Стратегія кібербезпеки України 2021-2025. Залишити не можна виправити
У березні-квітні 2021 року фахівці з кіберзахисту були запрошені до обговорення проекту нової Стратегії кібербезпеки України на 2021-2025 роки.
Документ було розроблено за дорученням Президента України та схвалено Робочою групою при Національному координаційному центрі кібербезпеки Ради національної безпеки і оборони України.
З огляду на ключову роль Стратегії в розвитку цивілізованого простору для роботи експертних підприємств та організацій у сфері кібербезпеки, ми проаналізували основні зміни, що пропонує проект документу для усіх представників галузі та економіки України в цілому.
Чи є новим цей «новий» документ
Загалом, ідея створення єдиного інформаційного поля та «правил гри» щодо кібербезпеки не нова для України. До появи даного проекту документу у січні 2016 року Указом Президента України вже було введено в дію Стратегію кібербезпеки України, що рамково окреслила основні положення галузі.
Тим не менш, новий варіант Стратегії є більш досконалим з огляду на глибину регулювання процесів. Єдиний документ, єдиний вектор руху, розуміння глобальних тенденцій, що описуються в проекті нової Стратегії – є досить позитивним сигналом для бізнесу.
Що ж було «не так» з попередньою редакцією документа? Зайва декларативність та відсутність конкретики, за загальною думкою професіоналів ринку кібербезпеки, зробила його мало корисним для реальних викликів останніх років. А тим часом кількість кіберінцедентів, як ви й самі бачите, зростала і продовжує зростати катастрофічними темпами.
Почнемо з самого початку
В старій версії Стратегії кібербезпеки навіть не було дано визначення критичної інфраструктури. Спойлер – в новій версії документу воно так само відсутнє, ані у вигляді реєстрів, ані у вигляді законодавчих актів. Тож логічно, що існує деякий хаос у розумінні того, що ж саме мають захищати ті спеціалісти, що відповідають за цей захист.
Слабкою стороною і старої, і нової версії головного кібердокументу країни є також і його орієнтація, головним чином, на задачі військово-оборонного комплексу. Хоча тепер, на відміну від попередніх років, чітко визначено єдиний центр, що відповідає за забезпечення кібербезпеки, оскільки раніше таких структур було декілька і вони не взаємодіяли між собою.
Що ж поганого у збереженні орієнтації Стратегії на державний сектор
Це так званий «тунельний зір». Коли ми визначаємо об’єктами критичної інфраструктури виключно певні традиційно вагомі об’єкти, здебільшого державного значення – в атомній енергетиці, водозабезпеченні, енергетиці, тощо.
Але є й інші, більш інноваційні, нові галузі, що також мають критичне значення, та традиційно не є об’єктом уваги держави. Наприклад, мобільний зв’язок. Це також інфраструктура, що забезпечує достатньо багато стратегічних комунікацій, і при цьому в нашій країні держава не має майже жодного стосунку до цієї сфери. Здебільшого це приватні компанії, при чому, деякі з них належать громадянам недружньої держави.
А відповідно – всі задачі, що прописані в Стратегії кібербезпеки України, до таких компаній мають безпосередній стосунок. Чи не так?
І така ж сама ситуація з приватними підприємствами енергетики, водозабезпечення, що для великих українських міст, наприклад, є чи не найбільш «критичною» інфраструктурою, але у Стратегії, ані попередньої, ані поточної редакції, до неї не належать.
Чи вплине нова Стратегія кібербезпеки України на бізнес
Певно, що ні. Принаймні, зараз в документі точно не міститься жодних посилань на регулювання бізнес-середовища в Україні.
Хоча деякі речі в тексті проекту документу мене особисто неприємно вразили, оскільки мають натяк на додаткові податки та збори, що зовсім не стосується цієї сфери регулювання з боку держави.
Наприклад, з’являється така функція, як необхідність обов’язкової сертифікації засобів кіберзахисту. Як це впливатиме на звичайний бізнес, практично на кожного з нас? Безпосередньо і кожен день. Ви використовуєте, наприклад, антивірус, але він не сертифікований державою. Після сертифікації вартість такого антивірусу може зрости в десятки разів.
Знову ж таки, вкотре просувається така цікава опція, як «забезпечення технічних можливостей для підключення засобів оперативно-розшукових заходів на комунікаційних мережах» (СОРМ).
Ця тема обговорюється багато років, і багато разів її намагалися під різним прикриттям застосувати. Якщо коротко, там, де є СОРМ - з’являються значні обмеження. З’являється можливість не зовсім законного отримання інформації, спроби маніпуляцій і таке інше.
Я вважаю це вкрай негативним явищем, і це добре видно на прикладі нашого північного сусіда, де такі системи використовуються зовсім не для боротьби з кіберзлочинцями, а лише для придушення громадянського спротиву недемократичним діям влади. Це саме той випадок, коли «благими намірами» вимощено шлях зовсім у зворотній бік.
Запровадження своїх національних стандартів теж досить хитка позиція документу. Це, як на мене, виглядає як «робота заради роботи». Є досить багато якісних і загальновідомих світових розробок в цьому напрямі: ISO 27001, NIST Cybersecurity. ISO 27001, наприклад, добре себе зарекомендували в забезпеченні кібербезпеки Нацбанку. Загалом, приклад Нацбанку може стати еталонним в нашій країні для побудови надійної системи кібербезпеки і кіберзахисту.
Не всі сервіси однаково корисні
Звичайно, нас в IT-середовищі цікавило, перш за все, чи вплине нова Стратегія кібербезпеки України на нас як на бізнес.
І тут теж негатив, оскільки в документі явно прописано, що держава поступово буде відходити від нормативної та контролюючої ролі в бік сервісної моделі.
Тобто держава відтепер буде надавати сервісні послуги тим, кого зобов’язана захищати. Це, як на мене, досить небезпечна позиція, перш за все, з економічної точки зору – маємо створення державної монополії. А з досвіду саме IT-галузі в Україні ми всі вже добре знаємо, що найкраще вона розвивається в умовах саме жорсткої конкуренції, завдяки якій і відбулося становлення галузі в цілому.
Цифровізація і ДПП «всієї країни»
Не чітко виписані в Стратегії і принципи безпечної цифровізації, про яку так багато говорять останнім часом. Схоже, що, з точки зору кібербезпеки, держава надалі так і продовжуватиме тільки говорити. А хотілося б більш чіткого розуміння, «дорожньої карти» дій щодо виявлення критичних вразливостей, адже за кордоном все це робиться за стандартним механізмом, діє та сама програма Bug Bounty, приміром, за якою компанії і держава сплачують значну винагороду за виявлення вразливостей раніше за злочинців. В нас все це не діє, хоча в Стратегії з цього приводу є й досить вірні тлумачення.
Що ж стосується пріоритетної зараз в цифровій сфері теми державно-приватного партнерства, ми як група компаній, що спеціалізується на кібербезпеці, зацікавлені в таких партнерствах, у співпраці з державою і з іншими представникам галузі. На жаль, і на це питання даний проект Стратегії не дає нам чітких відповідей. Хоча ми сподіваємося, що з появою єдиного координаційного центру справа ДПП у цифрових проектах зрушить з мертвої точки.
Кібербезпека для звичайного українця
Про неї у новому варіанті Стратегії знову нема жодного слова. Можливо, тому що для самих громадян поки що слова «кібербезпека», «кіберзлочинці», «кібершахрайство» звучать абстрактно та незрозуміло.
Але всі вони стають досить конкретними, коли у фізичної особи крадуть цифровий підпис, чи доступ до карткових рахунків в онлайн-банкінгу, чи просто використовують е-копії установчих документів чи паспорту, ІНН – і крадуть кошти, майно, бізнес.
Небезпека зовсім поряд і вона реальніша тим більше, чим більше цифрові послуги входять в наш побут. Тому, коли держава каже «ми будемо цифровізуватися», одразу має казати, як вона буде забезпечувати кібербезпеку своїх громадян. Не просто пояснювати, навчати та обговорювати - а надавати реальні цифрові інструменти кіберзахисту кожному користувачу.
Всього цього в даному варіанті Стратегії я не побачив. Так само, як і не побачив нових реальних інструментів, або хоча б механізму роботи з кіберзагрозами для підприємств та підприємців.
А значить, знову і знову повторюватимуться такі кіберінциденти, як в одному з наших кейсів, коли ми за допомогою власного Security Operation Center відстежили деякі аномальні активності щодо акаунту нашого співробітника, з’ясували географічне місце знаходження кіберзловмисників за кордоном та в Україні, в Харкові, та так і не знайшли робочої послідовності взаємодії з правоохоронними органами, щоб зафіксувати факт кіберзлочину та покарати винних.
Але чим такий злочин відрізняється від звичайної крадіжки в маркеті чи грабунку на вулиці?
Висновок один – необхідно негайно врегулювати такі механізми законодавчо та за допомогою даного документу, в тому числі.
Мистецтво малих кроків
Тим не менш, проект нової Стратегії кібербезпеки України 2021-2025 справив на мене особисто досить позитивне враження. Є багато конкретики, є глибина та розуміння проблематики. Загалом, я вважаю - це вірний вектор розвитку сфери кібербезпеки і кіберзахисту в Україні на державному рівні.
Що я обов’язково хотів би бачити у затвердженому варіанті Стратегії?
Звичайно, Roadmap - «дорожню карту» реалізації документу з конкретними цілями, строками, відповідальними особами та розумінням того, яким ресурсом буде досягнуто той, чи інший результат.
Чекаємо на нову затверджену Стратегію кібербезпеки України.
І нехай ваш бізнес, ваше життя і ваш цифровий світ завжди буде під надійним захистом кіберпрофесіоналів.
- Судовий збір при заявлені цивільного позову у кримінальному провадженні Євген Морозов вчора о 20:02
- Скасування Господарського кодексу: ризики для бізнесу та економіки Володимир Бабенко вчора о 17:11
- Розпочато роботу над вебплатформою судових рішень War Crime Леонід Сапельніков вчора о 14:41
- Маємо забезпечити армію якісним майном Дана Ярова вчора о 14:21
- Нові зміни до Кримінального кодексу України: що потрібно знати Оксана Соколовська вчора о 13:27
- Судова практика: відміна виконавчого напису приватного нотаріуса Павло Васильєв вчора о 12:31
- Сектори польської економіки, в які інвестує український бізнес Сильвія Красонь-Копаніаж вчора о 12:10
- Санкції та їх оскарження в ЄС: що варто знати українському бізнесу та адвокатам Ростислав Никітенко вчора о 12:08
- Відвід судді: закон, практика та поради Владислав Штика 03.11.2024 23:06
- Темна сторона онлайн-шопінгу: Temu потрапив під приціл ЄС Дмитро Зенкін 03.11.2024 21:00
- Проведення обшуку без ухвали слідчого судді Євген Морозов 03.11.2024 19:56
- Закриття кримінального провадження на підставі пункту 9-1 ч. 1 ст. 284 КПК України Андрій Хомич 03.11.2024 19:45
- Продаж майна боржника на електронному аукціоні Павло Васильєв 03.11.2024 14:50
- Місце проживання дитини після розлучення: досвід та практика Світлана Приймак 02.11.2024 20:08
- Неконкретність вимог податкового органу для розблокування податкових накладних Євген Морозов 02.11.2024 19:05
-
Що подивитись у кіно. Три новинки тижня
Життя 8464
-
Озеро Гарда: шість найкрасивіших міст на найбільшому озері Італії
Життя 7154
-
Укранфта пробурила найглибшу свердловину за останні вісім років. Дає нафту та газ
Бізнес 4786
-
Освітні втрати набирають обертів: чому школярі масово виїжджають і не планують повертатися
Думка 4293
-
Найбільший завод з виробництва свинцю в Україні визнали банкрутом
Бізнес 3979