«Чим менше у них залишатиметься ракет та прямого вогневого терору, тим більше буде кібернападів» – це фраза, яку автор прочитала у якомусь з пабліків фахівців з кібербезпеки. Та й до великого вторгнення Україна пережила багато кібербитв. Укрінформ писав про це у матеріалах "Кібернаступ не є нашою метою, хоча технічно ми на нього здатні", "Російські хакери: страшніший – кіберхробак чи кіберведмідь?", "Як боротися проти кіберамнезії?".

Міністр цифрової трансформаціії каже, що з часу вторгнення Україна зазнала дві тисячі кібератак.

 Але битви на реальних фронтах були настільки кривавими, що неконвенційна війна залишалася на другому плані уваги медіа. Та все ж не можна забути, що її критичне загострення – це просто питання часу.

Як будуватимемо кібероборону? Чи є у влади план? Одним з найбільш обговорюваних парламентських проектів є проект закону 8087 “Щодо невідкладних заходів посилення спроможностей із кіберзахисту державних інформаційних ресурсів та об'єктів критичної інформаційної інфраструктури”, який пройшов перше читання.

Ми обговорюємо законопроєкт з одним з його чільних співавторів, членом комітету нацбезпеки, оборони та розвідки (підкомітет кібербезпеки) Олександром Федієнком.

- Пане Олександре, що нового пропонує проект закону у попередженні чи процесі подолання наслідків атак? Як він покращить національну кібербезпеку?

- Це один із законів (як і про критичну інфраструктуру), що здатний серйозно вплинути на ситуацію. Нам давно пора перейти від “інцидентної практики” реакції на кібератаку (трапилася пожежа – тушимо) до побудови системної оборони. І на це працюватимуть багато новел закону, які усувають недоліки практики і заповнюють білі плями “нормативки”. Давайте прямо скажімо, нормативно-правової бази щодо кібербезпеки в Україні практично не створювалося. У нас є закон про Основні засади забезпечення кібербезпеки, закон про Держспецзв’язок - і все.

Головне в проекті – створення національних систем реагування на інциденти та обміну інформацією про них. Є державні інституції, на які постійно здійснюються кібератаки, але вони не обмінюються між собою інформацією. А це вкрай необхідно, щоб фахівці різних державних відомств вивчали кібератаки та вибудовували механізми захисту. З прийняттям закону ми усунемо абсолютно безплідну дискусію, хто відповідальний за наслідки кібератаки, а чітко визначимо роль та завдання кожної ланки цієї системи. Відбулася атака, є інцидент (коли вже мережі уражені. – Ред.), інформація про інцидент накопичується, аналізується, збираються пропозиції щодо профілактики у випадку аналогічної загрози у іншому відомстві. Буде побудована мережа реагування, причому з акцентом на мотивації та колективній взаємодії. Тобто у випадку атаки на одне відомство, фахівці різних міністерств мають взаємодіяти. Підсилиться робота галузевих команд (у нас є прекрасний кейс Міненерго, яка вже збудувала такі команди по всій вертикалі).

Дякуючи цьому законопроекту ми будуємо нову філософію взаємодії кіберкоманд. Ми багато кажемо про об’єкти критичної інфраструктури, але де-факто сьогодні вони не інтегровані в національну систему реагування. Уявіть собі, коли відбувається кібератака, яка починає вимикати живлення на об’єктах критичної інфраструктури, хоча для всіх операторів це виглядає як збій технологічного процесу. За процедурою, інколи потрібно перевантажувати систему. Але під час перевантаження може розгорнутись шкідливе програмне забезпечення, яке було заздалегідь закладене, та почати розповсюджуватись з більшою швидкістю. Саме тому так важливо не тільки створювати секторальні CERT (зазвичай команда реагування на кібератаки. – Ред.), а максимально інтегрувати їх у систему реагування.

- Давайте на прикладі. Раніше як було: відбулася атака, на постраждалому підприємстві збираються всі: Ситуаційний центр СБУ, західні партнери, формальні та неформальні команди фахівців з кібербезпеки. «Пошаманили»... За добу - все працює. А що буде зараз?

- Зараз відбувається у дещо хаотичному, керовано-ручному режимі через месенджер Сигнал. Але те, що добре працювало у перші дев’ять років війни, треба вдосконалювати. Як тут без системності? І перший крок: потенційні об’єкти кібератак мають бути в курсі всіх інцидентів, які мали місце на інших підприємствах чи відомствах. Тобто ми пропонуємо створити репозиторій (реєстр) інцидентів. Бо деколи атака, від якої постраждало одне підприємство, через місяць завдається по іншому. А діалогу фахівців, обміну досвідом - немає, хоча хтось шлях подолання наслідків атаки вже пройшов.

Далі. Усунення наслідків кібератак - справа не дешева. Державний сектор не може собі дозволити утримувати команди фахівців на щодень. Але, об’єднавши зусилля, кілька міністерств зможуть взяти на аутосорсинг приватну команду.

- А якщо це державне підприємство?

- А чому приватну команду не можна прийняти на обслуговування тієї чи іншої державної установи? Це стане імпульсом для розвитку цього бізнесу, і це нормальна світова практика. Питання кібербезпеки, зазвичай, віддають на аутсорс спеціалізованим компаніям. Але наголошу: обмін інформацією про кіберінциденти буде централізований.

Ще одна новела bug bounty (атака, яку замовляє само підприємство так званим «етичним хакерами», щоб перевірити свої інформаційні мережі на вразливості. – Ред). Ми багато про це кажемо, але по факту такої системи нема. Ми започатковуємо цю практику, координовано розкриваємо вразливості і працюємо над їх подоланням.

У нас є Національний центр координації кібербезпеки при РНБО. Сьогодні при кібератаці всі біжать в чат Сигналу. Я думаю, що Об’єднана група з реагування на кризові ситуації, яка буде взаємодіяти з командами, має працювати при РНБО.

- Дев’ятий розділ пропонованого проекту прописує право тотального контролю за підприємствами Держспецзв’язкові та запроваджує інститут уповноважених, які допомагають здійснювати такий контроль. Але право контролю має зворотній бік – спільну відповідальність. Наприклад, якщо підприємство не вберіглося від атаки, чи означає це, що чиновники ДССЗІ (Державна служба спеціального зв'язку та захисту інформації України) також (умовно кажучи) стають фігурантами кримінальних проваджень?

- Держспецзв’язку має право державного контролю вже зараз, в рамках чинного законодавства. Але на робочій групі всі вирішили, що механізм контролю не прописаний чітко. Це потрібно, у тому числі, підприємствам, які є об’єктами контролю. І ці рамки не встановлюються самі собою, це не наша творчість у чистому вигляді.

У США існує добре відомий фахівцям профільний Національний Інститут стандартів та технологій або NIST. Ця структура продукує і стандарти, і навчальні посібники, і серйозні роботи за результатами всіх кібератаках. Повноваження ДССЗІ ми прописували відповідно до їхньої другої директиви. У ній рекомендовані виїзні та невиїзні перевірки, аудити безпеки, сканування, отримання інформації щодо реалізації заходів і таке інше. Ми насправді йшли за кращими взірцями. Або нам дорікають, що ДССЗІ буде само “призначати” уповноважених на підприємство. І на цьому багато маніпуляцій, мовляв, «садитиме» на підприємство своїх людей. Ну не так це.

- А як?

- Підприємство знаходить саме для себе фахівця з кібербезпеки, але на останньому етапі його мають перевірити на мінімальний для такої посади рівень компетентності. І погодити цю кандидатуру – в міністерстві, відомстві чи на підприємстві критичної інфраструктури – має ДССЗІ. Так, це певний фільтр, але він убезпечує підприємство від ситуації, коли призначають «свою людину» без кваліфікації, без фахової освіти. А таке бувало. Зараз Кабмін розробить критерії відповідності, а ДСЗЗІ просто перевірятиме, чи відповідає їм кандидат.

- Яку відповідальність передбачено для керівників підприємств критичної інфраструктури, якщо підприємство постраждало?

- Проект не визначає такої відповідальності, це предмет регулювання або адміністративного, або кримінального закону. Наш проект це сфера технічної політики. Відповідальність буде врегульована в рамках іншої законодавчої ініціативи.

- Деякі з ваших опонентів стверджують, що для зміцнення кібербезпеки треба лише дві речі: тотальне навчання персоналу та кримінальна відповідальність для керівників підприємств критичної інфраструктури, які економили на кібербезпеці, або нехтували нею. Ви своїм проектом змінюєте півтора десятки законів, але уникаєте того, щоб запропонувати дати строк директору, який сильно «недогледів» свої мережі…

- Насправді, ви тут висловлюєте думку не моїх опонентів, а мою власну, яку я багато разів озвучував. Я наполягав на кримінальній відповідальності для керівників підприємств і навіть залучав для цього законодавчу ініціативу. Але правники, які займаються питаннями відповідальності, звикли вимірювати підстави для кримінальних проваджень у грошових втратах. А як порахувати втрати при кібератаці? Зараз майже нема досвіду, коли можна встановити фінансовий еквівалент втрат. Коли це атака на бізнес, скажімо, через бухгалтерське програмне забезпечення, це одна справа. А коли ця атака пошкодила реєстр, коли стався витік персональних даних? Як тут «притягнути» статтю по матеріальних збитках? Ніяк. Хоча я вважаю, що причинно-наслідковий зв’язок після такого витоку з наступними атаками очевидний і шкода – серйозна. Але прописати відповідальність має проект, який підготував інший комітет.

- То поки що винні таки уникатимуть відповідальності?

- Я думаю, ми заклали нову філософію нашим законопроектом.

Обмін досвідом боротьби, коли це все зафіксовано це теж “спадок”. У міністерствах, на підприємствах будуть змінюватися команди, але наступники матимуть всю історію кібератак та досвід подолання їх наслідків.

До речі, я маю законопроект, яким пропоную при вступі на Держслужбу проводити іспит для кандидатів на мінімальну цифрову обізнаність, так само, як вони складають іспит з української мови. Я проаналізував багато атак. І у більшості з них винуватий користувач. Ланцюжок вразливостей, пробитий периметр безпеки, коли зловмисник просувався далі і далі – стає можливим через таку необізнаність.

- У проекті я побачила, що Держспецзв’язок не лише стає відповідальним за формуванням держполітики у сфері кіберзахисту, а й встановлює умови постачання товарів, робіт та послуг. Тож автоматично з’явилося припущення щодо корупційних ризиків закону. Нащо Держспезв’язкові знати все про кожен, скажімо, антивірус підприємства і контролювати його закупівлю?

- Всі зауваження та пропозиції до законопроекту, які надійшли від НАЗК, були враховані. Ми маємо лист, що у них зауважень немає. Ми врахували майже всі зауваження і науково-експертного управління. Тобто робота триває.

Критику продукують лідери суспільної думки. Але лідери суспільної думки (не дуже фахові) деколи репостять думки лідерів суспільної думки фахових, які часом бувають суб’єктивні – або виконують чиєсь завдання, або просто не люблять владу. Чому необхідно контролювати програмне забезпечення. Під час аудиту, ми часто виявляли, як українські підприємства використовували російське ПЗ. Зараз ця практика припинилася, але це – результат аудитів та перевірок ДСЗЗІ.

Або давайте візьмемо якесь міністерство і постачальника послуг для нього. Цей постачальник не потрапляє під перевірку, але через нього відбувається атака на міністерство. Бо у нього і досі стоїть ПЗ, створене росіянами, там є російські “імпланти”. Що тут робити? Кібербезпека згідно тих же американських стандартів вимагає контролю. І право контролю влада має, ми просто це систематизуємо, приводимо у відповідність до директиви NIST. І повірте, що ми використовували дуже лайтову версію американської директиви NIST-2, яку ми і так змушені будемо імплементувати.

Суспільство вимагає захищеності від кібератак. А це тягне певні обмеження. У нас в робочій групі було дуже багато експертів, юристів, фахівців сфери, які розуміються на ризиках, на наслідках і допомагали долати не одну кібератаку. Я залучав всіх.

Ефективна команда працює в Міненерго. Вона завдяки своїм пвдрозділам, у тому числі регіональним, зупинили кібератаку, яка мала всі шанси завершитися блекаутом.

До речі. Як всі фахівці галузі та експерти волали, що потрібний закон про критичну інфраструктуру? Я саме це бачив в Раді одним з перших своїх завдань. Там взагалі не було напрацювань, а спротив мені чинили колосальний, хто через нівгластво, хто з інших причин. Ну і прийняли ж його, хоча у те, що я зможу його створити, провести, ніхто із знайомих не вірив.

- Я переглянула пабліки, де проекту закону обговорювали експерти. Вони стверджують, що запропоновані зміни створюють “монстра-монополіста”, який має на меті узурпувати кібердомен. Концентрація повноважень може мати дуже різні наслідки для кібербезпеки – або хороші або погані. Думки щодо цього різні. Чи нема у вас побоювань, що замість зміцнення кібербезпеки ми побачимо битви силових структур за повноваження?

- Коли ми говоримо про професійне управління сферою, недоцільно говорити про монополізацію. Це ж не ринок. Ми не маємо створювати чи не створювати конкуренцію між державними структурами. Кібербезпека це не захист окремої інституції у державницькій системі. Ми ж працюємо задля захисту у кіберпросторі енергетики, задля захисту ЗСУ.

Чим поганий реєстр інцидентів? Мені кажуть, що реєстр не повинен бути засекречений. Повинен, я наполягаю. Чому кримінально карають тих, хто під час ворожої атаки викладає відео роботи ППО? Бо той, хто запустив ракету, відстежує це реальному часі та коригує вогонь. Те саме можливо у кіберпросторі. Якщо ми зробимо публічною інформацію, як відбулася кібератака, то атакуючий, проаналізувавши, як ми захищаємося, змінить вектор атаки. Нам буде складніше захищатися.

Кіберзагроза зростає. Міжнародні експерти кажуть, що вони у нас вчаться. Головний посил цього законопроекту – чіткий розподіл ролей у кіберзахисті.

Ви кажете про битви силовиків. Які? Цей законопроект погодили ГУР, СБУ, Нацбанк, РНБО. Виникли запитання у Міноборони.

Я був на нараді в міноборони, навіть зустрічався із Валерієм Залужним. Я пояснював, що є питання захисту інформації, а є питання захисту каналу зв’язку, мереж. Мені один з військових каже: дозвольте встановлювати програмне забезпечення партнерів. Я кажу: друже, я поважаю партнерів. Але в жодній країні світу на свої мережі не встановлюють ПЗ без перевірки. Є постанови Кабміну, яка зобов’язує нас перевіряти. Вони є галузевим органом в рамках національного законодавства і мають повну свободу в рамках українського кіберпростору. Хочуть обладнання партнерів? Нехай так. Програмні додатки, застосунки – будь ласка. Але якщо їхня система перебуває в парадигмі іншого законодавства та контролю, то наш кіберзахист буде скомпрометований.

- За минулої влади ми бачили багато цікавих операцій Кіберальянсу. Яскраві події з історії нашого кібернаступу, пов’язані із тими спеціалістами теж. Ви співпрацюєте з ними?

- Та звісно! Ну не про все будеш оголошувати публічно! На моєму бронежилеті – шеврон кіберальянсу, я даю вам це інтерв’ю у подарованій ними футболці. Багато фахівців кіберальянсу працюють в силових структурах. Багато фахових людей прийшло туди по мобілізації, багато – добровольцями. Я зараз працюю над законопроєктом про кіберсили, і переконаний, що це – майбутня еліта таких сил.

Лана Самохвалова, Київ