Цифровая страна невозможна без обучения кибербезопасности — эксперт

— Президент Касым-Жомарт Токаев на первом заседании Совета заявил, что цифровые системы и ИИ стали «важнейшим условием суверенитета страны». С Вашей точки зрения, как эксперта по кибербезопасности, в чем заключается главная угроза для суверенитета в эпоху ИИ и насколько своевременным является создание такого Совета на высшем уровне?

— Создание Совета по развитию ИИ под личным руководством Президента — шаг абсолютно своевременный и стратегически верный. Сегодня искусственный интеллект — это не просто «умные программы», это уже инструмент влияния и даже острой конкуренции между странами.

Главная угроза для суверенитета — это оказаться в полной зависимости от чужих данных и технологий. Если мы используем зарубежные алгоритмы и сервисы, мы рискуем тем, что в критический момент кто-то сможет управлять нашей экономикой, безопасностью или даже общественным мнением извне. Это и есть цифровая зависимость, или, как ее еще называют, «цифровая колонизация».

Политическая воля Президента, выраженная в создании Совета, как раз и направлена на то, чтобы решения в этой сфере принимались не «точечно», а на самом высоком государственном уровне. Это значит, что у страны появляется свой четкий план: какие технологии развивать самим, какие закупать, а где необходимо создавать собственные правила и защиту. По сути, Глава государства поставил вопрос ребром: будем ли мы хозяевами в своем цифровом доме или арендаторами у других.

— Глава государства поставил задачу по созданию национальной суперкомпьютерной инфраструктуры. Как «белый хакер», который специализируется на поиске уязвимостей, какие потенциальные риски безопасности Вы видите в создании такой централизованной системы и какие нестандартные меры, на Ваш взгляд, необходимо предпринять для ее защиты с самого первого дня?

— Президент поставил монументальную задачу. Суперкомпьютер — это не просто «большой сервер», его, насколько я понял, буквально собираются использовать как цифровой мозг страны, как бы громко это ни звучало. Он будет хранить и обрабатывать огромные массивы данных — от науки и бизнеса до безопасности. Поэтому главный риск здесь — что кибератака на такой центр сразу превращается в атаку на весь Казахстан. Это уже угроза парализовать целые отрасли.

Как «белый хакер», я вижу несколько ключевых уязвимостей. Прежде всего, в централизованной системе ошибка или взлом в одном месте может обрушить все. Кроме того, опасность исходит не только снаружи: внутренние угрозы со стороны сотрудников или подрядчиков тоже могут стать источником утечки. Наконец, если использовать зарубежное «железо» или программное обеспечение без глубокой проверки, в нем могут быть скрытые уязвимости.

Поэтому, чтобы с самого старта обеспечить «Закон и Порядок» в цифровом ядре страны, нужно действовать на опережение. Необходимо провести киберучения, где хакеры имитируют реальные атаки, чтобы выявить слабые места заранее. Важно не держать все «в одном сейфе», а строить систему по принципу сегментации, чтобы при взломе одного узла нельзя было пробраться дальше. Следует также привлекать независимых экспертов, в том числе и международных исследователей безопасности, которые не боятся «ломать» и показывать слабые места, например, через BugBounty площадки. И, конечно, необходимо создать постоянную Red Team — команду этичных хакеров, которые будут регулярно тестировать систему так же, как это делают злоумышленники.

— На Совете Президент высказал обеспокоенность рисками, связанными с ИИ в образовании, отметив, что «учащиеся могут потерять навыки здравого мышления, самостоятельного обучения и анализа». Вы, как человек, который сам создает авторские курсы, согласны с этим? Как найти баланс?

— Я полностью согласен с Президентом. Его обеспокоенность не просто своевременна, она бьет в самый корень проблемы. Если мы будем давать все готовое через ИИ, молодежь действительно рискует потерять навык думать своей головой. ИИ умеет быстро выдавать ответы, но не умеет за нас формировать внутреннюю дисциплину, логику и критическое мышление — те качества, которые и делают человека образованным.

Я вижу баланс в том, чтобы использовать ИИ как калькулятор. Калькулятор ведь не убрал математику из школ, но он освободил ресурсы для более глубокого понимания процессов. То же самое и с ИИ: он может помочь быстрее находить информацию, генерировать идеи, автоматизировать рутину — но именно человек, ответственный гражданин, должен проверять, анализировать и принимать окончательные решения.

— Президент поставил амбициозную цель — превратить Казахстан в «полноценную цифровую страну». Вы часто говорите о важности «кибергигиены». Насколько, по-Вашему, наше общество готово к тотальной цифровизации? И какие три главных правила Вы бы посоветовали внедрить на государственном уровне для защиты данных граждан?

— Стратегическая цель, поставленная Президентом Токаевым, — превратить Казахстан в «полноценную цифровую страну» — это абсолютно верный путь. Но здесь важно помнить: цифровизация — это не только про технологии, но и про людей. Мы можем построить суперприложения и платформы, но если граждане не умеют защищать свои данные, то любая система будет уязвимой.

Сегодня в Казахстане уровень кибергигиены у большинства пользователей, к сожалению, все еще низкий. Люди часто используют один и тот же пароль для банков и соцсетей, переходят по фишинговым ссылкам. Поэтому цифровая страна невозможна без массового обучения законопослушного и грамотного поведения в сети. Нужно поддерживать и выводить проекты по типу citizensec.kz на новый уровень.

Три базовых правила, которые я бы предложил закрепить на государственном уровне:

1. Многофакторная аутентификация везде. Не только для банков, но и для всех ключевых сервисов: от госуслуг до почты. Пароль — это прошлый век.
2. Госстандарты по защите устройств. Обязательное обновление операционных систем, проверка приложений, ограничение доступа к сомнительным ресурсам.
3. Обучение кибергигиене с детского сада. Так же, как мы учим детей чистить зубы, нужно учить их не нажимать на подозрительные ссылки. Причем обучение нужно проводить на языке поколения альфа, а не на языке миллениалов.

Если мы внедрим эти правила в жизнь так же естественно, как правила дорожного движения, то цифровая страна будет не только удобной, но и безопасной.

— Глава государства сделал особый акцент на том, что ИИ должен «служить интересам народа» и не наносить ущерб «нашей духовности, историческому наследию и уникальной культуре». С точки зрения «хакерской» этики, возможно ли вообще контролировать развитие ИИ, или мы рискуем создать технологию, которая выйдет из-под контроля?

— С точки зрения хакерской этики, любой инструмент можно использовать по-разному. Интернет создавался для науки, но стал площадкой и для фейков, и для кибератак. То же самое и с ИИ: это нейтральная технология, которая отражает ценности тех, кто ее создает и использует.

Можно ли ее контролировать? Полностью — нет. Но можно и нужно задавать рамки, как и призвал Президент: этические принципы, правила работы с данными, национальные фильтры, чтобы технологии служили именно нашим интересам, а не чужим.

Самая большая ошибка — думать, что ИИ «сам по себе» опасен. Опасно другое: если мы не будем формировать собственные модели, свои базы знаний, свои команды разработчиков. Тогда мы действительно рискуем получить технологию, которая будет транслировать чужую идеологию и чужую культуру.

В хакерской философии есть принцип: «Не доверяй — проверяй» (ZeroTrust). Этот прагматичный подход и нужно применить к ИИ. Его нельзя пускать на самотек, но и нельзя пытаться заковать в бетонные рамки. Баланс, о котором говорит Глава государства, в том, чтобы развивать свой ИИ, адаптированный под нашу национальную культуру, язык и ценности. Тогда он будет усиливать нас, а не подменять.