Стратегія кібербезпеки України 2021-2025. Залишити не можна виправити
У березні-квітні 2021 року фахівці з кіберзахисту були запрошені до обговорення проекту нової Стратегії кібербезпеки України на 2021-2025 роки.
Документ було розроблено за дорученням Президента України та схвалено Робочою групою при Національному координаційному центрі кібербезпеки Ради національної безпеки і оборони України.
З огляду на ключову роль Стратегії в розвитку цивілізованого простору для роботи експертних підприємств та організацій у сфері кібербезпеки, ми проаналізували основні зміни, що пропонує проект документу для усіх представників галузі та економіки України в цілому.
Чи є новим цей «новий» документ
Загалом, ідея створення єдиного інформаційного поля та «правил гри» щодо кібербезпеки не нова для України. До появи даного проекту документу у січні 2016 року Указом Президента України вже було введено в дію Стратегію кібербезпеки України, що рамково окреслила основні положення галузі.
Тим не менш, новий варіант Стратегії є більш досконалим з огляду на глибину регулювання процесів. Єдиний документ, єдиний вектор руху, розуміння глобальних тенденцій, що описуються в проекті нової Стратегії – є досить позитивним сигналом для бізнесу.
Що ж було «не так» з попередньою редакцією документа? Зайва декларативність та відсутність конкретики, за загальною думкою професіоналів ринку кібербезпеки, зробила його мало корисним для реальних викликів останніх років. А тим часом кількість кіберінцедентів, як ви й самі бачите, зростала і продовжує зростати катастрофічними темпами.
Почнемо з самого початку
В старій версії Стратегії кібербезпеки навіть не було дано визначення критичної інфраструктури. Спойлер – в новій версії документу воно так само відсутнє, ані у вигляді реєстрів, ані у вигляді законодавчих актів. Тож логічно, що існує деякий хаос у розумінні того, що ж саме мають захищати ті спеціалісти, що відповідають за цей захист.
Слабкою стороною і старої, і нової версії головного кібердокументу країни є також і його орієнтація, головним чином, на задачі військово-оборонного комплексу. Хоча тепер, на відміну від попередніх років, чітко визначено єдиний центр, що відповідає за забезпечення кібербезпеки, оскільки раніше таких структур було декілька і вони не взаємодіяли між собою.
Що ж поганого у збереженні орієнтації Стратегії на державний сектор
Це так званий «тунельний зір». Коли ми визначаємо об’єктами критичної інфраструктури виключно певні традиційно вагомі об’єкти, здебільшого державного значення – в атомній енергетиці, водозабезпеченні, енергетиці, тощо.
Але є й інші, більш інноваційні, нові галузі, що також мають критичне значення, та традиційно не є об’єктом уваги держави. Наприклад, мобільний зв’язок. Це також інфраструктура, що забезпечує достатньо багато стратегічних комунікацій, і при цьому в нашій країні держава не має майже жодного стосунку до цієї сфери. Здебільшого це приватні компанії, при чому, деякі з них належать громадянам недружньої держави.
А відповідно – всі задачі, що прописані в Стратегії кібербезпеки України, до таких компаній мають безпосередній стосунок. Чи не так?
І така ж сама ситуація з приватними підприємствами енергетики, водозабезпечення, що для великих українських міст, наприклад, є чи не найбільш «критичною» інфраструктурою, але у Стратегії, ані попередньої, ані поточної редакції, до неї не належать.
Чи вплине нова Стратегія кібербезпеки України на бізнес
Певно, що ні. Принаймні, зараз в документі точно не міститься жодних посилань на регулювання бізнес-середовища в Україні.
Хоча деякі речі в тексті проекту документу мене особисто неприємно вразили, оскільки мають натяк на додаткові податки та збори, що зовсім не стосується цієї сфери регулювання з боку держави.
Наприклад, з’являється така функція, як необхідність обов’язкової сертифікації засобів кіберзахисту. Як це впливатиме на звичайний бізнес, практично на кожного з нас? Безпосередньо і кожен день. Ви використовуєте, наприклад, антивірус, але він не сертифікований державою. Після сертифікації вартість такого антивірусу може зрости в десятки разів.
Знову ж таки, вкотре просувається така цікава опція, як «забезпечення технічних можливостей для підключення засобів оперативно-розшукових заходів на комунікаційних мережах» (СОРМ).
Ця тема обговорюється багато років, і багато разів її намагалися під різним прикриттям застосувати. Якщо коротко, там, де є СОРМ - з’являються значні обмеження. З’являється можливість не зовсім законного отримання інформації, спроби маніпуляцій і таке інше.
Я вважаю це вкрай негативним явищем, і це добре видно на прикладі нашого північного сусіда, де такі системи використовуються зовсім не для боротьби з кіберзлочинцями, а лише для придушення громадянського спротиву недемократичним діям влади. Це саме той випадок, коли «благими намірами» вимощено шлях зовсім у зворотній бік.
Запровадження своїх національних стандартів теж досить хитка позиція документу. Це, як на мене, виглядає як «робота заради роботи». Є досить багато якісних і загальновідомих світових розробок в цьому напрямі: ISO 27001, NIST Cybersecurity. ISO 27001, наприклад, добре себе зарекомендували в забезпеченні кібербезпеки Нацбанку. Загалом, приклад Нацбанку може стати еталонним в нашій країні для побудови надійної системи кібербезпеки і кіберзахисту.
Не всі сервіси однаково корисні
Звичайно, нас в IT-середовищі цікавило, перш за все, чи вплине нова Стратегія кібербезпеки України на нас як на бізнес.
І тут теж негатив, оскільки в документі явно прописано, що держава поступово буде відходити від нормативної та контролюючої ролі в бік сервісної моделі.
Тобто держава відтепер буде надавати сервісні послуги тим, кого зобов’язана захищати. Це, як на мене, досить небезпечна позиція, перш за все, з економічної точки зору – маємо створення державної монополії. А з досвіду саме IT-галузі в Україні ми всі вже добре знаємо, що найкраще вона розвивається в умовах саме жорсткої конкуренції, завдяки якій і відбулося становлення галузі в цілому.
Цифровізація і ДПП «всієї країни»
Не чітко виписані в Стратегії і принципи безпечної цифровізації, про яку так багато говорять останнім часом. Схоже, що, з точки зору кібербезпеки, держава надалі так і продовжуватиме тільки говорити. А хотілося б більш чіткого розуміння, «дорожньої карти» дій щодо виявлення критичних вразливостей, адже за кордоном все це робиться за стандартним механізмом, діє та сама програма Bug Bounty, приміром, за якою компанії і держава сплачують значну винагороду за виявлення вразливостей раніше за злочинців. В нас все це не діє, хоча в Стратегії з цього приводу є й досить вірні тлумачення.
Що ж стосується пріоритетної зараз в цифровій сфері теми державно-приватного партнерства, ми як група компаній, що спеціалізується на кібербезпеці, зацікавлені в таких партнерствах, у співпраці з державою і з іншими представникам галузі. На жаль, і на це питання даний проект Стратегії не дає нам чітких відповідей. Хоча ми сподіваємося, що з появою єдиного координаційного центру справа ДПП у цифрових проектах зрушить з мертвої точки.
Кібербезпека для звичайного українця
Про неї у новому варіанті Стратегії знову нема жодного слова. Можливо, тому що для самих громадян поки що слова «кібербезпека», «кіберзлочинці», «кібершахрайство» звучать абстрактно та незрозуміло.
Але всі вони стають досить конкретними, коли у фізичної особи крадуть цифровий підпис, чи доступ до карткових рахунків в онлайн-банкінгу, чи просто використовують е-копії установчих документів чи паспорту, ІНН – і крадуть кошти, майно, бізнес.
Небезпека зовсім поряд і вона реальніша тим більше, чим більше цифрові послуги входять в наш побут. Тому, коли держава каже «ми будемо цифровізуватися», одразу має казати, як вона буде забезпечувати кібербезпеку своїх громадян. Не просто пояснювати, навчати та обговорювати - а надавати реальні цифрові інструменти кіберзахисту кожному користувачу.
Всього цього в даному варіанті Стратегії я не побачив. Так само, як і не побачив нових реальних інструментів, або хоча б механізму роботи з кіберзагрозами для підприємств та підприємців.
А значить, знову і знову повторюватимуться такі кіберінциденти, як в одному з наших кейсів, коли ми за допомогою власного Security Operation Center відстежили деякі аномальні активності щодо акаунту нашого співробітника, з’ясували географічне місце знаходження кіберзловмисників за кордоном та в Україні, в Харкові, та так і не знайшли робочої послідовності взаємодії з правоохоронними органами, щоб зафіксувати факт кіберзлочину та покарати винних.
Але чим такий злочин відрізняється від звичайної крадіжки в маркеті чи грабунку на вулиці?
Висновок один – необхідно негайно врегулювати такі механізми законодавчо та за допомогою даного документу, в тому числі.
Мистецтво малих кроків
Тим не менш, проект нової Стратегії кібербезпеки України 2021-2025 справив на мене особисто досить позитивне враження. Є багато конкретики, є глибина та розуміння проблематики. Загалом, я вважаю - це вірний вектор розвитку сфери кібербезпеки і кіберзахисту в Україні на державному рівні.
Що я обов’язково хотів би бачити у затвердженому варіанті Стратегії?
Звичайно, Roadmap - «дорожню карту» реалізації документу з конкретними цілями, строками, відповідальними особами та розумінням того, яким ресурсом буде досягнуто той, чи інший результат.
Чекаємо на нову затверджену Стратегію кібербезпеки України.
І нехай ваш бізнес, ваше життя і ваш цифровий світ завжди буде під надійним захистом кіберпрофесіоналів.
- JIT — концепція, час якої настав Наталія Качан 19:43
- Оновлення законодавства про захист персональних даних: GDPR в законопроєкті 8153 Анастасія Полтавцева вчора о 18:47
- Податкова біполярність або коли виграв справу, але неправильно Євген Власов вчора о 16:35
- Встановлення факту спільного проживання «цивільного подружжя» при поділі майна Євген Морозов вчора о 10:52
- Когнітивка від Psymetrics – прогнозований бар’єр для Вищого антикорупційного суду Лариса Гольник вчора о 09:26
- Топ-3 проєктів протидії фінансовому шахрайству у 2024 році Артем Ковбель 20.12.2024 23:10
- Как снять арест с карты: советы для должников ЖКХ Віра Тарасенко 20.12.2024 21:40
- Кейс нотаріальної фальсифікації в Україні: кримінал, зловживання довірою й порушення етики Світлана Приймак 20.12.2024 16:40
- Валюта боргу та валюта платежу в договірних відносинах Євген Морозов 20.12.2024 09:50
- БЕБ, OnlyFans та податкова істерика: хто насправді винен? Дмитро Зенкін 19.12.2024 16:55
- Посилено відповідальність за домашнє та гендерно зумовлене насильство Світлана Приймак 19.12.2024 16:44
- Вчимося та вчимо дітей: мотивація та управління часом Інна Бєлянська 19.12.2024 16:11
- Гендерний розрив на ринку праці України: дослідження Міжнародної організації з міграції Юлія Маліч 19.12.2024 13:36
- Україна сировинний придаток, тепер офіційно? Андрій Павловський 19.12.2024 12:50
- Звільнення від обов`язку сплати неустойки (штрафу, пені) та 3 % річних Євген Морозов 19.12.2024 09:34
- Після зупинення війни, вільних виборів може і не відбутися 1247
- Україна сировинний придаток, тепер офіційно? 1217
- Правова стратегія для захисту інтересів дитини у суді 561
- Когнітивка від Psymetrics – прогнозований бар’єр для Вищого антикорупційного суду 490
- Вчимося та вчимо дітей: мотивація та управління часом 235
-
Для мешканців багатоквартирних будинків встановили фіксовані ціни за електроенергію
Бізнес 10999
-
Глиняний посуд на Святвечір: традиції, символіка та як обрати для святкового столу
Життя 4347
-
Рекордно подорожчав овоч, який є унікальним засобом від застуди
Бізнес 3992
-
Вісім треків тижня: новий фіт Соловій і Дантеса та зимова лірика Jerry Heil
Життя 3819
-
Бізнес-тиждень: фінансова допомога партнерів, нові тарифи, приватизація та санкції
Бізнес 3085