Стратегія кібербезпеки України 2021-2025. Залишити не можна виправити
У березні-квітні 2021 року фахівці з кіберзахисту були запрошені до обговорення проекту нової Стратегії кібербезпеки України на 2021-2025 роки.
Документ було розроблено за дорученням Президента України та схвалено Робочою групою при Національному координаційному центрі кібербезпеки Ради національної безпеки і оборони України.
З огляду на ключову роль Стратегії в розвитку цивілізованого простору для роботи експертних підприємств та організацій у сфері кібербезпеки, ми проаналізували основні зміни, що пропонує проект документу для усіх представників галузі та економіки України в цілому.
Чи є новим цей «новий» документ
Загалом, ідея створення єдиного інформаційного поля та «правил гри» щодо кібербезпеки не нова для України. До появи даного проекту документу у січні 2016 року Указом Президента України вже було введено в дію Стратегію кібербезпеки України, що рамково окреслила основні положення галузі.
Тим не менш, новий варіант Стратегії є більш досконалим з огляду на глибину регулювання процесів. Єдиний документ, єдиний вектор руху, розуміння глобальних тенденцій, що описуються в проекті нової Стратегії – є досить позитивним сигналом для бізнесу.
Що ж було «не так» з попередньою редакцією документа? Зайва декларативність та відсутність конкретики, за загальною думкою професіоналів ринку кібербезпеки, зробила його мало корисним для реальних викликів останніх років. А тим часом кількість кіберінцедентів, як ви й самі бачите, зростала і продовжує зростати катастрофічними темпами.
Почнемо з самого початку
В старій версії Стратегії кібербезпеки навіть не було дано визначення критичної інфраструктури. Спойлер – в новій версії документу воно так само відсутнє, ані у вигляді реєстрів, ані у вигляді законодавчих актів. Тож логічно, що існує деякий хаос у розумінні того, що ж саме мають захищати ті спеціалісти, що відповідають за цей захист.
Слабкою стороною і старої, і нової версії головного кібердокументу країни є також і його орієнтація, головним чином, на задачі військово-оборонного комплексу. Хоча тепер, на відміну від попередніх років, чітко визначено єдиний центр, що відповідає за забезпечення кібербезпеки, оскільки раніше таких структур було декілька і вони не взаємодіяли між собою.
Що ж поганого у збереженні орієнтації Стратегії на державний сектор
Це так званий «тунельний зір». Коли ми визначаємо об’єктами критичної інфраструктури виключно певні традиційно вагомі об’єкти, здебільшого державного значення – в атомній енергетиці, водозабезпеченні, енергетиці, тощо.
Але є й інші, більш інноваційні, нові галузі, що також мають критичне значення, та традиційно не є об’єктом уваги держави. Наприклад, мобільний зв’язок. Це також інфраструктура, що забезпечує достатньо багато стратегічних комунікацій, і при цьому в нашій країні держава не має майже жодного стосунку до цієї сфери. Здебільшого це приватні компанії, при чому, деякі з них належать громадянам недружньої держави.
А відповідно – всі задачі, що прописані в Стратегії кібербезпеки України, до таких компаній мають безпосередній стосунок. Чи не так?
І така ж сама ситуація з приватними підприємствами енергетики, водозабезпечення, що для великих українських міст, наприклад, є чи не найбільш «критичною» інфраструктурою, але у Стратегії, ані попередньої, ані поточної редакції, до неї не належать.
Чи вплине нова Стратегія кібербезпеки України на бізнес
Певно, що ні. Принаймні, зараз в документі точно не міститься жодних посилань на регулювання бізнес-середовища в Україні.
Хоча деякі речі в тексті проекту документу мене особисто неприємно вразили, оскільки мають натяк на додаткові податки та збори, що зовсім не стосується цієї сфери регулювання з боку держави.
Наприклад, з’являється така функція, як необхідність обов’язкової сертифікації засобів кіберзахисту. Як це впливатиме на звичайний бізнес, практично на кожного з нас? Безпосередньо і кожен день. Ви використовуєте, наприклад, антивірус, але він не сертифікований державою. Після сертифікації вартість такого антивірусу може зрости в десятки разів.
Знову ж таки, вкотре просувається така цікава опція, як «забезпечення технічних можливостей для підключення засобів оперативно-розшукових заходів на комунікаційних мережах» (СОРМ).
Ця тема обговорюється багато років, і багато разів її намагалися під різним прикриттям застосувати. Якщо коротко, там, де є СОРМ - з’являються значні обмеження. З’являється можливість не зовсім законного отримання інформації, спроби маніпуляцій і таке інше.
Я вважаю це вкрай негативним явищем, і це добре видно на прикладі нашого північного сусіда, де такі системи використовуються зовсім не для боротьби з кіберзлочинцями, а лише для придушення громадянського спротиву недемократичним діям влади. Це саме той випадок, коли «благими намірами» вимощено шлях зовсім у зворотній бік.
Запровадження своїх національних стандартів теж досить хитка позиція документу. Це, як на мене, виглядає як «робота заради роботи». Є досить багато якісних і загальновідомих світових розробок в цьому напрямі: ISO 27001, NIST Cybersecurity. ISO 27001, наприклад, добре себе зарекомендували в забезпеченні кібербезпеки Нацбанку. Загалом, приклад Нацбанку може стати еталонним в нашій країні для побудови надійної системи кібербезпеки і кіберзахисту.
Не всі сервіси однаково корисні
Звичайно, нас в IT-середовищі цікавило, перш за все, чи вплине нова Стратегія кібербезпеки України на нас як на бізнес.
І тут теж негатив, оскільки в документі явно прописано, що держава поступово буде відходити від нормативної та контролюючої ролі в бік сервісної моделі.
Тобто держава відтепер буде надавати сервісні послуги тим, кого зобов’язана захищати. Це, як на мене, досить небезпечна позиція, перш за все, з економічної точки зору – маємо створення державної монополії. А з досвіду саме IT-галузі в Україні ми всі вже добре знаємо, що найкраще вона розвивається в умовах саме жорсткої конкуренції, завдяки якій і відбулося становлення галузі в цілому.
Цифровізація і ДПП «всієї країни»
Не чітко виписані в Стратегії і принципи безпечної цифровізації, про яку так багато говорять останнім часом. Схоже, що, з точки зору кібербезпеки, держава надалі так і продовжуватиме тільки говорити. А хотілося б більш чіткого розуміння, «дорожньої карти» дій щодо виявлення критичних вразливостей, адже за кордоном все це робиться за стандартним механізмом, діє та сама програма Bug Bounty, приміром, за якою компанії і держава сплачують значну винагороду за виявлення вразливостей раніше за злочинців. В нас все це не діє, хоча в Стратегії з цього приводу є й досить вірні тлумачення.
Що ж стосується пріоритетної зараз в цифровій сфері теми державно-приватного партнерства, ми як група компаній, що спеціалізується на кібербезпеці, зацікавлені в таких партнерствах, у співпраці з державою і з іншими представникам галузі. На жаль, і на це питання даний проект Стратегії не дає нам чітких відповідей. Хоча ми сподіваємося, що з появою єдиного координаційного центру справа ДПП у цифрових проектах зрушить з мертвої точки.
Кібербезпека для звичайного українця
Про неї у новому варіанті Стратегії знову нема жодного слова. Можливо, тому що для самих громадян поки що слова «кібербезпека», «кіберзлочинці», «кібершахрайство» звучать абстрактно та незрозуміло.
Але всі вони стають досить конкретними, коли у фізичної особи крадуть цифровий підпис, чи доступ до карткових рахунків в онлайн-банкінгу, чи просто використовують е-копії установчих документів чи паспорту, ІНН – і крадуть кошти, майно, бізнес.
Небезпека зовсім поряд і вона реальніша тим більше, чим більше цифрові послуги входять в наш побут. Тому, коли держава каже «ми будемо цифровізуватися», одразу має казати, як вона буде забезпечувати кібербезпеку своїх громадян. Не просто пояснювати, навчати та обговорювати - а надавати реальні цифрові інструменти кіберзахисту кожному користувачу.
Всього цього в даному варіанті Стратегії я не побачив. Так само, як і не побачив нових реальних інструментів, або хоча б механізму роботи з кіберзагрозами для підприємств та підприємців.
А значить, знову і знову повторюватимуться такі кіберінциденти, як в одному з наших кейсів, коли ми за допомогою власного Security Operation Center відстежили деякі аномальні активності щодо акаунту нашого співробітника, з’ясували географічне місце знаходження кіберзловмисників за кордоном та в Україні, в Харкові, та так і не знайшли робочої послідовності взаємодії з правоохоронними органами, щоб зафіксувати факт кіберзлочину та покарати винних.
Але чим такий злочин відрізняється від звичайної крадіжки в маркеті чи грабунку на вулиці?
Висновок один – необхідно негайно врегулювати такі механізми законодавчо та за допомогою даного документу, в тому числі.
Мистецтво малих кроків
Тим не менш, проект нової Стратегії кібербезпеки України 2021-2025 справив на мене особисто досить позитивне враження. Є багато конкретики, є глибина та розуміння проблематики. Загалом, я вважаю - це вірний вектор розвитку сфери кібербезпеки і кіберзахисту в Україні на державному рівні.
Що я обов’язково хотів би бачити у затвердженому варіанті Стратегії?
Звичайно, Roadmap - «дорожню карту» реалізації документу з конкретними цілями, строками, відповідальними особами та розумінням того, яким ресурсом буде досягнуто той, чи інший результат.
Чекаємо на нову затверджену Стратегію кібербезпеки України.
І нехай ваш бізнес, ваше життя і ваш цифровий світ завжди буде під надійним захистом кіберпрофесіоналів.
- Розірвання шлюбу за кордоном: особливості та процедури для українців Світлана Приймак вчора о 16:28
- Зелені сертифікати для експорту електроенергії: можливості для українських трейдерів Ростислав Никітенко вчора о 11:10
- Еволюція судової практики: від традицій до цифрових інновацій Дмитро Шаповал вчора о 10:22
- Надіслання адвокатом відзиву на касаційну скаргу на електронну пошту Суду Євген Морозов вчора о 09:28
- Згода на обробку персональних даних – правочин? Судова практика Анастасія Полтавцева 12.11.2024 16:59
- Адвокатський запит в ТЦК та відстрочка від призову: очікування й реальність Світлана Приймак 12.11.2024 16:55
- Як створити "блакитний океан" для бренду: стратегія виходу за межі конкуренції Наталія Тонкаль 12.11.2024 11:32
- Переваги та ризики співпраці з європейськими постачальниками відновлювальної енергії Ростислав Никітенко 12.11.2024 11:02
- Перезавантаження трейдерського ринку: ключові тренди Дмитро Казанін 12.11.2024 10:48
- "Безліміт" на кредитні ліміти: як вилізти з боргової ями Ірина Селезньова 12.11.2024 09:55
- ОП ВС КГС: зменшення розміру неустойки (пені) нарахованої за порушення зобов`язання Євген Морозов 12.11.2024 08:49
- Гра в імітацію Євген Магда 12.11.2024 05:31
- Правова боротьба за спадок: позов проти банку про стягнення коштів у російських рублях Павло Васильєв 11.11.2024 20:24
- Встановили факт батьківства після смерті чоловіка Юрій Бабенко 11.11.2024 17:58
- Психологічний портрет Трампа: чого очікувати Україні від американського президента Христина Кудрявцева 11.11.2024 17:13
- Тести заходів контролю: коли і як виконувати 431
- Гра в імітацію 342
- Як створити "блакитний океан" для бренду: стратегія виходу за межі конкуренції 186
- Втрачені мільйони: як місцеві бюджети недоотримують через неефективне використання земель 112
- Як українським трейдерам долучитися до енергетичних бірж ЄС? 83
-
Співвласник АТБ почне відкривати торговельні центри у невеликих містах
Бізнес 7839
-
Українські зброярі нарощують виробництво. Але держава не може забезпечити збут
Бізнес 6725
-
Кінець уряду Шольца. Хто стане новим канцлером і який ультиматум має для Путіна
5861
-
У Нідерландах успішно випробували найпотужніший наземний кран у світі – фото
Бізнес 5093
-
У країнах ЄС ціни на вершкове масло зросли на 40%. Україна скорочує експорт
Бізнес 4624