НІСД провів засідання Міжвідомчої експертної робочої групи на тему«Проблеми розбудови державно-приватного партнерства при захисті критичної інфраструктури»

18 квітня 2019 року відділом енергетичної та техногенної безпеки НІСД було проведене засідання  Міжвідомчої експертної робочої групи  з питань протидії розповсюдженню зброї масового знищення, тероризму та захисту критичної інфраструктури (МЕРГ) на тему «Проблеми розбудови державно-приватного партнерства при захисті критичної інфраструктури». Діяльність МЕРГ здійснюється у режимі експертної групи відкритого складу, засідання якої забезпечують майданчик для експертних дискусій, в яких використовується лише відкрита інформація.

Головною ціллю останнього засідання було розглянути проблеми започаткування та розвитку державно-приватного партнерства (далі – ДПП) при організації державної системи захисту критичної інфраструктури (КІ), створення якої передбачено відповідним рішенням РНБО та Указом Президента №8/2017 від 16 січня 2017р, який увів у дію це рішення.

До участі у заході було запрошено представників ключових державних органів, компаній різних форм власності, представників експертного співтовариства, експертів країн НАТО. Загалом у засіданні експертної групи взяло участь понад 50 осіб, включаючи представників Польщі, Фінляндії та Литви.

Під час засідання було зроблено ряд доповідей, в яких були розглянуті різні аспекти державно-приватного партнерства у сфері захисту КІ. У дискусії, що відбулася, велику увагу було приділено передовому зарубіжному досвіду, ролі кібербезпеки при забезпеченні безпеки КІ іншим актуальним питанням ДПП у цій сфері.  Після того, як виступили доповідачі, відбулася загальна дискусія, у ході якої учасники за бажанням мали змогу висловити свої думки і пропозиції щодо піднятих питань.

Засідання Міжвідомчої експертної робочої групи на тему«Проблеми розбудови державно-приватного партнерства при захист критичної інфраструктури»
Засідання Міжвідомчої експертної робочої групи на тему«Проблеми розбудови державно-приватного партнерства при захист критичної інфраструктури»

Вступну доповідь зробив, завідувач відділу енергетичної та техногенної безпеки НІСД  Олександр Михайлович Суходоля. У своєму  виступі він підкреслив актуальність тематики засідання, обґрунтувавши свою позицію тією виключно важливою роллю, яку відіграє приватний сектор в сучасних моделях управління економічною та безпековою сферами.  Він звернув увагу присутніх на фундаментальні відмінності у підходах до управління безпекою у командно-адміністративній та ринковій моделях управління економікою. О. Суходоля визначив ті безпекові виклики, які можуть виникати при переході від першої моделі до  другої внаслідок "розриву" в управлінні безпекою КІ, особливо в умовах так званих гібридних війн, коли КІ може стати мішенню для атак супротивника, а перериви у наданні життєво важливих для населення, суспільства та держави послуг – способом дестабілізації соціально-політичної ситуації у певній країні. Доповідач, зокрема, зупинився на питанні визначення терміну "критична інфраструктура", на конкретних прикладах продемонструвавши, як неточне формулювання може призвести  до необґрунтованого розширення числа об'єктів КІ, наголосивши на необхідності узгодження відповідних термінів у різних правових актах, зокрема тих, що вже прийняті у сфері кібербезпеки. Серед іншого Олександр Суходоля запропонував використати термін КІ у редакції відповідної директиви ЄС, відзначивши, що це буде повністю відповідати Угоді про асоціацію між ЄС та Україною.  Доповідач висловив точку зору стосовно доцільності використання напрацьованих підходів в інших сферах, зокрема у ядерній, де успішно реалізовані такі концепти, як "проектна загроза", врегульовані питання взаємодії/партнерства між державою і приватним сектором. Олександр Суходоля анонсував випуск збірника інформаційно-аналітичних матеріалів НІСД з питань розбудови КІ в Україні, в якому, серед іншого, буде опубліковано проект закону України "Про критичну інфраструктуру та її захист", підготовлений в інституті.

З наступною доповіддю виступив завідувач відділу інформаційної безпеки та розвитку інформаційного суспільства НІСД Дмитро Володимирович Дубов. Очолюваний Д.В. Дубовим відділ у 2018 році проводив круглий стіл з питань розбудови ДПП у сфері забезпечення кібербезпеки, яка тісна пов'язана із проблематикою захисту КІ. У своєму виступі Д.В. Дубов окреслив найбільш важливі проблеми розбудови ДПП у сфері кібербезпеки, які є актуальними і для захисту КІ. Спираючись на аналіз світового досвіду, доповідач зробив акцент на тому, що ефективність впровадження тієї чи іншої моделі ДПП залежить, головним чином, від національних практик, які є вельми специфічними, і тому спроби механічного перенесення національного досвіду однієї країни на терени іншої приречені на невдачу, тим більше, що на теперішній момент жодна національна модель ДПП не може слугувати взірцем для усіх країн. Тим не менше, на думку доповідача, можна виділити умови, за яких започаткування та розвиток ДПП можуть принести результат. До таких умов він відніс: досягнення суб'єктами ДПП розуміння, що без партнерських стосунків вони не зможуть досягти поставлених цілей; фінансову привабливість партнерства; та створення атмосфери довіри між партнерами. Характеризуючи теперішній стан взаємовідносин у сфері кібербезпеки в нашій країні, Дмитро Дубов, відмітив з одного боку дещо завищенні очікування від розвитку ДПП, а з іншого - не достатньо чітке розуміння дійсного стану забезпечення кібербезпеки в державі, як з боку державних органів, так і з боку приватного сектору. При цьому доповідач, знову наголосив на необхідності створення атмосфери довіри між державним і приватним секторами, без якої прогрес у розбудові ДПП не можливий. До основних завдань, які треба розв'язати на цьому шляху доповідач відніс створення переліку цілей, які мають бути досягнуті за допомогою ДПП; визначення критеріїв привабливості партнерства; вжиття системних заходів для розбудови довіри тощо. Крім того, Д. В. Дубов закликав розпочинати практичні зусилля з розбудови ДПП шляхом виконання невеликих проектів, цілі яких не викликають суперечностей між суб'єктами процесу.

Засідання Міжвідомчої експертної робочої групи на тему«Проблеми розбудови державно-приватного партнерства при захист критичної інфраструктури»
Засідання Міжвідомчої експертної робочої групи на тему«Проблеми розбудови державно-приватного партнерства при захист критичної інфраструктури»

Наступна презентація була, присвячена темі "Державно-приватна взаємодія / партнерство. Підвищення стійкості критичної інфраструктури". З нею виступила Анна Миколаївна Коваленко, консультант Комітету ВР України з національної безпеки і оборони та Адміністрації Держспецзв'язку України. У своєму виступі А.М. Коваленко відзначила важливість забезпечення умов для комунікації між учасниками процесу захисту КІ та кібербезпеки. На її думку, виконання цієї умови сприятиме створенню в Україні критичної маси управлінців які мають спільні розуміння і підхід до розвитку національних спроможностей на  основі найкращих зарубіжних практик, втіленню вже затверджених державою стратегічних документів у сфері кібербезпеки/оборони/захисту. Для цього, на думку експерта, потрібно створити національну платформу, яка могла б об'єднати зусилля усіх учасників процесу, до яких у сфері кібербезпеки КІ вона віднесла: операторів КІ, державних суб'єктів кібербезпеки, компанії кібербезпеки, а також науковців, дослідників та експертів у цій сфері. У доповіді Анна Коваленко детально зупинилась на моделі функціонування такої платформи та взаємодії різних залучених до її роботи суб’єктів. 

Далі, учасники засідання заслухали доповідь співробітника Центру передового досвіду НАТО з питань енергетичної безпеки Рімантаса Шикаса (Литва). Головуючий привернув увагу присутніх до того факту, що саме у співробітництві із згаданим центром та з компанією "Укренерго" на базі останньої у жовтні 2017 р. вперше в історії сучасної України було успішно проведене командно-штабне навчання національного рівня з питань стійкості критичної енергетичної інфраструктури, в організації та проведенні якого пан Шикас зіграв значну роль. Свій виступ Рімантас Шикас розпочав з приємної новини про те, що Україна практично завершила усі необхідні процедури для приєднання до діяльності центру як країни-партнера НАТО. У своїй презентації на тему "Державно-приватне партнерство у сфері захисту критичної енергетичної інфраструктури" представник центру НАТО використав результати дослідження, проведеного у центрі його колегами. Доповідач підкреслив важливість чіткого визначення терміну "критична інфраструктура", який є базовим і від якого залежить організація усього процесу, включаючи питання взаємодії та партнерства. Пан Шикас навів конкретні приклади ДПП у Литві, зокрема за напрямом фінансування певних заходів у цій сфері. Крім того, у своєму виступі доповідач зробив акцент на важливості проведення навчань різного формату, як одного з напрямів забезпечення розвитку ДПП, що, зокрема, стосується і міжнародних навчань, в організації та проведенні яких Центр набув значного досвіду. 

Наступну доповідь  на тему "Можливості використання потенціалу державно-приватного партнерства в інтересах кібербезпеки держави" зробив представник Міноборони – офіцер управління інформаційних технологій Головного оперативного управління Генерального штабу ЗСУ Вадим В'ячеславович Вещун. Доповідач коротко розповів про позитивний досвід взаємодії з приватними компаніями та волонтерським рухом з початку бойових дій на Донбасі. За його інформацією, завдяки цьому було значно підвищено потенціал ЗСУ з точки зору кібербезпеки та інформаційної безпеки. В.В. Вещун повідомив присутнім, що партнерські стосунки МО із IT-компаніями розвиваються доволі успішно. Серед основних складнощів, які заважають ефективній діяльності у цій сфері, він назвав недосконалість чинної нормативно-правової бази, коли, наприклад, важко визначити, до якої категорії відноситься об'єкт, що знаходиться у віданні МО: до критичної інфраструктури, чи до особливо важливих об'єктів. Представник МО також звернув увагу на ускладнення управлінських процесів при запровадженні нових підходів і закликав до збалансованого підходу при оцінці рекомендованих новацій.

У загальній дискусії з поясненнями технічних аспектів взаємодії операторів мобільного зв'язку з військовими формуваннями України в зоні бойових дій виступив віце-президент УСПП з питань інформаційних технологій Іван Михайлович Пєтухов. Після цього слово було надане Голові правління – генеральному директору ПрАТ "Київводоканал" Дмитру Юрійовичу Новицькому, який відзначив, що представляє таке підприємство, назва якого досить рідко звучить у контексті обговорень КІ, хоча наслідки криз на його об'єктах можуть бути доволі важкими. Він навів приклад гіпотетичного сценарію, коли переривається подача води у місті Києві, та коротко змалював наслідки такої події, підкресливши, що у минулому році таке могло статися, коли виникла загроза припинення постачання хлору для очищення води. На його думку, керівники різних рівнів втратили почуття ризиків і загроз у сфері ЖКГ. Цьому сприяє відсутність відповідної нормативно-правової бази, внаслідок чого, не існує чіткого розподілу відповідальності між операторами і державою, і тому відсутні необхідні інструкції, що унеможливлює відповідь на питання: хто і що має робити у конкретній кризовій ситуації? Д.Ю. Новицький підкреслив, що оператори не можуть провести оцінки ризиків та загроз їхнім об'єктам, тому що регулятором не враховані відповідні витрати у структурі тарифів. На його думку, одним з варіантів виходу з цієї ситуації могло б стати створення спеціального фонду. Крім того, очільник "Київводоканалу" підкреслив гостру потребу в підготовці та навчанні персоналу з питань захисту КІ.

Засідання Міжвідомчої експертної робочої групи на тему«Проблеми розбудови державно-приватного партнерства при захист критичної інфраструктури»
Засідання Міжвідомчої експертної робочої групи на тему«Проблеми розбудови державно-приватного партнерства при захист критичної інфраструктури»

Зі своїм коментарем виступила також керівник групи аналізу АУ ДП "НЕК "Укренерго" Наталія Володимирівна Слободян. Вона зазначила новизну проблематики ДПП для компанії. Разом з тим Н.В. Слободян навела конкретний приклад успішного ДПП у сфері кібербезпеки в Ізраїлі, де державні органи разом із приватною компанією CyberGym кілька разів на рік проводять командно-штабні навчання, які моделюють реагування у різних кризових ситуаціях, наприклад, у випадку терористичної атаки на об'єкт КІ. На думку представниці "Укренерго", досвід Ізраїлю може бути вельми корисним для України, оскільки безпекові умови, в яких знаходяться обидві держави мають багато спільного. Крім того, Н.В. Слободян поставила ряд важливих питань щодо можливих наступних кроків у напрямі розвитку ДПП, серед яких слід відзначити необхідність уточнення сфер відповідальності при створенні координаційних платформ; проблеми фінансування відповідних заходів, які виникають у суб'єктів господарювання, брак кваліфікованих кадрів для проведення навчань, що стосуються чутливих з точки зору інформаційної безпеки питань.

Про міжнародний характер діяльності мережі CyberGym надав пояснення Рімантас. Шикас (Литва). Після цього у відповідь на пропозицію О. М. Суходолі підняті питання прокоментував заступник директора Департаменту - начальник відділу Адміністрації Держспецзв'язку України Олександр Олегович Бакалинський. У своїх поясненнях він зокрема повідомив про те, що у теперішній час розпочато роботу зі створення так званого кіберполігону – у теперішній час розглядається ряд комерційних пропозицій від спеціалізованих компаній, включаючи і CyberGym. Крім того, він звернув увагу присутніх на те, що положення про проведення навчань з кібербезпеки включені до прийнятого у 2017 році Закону України "Про основні засади забезпечення кібербезпеки України". О.О. Бакалинський також поінформував присутніх про спільні заходи ЦВК, СБУ, Держспецзв'язку та естонських колег, що були вжиті напередодні першого туру виборів Президента України для забезпечення вільного волевиявлення виборців. У своїх коментарях він коротко окреслив таку форму співпраці з операторами (включаючи і "Укренерго"), як укладення меморандумів про взаємодію. Представник Держспецзв'язку також закликав присутніх до використання можливостей спеціалізованого сайту CERT-UA https://cert.gov.ua/#header, який створено в Україні для підвищення обізнаності з питань кібербезпеки.

Про неврегульованість питань взаємодії при реагуванні на пошкодження ліній зв'язку повідомив у своїй репліці Іван Михайлович Пєтухов (УСПП).

У виступі Володимира Валеріановича  Ілющенка (МВС) було відмічено найбільший прогрес у сфері захисту КІ, який спостерігається за напрямом кібербезпеки, але, на думку представника МВС, не слід недооцінювати інші загрози. Як приклад, він навів недавню пожежу, в результаті якої було серйозно пошкоджено собор Нотр-Да́м-де-Парі, об'єкт національного та світового значення, підготовка до відновлювання якого стала, на думку В.В. Ілющенка, прикладом ДПП, адже ряд приватних компаній вже прийняв рішення про виділення великих сум на відновлювальні роботи.

Володимир Зіновійович Борецький (ВО "Федерація професіоналів безпеки") у своєму виступі повідомив, що його організація включила роботу над законопроектом про критичну інфраструктуру в робочий план на поточний рік. На його думку ДПП має бути визначене за чіткими критеріями, які повинні бути визначені у законі. З цією метою федерація запропонувала свою редакцію відповідних положень законопроекту. В.З. Борецький закликав залучати представників професійних спілок на постійній основі для розробки нормативно-правової бази.

У репліці начальника департаменту інформаційної безпеки АУ ДП "НЕК "Укренерго" Валерія Віталійовича Єрмошина було зроблено акцент на тому, що головним завданням КІ є постачання життєво важливих послуг, а, відтак, у розробці планів і процедур реагування слід основну увагу приділити заходам із забезпечення безперервності технологічних процесів та відновлення функціонування об'єктів КІ. На його думку, над розробкою дієвих планів і процедур мають спільно працювати регулятори та оператори КІ.

Необхідності реального наповнення терміну "партнерство" був присвячений виступ Сергія Миколайовича Дзюби (ТОВ ДТЕК Енерго). Він звернув увагу на те, що зараз взаємодія у сфері кібербезпеки КІ спирається, головним чином на особисті контакти, тоді як це має бути врегульовано нормативно-правовими документами. З іншого боку, на його думку, існує ризик того, що такі додаткові документи будуть використані як ще один інструмент контролю держави над бізнесом, а це не відповідає значенню терміну "партнерство". Разом з тим, він погодився, що зі свого боку, бізнес має проявляти відповідальність, у т.ч. у сфері безпеки. Пошук балансу та відповідної моделі є, з його точки зору, важливим завданням. Представник ДТЕК підтримав ту тезу, що партнерство має розвиватися в атмосфері довіри, основою якої є обмін достовірною та своєчасною інформацією. С.М. Дзюба звернув увагу на те, що у сфері кіберзахисту державі не вистачає спеціалістів, щоб вести рівноправний у цьому аспекті діалог з приватним сектором, у відповідь на що головуючий запропонував "ДТЕК" долучитися до навчання та тренування спеціалістів у цій сфері.

Позицію Служби безпеки України щодо державно-приватного партнерства у сфері захисту КІ представив  співробітник СБУ Сергій Петрович  Деркач. В його виступі було зазначено, що  нерозвиненість державно-приватного партнерства у цій сфері є однією із основних проблем, що потребує розв’язання.  Кроком назустріч операторам КІ  може стати налагодження з ними взаємовідносин через побудову платформи щодо обміну інформацією з питань безпечного функціонування всіх елементів КІ . Іншим напрямом розвитку державно-приватного партнерства СБУ бачить реалізацію спільних заходів для належного захисту об'єктів КІ та “чутливої” інформації, що функціонує на цих об'єктах і розголошення якої може завдати репутаційної шкоди державі. Детальні аспекти взаємодії між партнерами доцільно передбачити в рамках національної Програми захисту критичної інфраструктури, де мають бути зазначені спільні державно-приватні інтереси у забезпеченні безпеки та стійкості критичної інфраструктури. С.П. Деркач наголосив, що СБУ у межах своєї компетенції для підвищення рівня захисту об'єктів КІ і обізнаності приватного сектору може надавати відповідну інформаційно-методичну підтримку.

Засідання Міжвідомчої експертної робочої групи на тему«Проблеми розбудови державно-приватного партнерства при захист критичної інфраструктури»
Засідання Міжвідомчої експертної робочої групи на тему«Проблеми розбудови державно-приватного партнерства при захист критичної інфраструктури»

Коментарі та пропозиції щодо різних аспектів започаткування та розвитку ДПП були також озвучені у виступах В.В. Вещуна (МО), Д.Ю. Новицького (ПрАТ "Київводоканал"), У ході дискусії головуючий, О.М. Суходоля, неодноразово закликав усіх суб'єктів процесу, включаючи представників приватного сектору, до активної співпраці і не лише щодо забезпечення кібербезпеки КІ, а й стосовно інших видів загроз та ризиків. Він підкреслив, що на цьому етапі важливо сприяти прийняттю базового для цього безпекового напряму закону України "Про критичну інфраструктуру та її захист". На завершення О.М. Суходоля подякував учасникам  за активну участь в обговоренні актуальних проблем державно-приватного партнерства у сфері захисту КІ.  

Прикріплені файли