Кібербезпека держави: час перезавантаження
Минулий місяць виявився надзвичайно насичений подіями, пов’язаними з кіберпростором та, відповідно, кіберзагрозами. Тимчасова заборона російських соціальних мереж та програмних продуктів лише мотивувала наших недругів шукати нові уразливості та шляхи впливу через кіберпростір.
Кількість кібератак проти України динамічно зростає. Схожа ситуація спостерігається у багатьох країнах Європи та США, які на тлі зростання кіберактивності Росії і деяких східних країн започаткували низку нових ініціатив щодо кіберзахисту. Подій багато, але виникає питання щодо готовності України реагувати на нові виклики, – пише Радіо Свобода.
Якщо говорити про кібератаки на Україну з боку Росії, потрібно спочатку згадати про Крим, коли Росія захопила військові бази та інфраструктуру: теле- і радіовежі, кабельні та інтернет-мережі. Вони відключали українські канали і включили російські. Крим інформаційно з кінця лютого 2014 року залишився без підтримки і захисту з боку України. Рада Національної безпеки та оборони обговорювали в березні 2014 року, що російські канали почали транслювати неправдиву інформацію про події в Криму, але конкретних дій спочатку не могли погодити. Тоді один із провайдерів оприлюднив факс-погрозу, в якій було зазначено приблизно наступне: «або ви відключаєте українські канали і ресурси, або ми просто перерізаємо вам кабелі».
Український сайт ЦВК в 2014 році зазнав хакерської атаки. Там було оприлюднено, що лідер «Правого сектору» Дмитро Ярош отримав 40% голосів, а реальний переможець виборів Петро Порошенко лише 10%. Ця інформація залишалася на сайті не довго, але цей фейк неодноразово був показаний на російських телеканалах в той же день.
Українські урядові сайти і сторінки в соцмережах неодноразово також зазнавали хакерських атак.
Коли ми робили мобілізаційні кампанії в 2015 році, кожного разу, коли ми розпочинали кампанію, росіяни розпочинали кібератаку не лише на соцмережі і на сайти офіційних відомств, але й на YouTubе-канали комерційних телеканалів.
Також в АТО використовуються мобільні комунікації для відправлення SMS-повідомлень і для зламу паролів в соцмережах та поштовиках. Чим ближче ви до лінії фронту, тим більша загроза для ваших мобільних пристроїв.
Були випадки відключення електростанцій на Західній Україні в грудні 2015 року через хакерські атаки. Це означає що хакерські атаки мали кінетичний прояв. І це може відбуватися не лише в Україні. Згадаємо події у Франції та США зі зламами електронних пошт та спробами втручання у вибори.
Інформаційна та кібервійна відбувається у цілому світі, вона не має кордонів.
Заради справедливості слід зазначити, що в Україні тема кібербезпеки за останні три роки набула значних зрушень. Вперше в державі створено мінімально необхідну нормативно-правову базу з кібербезпеки. Зокрема, у травні поточного року розглянуто у другому читанні у Верховній Раді України проект окремого закону, присвяченого кібербезпеці держави, який відправлено для подальшого доопрацювання. Ухвалено «Стратегію кібербезпеки України» (Указ президента України №96/2016 від 27 січня 2016 року). Низка відповідних положень щодо кібербезпеки закріплена в інших указах президента, наприклад: «Про Концепцію розвитку сектору безпеки і оборони України» (№92/2016 від 14 березня 2016 року); «Про стратегічний оборонний бюлетень України» (№ 240/2016 від 6 червня 2016 року), «Про Національний координаційний центр кібербезпеки» (№242/2016 від 7 червня 2016 року).
Деталізація цієї діяльності відображена у щорічних планах Кабміну щодо реалізації Стратегії кібербезпеки. Також за напрямом кібербезпеки запроваджено певний механізм керівництва і організовано роботу Національного координаційного центру кібербезпеки при Раді національної безпеки і оборони України. Зазначу, що ця структура відслідковує поточну діяльність і на протязі року заслуховує вищих державних чиновників про результати їхньої роботи у сфері кібербезпеки. Безпосереднє реагування на факти кібератак і міжвідомчу взаємодію також регламентоване через розроблення «Протоколу взаємодії між суб’єктами забезпечення кібербезпеки під час кібератак та кіберінцидентів в інформаційно-телекомунікаційних системах об’єктів критичної інфраструктури». Одночасно в структурах сектору безпеки та оборони створюються і розвиваються відповідні підрозділи.
Має місце реалізація міжнародних проектів. В інтересах України започатковано Трастовий фонд НАТО з кібербепеки. За нашою участю проводиться низка навчальних заходів та міжнародних навчань із кібер-срямування. Тільки при Міністерстві оборони України працює кілька іноземних радників з інформаційної безпеки та кібербезпеки.
Отже, перші кроки зроблено. Але чи маємо ми право самозаспокоюватися? Сьогодні на порядку денному – нарощування зусиль та поширення отриманого досвіду. Мій колега з апарату РНБО України з цього приводу дуже вдало зазначив: справа не тільки на рівні нашої готовності забезпечувати кібербезпеку, питання полягає також у тому, що з боку Російської Федерації поки що не було системних атак у форматі відкритої агресії в кіберпросторі. Тому виникає цілком слушне питання, а чи готова Україна до відбиття такої системної атаки?
У той же час, на мою думку, стримуючим чинником для України є певні недоліки чинних нормативних актів:
невідповідність та протиріччя в документах нормативно-правової бази держави щодо кібербезпеки (відсутня чітка управлінська вертикаль, деякі повноваження суб’єктів забезпечення кібербезпеки «розмиті», питання активного впливу у кіберпросторі практично не розглядаються);
закладено низку методологічних помилок (особливо щодо співвідношення понять «кібербезпека», «кіберзахист», «кібероборона», «інформаційна безпека» тощо);
положення відомчих документів силових структур, особливо щодо кібероборони в цілому не містять системного бачення, мають суб’єктивні обмеження, в них відсутній очікуваний результат проведення заходів та чіткі критерії оцінки досягнення кінцевого стану.
Також в мене виникли питання щодо можливих обмежень, пов’язаних із ухваленням профільного закону. Під час остаточного доопрацювання його проекту ми не повинні допустити появи будь-яких положень щодо блокування ресурсів у мережі інтернет без відповідного рішення суду.
З іншого боку, складається враження, що ми штучно обмежуємо діяльність у сфері кібербезпеки. Це видно з тексту статті 2:
«Цей Закон не поширюється на:
1) відносини та послуги, пов’язані із змістом інформації, що обробляється (передається, зберігається) в комунікаційних та/або в технологічних системах;
2) діяльність, пов’язану із захистом інформації, що становить державну таємницю, комунікаційні та технологічні системи, призначені для її оброблення;
3) соціальні мережі, приватні електронні інформаційні ресурси в мережі інтернет (включаючи блог-платформи, відеохостинги, інші веб-ресурси), якщо такі інформаційні ресурси не містять інформацію, необхідність захисту якої встановлена законом, відносини та послуги, пов’язані з функціонуванням таких мереж і ресурсів».
Питання є дискусійним, але беручи до уваги цілісність і структуру кіберпростору, пропонується більш детально вивчити та доопрацювати текст законопроекту.
Світовий досвід показує, що ефективна кібербезпека можлива лише шляхом комплексної реалізації низки правових, організаційних, технічних, наукових, навчальних заходів ресурсного забезпечення щодо створення відповідної системи для дій держави у кіберпросторі.
Нагадаю, що коли розпочалися події в 2014 році в Криму та на сході держави, однією з арен протиборства став кіберпростір, у тому числі соціальні мережі. Відповідно, багато ІТ-організацій та окремих фахівців виступили з ініціативою провести цільову «ІТ-мобілізацію» і знайти формат тимчасового залучення цивільних фахівців з кібербезпеки для захисту держави в кіберпросторі. Власне кажучи, вимагалося небагато: ухвалити політичні і організаційні рішення та ввести в дію певні нормативні документи. Цього чомусь не сталося. В результаті в районі АТО на блокпостах або в окопах на передовій довелося неодноразово зустрічати ІТ-фахівців світового рівня, які виконували обов’язки солдатів піхоти. Звичайно, це також дуже потрібно. Але чи можна вважати логічним рішення «забивати цвяхи мікроскопом»? Пішов четвертий рік війни з Росією. У кіберпросторі ніякі Мінські домовленості не діють, рівень агресії лише зростає. Може, є шанс щось змінити сьогодні?
Нездорова конкуренція між силовими структурами та всередині силових структур також мало сприяє нашій кібербезпеці. Наведу приклад: позаминулого року Іспанія виступила з ініціативою направити в Україну щонайменш на рік групу фахівців із відповідним обладнанням, які мали допомогти своїм українським колегам виявляти кіберзагрози і відпрацьовувати відповідні алгоритми захисту. Всі фінансові питання брала на себе іспанська сторона. Від нас вимагалося надати їм приміщення та забезпечити необхідний рівень контактів і взаємодії. Але цей корисний захід не відбувся взагалі. Причина просто смішна: фахівці різних департаментів одного міністерства через власні амбіції не змогли домовитися між собою щодо формату контактів та гідно прийняти гостей. Вибачте, ми або занадто сильні і багаті, або просто дуже дурні.
До речі, в контексті зазначеного мені важко зрозуміти ситуацію щодо ставлення держструктур до власних фахівців з кібербезпеки. Рівень їхніх зарплат та інших чинників мотивації до служби в державі критично низький. Невже чиновники вірять, що вони зможуть залучити та утримати кількома тисячами гривень фахівців міжнародного рівня кваліфікації, роботу яких навіть в українській бізнес-сфері оцінюються на порядок вище. Питання запровадження додаткових виплат піднімалося навіть на рівні РНБО України. Силові структури отримали завдання ще наприкінці минулого року вжити відповідних заходів, внести зміни до нормативної бази, спланувати кошти тощо. Але проекти відповідних постанов Кабміну і досі перебувають на рівні міжвідомчого погодження. Якщо хтось скаже, що це не так і щось кардинально змінилося, то я готова публічно вибачитися. Без урахування чинника людського капіталу будь-які зміни неможливі. Дуже не хочеться, щоб нам про це нагадували чергові кібератаки.
Можливо, я трохи повторюю свої попередні тези, але в Німеччині питання від ухвалення рішення до створення «Командування кібер та інформаційного простору» у складі Бундесверу зайняло менше ніж рік. До речі, включаючи питання їхнього ресурсного забезпечення. Але наскільки мені відомо, в документах щодо реформування Збройних сил України на середньострокову перспективу підходів такого рівня ви не знайдете.
Цікаво, що в аналітичному дослідженні корпорації «РЕНД» на замовлення сухопутних військ ЗС США (звіт 2013 року, код звіту по проекту – RAND10473) зазначено, що в практичній діяльності інформаційне середовище необхідно розглядати, як єдине середовище у двох вимірах: людському та технічному. Розгляд інформаційного середовища та кіберсередовища (та, відповідно інформаційної безпеки та кібербезпеки), як окремих інституцій (напрямів діяльності) американськими дослідниками визнано необґрунтованим та штучним (тобто визнано методологічною помилкою).
Довідково: Дослідження корпорації РЕНД на тему «Information Warfare Boundaries for an Army in a Wireless World» було замовлено з метою визначення напрямів розвитку та застосування СВ ЗС США в умовах зростання кіберскладової під час збройного протиборства.
Тому з урахуванням наведених вище висновків фахівців «РЕНД» зазначену вище діяльність доцільно здійснювати в рамках забезпечення інформаційної безпеки держави, яка має включати щонайменш два основних компоненти – інформаційно-психологічну безпеку та кібербезпеку.
Нагадаю також, що за результатами Варшавського саміту НАТО (2016 рік) кіберпростір офіційно визнано, як четвертий домен (четверта сфера) для збройного протиборства (разом з наземним, повітряним та морським простором). На виконання рішень зазначеного саміту в країнах-членах НАТО розпочато системну діяльність у зазначеному напрямі.
Не хочу підміняти та повчати поважних людей на серйозних державних посадах. Але ситуацію врятують виключно системні рішення. Якщо західний світ навчається на аналізі подій в Україні, то чому ми самі не робимо аналогічне?
Тетяна Попова – експерт зі стратегічних комунікацій ГО «Інформаційна безпека», колишній заступник міністра інформаційної політики України