Сфера «кібер»

18/11/2014

Вже близько п’яти, а то і більше, років, органи державної влади, правоохоронні органи та органи безпеки декларують необхідність активізації і об’єднання зусиль для забезпечення інформаційної безпеки України в масштабах всієї держави. Тривають «консультації» з приводу надання визначень термінам, до складу яких входить слово «кібер». Й досі лунають повідомлення про розробку, погодження, модифікацію Закону України «Про кібернетичну безпеку». Про проблеми нормативного регулювання, а також кваліфікацію слідчих/суддів/експертів стосовно сфери «кібер» взагалі краще промовчати.

 

Проте, нещодавно Президентом України наголошено на необхідності опрацювання питання щодо створення національного центру кіберзахисту та протидії кіберзагрозам, що є дуже доцільним і вкрай необхідним для сьогоденної сучасної інформатизованої України.

 

Пропонуємо одразу домовитись про термін «суб’єкти забезпечення кібербезпеки України», що використовуватиметься в цій статті, як категорія, до якої відносяться організації, що так чи інакше (відповідно до компетенції, типу діяльності, функціоналу) мають відношення до кіберзахисту нашої держави.

 

Поряд із зазначеним одразу виникає перша ж невизначеність: хто з суб’єктів забезпечення кібербезпеки і за що має відповідати? Ось яку картину, у розрізі завдань служб, ми маємо відповідно до чинного законодавства України (мал. 1).

 

мал1

Мал. 1

 

Коротко про малюнок 1. Є три служби – МВС, СБУ, Держспецзв’язку. СБУ опікується глобальними питаннями національної безпеки, МВС – безпекою громадян, а також (для контексту цієї статті) кримінальними правопорушеннями сфери «кібер», а Держспецзв’язку – відповідає за захист інформації, телекомунікацій та автоматизованих інформаційних систем в державі Україна.

 

Начебто, все дуже чудово законодавчо визначено, оптимально і, насамкінець, логічно. Проте! Тільки-но Президентом України анонсовано створення Національного центру кіберзахисту, як одразу починаються змагання з «перетягування канату».

 

Чому взагалі виникає питання – на базі чого створювати Національний центр кіберзахисту? Давайте розбиратися.

 

Кіберзахист, суто суб’єктивно, – це процес забезпечення інформаційної безпеки. В свою чергу, інформаційна безпека – це стан захищеності інформаційних ресурсів, телекомунікацій/каналів зв’язку, автоматизованих інформаційних систем та ін. В нашій розвиненій державі вже давно визначено цілу Службу, до компетенції якої відносяться зазначені питання – Держспецзв’язку. Так сталося, що і в Держспецзв’язку навіть є спеціалізований підрозділ – Державний центр захисту інформаційно-телекомунікаційних систем, функціонал якого включає повний комплекс заходів з кіберзахисту (проектування, побудова, експлуатація захищених інформаційних систем та технічних рішень, аудит інформаційної безпеки/тестування на проникнення, профілактика, моніторинг, виявлення, аналіз і ліквідація кібернетичних загроз, захист державних інформаційних ресурсів від кібератак).

 

Ведучи розмову про Національний центр кіберзахисту, стає зрозумілим, що для ефективного (не дай Боже НЕ декларативного або спекулятивного) виконання ним своїх функціональних обов’язків вкрай необхідно наступне.

 

1. Довіра з боку суспільства.

В першу чергу це стосується операторів/провайдерів телекомунікацій (адже саме від них фактично залежить можливість протидіяти кіберзагрозам), в другу чергу – громадян України. Нажаль, про що ми можемо сказати з усією відповідальністю після багаторічного досвіду спілкування з учасниками ринку телекомунікацій, довіра до правоохоронних органів, а також до всього, що може бути асоційованою з державою (в меншій мірі) відсутня. Більш того, щоб підвищити рівень захищеності відомчих інформаційних систем не потрібно володіти статусом «law enforcement». Успіх Центру визначатиметься технічною обізнаностю фахівців, рівнем розуміння ними предметної області і вмінням координувати діяльність всіх суб’єктів забезпечення кібербезпеки України.

 

2. Достатнє фінансове і матеріально-технічне забезпечення.

Сфера «кібер», в контексті держави, є не опанованою. Фахівці, які б могли забезпечувати кіберзахист держави, з легкістю знаходять роботу в недержавному секторі і отримують достойну зарплатню. Створення Національного центру кіберзахисту, як модернова тенденція, з одного боку, і збереження фінансового забезпечення «кіберфахівців» на старому рівні – це утопія. У кіберфахівця є декілька виходів:

 

- піти працювати в недержавний сектор; не вихід, адже центр тоді створено не буде

 

- працювати в новоствореному Національному центрі кіберзахисту за ту саму нікчемну зарплатню, проте компенсувати 80 % «фінансової недостатності» шляхом хабарництва, інших корупційних діянь; не вихід

 

- працювати і надалі старим-добрим кіберфахівцем за ту саму зарплатню, не беручи хабарів; не вихід з двох причин: перша – потрібно годувати сім’ю (є можливість працювати після 18:00 і до ранку, проте це виснажує), друге – такі умови не є привабливими для нових фахівців.

 

- підвищити кіберфахівцю зарплатню до рівня 12 тис.грн., а також забезпечити надходження необхідного фінансування на розвиток і впровадження технічних рішень Національного центру кіберзахисту; такий підхід має спрацювати.

 

 

Зважаючи на викладене, для розгляду громадськості і з метою обговорення на державному рівні, а також для припинення «канатних» змагань, пропонуємо такий план реалізації заходів зі створення Національного центру кіберзахисту.

 

1. Створити Національний центр кіберзахисту на базі Державного центру захисту інформаційно-телекомунікаційних систем Держспецзв’язку (CERT-UA, що функціонує у складі ДЦЗ ІТС, має достатній досвід боротьби з кіберзагрозами, практично залучена до забезпечення безпеки ІТС органів державної влади, а також безперервно підтримує співпрацю з іноземними CERT з питань реагування на загрози інформаційній безпеці на міждержавному рівні). Визначити регламенти та механізми взаємодії з іншими суб’єктами забезпечення кібербезпеки, в залежності від завдань та специфіки роботи кожного з них (вирішується дуже легко, шляхом проведення консультацій за участю практикуючих фахівців).

 

2. Встановити чисельність Національного центру кіберзахисту на рівні 150 осіб. Забезпечити мінімальний рівень заробітної платні 12 тис.грн. Надати можливість укомплектувати підрозділ протягом 4 місяців. Навмисне наводити приклади і розрахунки “ринкових” зарплат кіберфахівців не будемо, адже всі й так орієнтуються «в цінах».

 

3. Забезпечити надходження належного фінансування з метою вжиття заходів із технічного забезпечення потреб Національного центру кіберзахисту. Може бути впроваджено поступово (бачення того, що потрібно, в CERT-UA вже є).

 

Так як протягом останніх трьох років CERT-UA вживались заходи з дослідження інформаційної безпеки Українського сегменту мережі Інтернет, а також стану захищеності комп’ютерних мереж органів державно влади (далі – ОДВ), на першому етапі Національним центром кіберзахисту планується вжити таких заходів:

 

1. Налагодження ефективного інформаційного обміну з компетентними представниками ОДВ, провайдерами/операторами телекомунікацій з питань виявлення та ліквідації кіберзагроз.

2. Впровадження системи активного моніторингу кіберзагроз. Розгортання відповідних сенсорів у мережах ОДВ. Введення в експлуатацію Центру моніторингу мережевих аномалій.

3. Імплементація системи контролю мережевих загроз IP Guard в ОДВ. Забезпечення належної обробки даних.

4. Проведення інвентаризації активів (систем, процесів) в ОДВ. Проведення аудиту інформаційної безпеки. Початок робіт з підготовки до впровадження кращих практик (системи контролів) стандарту ISO27001 в ОДВ.

5. Підвищення обізнаності працівників ОДВ у сфері інформаційної безпеки. Проведення практичних семінарів, спільних навчань.

Просимо інформувати щодо можливості і перспектив реалізації запропонованого CERT-UA конкретного плану заходів зі створення Національного центру кіберзахисту. Ще раз звертаємо увагу на утопічність тих декларативно-спекулятвних процесів, що наразі відбуваються навколо зазначеного питання.

 

Нагадаємо, що 14.11.2014 CERT-UA було проведено семінар з інформаційної безпеки, детальний звіт щодо якого оприлюднено на нашому веб-сайті.