13-те засідання МЕРГ з питань протидії загрозам розповсюдження зброї та матеріалів масового знищення

Поділитися:

11 березня 2014 року у приміщенні Національного інституту стратегічних досліджень (вул. Пирогова, 7-а) відбулося тринадцяте засідання створеної при Інституті Міжвідомчої експертної робочої групи (МЕРГ) з питань протидії загрозам розповсюдження зброї та матеріалів масового знищення, а також пов’язаних з ними терористичних загроз і захисту критично важливої для забезпечення життєдіяльності держави інфраструктури.

 

Перше в цьому році засідання МЕРГ було присвячено темі «Кібербезпека критичної інфраструктури: досягнення балансу інтересів громадянина, суспільства та держави». Захід було організовано спільно з такими громадськими організаціями, як «Ліга протидії кібертероризму та інформаційним війнам» та «Інститут міжнародних досліджень Української академії наук».

 

Порядок денний засідання.

 

UchastУ вступному слові головуючий на засіданні заступник керівника МЕРГ, завідувач відділу екологічної та техногенної безпеки НІСД Ю.М. Скалецький відзначив значущість сучасних інформаційних технологій для розвитку всіх сфер людської діяльності, які дозволили сформувати глобальний інформаційних простір, відкрили нові можливості для науки й техніки, надійного функціонування промислових об’єктів, підняли на якісно новий рівень здійснення державного урядування. Але, як підкреслив доповідач, за перевагами нових технологій «як нитка за голкою» тягнуться й нові небезпеки.

 

На його думку, особливе значення це набуває для об’єктів так званої критичної інфраструктури, припинення функціонування яких викличе найсуттєвіші негативні наслідки для національної безпеки держави. Скалецький Ю.М. нагадав про те, що нині питанням забезпечення кібербезпеки критичної інфраструктури приділяється значна увага урядів та профільних відомств провідних країн світу. Так у лютому 2013 р. були прийняті Стратегія кібербезпеки ЄС та розпорядження президента США №13636 щодо підвищення кібербезпеки критичної інфраструктури, а протягом 2013 р. – стратегії кібербезпеки в таких європейських країнах як Австрія, Фінляндія, Іспанія, Польща, Нідерланди, Угорщина й Туреччина. Проект подібного стратегічного документа для України було підготовлено й фахівцями НІСД. Ю.М.Скалецький наголосив на тому, що «зважаючи на ситуацію щодо забезпечення кібербезпеки в Україні та враховуючи загальносвітові тенденції та досвід провідних країн світу, ми все більше переконуємось в тому, що визначення напрямів та шляхів вдосконалення державної політики в сфері кібербезпеки, є питанням, яке назріло».

 

Однак ефективність забезпечення кібербезпеки об’єктів критичної інфраструктури значною мірою залежить від того, чи враховані інтереси основних учасників цього процесу:

- окремої людини та суспільства в цілому, що є споживачами послуг, які надають об’єкти критичної інфраструктури;

- приватних компаній, у власності яких нині перебуває значна частка таких об’єктів;

- держави.

 

UchastЯк досягти такого балансу інтересів, що показує досвід провідних країн світу, які кроки має здійснювати великий бізнес та які зміни в діяльності профільних відомств він очікує? Відповідаючи на окреслене коло питань, слід чи не в першу чергу  згадати про механізми державно-приватного партнерства в сфері безпеки, які працюють в провідних країнах світу, але, на жаль, в Україні залишаються досі на рівні теоретичних напрацювань. Це питання в своїй доповіді розглянула фахівець з Національної академії СБ України, Панченко Валентина Миколаївна.

 

Презентація.

 

Підтверджуючи тезу про необхідність взаємодії між приватним сектором та державними органами в сфері кібербезпеки Панченко В.М. виокремила такі дві причини: по-перше, взаємопов’язаність інфраструктури державного і приватного секторів, і, по-друге, приватизація багатьох та створення нових життєво важливих для функціонування суспільства і держави об’єктів, що перебувають у приватній власності. Таким чином, резюмує доповідач, державні органи не можуть самотужки гарантувати повноту кібербезпеки таких об’єктів взаємодії з операторами об’єктів.

 

З-поміж «проблем взаємодії» Панченко В.М. називає ризик розкриття комерційної таємниці, можливий негативний влив інформації про інциденти на імідж відповідної компанії, недостатність засобів впливу задля здійснення заходів із забезпечення кібербезпеки у державних органів, з одного боку, а з іншого, відсутність механізму «зворотного зв’язку» від приватного сектору до профільних відомств.

 

У своїй доповіді Панченко В.М. детально розглянула досвід Великої Британії, де створені команди реагування на комп’ютерні інциденти різних рівнів, зокрема при Центрі захисту критичної інфраструктури (CPNI CERT), та консультаційні пункти (WARP - Warning, Advice, and Reporting Point), які забезпечують зв'язок між приватними компаніями (операторами критичної інфраструктури) та державними органами. Консультативні пункти збирають інформацію про інциденти, аналізують та поширюють серед своєї спільноти, а також надають фахові консультації з організації кібербезпеки підприємств незалежно від їх форми власності.

 

Обмін інформацією щодо кібератак у Великій Британії здійснюється відповідно до положень і правил, які прописані в так званій Моделі обміну інформацією (Information Exchange Model). Всі дані про кібератаки, якими обмінюються учасники робочих груп, утворених за підтримки Центру захисту критичної інфраструктури, можуть бути застосовані в подальшій роботі, проте без уточнення назв об’єктів та компаній, на які здійснювалися кібератаки.

 

Не був забутим і досвід інших країн. Зокрема Франції, в якій на законодавчому рівні визначений перелік секторів критичної інфраструктури. В кожному секторі визначені провідні установи (оператори критичної інфраструктури), які забезпечують захист об’єктів, здійснюють планування безпекових процедур, надають зразки документації щодо заходів із забезпечення безпеки тощо.

 

В останній частині свого виступу Панченко В.М. сформулювала ті завдання, які на її думку потребують першочергового виконання в сфері забезпечення кібербезпеки в Україні. До таких завдань доповідач віднесла: визначення переліку об’єктів критичної інфраструктури, нормативне уточнення функціональних завдань відомств в сфері забезпечення кібербезпеки, створення координуючого центру та механізмів обміну інформацією, вдосконалення засобів та заходів із забезпечення кібербезпеки окремих об’єктів з врахуванням їхньої належності до секторів критичної інфраструктури.

 

В другій доповіді, яка була представлена на засіданні, розглядалася проблематика кібербезпеки об’єктів критичної інфраструктури з точки зору громадських організацій та експертного співтовариства. Цю доповідь представив Когут Юрій Іванович, голова правління «Ліги протидії кібертероризму та інформаційним війнам».

 

Доповідач зауважив про те, що 20 років назад інформаційна безпека держави розглядалася здебільшого як технічний захист інформації на певних об’єктах, установах, підприємствах. Тобто будувалася система технічного захисту інформації, що мала обмежений доступ чи гриф «таємно», був утворений окремий орган - інспекція. Другим елементом системи, її підсистемою, став захист державної таємниці. Але проблему інформаційної безпеки та інформаційних війн, з якою ми стикаємось нині, на жаль, тоді не бачили.

 

Підходячи до вирішення проблеми забезпечення кібербезпеки України, слід спочатку здійснити етап «позиціонування», тобто визначення «де знаходиться наша держава». Так, Україна, на думку доповідача, належить до четвертої вагової категорії країн, в яких відсутня чітка система забезпечення кібербезпеки, ця система не будується, і на рівні держави такі питання не вирішувалися протягом останніх років.

На прикладі захисту персональних даних пан Ю.І.Когут продемонстрував різні аспекти інформаційної безпеки держави.

 

Бази персональних даних розглядалися відповідним відомством здебільшого як об’єкт, що потребує реєстрації та додержання встановлених вимог до їх збереження, в той час як іноземні розвідки бачили в них джерело, що надає широкі можливості ведення інформаційної війни проти нашої держави.

 

Беззаперечно, розробка і затвердження відповідних державних та галузевих стандартів є важливим елементом забезпечення кібербезпеки. Цей напрям є досить перспективним, по-перше, через вагоме значення стандартів на підвищення кібернетичної безпеки, і, по-друге, через значне відставання вітчизняної нормативно-регулятивної бази з цих питань.

 

Серйозні напрацювання з цього питання є в Інституті спеціального зв’язку та захисту інформації, і з доповіддю від цієї установи виступив Безштанько Віталій Михайлович.

 

UchastОсновна частина доповіді Безштанька В.М. була присвячена структурі та змісту стандартів серії ISO 27000, їх поступового розвитку, а також можливостям впровадження таких стандартів в Україні.

 

Нині серія стандартів ISO 27000 налічує більше 30 документів, які умовно можна розділити на основні, що висувають певні вимоги до кібербезпеки об’єктів, та ті, що містять визначення термінів для даної сфери безпеки. Доповідач більш детально зупинився на таких:

- стандарт ISO 27010 (прийнятий в 2010 р.), який регламентує порядок обміну інформацією щодо кіберзагроз між державними органами та приватними підприємствами;

- стандарт ISO 27032 (прийнятий в 2012 р.), в якому визначені 53 терміна для сфери кібербезпеки;

- стандарти ISO 27037, ISO 27038, ISO 27041-ISO 27043, які регламентують процедури збору, отримання та збереження «цифрових свідчень», тобто даних про кібернетичні інциденти.

 

Також Безштанька В.М. нагадав про проблеми визначення термінів в національному законодавстві для сфери кібербезпеки, законопроекти, в яких пропонувалися визначення «кібербезпека» та «кіберпростір», а також прокоментував недоліки згаданих визначень в порівнянні з відповідними визначеннями, що надають стандарти серії ISO 27000.

 

На думку Безштанька В.М., для підвищення рівня захищеності об’єктів критичної інфраструктури України від кібератак необхідно:

- по-перше, розбити із залучення широкого кола професійних фахівців та прийняти у встановленому законодавством порядку Стратегію кібернетичної безпеки;

- по-друге, організувати «міжвідомчий центр компетенції в сфері кібербезпеки промислових підприємств і об’єктів критичної інфраструктури»;

- по-третє, створити умови для взаємодії експертів з кібербезпеки шляхом створення робочої експертної групи з відповідними повноваженнями; передостаннє – організувати позавідомчий механізм моніторингу кіберзагроз;

- і останнє, але теж важливе, уточнити паспорти спеціальностей для підготовки спеціалістів у ВНЗ за напрямом «кібернетична безпека».

 

Презентація.

 

З огляду на високу актуальність тематики, широкий круг фахівців та експертів, які були запрошені для участі в засіданні, левова частина часу була відведена для загальної дискусії та обговорення проекту рекомендацій.

 

Черноног Олександр Олександрович (старший офіцер Генерального штабу Збройних Сил України) розповів про сьогоденні проблеми в сфері кібербезпеки, з якими зіткнулися Збройні Сили України. За даними Генерального штабу ЗСУ воєнні об’єкти та інформаційна інфраструктура відчувають значний вплив кібератак. На його думку, ускладнений механізм взаємодії між МО, СБУ, Держспецзв’язком та іншими відомствами негативно впливає на ефективність та здатність протидіяти кібератакам на воєнні об’єкти. Нині, - підкреслив представник Генерального штабу, - ЗСУ забезпечують кібербезпеку воєнних об’єктів виключно власними силами, підрозділами, які тільки створюються, і здійснюється це в умовах жорсткої обмеженості ресурсів.

 

Кондратов Сергій Іванович (старший науковий співробітник, НІСД) зауважив на тому, що адаптація міжнародних стандартів і введення відповідних державних стандартів є, може не дуже помітною, але теж важливою частиною процесу інтеграції нашої країни у світові безпекові структури.

 

UchastКандауров Сергій Миколайович (директор Інституту міжнародних досліджень Української академії наук) звернув увагу учасників засідання на необхідності відновлення роботи міжвідомчої комісії з питань інформаційної безпеки при РНБОУ, в яку входитимуть представники відомств, що обіймають відповідні керівні посади і мають повноваження приймати рішення щодо подальшого розвитку національної системи кібербезпеки та її функціонування. Робота такої комісії, на думку пана С.М.Кандаурова, надасть можливість покращити міжвідомчу взаємодію.

 

Гордієнко Сергій Георгійович (завідувач кафедри Європейського університету) висловив свої сподівання на появу «політичної волі» до вирішення завдань забезпечення кібербезпеки в Україні в нинішній період воєнно-політичної напруги. Він проілюстрував на прикладі захисту прав інтелектуальної власності широкий спектр проблем кібербезпеки та окреслив коло організаційних та правових проблем її забезпечення.

 

Панченко Валентина Миколаївна нагадала учасникам засідання про останні спроби внесення в національне законодавство поправок, що мали розмежувати повноважень  МВС та СБ України щодо розслідування спроб несанкціонованого порушення функціонування об’єктів критичної інформаційної інфраструктури. Вона також зауважила на необхідності створення веб-порталів, які б інформували широке коло користувачів інформаційних технологій про сучасні кіберзагрози та засоби протидії ним.

 

Бірюков Дмитро Сергійович (головний консультант, НІСД) наголосив на двох проблемах формування системи захисту критичної інфраструктури в Україні. По-перше, він відзначив те, що концепція критичної інфраструктури сприймається багатьма спеціалістами в галузі національної безпеки як нова системна концепція побудови взагалі всієї системи забезпечення національної безпеки (на даному засіданні МЕРГ розглядався лише один з різновидів загроз – кібернетичні); по-друге, створення переліку об’єктів критичної інфраструктури є вкрай нетривіальним завданням, оскільки існуючі на сьогодні інтегральні показники за окремими складниками національної безпеки не надають можливості визначити окремі об’єкти, і, відповідно, віднести їх до переліку критичної інфраструктури.

 

Наприкінці засідання, у ході загальної дискусії, члени групи обмінялися думками щодо проекту рекомендацій. Було ухвалено загальне рішення про те, що ці рекомендації будуть доопрацьовані членами МЕРГ в режимі обміну електронними листами.