Блог Абдрасилова
Горизонтальный канал про стратегическое, регуляторное и политическое развитие ИТ в Центральной Азии.
Mostrar más1 890
Suscriptores
Sin datos24 horas
+477 días
+11130 días
- Suscriptores
- Cobertura postal
- ER - ratio de compromiso
Carga de datos en curso...
Tasa de crecimiento de suscriptores
Carga de datos en curso...
00:47
Video unavailableShow in Telegram
Продолжение истории
В дополнение к предыдущей уязвимости с Face ID в Egov Mobile, имеются серьезные проблемы ИБ на более раннем этапе - при получении ЭЦП в ЦОН-ах.
Есть две критические проблемы в ЦОН при получении госуслуг:
1️⃣ При оказании услуг в ЦОН-ах используется биометрия подтверждающая личность получателя госуслуг, в том числе и при получении ЭЦП.
Система Face ID тут уже от другого поставщика. Это решение, в отличии от Egov Mobile, сверяется с базой Минюста, но … не делает проверку liveness (технология защиты от мошенничества).
То есть достаточно показать в камеру фото или видео человека, например из социальных сетей, и оператор ЦОН получает доступ к любому личному кабинету.
2️⃣ Право модератора в БМГ (база мобильных граждан), в которой указан мобильный номер граждан для второго фактора безопасности и получения доступа к личному кабинету, тоже у оператора ЦОН.
Объясню на безобидном примере. Чтобы прописать в любой квартире любого человека, операторы могут менять мобильные номера владельца квартиры и прописываемого в базе на свои, а далее через СМС или личный кабинет дать разрешение на госуслугу. После процедуры вернуть старые номера телефонов.
Менее безобидные кейсы можете придумать сами.
IMG_5653.MOV9.22 MB
😱 30👍 10❤ 1🔥 1😁 1
Photo unavailableShow in Telegram
Сегодня поговорим о баге в Egov Mobile и почему ИБ надо отделить от цифровизации
Все знают, что в мобильном приложении Egov Mobile госуслуги можно получить с помощью Face ID (распознание лица).
Но не все знают о том, что при оказании услуг через Face ID, приложение не сравнивает лицо получателя услуг с базой Министерства юстиции, а сверяется с локальной базой лиц в смартфоне. Egov Mobile доверяет KYC (Know Your Client) стороннему сервису.
Объясню простым языком. В настройках моего iPhone в разделе Face ID имеется меню «Альтернативный внешний вид». Если добавить туда лицо любого другого человека, он сможет не только получать от моего имени госуслуги, но и подписывать документы через сервис QR подписания посредством Egov Mobile.
Для подтверждения, сдал эту уязвимость на Bug Bounty платформу от TSARKA. Теперь это официальная бага №3052 и можно отслеживать когда и как ее исправят. А еще интересно посмотреть, будут ли претензии и отказы по уже подписанным документам, так как доказательств легитимности подписания на стороне eGov нет.
Согласно условиям Bug Bounty я не должен раскрывать найденную уязвимость, иначе не смогу получить вознаграждение. Поэтому прошу считать данную публикацию официальным отказом от выплаты, мой интерес исследовательский.
А теперь главные вопросы. Почему такое прошло в продакт? Куда смотрело ИБ? Ответ прост. Быстрые победы важнее, а безопасность можно игнорировать пока она в прямом подчинении.
P.S. Наша цифровизация как сосиски. Выглядит хорошо, но лучше не знать как сделано.
👍 41🔥 16😢 7😁 6❤ 5👎 2
01:00
Video unavailableShow in Telegram
Президент подписал закон по вопросам связи, цифровизации, улучшения инвестиционного климата
Документ, в том числе, вводит запрет на ввоз в Казахстан оборудования для обеспечения функционирования сетей связи, центр управления которыми расположен за пределами страны. К таким сетям относится и StarLink от Илона Маска.
Прямо сейчас МЦРИАП реализует пилотный проект обеспечивая интернетом отдаленные школы терминалами StarLink. Я уже писал ранее, что пилот вызвывает множество вопросов о его законности.
Тогда, для разъяснения ситуации, МЦРИАП признал, что установка и использование терминалов StarLink незаконна и наказывается штрафом. При этом пообещали в будущем исправить законодательство, чтобы узаконить StarLink.
Теперь, чтобы окончательно всех запутать, сделали наоборот - приняли закон запрещающий ввозить не только терминалы, но и другое оборудование StarLink. Действуют против собственного проекта.
Сценаристы сериала «Игра престолов» нервно курят в сторонке. Чтобы всех шокировать окончательно, осталось подписать меморандум о взаимопонимании со SpaceX. Как тебе такое, Илон Маск?
Теперь главные загадки:
1. Понимая, что длительность пилотных проектов не более одного года, какая будет судьба у купленных Казахстаном нескольких тысяч терминалов StarLink?
2. Школы снова отключат от интернета или проведут другие каналы связи?
3. Пилотные проекты это временные обходы законов и возможны только для госуслуг из реестра (ст.22 Закона о госуслугах). Оказание услуг связи вообще из другой истории и, строго говоря, такое не подлежит пилотированию. Получается, что это обычное нарушение Закона и превышение полномочий?
IMG_5486.MOV11.80 MB
😁 33👍 9❤ 4🔥 3😱 2👎 1
Экспорт любит тишину
28-29 марта 2024 года в Астане прошел региональный форум МСЭ ООН «ITU Regional Forum on Digital Government».
В программе мероприятия своим опытом поделился и Рашад Халигов - Заместитель Председателя Агентства инноваций и цифрового развития Республики Азербайджан.
В своем докладе Р.Халигов рассказал о развитии eGov и, в том числе, применяемом методе авторизации и подписания.
Инновационным, по общему признанию участников, оказалось использование единого ключа ЭЦП для авторизации и подписания.
Через месяц, 30 апреля 2024 года, Казахстан по примеру Азербайджана, изменил формат ЭЦП.
В этой истории замечательно все, кроме одного. Забыли поблагодарить или сделать отсылку на азербайджанских коллег при внедрении опыта.
Во-первых, потому, что так принято. Во-вторых, мы сами это требуем от стран использующих наш опыт и активно пиарим такое при каждом поводе, и без повода тоже.
Свежий пример. В случае с Таджикистаном, излишний пиар отпугнул от развития сотрудничества с Казахстаном. Первое рабочее касание начали пиарить как экспорт нашего eGov и стратегическое партнерство. Это привело к недовольству в таджикском Правительстве и охладило желание работать с любителями хайпа. Медвежья услуга настоящим экспортерам.
В итоге не дождавшись, что отдел международного сотрудничества отработает протокол пришлось самостоятельно поблагодарить коллег из Азербайджана во время последней поездки в Баку. Им было приятно, но никакой пиар акции не последовало.
Я вижу много крутых, лучше чем у Казахстана, решений в Азербайджане, Кыргызстане и Узбекистане которые нам можно и нужно скопировать. В этом нет ничего плохого. Все готовы делиться опытом, надо просто перенимать и не забывать говорить спасибо публично. И конечно нужно экспортировать свой опыт, но делать это нужно тихо и скромно.
👍 38❤ 4👎 2🔥 2
Photo unavailableShow in Telegram
Трудности перевода
30 мая 2024г. в Астане принял участие в мероприятии посвященном вопросам ИИ - Qazaq Forum. Спикеры выступали на казахском и английском (для тех кто не владеет казахским) языках.
Поднял там, в том числе, вопрос о правильном переводе. Если перевести «Artificial Intelligence» на русский, а потом снова на английский, получится уже «Artificial Intellect».
В английском это два разных понятия, intelligence - набор измеримых через IQ-тест знаний (в данном контексте), а intellect - более ёмкое, неизмеримо и связано с критическим, теоретическим, философским, абстрактным мышлением и осознанием себя.
Поэтому страх экспансии человечества «искусственным интеллектом» больше, чем страх от «Artificial Intelligence».
Первых пугает искусственная личность - конкурент человека, а вторые понимают из названия, что это инструмент сбора и обработки информации (знаний) - конкурент Google и эволюция OSINT. Как результат, стратегии развития технологии тоже отличаются. Лингво-психология и лингво-экономика на практике.
Так вот, хотя в казахском языке достаточная емкость для правильного прямого перевода с английского, за основу взяли российский перевод. Ошибку перенесли и в казахстанский понятийный аппарат.
На казахский язык «Artificial intelligence» перевели, через русский, как «Жасанды Интеллект», хотя правильнее перевести с оригинала как «Жасанды ақыл». Мне кажется, при правильном переводе задачи и цели AI более понятны и менее пугающи.
Понимаю, что с учетом происходящего, это не так важно. Но мой интеллект заставляет об этом задуматься.
👍 36❤ 6🔥 3👎 1
01:35
Video unavailableShow in Telegram
В тему предыдущего поста продолжу рассуждения о данных.
Регламентируя Data Driven Government регулятор продолжает политику Technology & Equipment Management, намерено оставляя важное за скобками. Нас фокусируют на технологиях и оборудовании, отвлекая и сохраняя вакуум в регуляции данных.
С одной стороны, это делает возможным опасные эксперименты с данными. Один из них - проект Smart Data Ukimet. Имея полный доступ к персданным, минцифры начинает играть в социальный рейтинг и массовый СОРМ. Необходимо срочно вынести проект за юрисдикцию минцифры, а лучше и Премьера - бывшего силовика. Безопаснее и полезнее передать проект в Бюро национальной статистики.
С другой стороны, такая политика позволяет регулятору увеличивать и контролировать ИТ-бюджеты. Искусственный интеллект и суперкомпьютер яркие тому примеры.
Кстати, начинать создание ИИ без регуляции данных опасно вдвойне. ИИ умеет обучаться, но не умеет обратного - забывать или «де-обучаться». Придется либо «убивать» его, либо мириться с отсутствием механики забвения - цифровой тоталитаризм.
В Казахстане технократы превратили слова теоретик и гуманитарий в ругательные. Хотя именно эти люди должны определять границы дозволенного, не давая технократам чрезмерно увлекаться. К тому же, именно гуманитарии в лице писателей-фантастов пишут технические задания для инженеров будущего. Вспомните хотя бы Айзека Азимова.
P.S. На видео один из моих любимых спикеров, Александр Аузан - декан факультета экономики МГУ - рассуждает о экономической ценности данных, опасности потери контроля и признаках тоталитарного государства. Риски на которые он указывает, уже реализуются в Казахстане.
* Для тех кому интересно, приложу ссылку на полное интервью А.Аузана у А.Соколовского.
** Из рассказов А.Азимова рекомендую почитать цикл «Серия о роботах». Например рассказы «Логика» (1941г.) и «Выход из положения» (1945г.)
IMG_4996.MP418.50 MB
🔥 17👍 8❤ 2
Про Закон об ИИ
На прошлой неделе подписчик попросил изучить Закон об ИИ и дать точку зрения. Изучил.
1. Цикл хайпа
Генеративный ИИ сейчас находится на пике цикла хайпа по Gartner (Рис.1). Регулятор последние годы гнался за хайпом, в результате этот вид технологий удостоился - международного договора, супер ЦОДа, суперкомпьютера, отдельного Закона, статьи в Законе об информатизации и др.
Мы пользователи, а не изобретатели. Поэтому логичнее дождаться выхода технологий на плато продуктивности и не вестись на хайп.
2. Непоследовательность
Из разработанной МЦРИАП Концепцией развития ИИ, о которой я уже писал, следует, что нам нужны - стратегия, видение, люди, зрелость и этика (Рис.2, 3). Вопреки себе, вместо перечисленного пишут Закон.
Одновременно с разработкой Закона об ИИ ведется разработка Цифрового Кодекса, в котором ИИ посвящен отдельный раздел. Соответственно, принятие Кодекса повлечет отмену Закона об ИИ.
3. Разногласия
Первая же статья Проекта Закона об ИИ противоречит Закону об информатизации. В ней говорится, что «Искусственный интеллект - система…», должно быть «информационная система».
Согласование понятийного аппарата растворит Закон об ИИ. ИИ окажется обычной информационной системой и объектом информатизации. Даже выделение ИИ внутри Закона об информатизации было излишне.
4. Выводы
Проект Закона об ИИ не содержит никаких новелл. Он не нужен по той-же причине, по которой не нужны Закон об TCP/IP, Закон об 5G или Закон об StarLink.
ИИ - очередная технология. Не надо под каждую технологию писать свой Закон. Законы должны быть вне контекста технологий.
5. Эпилог
Если не знаешь причину, причина в деньгах, - говорит народная мудрость.
Все идеи крутятся вокруг операторства и прямого финансирования. Все просто и прозаично.
👍 36❤ 3😁 3🔥 2
Photo unavailableShow in Telegram
* Забыл отчитаться по NYC
Культура съедает стратегию на завтрак
Принял участие в работе Комитета ООН в Нью-Йорке как канадский эксперт. При этом был в азербайджанской делегации, но работал в зоне Казахстана.
Организаторы отметили Азербайджан, дав высокую оценку моей работе и выразили уверенность в успехе проекта.
Наша команда тратит много ресурсов в г.Баку на стратегию, видение, миссию и ценности. Это не просто формальность, они определяют культуру и придают смысл для достижения понятных целей.
На стратсессиях, линейному персоналу уделяем больше времени, чем руководству. 60 сотрудников прошедших курс дали больше чем топ-менеджеры. Горизонтальное сотрудничество и благоприятная культура стратегически выгоднее вертикального ручного управления.
Уверен, Азербайджан до 2026 года войдет в клуб стран с высшим рейтингом EGDI.
* Проект «Central Asia as a Platform» нацелен на развитие и синергию стран ЦА. На наш регион приходится 1% населения Земли и 0,3% экономики. Это значит рост х3 - просто статистика.
👍 37❤ 4😁 4
Photo unavailableShow in Telegram
Минцифры вышло из подполья, чтобы обсудить проект Цифрового Кодекса
Профессиональное сообщество встретило жесткой критикой, а инициатор законопроекта не смог ответить на базовые вопросы: Зачем? и Для чего?
Участники отметили, что многочисленные замечания и предложения остались без внимания. Также эксперты указали на явные противоречия с действующими нормами.
Настроение 2-х часового совещания можно передать одной из рекомендаций:
«Пользуясь отставкой министра избавьтесь от его амбре - наследия в виде
бесполезного Цифрового Кодекса».
Уверенность вице-министра А.Жамбакина в том, что документ к сентябрю будет готов к обсуждениям в Мажилисе никто не разделил, назвав поход с таким проектом самоубийством. Весь спектр интеллектуального юмора и сарказма экспертов сложно передать, но вице выдержал позор. Или просто не понял.
От себя добавил, что Кодекс был отозван из НПП Атамекен, членом ИТ-Комитета которого я являюсь. Получил ответ, что мнение НПП и рынка носит лишь характер рекомендации и не будет учитываться.❤ 23👍 9🔥 4😁 1
Elige un Plan Diferente
Tu plan actual sólo permite el análisis de 5 canales. Para obtener más, elige otro plan.