Не прошло и двух лет, как президент все-таки утвердил стратегию кибербезопасности Украины. Примерно сколько времени понадобилось на окончательное согласование текста указа. Через два месяца Кабмин совместно с СБУ и внешней разведкой обязаны утвердить план создания системы защиты государства от киберугроз. При СНБО появится национальный координационный центр кибербезопасности - сердце приятия стратегических решений.
Читай также: Российскую IT-компанию подозревают в глобальном мошенничестве
Электрический мотиватор
В указе сказано, что агрессия России до сих пор продолжается, и потому принятие мер по усилению обороны в этой сфере является безотлагательной задачей. Очевидно, что аппарат президента заставили зашевелиться последние события, которые уже успел обсудить весь мир. В декабре, в ходе кибератаки на три облэнерго были временно обесточены 220 000 украинских потребителей электроэнергии. Наиболее достоверной выглядит версия о российском следе в этой атаке. Выяснилось, что и другие стратегические предприятия могут быть заражены компьютерным вирусом BlackEnergy. В их числе АЭС, аэропорты, ЖД-системы и прочие важные объекты.
Хакеры застали Украину врасплох. Страна предстала перед серьезной внешней угрозой. Но возможностей обороняться у нее практически нет. Даже функция мониторинга угроз организована настолько слабо, что стратегически решения можно принимать уже постфактум - спустя некоторое время после заражения вредоносным софтом критически важных объектов инфраструктуры.
Читай также: В Украине появился частный центр реагирования на киберугрозы
Что же представляет из себя закон президента? Это пока всего лишь перечень направлений, куда госорганы должны двигаться, чтобы обезопасить страну от новых ударов.
ЛІГА.net проанализировала эти направления. Некоторые из них вполне доступно истолкованы и в принципе подразумевают под собой исключительно позитивный эффект. Но есть и довольно мутные директивы.
Начнем с хорошего
1. Наконец-то, в еще не составленном "алфавите" кибербезопасности появится буква "А". Президент распорядился сформировать и обеспечить функционирование госреестра объектов критической информационной инфраструктуры. Более того, ее собственников обяжут создать специальные подразделения аттестованных специалистов по IT-безопасности. На практике это будет означать следующее: если вдруг еще какое-нибудь облэнерго будет заражено вирусом, то внутренний специалист обязан будет оперативно выявить угрозу. Сейчас же специалисты необходимой квалификации есть далеко не на всех критически важных для страны объектах. В первую очередь это касается уязвимых систем в ТЭК и транспорте.
Читай также: IT-cпецагенты: кого и как отобрали в украинскую киберполицию
2. Если в Госспецсвязи, СБУ и полиции подразделения по кибербезопасности и киберпреступности в том или ином виде уже существуют и даже усовершенствуются (например, создается киберполиция), то в Вооруженных Силах это пока большой пробел. В указе упоминается, что должно появиться единое подразделение по обеспечению киберзащиты и в ВСУ. Причем не только на стратегическом уровне, но и на оперативном, тактическом. Более того, впервые, говорится о таком понятии как активная киберзащита - ответные действия на агрессию противника. Или другими, словами, организация ответной кибератаки. Неизвестно, как это будет реализовано на практике (ведение таких военных кибердействий требует серьезной подготовки и инвестиций), но, по крайней мере, намерение описывается верно.
3. Компании, которые находятся под контролем государства-агрессора (определяется Верховной Радой), к мероприятиям по киберзащите допускаться не будут. Такая же норма будет касаться и лиц, в отношение которых действуют санкции. У таких субъектов государство не будет закупать технологии, продукцию по информбезопасности. Президент уже вводил подобные персональные санкции в сентябре. Но касались они только нескольких компании - российских антивирусников Лаборатория Касперского и Доктор Веб. В 2014 году непосредственно перед выборами был случай, когда якобы антивирус Касперского в ЦВК почему-то не отреагировал на вирус. Эта ошибка чуть было не стояла базы избирателей. Была угроза срыва выборов.
Читай также: Хакеры отключают электрику в Украине. Кто еще в зоне риска
4. В конечном итоге, за кибербезопасность в финансовой сфере будет отвечать и Нацбанк. Он сформирует собственные требования к банкам и прочим важным субъектам рынка. Кибербезопасность электронных платежных систем - это действительно вызов. Сейчас банки зачастую ставят жесткие лимиты на платежи в интернете владельцам пластиковых карт. А если пользователь хочет больше операций - ему временно снимают ограничения на его страх и риск. О чем даже предупреждают по телефону. Довольно странно, что банк пытается снять с себя ответственность в таких случаях.
Сомнительных норм или не совсем понятных инициатив в тоже предостаточно.
1. Чего только стоит перспектива "большой стройки" под лозунгами нацобороны и агрессии врага. Так в указе "вшита" необходимость создания национальной телеком-сети для госорганов. С этой идеей чиновники разных уровней и правительств носятся уже который год. Последний раз она всплыла в начале 2015 года, когда Госспецсвязи вынесла на Кабмин проект создания защищенного мобильного оператора для чиновников. Как рассказывали тогда представители ведомства, премьер-министр Арсений Яценюк якобы пообещал отыскать на эти цели $20 млн грантовых средств. Использование бюджетных средств в каком-то объеме тогда тоже предполагалось. Далеко проект тогда не зашел. Но как рассказал недавно ЛІГА.net собеседник в одном из госпредпрятий в сфере связи, в этом году снова всплыла идея о том, чтобы создать телеком-сеть на базе Госспецсвязи с бюджетом проекта около 1,5 млрд грн. Часть инфраструктуры (магистральные каналы) должен передать ведомству на баланс Укртелеком (еще согласно условиям его приватизации). "17 февраля этого года было рекомендовано ускорить передачу сети и обеспечить ее передачу в течение месяца", - сообщили в пресс-службе Укртелекома.
Читай также: МВД набирает опытных хакеров, а не киберполицейских
Сама по себе идея такой стройки в принципе правильная. Чиновники не должны пользоваться телекоммуникациями времен Сталина. Это не эффективно. А высокопоставленных лиц нужно обезопасить от прослушки на сетях мобильных операторов, собственниками которых являются иностранные компании. Но дело опять-таки, за исполнением. По факту государство должно собственными силами создать крупную высокотехнологическую компанию, которая должна к тому же обеспечивать безопасность и надежность коммуникаций. В США, где на безопасность государства выделяются миллиарды, появление такой структуры можно себе представить. В Украине же пока слабо верится. Поэтому, вполне возможно, действительно суперважный проект - это утопия. К сожалению.
2. Чтобы обезопасить госданные от кибератак, важно гарантировать не только их передачу, но их хранение. В указе президента предусмотрено создание датацентра резервного хранения госданных и электронных ресурсов. Но ситуация здесь примерно такая же, что и с сетью. Государство взваливает на себя функцию хостинг-провайдера. Кстати, во времена старой власти ее примеряли на себя люди из окружения Виктора Януковича. Под Верховной Радой был создан крупнейший в Украине датацентр Парковый (оценивается участниками рынка в $25-50 млн), который был призван обеспечить потребности в хранении и обработки данных госведомств и госкомпаний. По оценкам конкурентов, первый государственный клиент Паркового (Укрпочта) сильно переплачивал за услуги. Но вариант, когда государство само будет строить датацентр (или управлять им) еще более рискованный. Скорее всего, появится второй Парковый. Такой же дорогой, но менее надежный.
Читай также: Один пароль на все. В Украине готовят к запуску mobile ID
Заместитель главы АП Дмитрий Шимкив вообще был идеологом идеи завести данные госресурсов в облако (G-cloud). Что было бы в десятки раз дешевле, чем покупать и обновлять физические сервера. Вполне возможно, это даже было бы облачное решение Microsoft, украинским подразделением которого Шимкив ранее руководил. Но как рассказывает ЛІГА.net экс-глава Госспецсвязи Владимир Зверев, у такого плана есть и оппозиция в правительстве. В частности сам он, еще будучи на должности в прошлом году, выступал против того, чтобы все без исключения данные государства хранились в облаке за пределами страны. Сейчас позиция Зверева не поменялась. Хотя он признает, что мировые тенденции все-таки говорят в пользу облачных решений.
3. Есть в указе и еще один пункт, который может создать большие хлопоты интернет-провайдерам. Предполагается, что государство обяжет операторов и провайдеров по указанию спецслужб фиксировать и хранить данные о трафике своих клиентов. Если крупные мобильные операторы с процессом снятия информации (телефонных разговоров, СМС) с каналов связи по запросу правоохранителей уже знакомы, и необходимое оборудование у них имеется, то для интернет-провайдеров это станет неприятным известием. "Проблема в том, что трафик считается сотнями Гигабит в секунду. Даже если нужно писать не весь трафик, то для этого нужно пропустить весь поток через что-то умное", - предполагает директор Контент Деливери Нетворк (Триолан) Вадим Сидоренко. Это для небольших компаний будет накладно и небезопасно (пропускать весь трафик через одну точку).
Читай также: Украинский "белый хакер" привлек почти 100 млн грн инвестиций
"Наделяя спецслужбы инструментами оперативного доступа к компьютерным данным абонентов (в частности, истории пользования сетевыми ресурсами), необходимо защитить право граждан на личную жизнь", - сообщают в пресс-службе Укртелекома. Примеры реализации уже существуют. Например, в случае с доступом к персональным данным абонентов - только по решению суда. По мнению представителей Укртелекома, нужно будет также четко разграничить зоны ответственности операторов и спецслужб по организации фиксации и сохранения таких данных. Чтобы не вовлекать их сотрудников непосредственно в такие мероприятия. Поэтому крайне важно, как Кабмин будет интерпретировать требование по "прослушке" интернета в последующих нормативных актах.
Ранее сообщалось, что в Китае хотят резко ужесточить контроль над интернетом.