Прошло больше года с тех пор, как Украина оказалась в состоянии войны. За это время было израсходовано много ресурсов. При этом остаются важные сферы современной обороны, где и конь не валялся. В развитых странах кибербезопасность и стратегия киберобороны - важная составляющая обеспечения мира. Больше всего в этой сфере преуспели США и Израиль, где есть подразделения кибервойск. Киберпространство давно превратилось в пятое измерение ведения войны помимо суши, моря, воздуха и космоса.
Не первый звонок
Когда речь заходит о киберобороне, многие представляют себе анонимных хакеров, которые "валят" сайты правительства и вешают на их место какую-то картинку. Однако такие действия вряд ли сильно навредят обороноспособности. Разве что подвинут "диванные войска" писать гневные посты в соцсетях.
Реальная угроза, исходящая от киберпространства, - это промышленные вирусы, направленные на подрыв работы важных объектов и систем.
Эти зловредные программы активно используются в мире. Например, в Иране с помощью промышленных вирусов блокировалась работа нефтяных терминалов. Израиль и арабские страны нарушали работу финансовых систем друг друга.
Что сделано в этом направлении в Украине?
1 мая 2014 года тогдашний и. о. президента Александр Турчинов подписал указ о мерах по информационной безопасности. Наиболее очевидный результат - запрет трансляции российских каналов. Однако и он спорный. Российские каналы продолжают вещать в Одесской области с территории Приднестровья и Молдовы.
К слову, серьезные конфузы за последний год в этой сфере в Украине чудом не случились. 22 мая 2014 года, перед выборами президента, зловредная программа чуть было не уничтожила на сервере ЦИК реестр с данными об избирателях.В условиях войны в первую очередь нужно было разработать законодательную базу для киберобороны, но этот вопрос завис. Наверное, не врет депутатская поговорка: "Хочешь завалить законопроект - создавай рабочую группу".
О последствиях такой атаки для державы, вероятно, дотошно не стоит и говорить. Как туда без труда проникла эта программа - это уже второй вопрос. Вразумительного ответа украинские спецслужбы тогда не предоставили.
Медленно раскачиваемся
О том, что не все еще потеряно, говорит свежий законопроект, разработанный Госспецсвязи и зарегистрированный в парламенте на прошлой неделе.
Ведомство предложило изменить закон "Об информации". Суть новаций в том, что технологическая информация тоже должна подлежать защите. Речь идет о кодах и данных автоматизированных систем управления промышленным объектами.
Это как раз те массивы информации, которые промышленные вирусы атакуют чаще всего. Наиболее простой пример для Украины - автоматизированная система контроля работы АЭС или система контроля полетов воздушного транспорта.
Их список утвердит постановление Кабмина после принятия закона "Об основных принципах кибербезопасности", - рассказывает начальник управления по связям со СМИ администрации Госспецсвязи и защиты информации Виталий Кукса.Чтобы спецслужбы придумали, как защитить такие данные, нужно определить все объекты критической инфраструктуры, которые могут пострадать от атак.
По его словам, в планах ведомства - доработать этот закон до конца 2015 года. "Служба делает все, чтобы он был принят быстрее", - подчеркивает чиновник.
Все одеяло - на себя
Экспертных знаний для подготовки таких документов у Госспецсвязи пока не хватает, поэтому ведомство привлекает специалистов из вне.
Подготовить закон помогает международная организация по разработке методологий и стандартов в сфере ИТ-управления, аудита и кибербезопасности ISACA. "По запросу Госспецсвязи мы доработали проект о кибербезопасности", - рассказывает президент киевского отделения организации Алексей Янковский.
По его словам, документ пришлось переделать. Вариант украинского профильного ведомства не позволил бы построить эффективную защиту, создал бы чрезмерную нагрузку на бизнес, нарушил приватность граждан и организаций. "Мы предложили внедрить успешную американскую модель", - подчеркнул Янковский.
Речь идет о децентрализованной модели. Функции по созданию отраслевых стандартов, контролю над их выполнением и обмену информацией об атаках делегируются отраслевым регуляторам либо профессиональным ассоциациям.
В Украине такие функции могут получить НКРСИ или НКРЭ - регуляторы в телекоме и энергетике. Госспецсвязи хотела внедрить централизованный контроль, что в конечном итоге превратилось бы в утопию.В США ассоциация NERC разработала стандарты CIP, обязательные к применению энергетическими компаниями. Для аудита на соответствие этим стандартам привлекаются независимые профессиональные аудиторы, а не госорганы.
Объекты критической инфраструктуры будут определены в 12 сферах. Это энергетика, химпром, газ, транспорт, телеком, финансы, медиа, промышленность, производство продуктов, здравоохранение, водоочистные сооружения и дамбы.
"Это очень широкий перечень. Большинство этих сфер уязвимы и не смогут противостоять кибератакам, поэтому ситуацию нужно менять немедленно. Не ждать принятия закона, а хотя бы дать рекомендации владельцам этих объектов. Почему-то это не делается", - сетует Янковский.
Чиновников - на gov.ua
Вирусы применяются не только для вывода из строя объектов, но и с целью шпионажа. В Украине пока не только бизнес, но и госструктуры плохо защищены от утечки информации. Более того, сами же чиновники часто неосознанно содействуют сбору критических данных иностранными спецслужбами.
Например, вопрос защиты электронной переписки госорганов оброс поручениями и рекомендациями, но далеко не все чиновники посчитали их обязательными.
Многие из них до сих пор пользуются российскими сервисами - mail.ru или yandex.ru. "Мы неоднократно обращали внимание на недопустимость использования в госорганах публичных сервисов электронной почты. Переписка по этому поводу продолжается с 2014 года", - отмечает Кукса.
По данным источников ЭП, вопрос исполнения рекомендаций держит на контроле СБУ. Один из региональных представителей этого ведомства сообщил, что в Киеве и области все госорганы уже проверены, и у всех есть служебная почта. По регионам у него данных нет, а там дела обстоят хуже.
Как сообщил Кукса, Госспецсвязи и Госагентство по вопросам электронного управления разрабатывают проект постановления Кабмина по использованию доменных имен государственными органами в украинском сегменте интернета.
Предполагается, что для служебной переписки будут использоваться лишь электронные почтовые ящики и сервисы, находящихся в домене gov.ua.
"Технари говорят, что при наличии политической воли и выделении средств сделать защищенную почту для всех госорганов можно за неделю", - говорит один из осведомленных представителей Кабмина. Однако правительство медлит.
