что люди продолжают быть пассивными, плохо осведомлены о своих правах и устройстве гражданского общества. Как только в это пассивное общество начинают попадать какие-то идеи, критические взгляды, тут же начинается оживление и споры. Кто-то остается при своем, а кто-то начинается думать критически. Самый простой вывод, который напрашивается: людям нужно помочь посмотреть на вещи критически; нужно давать альтернативный взгляд тому, что говорит правительство.

Насколько люди осознают в первой и во второй группах важность прав человека? Ведь право на анонимность – это компонент прав человека.

Серик Джаксылыков: Я приведу пример. Люди говорили: «Мы не Запад, мы не Америка. У нас другое общество, мы не можем и не хотим жить, как они». Как правило, участники использовали стандартные аргументы про менталитет и невозможность жить по модели западного общества. Для них права человека – это продукт западного мира, который, по их мнению, нам навязывается. Именно поэтому они оправдывают вещи, которые происходят в Китае и России и говорят, что эти страны ближе нам. Они убеждены, что свобода личности и гражданские права – это чуждые нам понятия и ценности. Иногда бывает так, что у людей складывается ощущение внешней угрозы: кажется, что наша страна и народ находится под угрозой, исходящей от Запада. И тут нам нужен защитник в лице государства или другого государства – России. Все это – результат российской пропаганды, которая уже давно успешно формирует образ внешнего врага, а наше население очень подвержено влиянию российских СМИ, поскольку находится в этом информационном пространстве.

Один из аргументов, который часто приводили в этих дискуссиях, это то, что государство должно нас защищать, и поэтому им нужно отслеживать террористические и другие угрозы. К этому добавляется то, что в нашем обществе сложилось некое смирение: люди считают, что государство так или иначе заставит сделать так, как оно того хочет. Часто звучали такие объяснения: «Я против этого сертификата безопасности, я не хочу его устанавливать, но государство все равно заставит это сделать». Таким образом, мы наблюдали третье суждение в проведенных фокус-группах: люди понимают, что вторые правы – государство не должно следить за гражданами, но сопротивление не имеет смысла. Во всем этом права человека для них уходят на второй план. Люди привыкли, что эти права и свободы ничего не значат: они видят, что в стране прав тот, кто имеет власть, деньги, связи. Люди не верят в возможность защитить свои права.

Я предлагаю всем почитать наше исследование и уже самим сделать определенные выводы.