Приватно-державне партнерство у кібербезпеці: Досвід Фінляндії
Ми з Кауто Хуопіо (Kauto Huopio) знайомі, мабуть, ще з 2005 року.
З часів, коли почав створюватися CERT-UA.
Тоді фінський CERT-FI та особисто пан Хуопіо відграли дуже важливу роль у розбудові цього важливого, але, на жаль, наразі занедбаного елементу системи кібербезпеки України.
Хоча, чесно кажучи, системи й досі не спостерігається. Хоча шанс був.
Але зараз не про це.
На конференції UISGCON13 Кауто розповідав унікальні речі з багаторічного практичного досвіду Фінляндії з побудови дійсно ефективної і працюючої системи кібербезпеки цієї країни.
Дійсно унікальні. Просто лайфхаки якісь.
Про те, чому довіра працює набагато краще, ніж контроль та покарання з боку держави.
Про те, чому побудова Системи має починатися «знизу».
Чому самоорганізація важливіша за провідну роль держави.
Про те, скільки людей має працювати і у яких організаціях, як часто вони мають зустрічатися, як між ними «зламати кригу».
І ще багато цікавого та корисного.
Подивившись відео, хотів би звернути увагу лише на ключові моменти доповіді.
Інколи це будуть цитати, інколи моя власна інтерпретація, тому прохання не сприймати даний текст як конспект виступу.
Повние відео виступу наводжу й тут, а презентацію можна побачити на сайті UISGCON13, я ж просто хочу виділити найцікавіші шматки виступу.
Перш ніж виділяти шалені мільйони на створення галузевих CERTів, спочатку необхідно зрозуміти філософію та логіку процесів.
Що у що вдягається. Ну хоча б спробувати.
Тож поїхали.
«80% критичної інфраструктури належить приватним компаніям».
Мабуть, в України десь приблизно так само. А може і більше.
«Стратегія безпеки Фінляндії містить 7 критично важливих функцій».
Перераховувати не буду, але кожна з них містить кібер-складову.
Кібераспекти також є частиною основних загроз життєзабепечення громадян:
- Загрози електропостачання
- Загрози порушення зв’язку
- Загрози логістиці
- Загрози комунальній інфраструктурі
- Порушення постачання харчових продуктів
- Порушення функціонування фінансових систем
- Порушення функціонування сфери охорони здоров’я.
І усі вони залежать від мереж передачі даних.
Привіт провайдерам.
«Стратегія кібербезпеки Фінляндії існує з 2013 року».
Тобто трохи раніше, ніж в Україні. Трохи дивно, але нехай так.
Наразі у країні існує Національний Центр кібербезпеки у тому числі з функціями CERT.
Тобто це не тільки і не стільки CERT, а щось набагато більше і важливіше.
Про об’єкти критичної інфраструктури.
У Фінляндії Існує Центр, який займається акредитацією систем, які обробляють конфіденційну (тобто критичну) інформацію.
У цьому центрі працюють близько 65 людей.
Тобто, я так розумію, що 65 фахівців кожен день з 9 до 18 години визначають що віднести до критичної інфрастуруктури а що ні, яка така критична чи не критична інформація там обробляється, наскільки це важливо, чи є засоби захисту, чи вони достатні, чи нормально, коли у системі існує розшарений безпарольний диск з внутрішними документами, чи то фігня.
Привіт Кабінету Мінстрів України, який має скласти перелік об'єктів критичної інфраструктури України.
У фінському CERTі працює близько 25 людей.
На близько 5,4 млн населення.
Порівняйте з CERT-UA та моєю прогнозною оцінкою про необхідну кількість його співробітників (близько 100, для початку).
За яким принципом відбувається співпраця між державними органами та приватним сектором – морквою та палкою: не «ми вас оштрафуємо, повідомимо пресі і вашим конкурентам», а «як ми можемо допомогти, чи знаєте, що на цю вразливість вже є патч, чи слід нам повідомити інших про подібну проблему».
Усі команди з безпеки найбільших операторів спілкуються з регулятором напряму в захищеному чаті.
Бугага. Чи знають у НКРЗ та Дсс331 що таке «захищений чат»?
Фінський CERT - «це, так би мовити, агенція новин з кібербезпеки». Близко 10 звітів щотижня.
Ну чо, як варіант, чому б ні.
«У звіті Microsoft Фінляднію названо однією з трьох найкращих країн з кібербезпеки.
Мабуть тому, що:
Їх вуха - це Автоматична система повідмлення від провайдерів про проблеми, які виникають у їх клієнтів.
Їх очі: Система HAVARO - мережа датчиків, які встановлені на об’єктах критичної інфраструктури та урядових відомствах (!), яка відслідковує ситуацію у режимі реального часу.
Відслідковує найбільш небезпечні загрози, такі як АРТ».
Спамом та примітивною соцінженерією не займається.
Якщо система клієнта уражена і здіснює розповсюдження ШПЗ, а клієнт не вживає дій - оператор має право відключити такого клієнта.
«І це дуже дієвий інструмент: клієнт швидко навчається. І це одна з причин чому у Фінляндії досить низький рівень інфікування мереж».
У Фінляндії існує цікава Концепція: «безпека постачання» - постачання найнеобхіднішого для суспільства: енергії, транспорту, продуктів, дистрибуції.
Також це транспорт, охорона здоров’я, фінанси та цифрова інфраструктура.
Концепція існує ще з другої світової війни.
Існує окреме відомство з постачання у надзвичайних ситуаціях.
Це відомство дуже добре розуміє важливість кібербезпеки у безпеці постачання.
Як відбувається співробітництво з питань кібребезпеки у всіх цих галузях?
У кожній галузі існує група компаній, які працюють у цій сфері і їх фахівці обговорюють питання кібербезпеки.
При цьому зазвичай такі об’єднання не мають формальних угод між собою, усе базується на довірі між учасниками.
І очолюють такі об’єднання преставники приватного сектора, а не державного.
Про «ламання криги» є цікава історія.
У 2017 році було створена чергова така група, цього разу з питань кібербезпеки у роботі ЗМІ.
На першій зустрічі учасники ставилися до усього того підозріло, адже усі вони були конкурентами між собою і сумнівалися чи варто ділитися інформацією.
Але вже на другій зістрічі одна з організацій поділилася досвідом проведення тесту на проникнення і це дозволило зламати кригу у всій групі.
Інші організації почали порівнювати свій досвід у аналогічній сфері.
І ця група наразі успішно працює.
Зараз у Фінляндії активно працюють такі групи:
- ЗМІ (остання);
- охорона здоров’я (це взагалі жах з точки зору кібербезпеки);
- інтернет-провайдери (дуже активна група);
- енергетика (дуже активна і уважно стежить за тим, що відбувається в Україні);
- банки (одна з найстаріших груп і теж дуже активна);
- хімія;
- виробництво продуктів
- та інші
Ще є група вендорів. І це не тільки Nokia. Це також Ericcsson, виробники обладнання зв’язку та програмного забезпечення для зв’язку.
Уроки з досвіду минулих років.
Обмін інформацією працює належним чином лише тоді, коли існує певний рівень довіри.
А це означає, що треба регулярно зустрічатися.
Якщо спілкування відбувається лише через розсилку електронної пошти, то це не працює.
Треба, щоб люди зустрілися, потиснули одне одному руки.
Обмін інформацією працює лише тоді, коли інформацією діляться.
Якщо інформацією не ділитися - ви і не отримуватиме інформацію.
Оптимальний розмір групи для обміну інформацією по кібербезпеці - 15-20 людей.
Менші групи можуть створювати відчуття слабкості, а у більших групах - знижується відчуття довіри.
З особистого 16-річного досвіду Кауто він може сказати, що необхідно 2-3 роки для створення необхідного рівня довіри у групі.
Оптимальна частота зустрічей групи: 3-4 рази на рік, але важливо, щоб група мала і інші канали спілкування, не тільки очні зустрічі.
Важливо також залучати зовнішніх фахівців до модерування зустрічей, наприклад фахівець з групи енергетики прийде на зустріч до фахівців з телекомунікацій, щоб пояснити як вони у своїй сфері виявляють загрози та протистоять ним.
Підсумок: «без спільноти з таким глибоким рівнем взаємодії ми б не були такими сильними Ми б не змогли виграти цей матч з кібербезпеки якби ми працювали як окремі люди.»
З точки зору державних органів важливо, щоб уряд надавав підтримку такому обміну інформації, сприяючи йому, а не просто караючи за якісь невірні кроки. (Чомусь пригадалися «конференції» у Пущі Озерній).
І для того, щоб поламати кригу потрібен час.
Якщо ми граємо як команда - тоді можна перемогти.
—————————————-
Багато чого з виступу Кауто повторює ідеї, які вже необдноразово проголошувалися у спільноті.
Деякі суто практичні речі особисто для мене були одкровенням.
Але, у будь-якому разі, виступ - унікальний і підготовлений спеціально під UISGCON13 та українську аудиторію.
Такий досвід необхідно уважно вивчати та застосовувати.
А поки що складається враження, що Україна у сенсі створення національної системи кібербезпеки неквапливо йде по полю з граблями, не звертаючи увагу на поперджувальні знаки, ігноруючи червноі прапорці, блимаючі маяки та крики «куди преш!».
А ти часом по ній ріжуть з кулеметів, танків та градів.
Бережімося.
Костянтин Корсун
FB
реклама