Кіберзагрози з кожним роком піднімаються в «рейтингу» важливості для світової економіки. Цю, найважливішу для України тему, обговорювали і під час форуму «Паливно-енергетичний комплекс України: сьогодення та майбутнє».
Забігаючи наперед - питання є і у учасників ринку, і у органів, які покликані забезпечити кібербезпеку на рівні держави. Але нічого такого, чого б не можна було змінити.
Недосконалість українського законодавства
Менеджер проєкту IFES в Україні Юлія Шипилова, розповіла, що у сфері кібербезпеки немає жодного єдиного глобального документу, який би визначав, як держави повинні діяти. У 2011 і 2015 роках Росія і Китай спробували пролобіювати певні документи на рівні ООН, але вони не були прийняті, оскільки США має інший погляд на ці питання.
Є Будапештська конвенція про кіберзлочини - Україна її ратифікувала в 2015 році, і зараз ці положення є обов'язковими. Але, для того, щоб цей документ запрацював, він має бути реалізований в національному законодавстві.
Будапештська конвенція складається з трьох компонентів: матеріальне право, процесуальне і співпраця. Матеріальні норми України імплементувала: більшість кібер-злочинів в кримінальному кодексі відодбражені. У нас проблеми стосовно процесуального права: факт кібер-злочину ми встановити можемо, але ніхто не знає, що робити далі.
"Коли починається співпраця з іншими державами у сфері кіберзлочинів, збір інформації і передача доказів, то Україна досі не визначила - що таке електронний доказ, як їх збирати, зберігати, забезпечувати, щоб не було втручання. Тому така співпраця проблематична", - пояснила Шипилова.
Є також директива Європейського союзу про інформаційну і мережеву безпеку NIS. Вона не є обов'язковою для України, оскільки ми не є членом ЄС. Директива передбачає прийняття стратегії кібербезпеки, в Україні подібний документ був прийнятий в 2016 році. Вже створені групи по співпраці і обміну інформацією.
З іншого боку, згідно з цим документом, Україна зобов'язана повідомляти, з дотриманням усіх протоколів, про кіберінциденти у відповідні структури. Зараз наші підприємства роблять це час від часу і в довільній формі. На думку експерта, атака вірусу "Петя" сталася саме тому, що не було систем інформування і рекомендацій як діяти.
«Це важливо тому, що дозволить проаналізувати, хто і як атакував, і зрозуміти, як діяти в тому або іншому випадку", - пояснила Шипилова.
На основі Стратегії кібербезпеки України був прийнятий в 2017 році закон про основи кібербезпеки. Але він - рамковий. "Багато його положень має бути прописані на підзаконному рівні. Але Кабміном вони не прийняті", - відмітила експерт.
Стратегія кібербезпеки і її мети - добре, що це є. Але не прописано, хто їх повинен досягати і виконувати.
«Створення національної системи кібербезпеки - дуже амбітна мета. Але не сказано, хто за неї відповідає, коли вона має бути досягнута і як. І ніхто не відстежує, як здійснюється діяльність, щоб цю систему побудувати», - відмітила експерт.
Серед інших пропусків законодавства - невідповідність певних норм міжнародним зобов'язанням України і непослідовність термінології. Законодавство приймалося в різний час, тому і термінологію використали різну. Тепер компетентні органи стикаються з тим, що не можуть зробити певні дії, суд не визнає їх дії законними.
Стосовно законодавства про критичну інфраструктуру - Мінекономіки розробило законопроект, що довго обговорюється, і внесений у ВР у кінці каденції 8-го скликання. Але він вважається відхиленим. І тепер цю роботу почали спочатку. Хоча він міг би стати непоганою базою, вважає Шипилова.
Одна з головних проблем забезпечення кібербезпеки - підвідомчість. Багато установ мають схожі функції. В результаті - або ніхто не відповідає за певні питання, або, навпаки, органи починають конкурувати між собою. Серед інших проблем - відсутність стратегічного плану. Сама стратегія - добре. Але план - це не лише те, чого ми хочемо досягти, але і засоби досягнення.
Велика проблема для агентств, які забезпечують кібербезпеку, - бюджетні обмеження. "Агентства наймають на роботу молодих, навчають їх, а вони потім йдуть в приватний сектор, тому що треба годувати сім'ї, адже за гроші, які пропонує держава, неможливо вижити. Щоб створити систему кіберзахисту - потрібні, у тому числі, і нормальні зарплати", - відзначила Шипилова.
Підбиваючи підсумки дискусії на форумі, серед невідкладних завдань можна назвати:
- узгодження термінології;
- ухвалення комплексного закону про кіберзахист;
- ухвалення закону про критичну інфраструктуру:
- гармонізація законодавства з європейським;
- створення внутрішньої системи інформування про кібепринцидентах (з єдиною структурою, яка бачила повну картину, нехай це буде не нова структура);
- оновлення законодавства про правоохоронні органи, прибрати дублювання функцій;
- ухвалення закону про державно-приватне партнерство у сфері кібербезпеки.
Що розповіли енергопідприємства
Директор з інформаційних технологій НАЕК "Енергоатом" Олександр Лесной розповів, що в "Енергоатомі" критичними є інформаційно-керуючі системи.
"На щастя, вони були спроєктовані в 60-80-і роки. Такі передумови дозволяють нам забезпечувати захист особливо критичних активів, внутрішні периметри, зовнішні інформаційні системи загального користування - як бар'єр для проникнення", - відмітив Лесной.
Найбільша загроза, за його словами - внутрішня. "Ми мали декілька інцидентів, які широкий розголос не отримали. Усі вони на 100 відсотків пов’язані з діями внутрішнього працівника. Але умисних дій для досягнення своєї якоїсь мети, щоб створити "діру" в кібербезпеці, не було. Тому для нас це робота по підвищенню рівня знань нашого персоналу. Підвищення рівня кібербезпеки - це процес, який не повинен закінчуватися", - підкреслив представник "Енергоатому".
Директор департаменту інформаційних технологій Укргідроенерго Богдан Карбань підкреслив, що в його компанії постійно аналізують поточну ситуацію та впроваджують новітні технології забезпечення безпеки.
«Ми вбачаємо проблему у відсутності до цього часу визначення об’єктів критичної інфраструктури. Існують проблеми з регулюванням технічних аспектів кібербезпеки. Щодо прецедентів у нас, то вони були незначними – ми не відчували ніяких атак. Що було? – це неумисні дії співробітників. Серйозних загроз не було», - розповів Карбань.
Начальник відділу ІТ безпеки НЕК "Укренерго" Валерій Єрмошин розповів, що зацікавлення до їх інформаційного порталу постійне. За його словами, зокрема, одним з недоступних широкій публіці сервісів цікавилися 69 разів.
"Наші користувачі отримали 54 фішингових листа, що містять шкідливе ПЗ. Ми зафіксували 7 випадків його проявів на різних носіях, ресурсах. Нам пощастило - ми продовжили роботу. Зараз ми відчуваємо постійний інтерес. В деяких випадках він успішний, в деяких - ні", - відзначив Єрмошин.
За його словами - саме персонал компанії і долає усі загрози. І з точки зору інформаційної безпеки і персоналу "Укренерго" в 2015 році і 2019-м - це різні організації.
"Нам допомогли ті засоби захисту, які ми використовуємо постійно. У світі немає нічого такого, про що ми б не знали", - сказав він.
Єрмошин підкреслив, що треба виправляти процедури закупівлі засобів захисту. Сьогодні фізичний захист об'єктів енергетики відноситься до відомостей, що містять державну таємницю. Критичніший і доступніший інформаційний захист - максимум для службового використання. Хтось повинен вийти з ініціативою, щоб Служба безпеки внесла коригування в звіт зведення. Інакше ті, хто постійно нами цікавляться, досконало знатимуть нашу інфраструктуру, починаючи з моделі і версій засобів захисту і тому подібне.
Представник ДТЕК Сергій Дзюба запевнив, що його компанія додає максимум зусиль, щоб забезпечити безперервне функціонування наших підприємств і надання послуг споживачам.
«До "Петі" жоден аудит не дивився на справжній захист від справжніх кіберзагроз. Практична робота повинна стояти на першому місці", - сказав Дзюба.
За його словами, законодавче врегулювання питання кібербезпеки дасть можливість адекватного діалогу з державними органами і з регулятором. Вихід постанови № 518 (КМУ, про затвердження Загальних вимог до кіберзахисту об'єктів критичної інфраструктури - ред.) поставила низку запитань, як ці вимоги імплементувати на об'єкти, котрі компанія вважає ланками критичної інфраструктури.
«Наприклад, використання антивірусного захисту на таких об'єктах. А якщо автоматизована система управління технологічними процесами не припускає використання системи антивірусного захисту, якщо вона стороння в цій системі? Це елемент дискусії з людьми, які розробляли цю постанову. Ми маємо можливість запросити до себе досвідчених фахівців. Але розуміємо, що фахівці, працюючи в державних, законодавчих органах, розробляють постанови - вони, мабуть, не дуже мотивовані за результати своєї роботи. Тому, такі документи повинні виноситися в цілому, допрацьовуватися, обговорюватися в співтоваристві фахівців», - пояснив він.
Що думає і робить держава
Начальник держслужби кіберзахисту Роман Боярчук погодився, що законодавство у сфері захисту критичної інфраструктури ще не сформоване. "Кожне міністерство щорічно створює план реалізації кібербезпеки України. Цей план затверджений Кабміном, формуються звіти. Але вони не доступні громадськості. Окрім уряду, ніхто не бачить, що і як було впроваджено", - відмітив Боярчук. Єдиний документ, який може вважатися стандартом захисту критичної інфраструктури, і на який можна спиратися, - постанова Кабінету міністрів, відмітив він. Залишається сподіватися, що діючий парламент зможе ухвалити необхідний закон.
Бюджетні обмеження по фінансуванню експертів, залучених до забезпечення кібербезпеки, - дійсно, важливе питання, вважає Боярчук.
«Експерти у сфері кібербезпеки в приватному секторі мають навіть більшу зарплату, ніж «звичайні» фахівці ІТ. Тому дуже важливе саме державно-приватне партнерство в питанні залучення фахівців в систему розвитку національної кібербезпеки", - сказав він. Але є тільки один закон про державно-приватне партнерство, який торкається спільного використання державних ресурсів приватними і державними організаціями. А головна проблема державно-приватного партнерства - в довірі. Щоб його побудувати - треба час.
Представник Ситуаційного центру по забезпеченню кібербезпеки СБУ Андрій Гайдар розповів, що у сфері державно-приватного партнерства Служба вже почала декілька проєктів. «Один з них - це платформа обміну індикаторами компрометації, кіберзагрозами про кібератаки. Вона була раніше відкрита, ми її допрацювали до наших стандартів. Постійно оновлюємо, додаємо туди індикатори компрометації, технічну інформацію, яка може бути використана системами, щоб зреагувати на якусь кібератаку. На сьогодні близько 50 об'єктів критичної інфраструктури до неї підключені, і близько 10 - це об'єкти енергетичні. Вона хороша тим, що можна отримати актуальну технічну інформацію про кіберзагрозу для адміністраторів по кібербезпеці. Цей сервіс безкоштовний і добровільний", - розповів Гайдар.
Ще один проєкт - координоване розкриття уразливості. На сайті СБУ є меморандум, який повинен допомагати кіберсуспільству і державі захищати свої об'єкти. Є поштова скринька, на яку можна анонімно повідомити інформацію. Вона буде перевірена СБУ, і надана відповідна реакція.
«Так ми закликаємо "білих" хакерів не писати щось у Фейсбуці, а звертатися в Службу безпеки. Ми спільно з об'єктом реагуватимемо на загрози», - відзначив Гайдар.
У СБУ теж чекають на законопроєкт про критичну інфраструктуру. Зараз уряд вже створив робочу групу з цього питання. Тому що загальні критерії визначення таких об'єктів - тільки початок спільної роботи.
Чого нам бракує: погляд з-за кордону
Експерт Cisco з інформаційної безпеки Володимир Ілібман відзначив, що теми, які озвучили інші спікери - стандартні: законодавчі обмеження і трансферні. Ці проблеми є в усіх країнах. Але в Україні є ще свої обмеження. Перша - проблема довіри, друга - цифрові комунікації, третя, - обмеження ресурсу для навчання персоналу. Як розповів Ілібман, компанія Cisco вже зіткнулася з проблемою довіри, коли організовувала галузеве бізнес-ком'юніті: ніхто не хотів ділитися інформацією, особливо якщо на цій платформі є регулятор або електронні держоргани.
У США цю проблему було вирішено: там є громадський центр кібербезпеки, який збирає інформацію «знизу», анонімізує її і передає «вгору» вже знеособлені дані про загрози. А «згори» вже йде інформація з рекомендаціями.
В Україні комунікація одностороння - постанова від міністерства до «низу» і все, навіть без фітдеку. "Але навіть те, що є в постанові 518 потрібно використати. Там є багато корисних пунктів, щоб поліпшити стан безпеки в Україні", - зауважив експерт Cisco.
Щодо навчання персоналу - є багато безкоштовних ресурсів, їх потрібно використати, зазначив Ілібман. Зокрема, Cisco запускає курси, на яких адміністратори інфраструктури зможуть підвищити свій рівень кваліфікації.
«Оскільки цим і відрізняється український і американський досвід - там постійно навчаються», - підсумував експерт.
Джерело: kosatka.media
- 268