Державна служба спеціального зв’язку та захисту інформації - це, спрощено кажучи, щось на кшталт міністерства оборони цифрової сфери. Принаймні, так мало бути і так виглядає його функціонал. В його віданні, окрім системи урядового зв’язку, - формування політики у сферах криптографічного та технічного захисту інформації, кіберзахисту та телекомунікацій.

Враховуючи, якими темпами відбувається новітня діджиталізація, здається, що кібербезпека просто «не встигає» за ініціативами влади. Як не дивно, саме цифрові трансформації часто критикуються професійною спільнотою “кібербезпечників” як не підготовлені та такі, що несуть потенційні ризики для інформаційної безпеки. Все це ми вирішили обговорити із заступником голови Державної служби спеціального зв’язку та захисту інформації України (далі ДССЗЗІ) з питань цифрового розвитку, цифрових трансформацій і цифровізації Віктором Жорою.

Віктор Жора довгий час займався кібербезпекою виборчих процесів, більше того, був одним з основних захисників серверу ЦВК під час кібератаки на президентські вибори 2014 року. Тому нам тим більше було цікаво почути, як настільки невипадкова для кібербезпеки людина опинилася в не надто популярному державному секторі і як вона його оцінює.

МИ Ж МАЄМО СПРАВУ З ЕЛЕКТРОННИМИ ТРУДОВИМИ КНИЖКАМИ, ЕЛЕКТРОННИМИ ЛІКАРНЯНИМИ, ДІЙШЛА ЧЕРГА ДО ЕЛЕКТРОННИХ ПАСПОРТІВ

- Вікторе, я перед нашою розмовою сканувала інтернет, шукала ваші інтерв’ю, знайшла вашу декларацію в НАЗК, вона справила на мене враження. Чому такий успішний бізнесмен та герой кібервійни 2014 року міняє свій профіль та йде на держслужбу? Під які плани, обіцянки, гарантії відбулася така зміна роду діяльності?

- Дякую за ваше питання. Очевидно, що людина йде на державну службу не для того, щоб гроші заробляти.

- Всі по-різному.

- Перед усіма людьми рано чи пізно якісь спокуси виникають, але це точно не той випадок. Я маю певну історію та певну фінансову незалежність, з одного боку. З іншого боку, людині не треба багато для того, щоб нормально себе почувати. Тому я, скоріше, сприймаю це як виклик, це було зважене рішення, без жодної ейфорії. Це нова і поки що для мене дуже цікава сторінка. Це дещо інший рівень відповідальності й тим цікавіше мати можливість тут імплементувати свої знання, досвід, якісь погляди на те, як забезпечити трансформацію, як і яким чином брати участь у створенні загальнодержавної системи кібербезпеки, тобто, є певний кредит довіри і в Держспецзв’язку зараз є нова команда, на мій погляд, дуже потужна, дуже фахова в багатьох напрямках, тобто різнопрофільна, тому ця позиція видалася цікавою і, власне кажучи, так сталося, що з 15 січня я працюю на державній службі.

- Які задачі нарізали саме вам?

- Я - заступник керівника центрального органу виконавчої влади з цифрових трансформацій, цифрового розвитку і цифровізації. Тобто, це інститут CDTO, створений за ініціативою віцепрем’єр-міністра і Міністерства цифрової трансформації, який повинен пришвидшити процеси цифрової трансформації в державі з допомогою таких от амбасадорів змін.

- Амбасадори... Ви себе маєте на увазі чи усю нову команду?

- Цифрові амбасадори - це робоча назва таких CDTO або Chief Digital Transformation Officer. Це нова запроваджена посада заступника керівника державного органу з питань цифрової трансформації, цифрового розвитку і цифровізації. Фактично кожен орган має складову публічних сервісів, ці сервіси зараз оцифровуються, оцифровуються внутрішні бізнес-процеси.

Тож всередині Держспецзв’язку є дуже багато роботи у напрямку внутрішньої цифрової трансформації. Деякі процеси явно застаріли, щодо них слід провести аудит, реінжинірінг, максимально їх оптимізувати, автоматизувати, перевести в цифрову форму. Те саме стосується і зовнішніх послуг Держспецзв’язку, і нових послуг, бо вже в цьому році у нас багато планів.

Тобто, моя сфера відповідальності - цифрова внутрішня і зовнішня трансформація. Куратором нормативно-правового напрямку кіберзахисту є Олександр Потій, інший заступник голови, тобто, це така спільна, узгоджена праця і в сфері нормативно-правових актів, стандартів, і в сфері практичній.

- Тобто, ваше завдання - “діджиталізувати” саме ДССЗЗІ?

- Діджиталізувати ДССЗЗІ та посилити систему кіберзахисту і місце Держспецзв’язку в цій системі. ДССЗЗІ багато років жила у власній системі координат. Урядовий зв’язок, зв’язок вищих посадових осіб держави, регулювання електронних комунікацій, сфери захисту інформації та кіберзахист.

Але ми плануємо трансформувати його у сервісну структуру. Буде запроваджена сервісна модель, яка пропонуватиме свої рішення бізнесу. Чому бізнес не може отримати від держави таку послугу?

Далі. Кібербезпека в кожен дім. Кожен громадянин може розраховувати на власну безпеку в кіберпросторі. Ми не можемо фізично дійти до кожного громадянина, але кожен громадянин може усвідомити правила поведінки в кіберпросторі. На своєму кінцевому пристрої людина сама відповідальна за захист, а в умовах карантину, коли вона працює вдома, користується корпоративною поштою, підключається до конференцій, обмінюється файлами, вона має вразливу точку. Але відповідальність - на користувачі. Ми ж хочемо, щоб кожна людина розуміла необхідність базових навичок роботи в інтернеті. Це все в нашому фокусі. І це частина нашої організаційно-технічної моделі кіберзахисту і, якщо хочете, нової філософії. Можна мати багато систем захисту, але без зміни мислення громадяни будуть залишатися уразливими.

- Я хочу нагадати нашу попередню розмову дворічної давнини. Ви абсолютно не були прихильником електронних виборів і, гадаю, категорично не сприйняли б ідею заміни паперових документів цифровими. Чи ви поділяєте цю ідею сьогодні, коли Кабінет міністрів прийняв постанову «Про реалізацію експериментального проєкту щодо застосування паспорта громадянина України у формі картки в електронному вигляді та паспорта громадянина України для виїзду за кордон в електронному вигляді»?

- Моя думка на той момент була сформована щодо електронних виборів, а не електронних документів, оскільки електронний документ у нас запроваджений, наскільки я пам’ятаю, 2003 року з прийняттям Закону України «Про електронні документи та електронний документообіг»

- Я про паспорти кажу, про повноцінну заміну паперу на "цифру".

- Я маю на увазі, що це певна еволюція - поява нових електронних документів, переведення в цифру. Ми ж вже маємо справу з електронними трудовими книжками, з електронними лікарняними, дійшла черга до електронних паспортів, і я не пов’язую закон про електронні паспорти і ці справді інноваційні прориви із електронним голосуванням.

Моя думка щодо системи електронного голосування в країні не змінилася, мені воно здається передчасним, це все-таки величезний рівень ризиків у запровадженні такої системи, і переважна більшість країн світу поки таких рішень для себе не прийняла, навіть деякі прийняли, потім повернулися назад.

Доречно згадати кейс Естонії, яка має електронні вибори. Естонія більше десяти років йшла до цього процесу, має суттєво меншу кількість населення і була дуже цілеспрямована в питанні цифровізації. Для неї електронні вибори - це один з останніх етапів цифровізації країни. Але підкреслю, на перших етапах там була запроваджена електронна ідентифікація.

Тобто, це все - комплексна робота, і хотілося, щоб якомога більше громадян України були залучені до проєктів цифровізації. Це величезний масштаб роботи, вона пов’язана з одночасним посиленням кібербезпеки, з посиленням кіберграмотності, кібергігієни тощо, це цілий комплекс заходів.

Але, повертаючись до електронного голосування. У нас воно є передчасним. А ті країни, які використовують систему електронного голосування, підкріпляють це паперовим слідом.

Якщо в перспективі зайде мова про запровадження, то потрібен буде перехідний період, щоб сформувати довіру до системи електронного голосування, вже після здобуття рівноваги і однозначного сприйняття в суспільстві надійності цієї системи можна буде вести мову про перехід до неї.

ПОМИЛКИ "ДІЇ" НЕ СПІВМІРНІ З ТИМ ПОТЕНЦІЙНИМ БЛАГОМ, ЯКІ ЦЕЙ СЕРВІС МОЖЕ ПРИНЕСТИ ГРОМАДЯНАМ

- Ми постійно читаємо про витоки даних. Як буде захищений мій паспорт, моя особа, якщо хтось хакне ці дані, і буде під моїм ім’ям потрошити іноземні банки. Як ми можемо захистити людину, маючи нульовий рівень кіберобізнаності, якщо ми прирівняємо паперовий та цифровий паспорти?

- З 23 серпня електронний паспорт має вже запрацювати в повноцінному режимі, тобто, є певний перехідний період. Я не вважаю, що те електронне посвідчення людини, яке міститься у відповідному додатку, менш захищене, ніж паперовий паспорт.

- Ви відповідаєте за сказане? Ви людина, яка захистила вибори 2014 року, твердо кажете, що нічого не буде поганого з вашими цифровими документами?

- Давайте розглянемо декілька рівнів системи. Їх щонайменше три: це реєстр, в якому зберігаються дані про фізичну особу, це може бути або Єдиний державний демографічний реєстр, або Єдиний державний реєстр МВС та безліч інших, тобто, це джерело даних. Це те місце, де ці дані збираються, накопичуються, обробляються тощо. Є додаток або портал, будемо розуміти це як шину, яка передає цю інформацію з реєстрів кінцевому користувачу. І є кінцевий пристрій користувача, в якому відображається інформація цих реєстрів.

Очевидно, для того, щоб гарантувати певну ступінь захисту всієї цієї системи, вона має бути захищена на всіх трьох ланках. Ми працюємо над тим, щоб захистити реєстри, це частина державної політики, і це частина наших обов’язків як служби, яка формує державну політику в сфері захисту інформації. Це захист самого додатку, і тут, очевидно, теж ведеться величезна робота. Але ми не можемо гарантувати безпеку кінцевого пристрою, окрім рекомендацій для його власника як убезпечитися.

Є прості правила кібергігієни і загалом правила поводження з мобільним пристроєм, зі смартфоном, щоб мінімізувати ризики витоку будь-яких даних з нього. І ми всі чітко усвідомлюємо, що ті дані, які містяться в додатку Дія на смартфоні, набагато менш цікаві зловмисникам, ніж доступ до мобільного банкінгу. Тож ризики витоку даних зі смартфону, ризики втрати смартфону насамперед лежать на його власнику.

- Давайте про Дію поговоримо, це зручно, всім подобається, але в професійному середовищі є кілька десятків публікацій про її критичні вразливості, та навіть на етапі презентації Дія Сіті демонстрували, що там є критичні вразливості. А Дія. Бізнес розміщується на російському хостингу. Як ви це прокоментуєте?

- Кожен із згаданих кейсів можна розібрати по поличках. Ситуація з лендінгом Дія Сіті вимагає окремого розгляду. Те саме стосується хостингу якогось регіонального сайту, але чи вартує через це піддавати обструкції сам мобільний додаток? Не думаю. Швидкість та обсяг трансформації, які ми спостерігаємо протягом всього лише останнього року, протягом якого працює Дія, неспівмірні із тим, що було раніше. Зрозуміло, що за такої швидкості людям притаманно робити помилки, головне це вчасно визнавати і виправляти. Це процес, в ньому можуть траплятися помилки, і треба вчасно реагувати на помилки, але наголошу: вони не співмірні з тим потенційним благом, яке це сервіси можуть принести громадянам України.

Тільки час може довести правильність або хибність певних ідей і рішень. Давайте, можливо, повернемося до цього питання через певний проміжок часу, від ризиків і від апокаліпсису ніхто не застрахований, будь-яку систему можна зламати, але це така, знаєте, ймовірнісна характеристика.

Діджиталізацію сприймають по-різному. У когось є певний скепсис до цих процесів, у певних верств є захоплення інноваціями. Це нормальний процес, але я можу навести приклад з життя, якщо це цікаво. Я став публічною особою і від мого батька через це затребували точну інформацію про пенсію з Пенсійного фонду. Батько не був зареєстрований на вебпорталі електронних послуг Пенсійного фонду, але типова ситуація – карантин, якраз початок січня, транспорт не ходить, локдаун, підвищена небезпека, потрібний час для того, щоб поїхати в управління Пенсійного фонду, отримати логін, пароль. Батько запитує, що робити: мені поїхати? Я кажу: навіщо тобі їздити, ти ж клієнт крупного банку, значить ти можеш авторизуватися через Bank ІD, є така можливість на порталі електронних послуг Пенсійного фонду. Будь ласка, заходиш через ІD.gov.ua і потім протягом п’яти хвилин, без необхідності куди-небудь їздити, отримай бажану довідку. Тож людина витратила п’ять хвилин, щоб отримати послугу від держави, а можна тільки уявити кількість часу потенційно витраченого, нервів, зусиль і потенційний ризик в умовах пандемії, якщо б довелося туди їхати за цією довідкою особисто, це така ситуація.

Є точка зору, що в умовах війни і з таким рівнем кіберризиків , запускати електронні послуги, реєстри недоцільно, бо ж “раптом нас усіх поламають”. З одного боку, є і посилюється відповідальність за якісний захист цих систем, з іншого боку ми всі маємо вже звикнути до того, що ми живемо в постійній небезпеці. Й у світі існують приклади країн, які вже давно прийшли до цього усвідомлення і вибудовують свою економіку, виходячи з реалій постійної загрози, постійної небезпеки. Ми можемо продовжувати повноцінно жити, інвестувати, будувати, розвивати економіку, виробництво і цифрові послуги зокрема. Бо, незважаючи на всі ці ризики, життя продовжується.

- Відносини громадського сектору кіберспільноти та офіційних представників структур, на яких лежить відповідальність за національну кібербезпеку, які прийшли з командою нової влади, довгий час перебували на точці замерзання. Власне, вони і зараз далекі від партнерських. Суб’єктивна моя думка така: якщо раніше цей громадський сектор створив цілу серію яскравих ініціатив (які потрапляли на сторінки світових видань і реально допомагали зміцнювати лінію оборони кібервійни), то зараз яскраві (нічого не кажу) ініціативи «Держави в смартфоні» живуть окремим життям, а кібербезпека – своїм життям, не перетинаючись. Ви свідому частину свого професійного життя належали до “вершків” тусовки, а сьогодні відноситеся до влади (і відповідно - ділите відповідальність). Ви поділяєте мої оцінки?

- Критика існує, і вона завжди буде існувати. Я бачу запит на реформи з боку нового керівництва. У ситуації в кібербезпеці «згорів сарай, гори і хата» я не хотів би чекати чи прогнозувати глобального розвалу. Це наша країна і наша професія, тож ми всі несемо за це відповідальність. У світлі перспективних проєктів з кібербезпеки в країні мені здається цікавою і амбітним завданням допомогти їм реалізуватися.

А стосовно вашого твердження, що кібербезпека та трансформація “не перетинаються”, то якраз зараз увага і розуміння важливості кібербезпеки високі як ніколи. Це ж наша сфера відповідальності, Держспецзв’язку відповідальна за забезпечення кіберзахисту, за реалізацію організаційно-технічної моделі кіберзахисту і за ту частину системи кібербезпеки держави, яка пов’язана з кіберзахистом. Ми надзвичайно високу увагу приділяємо цим питанням. І ми якомога більше намагаємося залучати громадськість, громадські організації, громадський сектор.

- Пишуть, що у жодній профільній громадській раді немає серйозного представника кіберіндустрії - ані в раді від РНБО, ані в раді від ДССЗЗІ?

- Громадський сектор навіть у цій сфері є дуже розрізненим. Якби він був монолітним, тобто могло йтися про якесь протистояння нас та цієї частини суспільства. Але разом з тим за ініціативою Держспецзв’язку була створена експертна рада з питань кібербезпеки, і там ціла третина, це представники громадянського суспільства. Цей орган незалежний від Держспецзв’язку, вони самі за себе голосували, вони самі проводять свої обговорення, і Держспецзв’язку, як один із ініціаторів, дослухається до тих ідей і порад, які формуються в експертній раді.

Є інший механізм, це громадська рада при адміністрації Держспецзв’язку, яка існує вже достатньо давно, так само два учасники цієї громадської ради: я і Олександр Володимирович Потій прийшли вже на роботу до Держспецзв’язку. А разом з тим зараз сформований новий склад громадської ради - це той важливий механізм взаємодії влади з суспільством, який затверджений постановою КМУ №996. Це абсолютно зрозумілий і прозорий механізм, там є представники громадянського суспільства, які також здійснюють контроль і впливають певним чином на формування державної політики в окремих органах влади, де створені ці громадські ради.

Є третій напрямок роботи - це безпосередня взаємодія з громадськими організаціями, це і підписання меморандумів, і реальні ініціативи в рамках державно-приватного партнерства, можливо, ви чули.

- О, один такий меморандум дуже сварили, це меморандум між компанією Huawei та Україною.. Як ви це прокоментуєте?

- Як я це можу прокоментувати? Обладнання цієї компанії використовується в дуже великій кількості організацій, підприємств в рамках усієї країни - з одного боку. З іншого боку, пристрої є у величезної кількості громадян України. Наше завдання – знати, як це працює, щоб мати можливість відповідним чином захищати ці системи.

Тобто, меморандум, власне, про це. Про те, що ми маємо змогу трошки більше інформації отримувати, ніж в ситуації, коли цього формального меморандуму не було укладено.

Повертаючись до співпраці з громадським сектором: можливо, ви чули про нашу ініціативу запровадження проєктів, які можуть реалізувати громадські організації - подати на конкурс і отримати грант. Це грант невеликий. Зрозуміло, я читав про певний скепсис щодо проєктів, але це перша куля. Нам важливо пройти цей шлях, оскільки це перша така ініціатива. Справді, держава готова дати гроші на якийсь точково, можливо, невеличкий проєкт, але…

- А чого «Кіберальянс» нічого не отримує? Коли треба було, держава активно користувалася їхньою підтримкою. А сьогодні гранти виграють невідомі фірмочки.

- Якби «Кіберальянс» хотів взяти участь в громадській раді, в експертній раді чи податися на цей конкурс, будь-ласка. Це відомі, кваліфіковані фахівці. Тому ми тільки розраховуємо на максимальну співпрацю і відкриті до цієї співпраці, і зацікавлені в ній.

Завершуючи тему цих проєктів: нам важливо пройти цю процедуру, запровадити якісь проєкти і побачити їхній успіх. І далі, у разі успіху, просто нарощувати ці оберти. Тобто, можливостей для співпраці з громадським сектором є чимало. І ми щиро сподіваємося, що зможемо максимально ці можливості використати. Вкрай зацікавлені в цьому.

- Запитання про донорську допомогу з USAID. Виглядає так, що вона безнадійно скомпрометована? Чи не краще було підключати до проєктів американських платників податків, тих, кому довіряють бізнес та активісти вашої сфери? Грантова політика по-старому в Україні не спрацює, коли йдеться про таку сферу як кібербезпека. Занадто багато активних та цікавих гравців, які допомагали державі пережити важкі часи, тому просто освоєння ресурсів без експертизи та згоди всіх учасників сфери буде скандалом. Ви не згодні?

- У мене зустрічне риторичне запитання: чому, власне кажучи, цей проєкт скомпрометований?

- 38 мільйонів, невідомих сфері, мають лишати не лише паперовий слід. А вони вже набули великого резонансу…

- Про 38 мільйонів. Проєкт розрахований на 4 роки. І це загальний бюджет цього проєкту.

- Десять найвідоміших українських кіберекспертів звернулися до донора з порадою переглянути склад співвиконавців кіберпроєкту, залучивши до нього професіональні кіберкомпанії...

- Давайте тоді розберемо по поличках. Якщо мова йде про експертну раду, то люди подали туди заявки, проголосували один за одного, сформували склад експертної ради. Там є ж три групи - це бізнес, освіта і громадський сектор. І два представники з боку держави для того, щоб мати можливість безпосередньо, напряму отримувати ідеї, які виникли в результаті обговорення. Тобто, жодних обмежень тут не було.

- Але 10 гравців в сфері кібербезпеки пропонували експертизу.

- Можливо, вони зверталися до Мінцифри, навряд чи до Держспецзв’язку. Коли ми говоримо про громадянське суспільство, важливо розуміти те, що коли експертна спільнота готова йти назустріч, то і ми готові йти назустріч до всіх, але очікуємо так само на ідеї і конструктивний підхід.

Є громадські організації, які представляють різні верстви. Немає там професійного якогось відбору - ці люди нам підходять, а ті люди не підходять. Це спільнота формує самостійно. Держспецзв’язку не впливає на цей процес. Стосовно донорських проєктів. У кожного донора є свої правила. Нам дають допомогу за певними правилами. Ми не можемо диктувати ці умови.

- Але є порочна традиція, яка описана і в західних дослідженнях, про те, що є грантова економіка, де гроші розподіляються лише між своїми. І чи не є зараз шансом в Україні залучити справжній бізнес та кіберіндустрію замість того, щоб все було між своїми, як це водиться?

- Давайте говорити конкретно. Єдиний їхній проєкт, з яким співпрацює Держспецзв’язку в сфері кіберзахисту - «Кібербезпека критично важливої інфраструктури України». І якщо ми говоримо конкретно про цей проєкт, то в консорціумі, який виконує цей проєкт, є дві українські компанії. Більш того, в компанії DAI LLC, яка є головним виконавцем цього проєкту - понад 20 українських працівників. Я б не хотів бути адвокатом цих компаній. І, мені здається, було б некоректним коментувати це. Але зі свого боку ми бачимо певний процес, ми бачимо план роботи і ми бачимо конкретні дії з їхнього боку.

Приміром, частина тих етапів, які вже виконані - це розробка документів, рекомендацій щодо побудови центрів реагування на комп’ютерні інциденти. Всі ці документи базуються на міжнародних стандартах і міжнародних рекомендаціях, а експерти, які над ними працювали - вони наші громадяни. Тобто, є нормативно-правова робота, яку ми отримуємо в рамках цього проєкту.

Буквально нещодавно вони запустили дуже важливу ініціативу, ми були запрошені на цю подію. Вони відібрали 14 українських університетів, яким будуть допомагати покращити вищу освіту в галузі кібербезпеки. І як ми можемо побачити із заяв президента України, які він робив минулого тижня: покращення якості освіти у галузі кібербезпеки - це пріоритет держави.

Також ведеться робота з малим та середнім бізнесом. Минулого місяця проєкт запустив кібер-акселератор для компаній у галузі кібербезпеки. Більше того, робиться проєкт зі створення реєстру об’єктів критичної інформаційної інфраструктури. Проєкт надає технічну допомогу в розробці цього реєстру.

Сподіваємося, що ми до кінця літа отримаємо вже працюючий реєстр об’єктів критичної інформаційної інфраструктури.

- Наявність реєстру - це поступ.

- Знову таки хочу нагадати, що закону про критичну інфраструктуру ще немає. Він тільки внесений в Верховну Раду. Тобто, це паралельна робота. Ми робимо свою частину роботи, законодавці роблять свою частину роботи, інші колеги з інших суб’єктів кібербезпеки так само відповідальні за свої ділянки. Я хочу запевнити, що в цьому проєкті в тій частині, яка стосується Держспецзв’язку як реципієнта, є практичне наповнення, і наша задача - зробити так, щоб воно було максимально ефективним. У донора існують певні обмеження, є проєкти, в яких можуть надаватися тільки консультативні послуги, а є проєкти, в яких надається конкретна технічна допомога у вигляді якихось рішень.

Але, в будь-яких з проєктів міжнародної допомоги наша задача - отримати по максимуму і ініціювати подальше співробітництво. Тобто, успішність виконання цих проєктів і успішність впровадження тих рішень, які надаються за цими проєктами, і правових, і організаційних, і методичних, і технічних, вона є запорукою розвитку міжнародного співробітництва. Адже ми знаємо, що кібербезпека - це насамперед про взаємодію і про співробітництво.

- Питання від “чайника” про безпеку реєстрів. У нас же все зараз відкривається. Як людині убезпечити себе, щоб (наприклад, чорні реєстратори існують) вона одного разу не прокинулась з повідомленням, що її власність вже не її власність, або земельні паї, які вона орендувала, це вже не її земельні паї? Існують якісь упереджувальні заходи?

- Відповідальність держави полягає в тому, щоб зробити неможливим маніпуляції в реєстрах.

Коли трапляються такі випадки, це очевидна кримінальна кваліфікація. Це питання Національної поліції. Але запобігання можливостям таким, як частина державної політики, вона також в зоні відповідальності Держспецзв’язку. Ми створюємо стандарти, на базі цих стандартів будуються системи захисту. З точки зору контролю за цим процесом у нас менше важелів. Ми тільки узгоджуємо технічне завдання і реєструємо експертний висновок та атестат відповідності. Але є так само ще етап державного контролю за станом захисту державних інформаційних ресурсів, є зараз більше повноважень у Державного центру кіберзахисту щодо аудиту. Ми можемо проводити аудит і вебресурсів, приміром, без отримання згоди на це власника ресурсу. Оцінку захищеності тих чи інших ресурсів ми також здійснюємо, і ця робота тільки активізується.

- А проста людина може на реєстр встановити якийсь дзвіночок, що, якщо там щось, то тобі прийде повідомлення на пошту наприклад?

- Кожен з реєстрів може реалізувати таку функціональність. Є така штука, коли хтось шукає по тобі інформацію навіть, приходять дані. Здається, в реєстрі майнових прав така річ є. Я думаю, що це можливо.

- Пам’ятаєте, в попередні роки на кожне державне свято у нас була кібератака. Складання ЗНО - атакують мережі. День Конституції, далі - День Незалежності. А зараз наче затишшя. Тільки не кажіть, що це ви так добре периметр “Україна” захищаєте.

- Якраз тільки хотів про це сказати (сміється). Насправді, ми бачимо загальносвітову тенденцію, ми чуємо ці меседжи - і про втручання у вибори. Ми відчуваємо постійно цю небезпеку. І ті звіти про кіберінциденти, про атаки, які ми формуємо, і ті дані, які ми щоденно збираємо, вони свідчать про те, що кількість інцидентів зростає з дня в день.

І в Україні, зокрема. Ми є частина глобальної тенденції, але у нас є своя локальна історія. Ми бачимо ці всі атаки. Вони відбуваються постійно. Ну це добре, що поки що вони не призвели до якихось руйнівних наслідків, але ми весь час напоготові.

Свята - це такий небезпечний період, але, усвідомлюючи всі ці зростаючі ризики, ми не можемо сказати, що інша сторона зволікає або відпочиває. Ні, абсолютно. Весь час робляться спроби: і фішинг - розсилки, і прямі атаки-втручання свідчать про те, що активність в кіберпросторі дуже висока. Але ми так само виходимо з новими потужностями. Ми відкрили новий кіберцентр UA30, а це нові можливості, по-перше, для роботи команди, комунікаційні, нові можливості для проведення кібернавчань.

- В чому новизна центру?

- Це інша організаційна структура. Просто буде нова і техніка, і підходи, і оргструктура нова, і задачі нові. Щоб ми могли навчати, і були кіберполігонами не лише для безпекових організацій, а щоб чимбільше людей з різних державних структур могли долучатися до цих кібернавчань. Буде співпраця з донорами, виконання проєктів в рамках міжнародної технічної допомоги, кібернавчання. Це запровадження нових стандартів безпеки і вимог до захисту критичної інформаційної інфраструктури. Це оновлення стандартів КСЗІ (КСЗІ — комплексний захист інформації, сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації).

КРАЇНІ ПОРА ПОЧАТИ РОБИТИ БЕКАПИ

- Давайте поговоримо про комплексну систему захисту інформації (КСЗІ). Це, з одного боку, державний стандарт безпеки, з іншого - ваші досвідчені колеги його називають “паперовим тигром”, який вбиває творчу активність “безпечників”, містить застарілі та негнучкі вимоги, (цитую) “харчується наказами, циркулярами, перевірками, атестаціями, сертифікаціями, приписами”.

- Рік тому були внесені зміни в закон про захист інформації в інформаційно-телекомунікаційних системах, де для суттєвої частини інформаційних систем вже можна створювати систему управління інформаційною безпекою за стандартом ISO 27001 як альтернативу КСЗІ. Це не забирає у нас відповідальність за оновлення стандартів КСЗІ. Ми працюємо над цим для того, щоб якомога швидше запропонувати нові більш адаптовані для сьогодення стандарти захисту. Ми хочемо з Державним центром кіберзахисту створити сервісну організацію, яка надаватиме сервіс на кіберзахист органам державної влади. Ми ініціювали зараз великий проєкт зі створення національного центру резервування державних інформаційних ресурсів для того, щоб захищеним чином зберігати резервні копії архівів, реєстрів, баз даних та ін.

- Ви вважаєте, що це розумно?

- Є різні точки зору на цю задачу. Але мова не йде про концентрацію всіх ресурсів в одному місці. Мова йде про те, що нарешті в країні потрібно почати робити бекапи (створювати резервні копії - ред). До цього моменту резервні дата-центри кожен будував на власний розсуд, витрачаючи не завжди ефективно величезну купу бюджетних грошей. Грошей платників податків. Мова йде про те, щоб цю політику якимось чином централізувати. Централізувати захист, централізувати витрати і оптимізувати їх відповідно. Це все спрямовано на посилення кіберзахисту державних інформаційних ресурсів. Тобто, фактично ці всі напрямки роботи націлені на якомога швидшу повну імплементацію організаційно-технічної моделі кіберзахисту, яка запропонована Держспецзв’язку і, сподіваюся, буде підтримана на державному рівні, у тому числі іншими суб’єктами забезпечення кібербезпеки.

- То ви виженете “паперового тигра”, як називали ваші колеги КСЗІ?

- Чудове питання. Про паперового тигра. Я більше сотні проєктів КСЗІ реалізував, я протягом 17 років створював КСЗІ. Розумію цей процес зсередини і бачив різні системи. І різні КСЗІ, і різні інформаційні системи в органах державної влади, на які вони створювалися. КСЗІ це інструмент, яким може користуватися майстер - як Мікеланджело створити «Давида», а може просто зіпсувати матеріал. Залежить від багатьох факторів. Успішність цих проєктів залежить від вимог замовника, бюджетів, майстерності його виконавця, від часу врешті-решт. Тобто, є приклади успішних і працюючих КСЗІ. Більше того, якщо повернутися до атаки «NotPetya» у 2017 році, можливо, непопулярна думка, але я її озвучу: ресурси, в яких була створена КСЗІ, від «NotPetya» не постраждали. Чи може це свідчити про ефективність КСЗІ? Дискусійне питання. Але факт цей не можна відкинути.

Можна взяти цей інструмент і створити адекватну надійну систему захисту. А можна нічого не створити, а роздрукувати стос паперів і просто поставити печатки. Тому якраз в сфері відповідальності Держспецзв’язку - не пропускати очевидний мотлох.

І мушу визнати, протягом останніх 5-7 років ця робота значно посилена. Перші нормативні вимоги щодо КСЗІ з’явилися понад двадцять років тому, зараз продовжують виходити нові нормативні документи. Ця система еволюціонує так, як я вже сказав. Ми працюємо над тим, щоб її змінити. Але можна взяти і на існуючій базі збудувати абсолютно достойні системи, які справляються зі своїми задачами. І на цей момент - це єдиний доступний механізм разом з системою управління інформаційною безпекою, яким можна захистити державні інформаційні ресурси. Можу ще раз зауважити: наявність КСЗІ краще, ніж її відсутність. А як вона реалізована - це питання реалізації.

- А в принципі як ви оцінюєте поступ діджиталізації в цілому?

- Цифровізація ж має мету. Це можливість для громадян отримання якомога більше послуг від держави дистанційно в електронному вигляді. І це стимул для розвитку економіки. Ми всі бачимо світові тренди. Якщо Україна хоче бачити себе серед успішних розвинених країн, вона повинна інвестувати в високі технології, освіту, сфери, що покращують якість життя громадян. І тут, безумовно, присутні цифрові технології. Це шлях, з якого важко звернути. Можна тільки докласти зусиль для того, щоб пришвидшити торування цим шляхом.

А якщо говорити про поступ у плані кібербезпеки, то ми зацікавлені в обміні досвідом, в спільних навчаннях, в практичній взаємодії з іншими країнами. Ми готові активно взаємодіяти та долучатися до міжнародних проєктів.

Кілька днів тому президент США Джо Байден оголосив запуск проєкту «CYBER FLAG 21-1». Це проєкт створення системи колективної безпеки у кіберпросторі. Станом на сьогодні залучаються США, Велика Британія, Франція, Данія та Естонія. Це те, що називають кіберНАТО. Мені не дуже подобається саме цей термін, але ми працюватимемо над самою ідеєю вступу до цього альянсу. Тож хто знає, може, в кіберНАТО будемо швидше, ніж в реальному.

Лана Самохвалова, Київ

Фото: Володимир Тарасов