"Питання створення "Огляду сектору кібербезпеки України"". Аналітична записка

Поділитися:

Починаючи з 2010-2011 років органи державної влади України здійснили декілька спроб реформувати (через прийняття комплексного профільного нормативно-правового документу) механізми забезпечення кібербезпеки держави.

 

Одним із завдань  цього процесу було утворення замість переважною мірою ситуативних відносин між структурами, що забезпечують кібербезпеку, чіткої та зрозумілої системи їх взаємодії. Це мало уможливити створення «національної системи кібербезпеки України» (відповідне завдання було поставлено, зокрема, в Стратегії національної безпеки України в редакції від 2013 року).

Крім профільного закону, починаючи з 2012 року відповідно до міжнародних практик розробляється і Стратегія забезпечення кібербезпеки України, яка має визначити ключові засади забезпечення кібербезпеки, пріоритети та основні етапи розвитку кібербезпекового сектору, тоді як предметом профільного закону є саме система кібернетичної безпеки.

 

Результатом відповідних зусиль органів державної влади та наукових установ стала підготовка проекту «Стратегії забезпечення кібернетичної безпеки України» та проекту Закону «Про основні засади забезпечення кібербезпеки України»[1] (відповідальна структура – Держспецзв’язок).

 

Реальна ситуація, що склалася у сфері кібербезпеки України є такою: кібернетичні атаки на інформаційні ресурси держави стали невід’ємним компонентом гібридної війни, що її розв’язала Росія. Згідно з даними компанії Lookingglass Cyber Solutions[2] починаючи з середини 2013 року російські безпекові органи проводять масштабну кібероперацію «Армагедон», метою якої є отримання даних про плани та оцінки українських органів державної влади щодо розвитку конфлікту на Сході України та дій владних структур у зв’язку з цим.

 

Інша загрозлива ситуація пов’язана із функціонуванням ботнету GameOver Zeus (реально – мережа з 27 окремих ботнетів), що використовувався злочинною організацією Business Club з метою крадіжок з банківських рахунків, генерації BitCoin та DDoS-атак. За даними ФБР, що були оприлюднені[3] під час останньої конференції Black Hat, зокрема ботнети використовувалися з метою шпигунства за Грузією, Україною та Туреччиною одним з очільників угрупування – росіянином Євгеном Богачовим. Вірусна програма була сконфігурована таким чином, щоб шукати у зараженій системі документи з певними словосполученнями, наприклад «втаємничено урядом». Можна припустити, що відповідну діяльність він здійснював на замовлення російських органів безпеки.

 

Крім того стало відомо, що італійська компанія Hacking Team, яка спеціалізується на розробці «наступальних» (offensive) програмних продуктів, а також таких, що можуть використовуватись для стеження за користувачами, співпрацювала з ФСБ РФ. Остання виявила[4] зацікавленість у продуктах компанії, що дозволяють отримувати доступ до пристроїв фірми Apple, а також мобільних пристроїв. Є підтвердження, що Hacking Team таки продавала свої програмні продукти ФСБ РФ. Зважаючи на те, що Україна знаходиться в стані неоголошеної війни з РФ можна очікувати, що зазначені програмні комплекси будуть застосовуватись і проти України.

 

Таким чином проблема зростання кіберзагроз стає вкрай актуальною та для свого розв’язання потребує ефективних заходів з оптимізації системи кібербезпеки держави.

Не можна не відмітити, що всі спроби змін та реформування моделі забезпечення кібербезпеки держави здійснюються в умовах майже цілковитої закритості даних про стан кібербезпекового сектору загалом. Навіть із врахуванням особливостей втаємничення процесів планування в секторі безпеки і оборони, ступінь закритості в кібербезпековій сфері залишається надзвичайно високим.

 

Понад те, стан закритості спостерігається не лише щодо інформування суспільства та фахівців, але й для самих суб’єктів забезпечення кібербезпеки держави. Держава часто опиняється в стані, коли достеменно не знає яким ресурсом володіє і які можливості мають її органи. Це унеможливлює побудову дійсно цілісної та ефективної системи кібербезпеки держави, що складається як з захисних, так і наступальних систем та засобів.

 

Окремі данні щодо стану кібербезпеки держави оприлюднюються лише CERT-UA, а в деяких випадках – СБУ та МВС (у вигляді повідомлень про затримання тих чи інших зловмисників). Інша статистична інформація майже відсутня або надається за окремими запитами.

 

Можна констатувати, що до останнього часу проблеми сфери кібербезпеки, а також пошук шляхів їх вирішення, базувався не на цілісному та методологічно  правильно проведеному огляді стану та проблем сфери, а більшою мірою ґрунтувався на суб’єктивному сприйнятті окремих фахівців сектору кібербезпеки України про її стан та перспективи.

 

При цьому, якщо Україна як і більшість держав світу, фактично визнає кіберпростір черговим простором суперництва (в тому числі – військового), то до планування діяльності держави в ньому доцільно застосовувати ті ж самі підходи, що і до військової сфери.

 

Все це обумовлює необхідність проведення огляду сектору кібербезпеки України, який із залученням всіх зацікавлених сторін має дати відповіді на питання про стан кібербезпекової сфери України, її реального ресурсного потенціалу, а також щодо шляхів оптимізації кібербезпекового сектору, результати якого мають бути зафіксовані у відповідному документі («Огляд сектору кібербезпеки України»). Схожим шляхом йшли і США, коли в 2009 році було підготовлено аналогічний за змістом документ «Огляд кіберполітики США» («Cyber Policy Review»).

 

В умовах більш ніж закритої та фактично децентралізованої системи забезпечення кібербезпеки держави Україна об’єктивно потребує проведення такого огляду сектору кібербезпеки й за його результатами формування відповідного документу[5], де визначатиметься:

1. Ступінь розвитку та основні загрози в сфері кібербезпеки.

Це аналіз загроз не лише на національному, а і на міжнародному рівні. Фактично цей розділ – це принципове бачення авторів Огляду того кібербезпекового середовища, в якому держава має вирішувати свої завдання із захисту національних інтересів. Він же визначає ті ключові параметри, що впливають на завдання, які стоять перед Україною в сфері оптимізації власної кібербезпекової системи.

2. Визначення сил, які потрібно залучити для вирішення завдань протидії виявленим загрозам та негативним сценаріям розвитку.

Принаймні загальна (теоретична) оцінка тих сил, які знадобляться державі для ефективної протидії ключовим викликам, виявленим у першому розділі. Цей розділ може бути частково «закритим» (в частині, що стосується кількісних показників), однак відповідні дані повинні стати доступними тим фахівцям з кібербезпекових питань, що мають необхідний рівень допуску до державної таємниці.

3. Оцінка наявних можливостей сектору безпеки щодо протидії виявленим загрозам та негативним сценаріям розвитку.

Важлива складова, що може мати як відкриту, так і закриту частину. Відкрита частина більшою мірою може вказувати на ті публічні відомості про стан органів сектору безпеки і оборони що задіяні в процесі захисту кібернетичного простору держави. Водночас закрита частина має містити цілісні інформацію про структуру цих органів, їх склад, дані аудиту їх потенціалу, основні проблеми.

4. Аналіз стану кадрового, фінансового, матеріально-технічного та інших видів забезпечення органів сектору безпеки.

Критично важливий розділ. Однак якщо оцінка наявних можливостей переважно зосереджена на організаційних та інституційних можливостях, то в цьому розділі йтиметься про  технічні та фінансові ресурси, завдяки яким органи сектору кібербезпеки можуть виконувати покладені на них завдання.

Крім того, цей же розділ має дати відповіді на питання: якими є відносини державних суб’єктів сектору кібербезпеки із недержавним сектором.

5. Формування оптимальної моделі забезпечення завдань убезпечення кіберпростору з урахуванням реальних можливостей та ресурсів.

На основі  аналізу попередніх пунктів доцільно сформувати найбільш  функціональні моделі забезпечення кібербезпеки держави, ключові пріоритети та завдання розвитку.

6. Визначення найбільш перспективних альтернативних стратегій досягнення поставлених завдань.

Розуміючи, що суспільно-економічне середовище надзвичайно динамічне мають бути запропоновані і альтернативні стратегії досягнення ключових цілей. В тому числі, як за умов збільшення фінансування та ресурсів, так і при їх зменшенні чи взагалі в умовах воєнного часу.

 

Відповідний Огляд доцільно включити в ширший формат кібербезпекового планування та реалізації завдань із розбудови сектору кібербезпеки.

З огляду на те, що проект Стратегії кібернетичної безпеки України (та етапів її реалізації) вже напрацьовано та погоджено відомствами, оптимально зробити Огляд невід’ємною складовою виконання Стратегії на кожному з етапів її реалізації. При цьому Огляд буде виконувати подвійну функцію: стане джерелом якісного аналізу кібербезпекового сектору України та своєрідним звітом про ефективність реалізації Стратегії та тих змін, які відбуваються в кібербезпековому середовищі України.

 

Слід розуміти, що важливою особливістю кіберпростору є його висока динамічність та мінливість загроз. Це обумовлює неможливість створення Стратегій, які б охопили періоди більші, ніж 3-5, а реально – до двох років. Відповідно щонайменше кожні два роки Стратегія забезпечення кібербезпеки України буде потребувати корегування відповідно до нових викликів та загроз, а також змін у геополітичному безпековому середовищі. Таким чином, процес перегляду Стратегій має бути тісно взаємопов’язаний із системною роботою над щорічними або дворічними Оглядами.

 

Швидше за все такий Огляд буде мати дві компоненти: відкриту та закриту частини. Необхідність другої складової пов’язано з загальним місцем кібербезпекової проблематики в системі національної безпеки держави та оцінками реального стану та можливостей українських безпекових відомств протидіяти кібратакам супротивників чи проводити власні спеціальні операції в кіберпросторі. В багатьох випадках розголошення таких даних дійсно може призвести до послаблення можливостей ефективного використання кіберпростору в національних інтересах.

 

Водночас переважна більшість документу має бути відкритою, а майже на всіх етапах його складання доцільно залучати до цього процесу наукові установи та неурядові організації профільного спрямування. З огляду на те, що значна кількість критично важливих для держави об’єктів інформаційної інфраструктури належить бізнес структурам, відповідно формування такого Огляду не може відбуватись без його представників. Таким чином, зазначений Огляд має формуватись не лише органами державної влади (хоча їх позиція в ньому буде об’єктивно домінуючою), однак за активного залучення приватних структур та громадських організацій основним профілем діяльності яких є проблематика кібербезпеки та захисту інформаційних систем.

 

Організаційно проведення огляду доцільно здійснювати на двох основних майданчиках – Апарат РНБО України та НІСД. Перший має необхідні можливості збору та узагальнення даних з основних органів державної влади та ключових суб’єктів кібербезпеки держави. НІСД може виступити майданчиком для обговорень зазначених питань з боку науковців, громадських організацій та приватних структур.

 

Ще одним варіантом (який апелює до практик США у підготовці схожих документів, зокрема вже згаданого вище Cyber Policy Review) є оприлюднення окремим пакетом документів всіх пропозицій, які були надані зовнішніми суб’єктами (науковці, громадські організації та приватні структури) до такого документу.

 

ВИСНОВКИ

  1. Україна продовжує спроби створення повноцінної системи національної кібербезпеки. Основним механізмом обрано унормування профільним законом та Стратегією забезпечення кібернетичної безпеки України.
  2. Це відбувається на фоні активності РФ у кіберпросторі, що має всі ознаки антиукраїнської та має на меті отримання не публічних відомостей та атаки на сайти органів державної влади.
  3. Водночас кібербезпековий сектор України вкрай закритий, а наявна інформація про нього не дає об’єктивного уявлення про його стан та перспективи. Це обумовлює необхідність проведення огляду кібербезпекового сектору України та на його основі створення відповідного документу. Це дозволить створити цілісне уявлення про проблеми в сфері кібербезпеки, оцінити ресурси для вирішення проблем та окреслити можливі стратегії вирішення чинних проблем.

РЕКОМЕНДАЦІЇ

  1. Зважаючи на зростання кількості повідомлень про співробітництво безпекових органів РФ з хакерськими угрупуваннями з метою кібершпигунства (швидше за все і проти органів державної влади України) необхідно посилити передусім організаційні заходи, спрямовані на посилення кібербезпеки держави, зокрема:
  • Нацдержслужбі розробити процедуру обов’язкового ознайомлення державних службовців (передусім ЦОВВ, а також ОДА та РДА тих областей, що безпосередньо наближені до зони АТО і можуть становити особливий інтерес для РФ) з рекомендаційними матеріалами CERT-UA з питань кібернетичної безпеки.
  • Держспецзв’язку спільно з CERT-UA забезпечити створення необхідних роз’яснювальних матеріалів орієнтованих на держслубовців (передусім для тих, хто не достатньо обізнаний із комп’ютерною технікою) за ключовими напрямами: соціальний інжиніринг, фішинг, використання для роботи «домашніх» електронних ящиків та приватних комп’ютерних засобів, безпека мобільних пристроїв.
  • З огляду на тотальність російської інформаційної складової гібридної війни проти України, слід актуалізувати питання відмови від використання (із встановленням чітких строків заміни та контролю за результатами виконання необхідних процедур) на обчислювальних пристроях в держустановах, передусім, антивірусних програмних продуктів російських виробників, особливо зважаючи на те, що є українські розробники, які отримали відповідні експертні висновки ТЗІ.

2. Апарату РНБО України розглянути доцільність розробки та створення «Огляду сектору кібербезпеки України», в якому буде дано аналіз поточного стану кібербезпекової сфери України, її реального ресурсного потенціалу, а також шляхів оптимізації кібербезпекового сектору.


3. Структура фінального документу Огляду пропонується така: ступінь розвитку та основні загрози в сфері кібербезпеки; визначення сил, які потрібно залучити для вирішення завдань протидії виявленим загрозам та негативним сценаріям розвитку; оцінка наявних можливостей сектору безпеки щодо протидії виявленим загрозам та негативним сценаріям розвитку; аналіз стану кадрового, фінансового, матеріально-технічного та інших видів забезпечення органів сектору безпеки; формування оптимальної моделі забезпечення завдань убезпечення кіберпростору з урахуванням реальних можливостей та ресурсів; визначення найбільш перспективних альтернативних стратегій досягнення поставлених завдань.


4. Рекомендується розглянути можливість включення (закріплення в тексті) питання створення «Огляду сектору кібербезпеки України» як невід’ємної складової Стратегії забезпечення кібернетичної безпеки України.

Відділ інформаційної безпеки та розвитку

інформаційного суспільства

(Д.В. Дубов) 

№ 5, Серія «Інформаційні стратегії»



[1] Протягом останніх років назва цього документу змінювалась принаймні декілька разів.

[5] В українських реаліях за взірець структури може бути взято традиційний оборонний огляд ЗС України, в межах якого формується стратегія розвитку ЗС України на довгострокову перспективу, її гармонізація з наявними ризиками, можливостями та ресурсами, що є однією з цілей проведення оборонного огляду. Цей ж огляд є підставою для здійснення ефективного оборонного планування.