Система кіберзахисту України: Є? Нема? Будується?

Система кіберзахисту України: Є? Нема? Будується?

Аналітика
863
Ukrinform
В річницю найбільшої в історії кібератаки українські спецслужби запевняють, що досвід враховано. Експерти – сперечаються, в чомусь погоджуються, в чомусь – ні

Наприкінці червня минулого року Україна зазнала кібератаки вірусом-здирником Petya.A, яка завдала шкоди об’єктам “критичної інфраструктури” майже на півмільярда доларів. Серед постраждалих: “Ощадбанк” і “Укргазбанк”, Укрзалізниця, міжнародні аеропорти “Київ” і “Бориспіль”, Укрпошта, Київський метрополітен та Чорнобильська атомна електростанція.

Кібератака Petya.A добряче шокувала суспільство. Хоча вона не завдала невиправних збитків, саме тоді стало зрозуміло, наскільки ефективна зброя є в руках ворога, аби паралізувати усю країну. Стало також зрозуміло, що наступна масштабна кібератака може призвести і до людських жертв: за допомогою комп’ютера, сидячі за тисячі кілометрів від об’єкту, тепер можна і електропостачання перекрити для цілого регіону, заслонки греблі підняти на водосховищі, дезорганізувати авіарух. Тоді ж багато хто виступав з заявами, мовляв, нам треба заново будувати систему кіберзахисту в країні, і обіцянками таку систему швидко створити.

Треба віддати належне: річницю найбільшої в історії України кібератаки, відповідальні державні структури — і РНБО, і кіберполіція, і СБУ - не забули. Кажуть, що Україна в питанні кіберзахисту за останній рік значно додала, а власне українська система кіберзахисту досягла європейського рівня.

Наприклад, з подібною заявою 20 червня виступив секретар РНБО Олександр Турчинов. “Якщо говорити про кіберзагрози, то ми зробили серйозний ривок, щоб забезпечити Україну в цьому напрямку. Створений два роки тому при РНБО Національний координаційний центр кібербезпеки у відповідь на масштабні атаки, які нанесли мільярдні збитки країні, досить ефективно реалізує основні засади прийнятої нами стратегії кібербезпеки. В країні створений захисний контур, який вже витримав кілька потужних атак”, – зазначив пан Турчинов, додавши, що нині основне завдання – забезпечити надійний кіберзахист об’єктів стратегічної інфраструктури.

Уже традиційно для нас, заяву секретаря РНБО, та ще й в настільки позитивній тональності, багато хто розкритикував. Мовляв, ніякої такої системи в Україні досі не створено і взагалі незрозуміло, хто за кібербезпеку в державі відповідає. Суперечку підігріло й те, що у Верховній Раді був зареєстрований законопроект №6688 “Про внесення змін до деяких законодавчих актів України щодо протидії загрозам національній безпеці в інформаційній сфері”, який, на думку експертів, хоч і не зв’язаний напряму з захистом від кібератак, але передбачає блокування онлайнових ресурсів (Укрінформ детально з тим розбирався). Отже, питання, чи має Україна насправді систему протидії кіберзагрозам і як вона виглядає – знову стало актуальним.

Система кіберзахисту України: хто/що у нас є і за що відповідає?

Ще 5 жовтня 2017-го був прийнятий закон “Про основні засади забезпечення кібербезпеки України”, який набув чинності лише 9 травня 2018 року. Він наразі і є основним документом, який регулює сферу кіберзахисту в країні, створює державну систему кіберзахисту.

Найголовніше, що цей закон розподіляє функції між правоохоронцями та спецслужбами. За стратегічне управління та координацію відомств, що забезпечують кібербезпеку, відповідає РНБО. Їй підпорядкований Держспецзв’язок, який розробляє комплексну систему кіберзахисту стратегічних об’єктів і “опікується” компаніями, які проводять аудит стратегічних об’єктів. Держспецзв’язкові підпорядкований Державний центр реагування на кібератаки, підрозділ якого CERT-UA, здійснює моніторинг і виявляє потенційні кіберзагрози. Кіберзахистом також займаються в МВС, яке відповідальне за запобігання та розслідування кіберзлочинів, Міноборони та Генштаб, які забезпечують охорону військових об’єктів та об’єктів критичної інфраструктури під час війни та надзвичайного стану, СБУ – запобігає терористичним атакам в кіберпросторі та має право перевіряти об’єкти критичної інфраструктури.

Перелік об’єктів, що належать до критичної інфраструктури визначає Кабінет Міністрів, а кібербезпекою в банківській сфері опікується Нацбанк. Власники об’єктів критичної інфраструктури є виконавцями державної політики кібербезпеки, тобто зобов’язані впровадити її на своєму підприємстві. Так само, якщо державні установи, зокрема міністерства, стануть ціллю кіберзлочинців, відповідальність нестиме керівництво цих установ.

Закон також передбачав створення Державного центру кіберзахисту. Йому підпорядкований ситуаційний центр реагування на кіберзагрози, який працює цілодобово і без вихідних та аналізує потенційні кіберзагрози. Схожа структура є і у підпорядкуванні СБУ. Інформація з цих центрів передається до CERT-UA, які в свою чергу виробляють інструкції та поради як для приватних організацій, так і для державних установ.

Одним законом про кібербезпеку систему захисту не побудуєш

Втім, багато хто з експертів сходяться на думці, що Закон надто розпорошує відповідальність за кіберзлочини між різними відомствами. Спікер хакерського об’єднання “Український кіберальянс”, відомий під псевдонімом “Шон Таунсенд” (хто він – невідомо, як і личить хакерам) в коментарі Укрінформу пояснює, що “закон “Про основні засади забезпечення кібербезпеки України” і визначає базові поняття та передбачає відповідальність керівників організацій за можливі інциденти, з іншого боку за кібербезпеку відповідають ніби усі: Кабмін, Нацполіція, СБУ, Держспецзв’язок та Міноборони, але насправді – ніхто.”

Спікер хакерського об’єднання “Український кіберальянс”, відомий під псевдонімом “Шон Таунсенд”
Спікер хакерського об’єднання “Український кіберальянс”, відомий під псевдонімом “Шон Таунсенд”

Отже, якщо Україну раптом знову вразить вірус, то відповідальність нестиме і Міноборони чи Генштаб (адже тоді хакери атакували і їх об’єкти), і СБУ, адже це було ні що інше, як терористична атака, і Нацбанк, адже тоді паралізувало роботу до десяти банківських структур, і CERT-UA, адже про кібератаку вони не попередили. Але згідно закону “Про основні засади забезпечення кібербезпеки України” в разі подібної кібератаки провина буде на власниках приватних об’єктів критичної інфраструктури – відповідно до пункту 4 статті 5 закону, їхні підприємства є суб’єктами, які повинні безпосередньо здійснювати заходи із забезпечення кібербезпеки.

Впровадити систему кіберзахисту, передбачену законом “Про основні засади забезпечення кібербезпеки України”, навіть у державних органах досить складно. І цього, судячи зі слів експертів, ще не зроблено. Український кіберальянс спільно з “хакерами-волонтерами” впродовж минулого року проводив флеш-моб #FuckResponsibleDisclosure, метою якого був пошук огріхів в системах безпеки як урядових структур, так і інших об’єктів критичної інфраструктури, а загалом — перевірка, наскільки країна готова до потужної кібератаки. Шон Таунсенд розповів про його результати: “Використовуючи виключно законні способи, без хакерського “знаряддя”, нам вдалось отримати доступ до систем десятка об’єктів центральних та регіональних органів влади та об’єктів критичної інфраструктури. Ми виявили масивні витоки документів з Міністерства оборони (в тому числі і з обмеженим доступом), військкоматів та Національної поліції. Також ми знайшли можливості для “зламу” систем підприємств концерну “Укроборонпром”, заводу “Маяк”, пенсійного фонду, Чернігівської, Донецької, Херсонської та Кіровоградської обласних адміністрацій, Міністерств соціальної політики, освіти і науки, юстиції, економічного розвитку, охорони здоров’я, окремі ресурси Верховної Ради, Адміністрації Президента, Ради національної безпеки та оборони, одного з космічних центрів, операторів мобільного зв’язку, об’єктів енергетики, Енергоатому, Запорізької атомної електростанції (всередині периметру). Районні адміністрації, інститути, відділення ЖКГ, регіональні відділення великих структур взагалі ніхто не рахував, повний список зайняв би дуже багато місця”.

Укрінформ знайшов підтвердження цих слів спікера Українського кіберальянсу на офіційній сторінці організації у Facebook. Наприклад, хакери (навіть без використання “хакерського” обладнання) виявили, як вірус може «заповзти» в мережу Запорізької АЕС і заразити комп’ютери на станції. Судячи з посту у Facebook, є перелік осіб, які мають право проносити звичайні “флешки” за “периметр” станції і використовувати їх на робочих комп’ютерах. Відтак хакерам, достатньо лише відправити “вірус” на пошту комусь з переліку тих осіб, а далі вірус пошириться сам. Втім, керівництво “Енергоатому” (якому підпорядкована Запорізька АЕС) одразу спростувало припущення хакерів, мовляв, персоналу заборонено на пристроях, що важливі для системи безпеки використовувати зовнішні носії інформації. Але розслідування вони все ж таки провели.

Шон Таунсенд зазначає, що найголовніша проблема – в сприйнятті самого поняття безпеки. “Кібербезпека стала не менш модним словом, ніж боротьба з корупцією. Але безпека – це не стан, якого можна досягнути і утримувати за допомогою обладнання і паперового аудиту, а безперервний технічний і організаційний процес”, – пояснює спікер Українського кіберальянсу.

Об’єкти критичної інфраструктури – все ще під загрозою. Як це виправити?

Наскільки дієвою є система кіберзахисту, яка передбачена законом “Про основні засади забезпечення кібербезпеки України” – поки що невідомо: зловмисники, схоже, не намагались провести масштабну атаку. Ледь не щомісяця з’являються новини від Нацполіції та СБУ, мовляв, ми попередили кібератаку. Останній випадок мав місце буквально днями, напередодні Дня Конституції. Про неї повідомив голова Кіберполіції України Сергій Демедюк в інтерв’ю Reuters. За його словами, хакери заразили вірусом, схожим на Petya.A, пристрої українських компаній в різних галузях, зокрема банки та енергетичні підприємства. Атака не мала розвитку, і це може свідчити про те, що робота ситуаційних центрів, зокрема моніторинг ймовірних загроз, приносить свої результати. Втім, інших підтверджень цьому, окрім слів керівника кіберполіції, немає.

Експерти де в чому і погоджуються зі словами Олександра Турчинова, зокрема, щодо наявності в Україні “захисного контуру".

Олександр Федієнко, голова Інтернет асоціації України
Олександр Федієнко, голова Інтернет-асоціації України

“Цей контур, швидше за все, стосується державного сектору. Вже створено ситуаційний центр Служби безпеки України, є Ситуаційний центр Держспецзв’язку – вони проводять аналітичну роботу і видають рекомендації для державних установ, а можливо, і для деяких об’єктів критичної інфраструктури. А комерційні підприємства все ж таки змушені самі себе захищати”, – коментує Укрінформу голова Інтернет-асоціації України Олександр Федієнко.

Спеціаліст з інформаційної безпеки Костянтин Корсун пояснює Укрінформу, що основне питання: які об’єкти входять до “контуру” системи кіберзахисту.

“Якщо він охоплює лише РНБО, Кабмін, Адміністрацію Президента і Верховну Раду, то цілком ймовірно, що там захист уже надійний. Але про систему говорити поки що зарано – кілька мереж, об’єднаних між собою, не є системою. Водночас, в Україні ще десятки установ центрального рівня і тисячі регіонального, є величезна кількість комерційних підприємств, громадських структур – які досі не захищені від кіберзагроз. А об’єкти критичної інфраструктури – самі по собі, там, згідно із законом, власник об’єкту несе відповідальність за його захист. Хоча атомну електростанцію, хімічне виробництво, харчові підприємства має захищати і держава. Інша справа, що досі нема критеріїв віднесення об’єктів до такої інфраструктури”, – пояснює спеціаліст.

Експерти сходяться на думці, що держава має врегулювати засади, на яких буде побудована кібербезпека об’єктів критичної інфраструктури. “Як мінімум, треба приймати закон про критичну інфраструктуру. Закон про основні засади кібербезпеки не визначає перелік об’єктів, що належать до неї. Крім того, ще не розроблені підзаконні документи, які регулюватимуть норми кібербезпеки на таких об’єктах”, – вважає Олександр Федієнко.

Костянтин Корсун, спеціаліст з інформаційної безпеки
Костянтин Корсун, спеціаліст з інформаційної безпеки

“Є комплекс проблем, які не мають простого рішення. Не варто забувати, що Україна є тим місцем, де проводиться найпотужніша кібервійна за всю історію людства. І в цих надзвичайних умовах робиться замало і надто повільно. Головне, що заважає – відсутність ініціативи від тих, хто за це відповідає. Повноваження усіх органів розпорошені, немає єдиного координаційного центру, який би був рушієм змін і був би зацікавленим у результаті – створити сучасну систему кібербезпеки”, – ділиться думками Костянтин Корсун.

Отже, система кіберзахисту в Україні поки що лише будується. І основні наступні завдання – цілком зрозумілі. Урядовим організаціям, які відповідають за кіберзахист, треба створити підґрунтя – визначити вимоги щодо кіберзахисту, яких мають дотримуватись об’єкти критичної інфраструктури та визначити, які ж об’єкти є критичною інфраструктурою, про що детально йшлося вище. Натомість власникам цих об’єктів, в свою чергу, необхідно впровадити в себе достатньо надійну систему кіберзахисту, з урахуванням усіх вимог. Втім, про захист не треба забувати і власникам підприємств та організацій, які не входять до переліку об’єктів стратегічної інфраструктури. А найважливіше, про кіберзахист не можна забувати і пересічним громадянам. Захист від кіберзагроз тепер стосується кожного.

Микола Романюк, Київ

Розширений пошукПриховати розширений пошук
За період:
-