Плюсы и минусы первой стратегии киберзащиты Украины
Не прошло и двух лет, как президент все-таки утвердил стратегию кибербезопасности Украины. Примерно сколько времени понадобилось на окончательное согласование текста указа. Через два месяца Кабмин совместно с СБУ и внешней разведкой обязаны утвердить план создания системы защиты государства от киберугроз. При СНБО появится национальный координационный центр кибербезопасности - сердце принятия стратегических решений.
"Пять лет мы пытались что-то сделать, боролись с ветряными мельницами и тут - свершилось хоть что-то! Сам факт того, что хотя бы какой-то шаг сделан - это уже хорошо...", - восклицает генеральный директор CYS-Centrum Николай Коваль. Его компания - первый частный центр реагирования на компьютерные чрезвычайные происшествия (CERT), который появился несколько месяцев назад. Аналогичный государственный центр (CERT -UA) уже не справлялся с отработкой всех киберугроз в одиночку.
Электрический мотиватор
В указе сказано, что агрессия России до сих пор продолжается и потому принятие мер по усилению обороны в этой сфере является безотлагательной задачей. Очевидно, что аппарат президента заставили зашевелиться последние события, которые уже успел обсудить весь мир. В декабре в ходе кибератаки на три облэнерго были временно обесточены 220 000 украинских потребителей электроэнергии. Наиболее достоверной выглядит версия о российском следе в этой атаке. Выяснилось, что и другие стратегические предприятия могут быть заражены компьютерным вирусом BlackEnergy. В их числе АЭС, аэропорты, ЖД-системы и прочие важные объекты.
Читайте также: Российские хакеры оставили без света Прикарпатье. Кто следующий?
Хакеры застали Украину врасплох. Страна предстала перед серьезной внешней угрозой. Но возможностей обороняться у нее практически нет. Даже функция мониторинга угроз организована настолько слабо, что стратегически решения можно принимать уже постфактум - спустя некоторое время после заражения вредоносным софтом критически важных объектов инфраструктуры.
Что же представляет собой закон президента? Это пока всего лишь перечень направлений, куда госорганы должны двигаться, чтобы обезопасить страну от новых ударов.
ЛІГА.net проанализировала эти направления. Некоторые из них вполне доступно истолкованы и в принципе подразумевают исключительно позитивный эффект. Но есть и довольно мутные директивы.
Начнем с хорошего
1. Наконец-то в еще не составленном алфавите кибербезопасности появится буква "А". Президент распорядился сформировать и обеспечить функционирование госреестра объектов критической информационной инфраструктуры. Более того, ее собственников обяжут создать специальные подразделения аттестованных специалистов по IT-безопасности. На практике это будет означать следующее: если вдруг еще какое-нибудь облэнерго будет заражено вирусом, то внутренний специалист обязан будет оперативно выявить угрозу. Сейчас же специалисты необходимой квалификации есть далеко не на всех критически важных для страны объектах. В первую очередь это касается уязвимых систем в ТЭК и транспорте.
2. Если в Госспецсвязи, СБУ и полиции подразделения по кибербезопасности и киберпреступности в том или ином виде уже существуют и даже усовершенствуются (например, создается киберполиция), то в Вооруженных Силах это пока большой пробел. В указе упоминается, что должно появиться единое подразделение по обеспечению киберзащиты и в ВСУ. Причем не только на стратегическом уровне, но и на оперативном, тактическом. Более того, впервые говорится о таком понятии, как активная киберзащита - ответные действия на агрессию противника. Или, другими словами, организация ответной кибератаки. Неизвестно, как это будет реализовано на практике (ведение таких военных кибердействий требует серьезной подготовки и инвестиций), но по крайней мере намерение описывается верно.
Читайте также IT-cпецагенты: кого и как отобрали в украинскую киберполицию
3. Компании, которые находятся под контролем государства-агрессора (определяется Верховной Радой), к мероприятиям по киберзащите допускаться не будут. Такая же норма будет касаться и лиц, в отношении которых действуют санкции. У таких субъектов государство не будет закупать технологии, продукцию по информбезопасности. Президент уже вводил подобные персональные санкции в сентябре. Но касались они только нескольких компаний - российских антивирусников Лаборатория Касперского и Доктор Веб. В 2014 году непосредственно перед выборами был случай, когда якобы антивирус Касперского в ЦВК почему-то не отреагировал на вирус. Эта ошибка чуть было не стоила базы избирателей. Была угроза срыва выборов.
4. В конечном итоге за кибербезопасность в финансовой сфере будет отвечать и Нацбанк. Он сформирует собственные требования к банкам и прочим субъектам финансового рынка. Кибербезопасность электронных платежных систем - это действительно вызов. Сейчас банки зачастую ставят жесткие лимиты на платежи в интернете владельцам пластиковых карт. А если пользователь хочет больше операций - ему временно снимают ограничения на его страх и риск. О чем даже предупреждают по телефону. Довольно странно, что банк пытается снять с себя ответственность в таких случаях.
Сомнительных норм или не совсем понятных инициатив тоже предостаточно
1. Чего только стоит перспектива "большой стройки" под лозунгами нацобороны и агрессии врага. Так, в указ зашита необходимость создания национальной телеком-сети для госорганов. С этой идеей чиновники разных уровней и правительств носятся уже который год. Последний раз она всплыла в начале 2015 года, когда Госспецсвязи вынесла на Кабмин проект создания защищенного мобильного оператора для чиновников. Как рассказывали тогда представители ведомства, премьер-министр Арсений Яценюк якобы пообещал отыскать на эти цели $20 млн грантовых средств. Использование бюджетных средств в каком-то объеме тогда тоже предполагалось. Далеко этот проект тогда не зашел. Но, как рассказал недавно ЛІГА.net собеседник в одном из госпредпрятий в сфере связи, в этом году снова всплыла идея о том, чтобы создать телеком-сеть на базе Госспецсвязи и освоить бюджет в сумме около 1,5 млрд грн. Часть инфраструктуры (магистральные каналы) должен передать ведомству на баланс Укртелеком (еще согласно условиям его приватизации). "17 февраля этого года было рекомендовано ускорить передачу сети и обеспечить ее передачу в течение месяца", - сообщили ЛІГА.net в пресс-службе Укртелекома.
Читайте также Чиновник времен Януковича купил дата-центр под Верховной Радой
Сама по себе идея такой стройки в принципе правильная. Чиновники не должны пользоваться телекоммуникациями времен Сталина. Это просто неэффективно. А высокопоставленных лиц нужно обезопасить от прослушки на сетях мобильных операторов, собственниками которых являются иностранные компании. Но дело опять-таки за исполнением. По факту государство должно собственными силами создать крупную высокотехнологичную компанию, которая должна к тому же обеспечивать безопасность и надежность коммуникаций. В США, где на безопасность государства выделяются сотни миллиардов долларов, появление такой структуры можно себе представить. В Украине же пока слабо верится. Поэтому, вполне возможно, действительно суперважный проект - это утопия. К сожалению.
2. Чтобы обезопасить госданные от кибератак, важно гарантировать не только их передачу, но и хранение. В указе президента предусмотрено создание дата-центра резервного хранения госданных и электронных ресурсов. Но ситуация здесь примерно такая же, что и с сетью. Государство взваливает на себя функцию хостинг-провайдера. Кстати, во времена прежней власти ее примеряли на себя люди из окружения Виктора Януковича. Недалеко от Верховной Рады был создан крупнейший в Украине дата-центр Парковый (оценивается участниками рынка в $25-50 млн), который был призван обеспечить потребности в хранении и обработке данных госведомств и госкомпаний. По оценкам конкурентов, первый государственный клиент Паркового (Укрпочта) сильно переплачивал за услуги. Но вариант, при котором государство само будет строить дата-центр (или управлять им), еще более рискованный. Скорее всего, появится второй Парковый. Такой же дорогой, но менее надежный.
Читайте также Расследование кибератаки на Украину: как вирус сломал облэнерго
Заместитель главы АП Дмитрий Шимкив вообще был идеологом идеи завести данные госресурсов в облако (G-cloud). Что было бы в десятки раз дешевле, чем покупать и обновлять физические сервера. Вполне возможно, что это даже было бы облачное решение Microsoft, украинским подразделением которого Шимкив ранее руководил. Но, как рассказывает ЛІГА.net экс-глава Госспецсвязи Владимир Зверев, у такого плана есть и оппозиция в правительстве. В частности, сам он, еще будучи на должности в прошлом году, выступал против того, чтобы все без исключения данные государства хранились в облаке за пределами страны. Сейчас позиция Зверева не поменялась. Хотя он признает, что мировые тенденции все-таки говорят в пользу облачных решений.
3. Есть в указе пункт, который может создать большие хлопоты интернет-провайдерам. Предполагается, что государство обяжет операторов и провайдеров по указанию спецслужб фиксировать и хранить данные о трафике своих клиентов. Если крупные мобильные операторы с процессом снятия информации (телефонных разговоров, СМС) с каналов связи по запросу правоохранителей уже знакомы и необходимое оборудование у них имеется, то для интернет-провайдеров это станет неприятным известием. "Проблема в том, что трафик считается сотнями гигабит в секунду. Даже если писать не весь трафик, то для этого нужно пропустить весь поток через что-то умное", - предполагает директор Контент Деливери Нетворк (Триолан) Вадим Сидоренко. Для небольших компаний будет накладно и небезопасно (пропускать весь трафик через одну точку).
Читайте также Apple против спецагентов ФБР: битва за персональные данные
"Наделяя спецслужбы инструментами оперативного доступа к компьютерным данным абонентов (в частности, истории пользования сетевыми ресурсами), необходимо защитить право граждан на личную жизнь", - сообщают в пресс-службе Укртелекома. Примеры реализации уже существуют. Например, в случае с доступом к персональным данным абонентов - только по решению суда. По мнению представителей Укртелекома, нужно будет также четко разграничить зоны ответственности операторов и спецслужб по организации фиксации и сохранения таких данных, чтобы не вовлекать сотрудников их компаний непосредственно в такие мероприятия. Поэтому крайне важно, как Кабмин будет интерпретировать требование по "прослушке" интернета в последующих нормативных актах.