В 2018 году в Казахстане создали Реестр доверенного программного обеспечения и продукции электронной промышленности. Соответствующий приказ был подписан  Бейбутом Атамкуловым, который на тот момент занимал пост министра оборонной и аэрокосмической промышленности РК.

Чтобы попасть в этот реестр, нужно получить сертификат соответствия. Представители IT-отрасли такой перспективой не сильно заинтересовались – почти за два года существования реестра в нём оказалось только 7 IT-решений. Однако в конце 2019 года появляются поправки в закон «О государственных закупках», согласно которым госорганы должны в приоритетном порядке закупать IT-решения, занесённые в реестр (это касается и квазигоссектора). Поправки сыграли определённую роль – на сегодня в реестр доверенного ПО добавлено 577 позиций.

Отметим, никаких особых возможностей, льгот или преимуществ вхождение в реестр не даёт – лишь приоритетное право участия в госзакупках и право подать на инновационный грант. При этом стоимость сертификации в среднем – 5-7 млн тенге, но может доходить и до 20 млн тенге.

Мы попытались разобраться, как в Казахстане устроена система сертификации ПО и кто является бенефициарами этой инициативы. Как оказалось, право на проверку и оформление сертификатов, гарантирующих место в реестре доверенного ПО, имеют всего четыре компании. Совладелец одной из них, Зангар Медеуов, в 2021 году был фигурантом громкого уголовного дела – он дал взятку бывшему вице-министру культуры и спорта Сакену Мусайбекову за лоббирование своих интересов в сфере букмекерской деятельности.

Сертификация ПО: необходима или бесполезна?

В медиа регулярно появляются новости об утечках персональных данных казахстанцев. В начале марта обнаружилась утечка персональных данных более 2 миллионов человек – по данным Государственной технической службы КНБ РК, объектом взлома стала инфраструктура микрофинансовой организации zaimer.kz. В середине февраля СМИ сообщили, что личные данные казахстанцев могли попасть в руки китайских кибершпионов. Официально информация так и не была подтверждена, но Минцифры устроило внеплановые проверки «Казахтелекому», ЕНПФ и Air Astana на предмет соблюдения Закона о персональных данных и их защите. 

На этом фоне сертификация ПО выглядит логичной и необходимой – как обозначено в приказе, «реестр ведётся в целях реализации требований обеспечения информационной безопасности для обороны страны и безопасности государства». Программный продукт, который сертифицирован и находится в реестре, вызывает больше доверия, поскольку имеет зафиксированное подтверждение высокого качества, надёжности и соответствия стандартам безопасности.

Сам процесс получения сертификата на ПО в Казахстане выглядит следующим образом:

·         тестирование функционала;

·         тестирование на обнаружение изъянов;

·         тестирование передачи ПО клиенту.

То есть независимая экспертиза должна проверить, как программное обеспечение создавалось, редактировалось, тестировалось и передавалось клиенту вместе с соблюдением требований по информационной безопасности. В то же время есть две причины, по которым IT-компании зачастую отказываются от процедуры сертификации. Первая – это высокая стоимость. Вторая – необходимость предоставлять доступ к исходному коду, который разработчики считают интеллектуальной собственностью и коммерческой тайной.

В ответе на запрос Shishkin_like председатель Комитета по информационной безопасности Минцифры Руслан Абдикаликов подтвердил, что проверка исходных кодов важна для предотвращения возможных угроз, таких как внедрение вредоносного кода или заднепрограммного обеспечения, шпионажа и кибератаки. Проанализировав исходный код, можно выявить потенциальные уязвимости и недопустимые функциональные возможности, которые могут быть использованы злоумышленниками для атак на ПО.

В качестве решения проблемы владельцам ПО предлагается заключать с сертифицирующими организациями договоры о конфиденциальности, которые дают хоть какую-то гарантию защиты кода.

Что касается стоимости процедуры, в Минцифры ответили, что «цена формируются на основаниях условий рынка и регулирование цен на услуги в частных испытательных лабораториях по информационной безопасности и не входит в компетенцию ведомства».

Средняя стоимость процедуры – 5-7 млн тенге, но может доходить и до 20 млн. Соучредитель ТОО «Отан-Секьюрити», одной из компаний, которые занимаются сертификацией, объяснял высокую стоимость сертификации дорогим оборудованием. По его словам, только сканер для анализа исходного кода стоит десятки тысяч долларов. По этой причине он предлагал государству рассмотреть возможность субсидирования, в этом случае рынок мог бы и пересмотреть высокую стоимость сертификации.

Сертификацией ПО в Казахстане занимаются четыре компании, которые аккредитованы в Национальном центре аккредитации Комитета технического регулирования и метрологии (под ведомством Министерства торговли и интеграции). Также их называют частными испытательными лабораториями по информационной безопасности. О них – в следующей части.

Кто зарабатывает на сертификации ПО в Казахстане

ТОО «Отан-Секьюрити»

Бенефициары: Алимжан Есетов, Зангар Медеуов

Налоги: 366,5 млн тенге с 2015 года

Участие в госзакупках: 249 контрактов на 155,8 млн тенге

Компания была основана в 1998 году и изначально занималась научной и технической деятельностью. Шесть лет назад ТОО приобрели Алимжан Есетов и Зангар Медеуов и сразу же изменили вид деятельности на проведение испытаний и анализов. Сейчас главное направление – сертификация телекоммуникационного оборудования на соответствие требованиям информационной безопасности.

Соучредитель ТОО «Отан-Секьюрити» Зангар Медеуов называет свою компанию «лидирующим в Казахстане органом по подтверждению соответствия требованиям информационной безопасности продукции». По его оценкам, она занимает примерно 78% казахстанского рынка.

Про Медеуова мы недавно писали в связи с букмекерским бизнесом. В 2020 году другая его компания Exirius (сейчас называется ТОО «Adil Qadam» и по документам Медеуову уже не принадлежит) должна была стать оператором Центра учёта ставок. Через него проходили бы букмекерские платежи и выплаты выигрышей, а компания-оператор получала за это комиссию в размере 4% от оборота. Однако позже проект решили передать от Министерства спорта в Минфин и заключение договора с Exirius приостановили. Чтобы решить эту проблему, Зангар Медеуов дал взятку в размере 15 тыс. долларов вице-министру культуры и спорта Сакену Мусайбекову. В итоге суд признал обоих виновными в совершении уголовных правонарушений и назначил каждому наказание в виде штрафа 62,4 млн тенге.

Второй учредитель «Отан-секьюрити» Алимжан Есетов с 2007 года работал на руководящих позициях в госструктурах, в частности, был председателем правления организации «КазИпотека». В 2012 году был назначен независимым директором АО «Жилстройсбербанк Казахстана» и АО «Компания по реабилитации и управлению активами».

Является учредителем или соучредителем ещё нескольких компаний разного рода деятельности. Есть среди них довольно успешные, с миллиардными налоговыми отчислениями (например, ТОО «Актюбинский комбинат нерудных материалов»). При этом с января 2024 года Есетов признан должником с временным ограничением на выезд из РК. Сумма долга, по данным Adata.kz, – 124 млн тенге, взыскатель – ООО «Безопасная информационная зона».

ТОО «Инфосерт»

Бенефициар: Илья Гришин 

Налоги: 242,5 млн тенге с 2017 года

Участие в госзакупках: 15 контрактов на 53,7 млн тенге

Специализируется на оценке программного обеспечения, информационных систем и баз данных по требованиям информационной безопасности. По информации с официального сайта, в ТОО имеется пять экспертов-аудиторов по подтверждению программных средств и баз, зарегистрированных в государственной системе технического регулирования.

Илья Гришин стал учредителем компании в сентябре 2023 года, до этого она, по всей видимости, принадлежала его брату Андрею Гришину. Никакого другого бизнеса у владельца «Инфосерта» нет.

ТОО «Научно-технический центр электромагнитной совместимости и безопасности информационных систем»

Бенефициары: Максим Копылов, Надежда Пугачёва 

Налоги: 503,5 млн тенге с 2015 года

Участие в госзакупках: 344 контракта на 62,8 млн тенге

Вид деятельности ТОО – технические испытания и анализы. Вплоть до конца 2011 года у компании было несколько учредителей, в том числе её основатель – Александр Гуров. Сейчас владельцев двое – Максим Копылов (в учредителях с 2004 года) и Надежда Пугачёва (с 2011 года). Никакого другого бизнеса у них нет.

ТОО «SertSoft»

Бенефициары: Мерей Оразов, Шынар Смагулова, Асхат Тилеубердиев 

Налоги: 5,6 млн тенге с 2021 года

Участие в госзакупках: 1 контракт на 3,2 млн тенге

Самая молодая компания среди четырёх частных испытательных лабораторий по информационной безопасности зарегистрирована в марте 2021 года. Ключевое направление – сертификация информационной безопасности не ниже 4 уровня доверия (ОУД4), которая обеспечивает вхождение в реестр доверенного программного обеспечения.

Подписаться на @Shishkin_like