Стратегія кібербезпеки України 2021-2025. Залишити не можна виправити
У березні-квітні 2021 року фахівці з кіберзахисту були запрошені до обговорення проекту нової Стратегії кібербезпеки України на 2021-2025 роки.
Документ було розроблено за дорученням Президента України та схвалено Робочою групою при Національному координаційному центрі кібербезпеки Ради національної безпеки і оборони України.
З огляду на ключову роль Стратегії в розвитку цивілізованого простору для роботи експертних підприємств та організацій у сфері кібербезпеки, ми проаналізували основні зміни, що пропонує проект документу для усіх представників галузі та економіки України в цілому.
Чи є новим цей «новий» документ
Загалом, ідея створення єдиного інформаційного поля та «правил гри» щодо кібербезпеки не нова для України. До появи даного проекту документу у січні 2016 року Указом Президента України вже було введено в дію Стратегію кібербезпеки України, що рамково окреслила основні положення галузі.
Тим не менш, новий варіант Стратегії є більш досконалим з огляду на глибину регулювання процесів. Єдиний документ, єдиний вектор руху, розуміння глобальних тенденцій, що описуються в проекті нової Стратегії – є досить позитивним сигналом для бізнесу.
Що ж було «не так» з попередньою редакцією документа? Зайва декларативність та відсутність конкретики, за загальною думкою професіоналів ринку кібербезпеки, зробила його мало корисним для реальних викликів останніх років. А тим часом кількість кіберінцедентів, як ви й самі бачите, зростала і продовжує зростати катастрофічними темпами.
Почнемо з самого початку
В старій версії Стратегії кібербезпеки навіть не було дано визначення критичної інфраструктури. Спойлер – в новій версії документу воно так само відсутнє, ані у вигляді реєстрів, ані у вигляді законодавчих актів. Тож логічно, що існує деякий хаос у розумінні того, що ж саме мають захищати ті спеціалісти, що відповідають за цей захист.
Слабкою стороною і старої, і нової версії головного кібердокументу країни є також і його орієнтація, головним чином, на задачі військово-оборонного комплексу. Хоча тепер, на відміну від попередніх років, чітко визначено єдиний центр, що відповідає за забезпечення кібербезпеки, оскільки раніше таких структур було декілька і вони не взаємодіяли між собою.
Що ж поганого у збереженні орієнтації Стратегії на державний сектор
Це так званий «тунельний зір». Коли ми визначаємо об’єктами критичної інфраструктури виключно певні традиційно вагомі об’єкти, здебільшого державного значення – в атомній енергетиці, водозабезпеченні, енергетиці, тощо.
Але є й інші, більш інноваційні, нові галузі, що також мають критичне значення, та традиційно не є об’єктом уваги держави. Наприклад, мобільний зв’язок. Це також інфраструктура, що забезпечує достатньо багато стратегічних комунікацій, і при цьому в нашій країні держава не має майже жодного стосунку до цієї сфери. Здебільшого це приватні компанії, при чому, деякі з них належать громадянам недружньої держави.
А відповідно – всі задачі, що прописані в Стратегії кібербезпеки України, до таких компаній мають безпосередній стосунок. Чи не так?
І така ж сама ситуація з приватними підприємствами енергетики, водозабезпечення, що для великих українських міст, наприклад, є чи не найбільш «критичною» інфраструктурою, але у Стратегії, ані попередньої, ані поточної редакції, до неї не належать.
Чи вплине нова Стратегія кібербезпеки України на бізнес
Певно, що ні. Принаймні, зараз в документі точно не міститься жодних посилань на регулювання бізнес-середовища в Україні.
Хоча деякі речі в тексті проекту документу мене особисто неприємно вразили, оскільки мають натяк на додаткові податки та збори, що зовсім не стосується цієї сфери регулювання з боку держави.
Наприклад, з’являється така функція, як необхідність обов’язкової сертифікації засобів кіберзахисту. Як це впливатиме на звичайний бізнес, практично на кожного з нас? Безпосередньо і кожен день. Ви використовуєте, наприклад, антивірус, але він не сертифікований державою. Після сертифікації вартість такого антивірусу може зрости в десятки разів.
Знову ж таки, вкотре просувається така цікава опція, як «забезпечення технічних можливостей для підключення засобів оперативно-розшукових заходів на комунікаційних мережах» (СОРМ).
Ця тема обговорюється багато років, і багато разів її намагалися під різним прикриттям застосувати. Якщо коротко, там, де є СОРМ - з’являються значні обмеження. З’являється можливість не зовсім законного отримання інформації, спроби маніпуляцій і таке інше.
Я вважаю це вкрай негативним явищем, і це добре видно на прикладі нашого північного сусіда, де такі системи використовуються зовсім не для боротьби з кіберзлочинцями, а лише для придушення громадянського спротиву недемократичним діям влади. Це саме той випадок, коли «благими намірами» вимощено шлях зовсім у зворотній бік.
Запровадження своїх національних стандартів теж досить хитка позиція документу. Це, як на мене, виглядає як «робота заради роботи». Є досить багато якісних і загальновідомих світових розробок в цьому напрямі: ISO 27001, NIST Cybersecurity. ISO 27001, наприклад, добре себе зарекомендували в забезпеченні кібербезпеки Нацбанку. Загалом, приклад Нацбанку може стати еталонним в нашій країні для побудови надійної системи кібербезпеки і кіберзахисту.
Не всі сервіси однаково корисні
Звичайно, нас в IT-середовищі цікавило, перш за все, чи вплине нова Стратегія кібербезпеки України на нас як на бізнес.
І тут теж негатив, оскільки в документі явно прописано, що держава поступово буде відходити від нормативної та контролюючої ролі в бік сервісної моделі.
Тобто держава відтепер буде надавати сервісні послуги тим, кого зобов’язана захищати. Це, як на мене, досить небезпечна позиція, перш за все, з економічної точки зору – маємо створення державної монополії. А з досвіду саме IT-галузі в Україні ми всі вже добре знаємо, що найкраще вона розвивається в умовах саме жорсткої конкуренції, завдяки якій і відбулося становлення галузі в цілому.
Цифровізація і ДПП «всієї країни»
Не чітко виписані в Стратегії і принципи безпечної цифровізації, про яку так багато говорять останнім часом. Схоже, що, з точки зору кібербезпеки, держава надалі так і продовжуватиме тільки говорити. А хотілося б більш чіткого розуміння, «дорожньої карти» дій щодо виявлення критичних вразливостей, адже за кордоном все це робиться за стандартним механізмом, діє та сама програма Bug Bounty, приміром, за якою компанії і держава сплачують значну винагороду за виявлення вразливостей раніше за злочинців. В нас все це не діє, хоча в Стратегії з цього приводу є й досить вірні тлумачення.
Що ж стосується пріоритетної зараз в цифровій сфері теми державно-приватного партнерства, ми як група компаній, що спеціалізується на кібербезпеці, зацікавлені в таких партнерствах, у співпраці з державою і з іншими представникам галузі. На жаль, і на це питання даний проект Стратегії не дає нам чітких відповідей. Хоча ми сподіваємося, що з появою єдиного координаційного центру справа ДПП у цифрових проектах зрушить з мертвої точки.
Кібербезпека для звичайного українця
Про неї у новому варіанті Стратегії знову нема жодного слова. Можливо, тому що для самих громадян поки що слова «кібербезпека», «кіберзлочинці», «кібершахрайство» звучать абстрактно та незрозуміло.
Але всі вони стають досить конкретними, коли у фізичної особи крадуть цифровий підпис, чи доступ до карткових рахунків в онлайн-банкінгу, чи просто використовують е-копії установчих документів чи паспорту, ІНН – і крадуть кошти, майно, бізнес.
Небезпека зовсім поряд і вона реальніша тим більше, чим більше цифрові послуги входять в наш побут. Тому, коли держава каже «ми будемо цифровізуватися», одразу має казати, як вона буде забезпечувати кібербезпеку своїх громадян. Не просто пояснювати, навчати та обговорювати - а надавати реальні цифрові інструменти кіберзахисту кожному користувачу.
Всього цього в даному варіанті Стратегії я не побачив. Так само, як і не побачив нових реальних інструментів, або хоча б механізму роботи з кіберзагрозами для підприємств та підприємців.
А значить, знову і знову повторюватимуться такі кіберінциденти, як в одному з наших кейсів, коли ми за допомогою власного Security Operation Center відстежили деякі аномальні активності щодо акаунту нашого співробітника, з’ясували географічне місце знаходження кіберзловмисників за кордоном та в Україні, в Харкові, та так і не знайшли робочої послідовності взаємодії з правоохоронними органами, щоб зафіксувати факт кіберзлочину та покарати винних.
Але чим такий злочин відрізняється від звичайної крадіжки в маркеті чи грабунку на вулиці?
Висновок один – необхідно негайно врегулювати такі механізми законодавчо та за допомогою даного документу, в тому числі.
Мистецтво малих кроків
Тим не менш, проект нової Стратегії кібербезпеки України 2021-2025 справив на мене особисто досить позитивне враження. Є багато конкретики, є глибина та розуміння проблематики. Загалом, я вважаю - це вірний вектор розвитку сфери кібербезпеки і кіберзахисту в Україні на державному рівні.
Що я обов’язково хотів би бачити у затвердженому варіанті Стратегії?
Звичайно, Roadmap - «дорожню карту» реалізації документу з конкретними цілями, строками, відповідальними особами та розумінням того, яким ресурсом буде досягнуто той, чи інший результат.
Чекаємо на нову затверджену Стратегію кібербезпеки України.
І нехай ваш бізнес, ваше життя і ваш цифровий світ завжди буде під надійним захистом кіберпрофесіоналів.
- Права, гарантовані Конституцією України, які неможливо обмежити Світлана Приймак вчора о 18:21
- Процедура видачі Держпрацею дозволів на виконання робіт підвищеної небезпеки Євген Морозов вчора о 10:32
- Сила чи емпатія Наталія Тонкаль 16.11.2024 20:57
- Видалення з реєстру старої щорічної декларації депутата та подання виправленої Євген Морозов 16.11.2024 16:07
- Справедливість по-українськи: забрати в бідних, збагатити чиновників Андрій Павловський 15.11.2024 22:06
- Перевибори у Німеччині. Нові проблеми чи можливості для України? Галина Янченко 15.11.2024 17:33
- Особистий бренд – ваш новий бізнес-актив Наталія Тонкаль 15.11.2024 14:39
- Нові правила управління державним майном та реалізації арештованих активів Дмитро Зенкін 15.11.2024 14:09
- Обміняйте Шевченка Євген Магда 15.11.2024 13:56
- Університети і ринок праці: взаємозалежність Юрій Баланюк 15.11.2024 13:37
- Виїзд дитини за кордон під час війни: порада від сімейного адвоката Світлана Приймак 15.11.2024 12:59
- Право постійного землекористувача надавати земельну ділянку в оренду третій особі Євген Морозов 15.11.2024 11:16
- ІТ в США та в Україні: порівняння зарплат, витрати та перспективи Сергій Хромченко 15.11.2024 10:39
- Воднева галузь США після обрання Трампа: чи зупинить Америка рух зеленого водню? Олексій Гнатенко 15.11.2024 09:15
- Форвардні контракти на ринку електроенергії ЄС: як працювати з вигодою та без ризиків Ростислав Никітенко 14.11.2024 11:55
-
Темні емпати: який це тип особистості та що про них кажуть психологи
Життя 9929
-
Комедія з Монікою Белуччі та продовження легендарного "Гладіатора": чотири кіноновинки тижня
Життя 7434
-
Чи корисно їсти лише раз на день?
Життя 5976
-
Секрет дорогих яєць. Як виробники задерли ціни та збільшили експорт
Бізнес 5201
-
NASA та Microsoft запустили чатбот на основі ШІ, що відповідає на питання про Землю
Бізнес 4137