Виктор Жора, заместитель председателя Государственной службы специальной связи и защиты информации Украины
Возможно, в киберНАТО мы окажемся скорее, чем в реальном
21.05.2021 18:21

Государственная служба специальной связи и защиты информации - это, упрощенно говоря, что-то вроде министерства обороны цифровой сферы. По крайней мере, так должно было быть и так выглядит его функционал. В его ведении, кроме системы правительственной связи, формирование политики в сферах криптографической и технической защиты информации, киберзащиты и телекоммуникаций.

Учитывая, какими темпами происходит новейшая диджитализация, кажется, что кибербезопасность просто "не успевает" за инициативами власти. Как ни странно, именно цифровые трансформации часто критикуются профессиональным сообществом "кибербезопасников" как не подготовленные и такие, что несут потенциальные риски для информационной безопасности. Все это мы решили обсудить с заместителем председателя Государственной службы специальной связи и защиты информации Украины (далее ГССЗЗИ) по вопросам цифрового развития, цифровой трансформации и цифровизации Виктором Жорой.

Виктор Жора долгое время занимался кибербезопасностью избирательных процессов, более того, был одним из основных защитников сервера ЦИК во время кибератаки на президентские выборы 2014 года. Поэтому нам тем более было интересно услышать, как такой неслучайный для кибербезопасности человек оказался в не слишком популярном государственном секторе и как он его оценивает.

МЫ ВЕДЬ ИМЕЕМ ДЕЛО С ЭЛЕКТРОННЫМИ ТРУДОВЫМИ КНИЖКАМИ, ЭЛЕКТРОННЫМИ БОЛЬНИЧНЫМИ, ДОШЛА ОЧЕРЕДЬ ДО ЭЛЕКТРОННЫХ ПАСПОРТОВ

- Виктор, я перед нашим разговором сканировала интернет, искала ваши интервью, нашла вашу декларацию в НАПК, она произвела на меня впечатление. Почему такой успешный бизнесмен и герой кибервойны 2014 года меняет свой профиль и идет на госслужбу? Под какие планы, обещания, гарантии произошла такая смена рода деятельности?

- Спасибо за ваш вопрос. Очевидно, что человек идет на государственную службу не для того, чтобы деньги зарабатывать.

- Все по-разному.

- Перед всеми людьми рано или поздно какие-то соблазны возникают, но это точно не тот случай. С одной стороны, у меня есть определенная история и определенная финансовая независимость. С другой стороны, человеку не нужно много для того, чтобы нормально себя чувствовать. Поэтому я, скорее, воспринимаю это как вызов, это было взвешенное решение, без всякой эйфории. Это новая и пока для меня очень интересная страница. Это немного другой уровень ответственности и тем интереснее иметь возможность здесь имплементировать свои знания, опыт, какие-то взгляды на то, как обеспечить трансформацию, как и каким образом участвовать в создании общегосударственной системы кибербезопасности, то есть, есть определенный кредит доверия и в Госспецсвязи сейчас новая команда, на мой взгляд, очень мощная, очень профессиональная во многих направлениях, то есть разнопрофильная, поэтому эта позиция показалась интересной и, собственно говоря, так получилось, что с 15 января я работаю на государственной службе.

- Какие задачи нарезали именно вам?

- Я - заместитель руководителя центрального органа исполнительной власти по цифровым трансформациям, цифровому развитию и цифровизации. То есть, это институт CDTO, созданный по инициативе вице-премьер-министра и Министерства цифровой трансформации, который должен ускорить процессы цифровой трансформации в государстве с помощью таких вот амбассадоров изменений.

- Амбассадоры... Вы себя имеете в виду или новую команду?

- Цифровые послы - это рабочее название таких CDTO или Chief Digital Transformation Officer. Это новая введенная должность заместителя руководителя государственного органа по вопросам цифровой трансформации, цифрового развития и цифровизации. Фактически каждый орган имеет составляющую публичных сервисов, эти сервисы сейчас оцифровываются, оцифровываются внутренние бизнес-процессы.

Поэтому внутри Госспецсвязи очень много работы по направлению внутренней цифровой трансформации. Некоторые процессы явно устарели, в отношении них следует провести аудит, реинжиниринг, максимально их оптимизировать, автоматизировать, перевести в цифровую форму. То же касается и внешних услуг Госспецсвязи, и новых услуг, потому что уже в этом году у нас много планов.

То есть, моя сфера ответственности - цифровая внутренняя и внешняя трансформация. Куратором нормативно-правового направлении киберзащиты является Александр Потий, другой зампред, то есть, это такая совместная, согласованная работа и в сфере нормативно-правовых актов, стандартов, и в сфере практической.

- То есть, ваша задача - "диджитализировать" именно ГССЗЗИ?

- Диджитализировать ГССЗЗИ и усилить систему киберзащиты и место Госспецсвязи в этой системе. ГССЗЗИ много лет жила в собственной системе координат. Правительственная связь, связь высших должностных лиц государства, регулирование электронных коммуникаций, сферы защиты информации и киберзащита.

Но мы планируем трансформировать его в сервисную структуру. Будет введена сервисная модель, которая будет предлагать свои решения бизнесу. Почему бизнес не может получить от государства такую услугу?

Дальше. Кибербезопасность в каждый дом. Каждый гражданин может рассчитывать на собственную безопасность в киберпространстве. Мы не можем физически дойти до каждого гражданина, но каждый гражданин может осознать правила поведения в киберпространстве. На своем конечном устройстве человек сам ответственен за защиту, а в условиях карантина, когда он работает дома, пользуется корпоративной почтой, подключается к конференциям, обменивается файлами, он имеет уязвимую точку. Однако ответственность - на пользователе. Мы же хотим, чтобы каждый человек понимал необходимость базовых навыков работы в интернете. Это все в нашем фокусе. И это часть нашей организационно-технической модели киберзащиты и, если хотите, новой философии. Можно иметь много систем защиты, но без изменения мышления граждане будут оставаться уязвимыми.

- Я хочу напомнить наш предыдущий разговор двухлетней давности. Вы совершенно не были сторонником электронных выборов и, думаю, категорически не восприняли бы идею замены бумажных документов цифровыми. Разделяете ли вы эту идею сегодня, когда Кабинет министров принял постановление «О реализации экспериментального проекта относительно применения паспорта гражданина Украины в форме карточки в электронном виде и паспорта гражданина Украины для выезда за границу в электронном виде»?

- Мое мнение на тот момент было сформировано относительно электронных выборов, а не электронных документов, поскольку электронный документ у нас введен, насколько я помню, в 2003 году с принятием Закона Украины "Об электронных документах и электронном документообороте".

- Я о паспорте говорю, о полноценной замене бумаги на "цифру".

- Я имею в виду, что это определенная эволюция - появление новых электронных документов, перевод в цифру. Мы ведь уже имеем дело с электронными трудовыми книжками, с электронными больничными, дошла очередь до электронных паспортов, и я не связываю закон об электронных паспортах и эти действительно инновационные прорывы с электронным голосованием.

Мое мнение относительно системы электронного голосования в стране не изменилось, мне оно кажется преждевременным, это все-таки огромный уровень рисков при внедрении такой системы, и подавляющее большинство стран мира пока таких решений для себя не приняли, даже некоторые приняли, потом вернулись обратно.

Уместно вспомнить кейс Эстонии, в которой электронные выборы. Эстония больше десяти лет шла к этому процессу, имеет существенно меньшее количество населения и была очень целеустремленной в вопросе цифровизации. Для нее электронные выборы - это один из последних этапов цифровизации страны. Но подчеркну, на первых этапах там была введена электронная идентификация.

То есть, это все комплексная работа, и хотелось, чтобы как можно больше граждан Украины были привлечены к проектам цифровизации. Это огромный масштаб работы, она связана с одновременным усилением кибербезопасности, с усилением киберграмотности, кибергигиены и тому подобное, это целый комплекс мероприятий.

Но, возвращаясь к электронному голосованию. У нас оно преждевременное. А те страны, которые используют систему электронного голосования, подкрепляют это бумажным следом.

Если в перспективе зайдет речь о введении, необходим будет переходный период, чтобы сформировать доверие к системе электронного голосования, уже после обретения равновесия и однозначного восприятия в обществе надежности этой системы можно будет говорить о переходе к ней.

ОШИБКИ "ДІЇ" НЕ СОИЗМЕРИМЫ С ТЕМ ПОТЕНЦИАЛЬНЫМ БЛАГОМ, КОТОРЫЕ ЭТИ СЕРВИСЫ МОГУТ ПРИНЕСТИ ГРАЖДАНАМ

- Мы постоянно читаем об утечках данных. Как будет защищен мой паспорт, моя личность, если кто-то хакнет эти данные, и будет под моим именем потрошить иностранные банки. Как мы можем защитить человека, имея нулевой уровень кибербезопасности, если мы приравняем бумажный и цифровой паспорта?

- С 23 августа электронный паспорт должен уже заработать в полноценном режиме, то есть, есть определенный переходный период. Я не считаю, что то электронное удостоверение человека, которое содержится в соответствующем приложении, менее защищено, чем бумажный паспорт.

- Вы отвечаете за сказанное? Вы человек, который защитил выборы 2014 года, твердо говорите, что ничего не будет плохого с вашими цифровыми документами?

- Давайте рассмотрим несколько уровней системы. Их по меньшей мере три: это реестр, в котором хранятся данные о физическом лице, это может быть либо Единый государственный демографический реестр, либо Единый государственный реестр МВД и множество других, то есть, это источник данных. Это то место, где эти данные собираются, накапливаются, обрабатываются и т. д. Есть приложение или портал, будем понимать это как шину, которая передает эту информацию из реестров конечному пользователю. И есть конечное устройство пользователя, в котором отображается информация этих реестров.

Очевидно, для того, чтобы гарантировать определенную степень защиты всей этой системы, она должна быть защищена на всех трех звеньях. Мы работаем над тем, чтобы защитить реестры, это часть государственной политики, и это часть наших обязанностей как службы, которая формирует государственную политику в сфере защиты информации. Это защита самого приложения, и здесь, очевидно, тоже ведется огромная работа. Но мы не можем гарантировать безопасность конечного устройства, кроме рекомендаций для его владельца как обезопаситься.

Есть простые правила кибергигиены и в целом правила обращения с мобильным устройством, со смартфоном, чтобы минимизировать риски утечки любых данных из него. И мы все четко осознаем, что те данные, которые содержатся в приложении "Дія" на смартфоне, гораздо менее интересны злоумышленникам, чем доступ к мобильному банкингу. Поэтому риски утечки данных со смартфона, риски потери смартфона прежде всего лежат на его владельце.

- Давайте о "Дії" поговорим, это удобно, всем нравится, но в профессиональной среде есть несколько десятков публикаций о ее критических уязвимостях, и даже на этапе презентации Дія Сіті демонстрировали, что там есть критические уязвимости. А Дія. Бізнес размещается на российском хостинге. Как вы это прокомментируете, такой солидный блин имел право на то, чтобы быть комом?

- Каждый из упомянутых кейсов можно разобрать по полочкам. Ситуация с лендингом Дія Сіті требует отдельного рассмотрения. То же касается хостинга какого-то регионального сайта, но стоит ли из-за этого подвергать обструкции само мобильное приложение? Не думаю. Скорость и объем трансформации, которые мы наблюдаем в течение всего лишь последнего года, в течение которого работает Дія, несоизмеримы с тем, что было раньше. Понятно, что при такой скорости людям свойственно совершать ошибки, главное это вовремя признавать и исправлять. Это процесс, в нем могут случаться ошибки, и нужно вовремя реагировать на ошибки, но подчеркну: они не соизмеримы с тем потенциальным благом, которое это может принести гражданам Украины.

Только время может доказать правильность или ошибочность определенных идей и решений. Давайте, возможно, вернемся к этому вопросу через определенный промежуток времени, от рисков и от апокалипсиса никто не застрахован, любую систему можно взломать, но это такая, знаете ли, вероятностная характеристика.

Диджитализацию воспринимают по-разному. У кого-то есть определенный скепсис к этим процессам, у определенных слоев есть увлечение инновациями. Это нормальный процесс, но я могу привести пример из жизни, если это интересно. Я стал публичным лицом и от моего отца из-за этого истребовали точную информацию о пенсии из Пенсионного фонда. Отец не был зарегистрирован на веб-портале электронных услуг Пенсионного фонда, но типичная ситуация – карантин, как раз начало января, транспорт не ходит, локдаун, повышенная опасность, нужно время для того, чтобы поехать в управление Пенсионного фонда, получить логин, пароль. Отец спрашивает, что делать: мне поехать? Я говорю: зачем тебе ездить, ты же клиент крупного банка, значит, ты можешь авторизоваться через Bank ID, есть такая возможность на портале электронных услуг Пенсионного фонда. Пожалуйста, заходишь через ІD.gov.ua и потом в течение пяти минут, без необходимости куда-либо ездить, получи желаемую справку. И человек потратил пять минут, чтобы получить услугу от государства, а можно только представить количество времени потенциально потраченного, нервов, усилий и потенциальный риск в условиях пандемии, если бы пришлось туда ехать за этой справкой лично, это такая ситуация.

Существует точка зрения, что в условиях войны и с таким уровнем киберрисков запускать электронные услуги, реестры нецелесообразно, так как "вдруг нас всех взломают". С одной стороны, есть и усиливается ответственность за качественную защиту этих систем, с другой стороны, мы все должны уже привыкнуть к тому, что мы живем в постоянной опасности. И в мире есть примеры стран, которые уже давно пришли к этому осознанию и выстраивают свою экономику, исходя из реалий постоянной угрозы, постоянной опасности. Мы можем продолжать полноценно жить, инвестировать, строить, развивать экономику, производство и цифровые услуги в частности. Потому что, несмотря на все эти риски, жизнь продолжается.

- Отношения общественного сектора киберобщества и официальных представителей структур, на которых лежит ответственность за национальную кибербезопасность, которые пришли с командой новой власти, долгое время находились в точке замерзания. Собственно, они и сегодня далеки от партнерских. Субъективное мое мнение такое: если раньше этот общественный сектор создал целую серию ярких инициатив (которые попадали на страницы мировых изданий и реально помогали укреплять линию обороны кибервойны), то сейчас яркие (ничего не говорю) инициативы «Государства в смартфоне» живут отдельной жизнью, а кибербезопасность – своей жизнью, не пересекаясь. Вы сознательную часть своей профессиональной жизни принадлежали к "сливкам" тусовки, а сегодня относитесь к власти (и соответственно - делите ответственность). Вы разделяете мои оценки?

- Критика существует, и она всегда будет существовать. Я вижу запрос на реформы со стороны нового руководства. В ситуации с кибербезопасностью "сгорел сарай, гори и хата" я не хотел бы ждать или прогнозировать глобального развала. Это наша страна и наша профессия, поэтому мы все несем за это ответственность. В свете перспективных проектов по кибербезопасности в стране мне кажется интересной и амбициозной задачей помочь им реализоваться.

А что касается вашего утверждения, что кибербезопасность и трансформация “не пересекаются”, то как раз сейчас внимание и понимание важности кибербезопасности высоки как никогда. Ведь это наша сфера ответственности, Госспецсвязи ответственна за обеспечение киберзащиты, за реализацию организационно-технической модели киберзащиты и за ту часть системы кибербезопасности государства, которая связана с киберзащитой. Мы очень большое внимание уделяем этим вопросам. И мы как можно больше стараемся привлекать общественность, общественные организации, общественный сектор.

- Пишут, что ни в одном профильном общественном совете нет серьезного представителя кибериндустрии - ни в совете от СНБО, ни в совете от ГССЗЗИ?

- Общественный сектор даже в этой сфере очень разрозненный. Если бы он был монолитным, то могла идти речь о каком-то противостоянии нас и этой части общества. Но вместе с тем по инициативе Госспецсвязи был создан экспертный совет по вопросам кибербезопасности, и там целая треть - это представители гражданского общества. Этот орган независим от Госспецсвязи, они сами за себя голосовали, они сами проводят свои обсуждения, и Госспецсвязи, как один из инициаторов, прислушивается к тем идеям и советам, которые формируются в экспертном совете.

Есть другой механизм, это общественный совет при администрации Госспецсвязи, который существует уже довольно давно, так же два участника этого общественного совета: я и Александр Владимирович Потий пришли уже на работу в Госспецсвязь. А вместе с тем сейчас сформирован новый состав общественного совета - это тот важный механизм взаимодействия власти с обществом, который утвержден постановлением КМУ №996. Это абсолютно понятный и прозрачный механизм, там есть представители гражданского общества, которые также осуществляют контроль и влияют определенным образом на формирование государственной политики в отдельных органах власти, где созданы эти общественные советы.

Есть третье направление работы - это непосредственное взаимодействие с общественными организациями, это и подписание меморандумов, и реальные инициативы в рамках государственно-частного партнерства, возможно, вы слышали.

- О, один такой меморандум очень ругали, это меморандум между компанией Хуайвей и Украиной, как вы это прокомментируете.

- Как я это могу прокомментировать? Оборудование этой компании используется в очень большом количестве организаций, предприятий в рамках всей страны - с одной стороны. С другой стороны, устройства есть у огромного количества граждан Украины. Наша задача - знать, как это работает, чтобы иметь возможность соответствующим образом защищать эти системы.

То есть, меморандум, собственно, об этом. О том, что у нас есть возможность немножко больше информации получать, чем в ситуации, когда этот формальный меморандум не был заключен.

Возвращаясь к сотрудничеству с общественным сектором: возможно, вы слышали о нашей инициативе внедрения проектов, которые могут реализовать общественные организации - подать на конкурс и получить грант. Это грант небольшой. Разумеется, я читал об определенном скепсисе в отношении проектов, но это первая пуля. Нам важно пройти этот путь, поскольку это первая такая инициатива. Действительно, государство готово дать деньги на какой-то точечно, возможно, небольшой проект, но…

- А почему «Киберальянс» ничего не получает? Когда надо было, государство активно пользовалось их поддержкой. А сегодня гранты выигрывают неизвестные фирмочки.

- Если бы «Киберальянс» хотел принять участие в общественном совете, в экспертном совете или податься на этот конкурс, пожалуйста. Это известные, квалифицированные специалисты. Поэтому мы только рассчитываем на максимальное сотрудничество и открыты к этому сотрудничеству, и заинтересованы в нем.

Завершая тему этих проектов: нам важно пройти эту процедуру, внедрить какие-то проекты и увидеть их успех. И дальше, в случае успеха, просто наращивать эти обороты. То есть, возможностей для сотрудничества с общественным сектором немало. И мы искренне надеемся, что сможем максимально эти возможности использовать. Крайне заинтересованы в этом.

- Вопрос о донорской помощи с USAID. Выглядит так, что она безнадежно скомпрометирована? Не лучше ли было подключать к проектам американских налогоплательщиков, тех, кому доверяют бизнес и активисты вашей сферы? Грантовая политика по-старому в Украине не сработает, когда речь идет о такой сфере как кибербезопасность. Слишком много активных и интересных игроков, которые помогали государству пережить трудные времена, поэтому просто освоение ресурсов без экспертизы и согласия всех участников сферы будет скандалом. Вы не согласны?

- У меня встречный риторический вопрос: почему, собственно говоря, этот проект скомпрометирован?

- 38 миллионов, неизвестных сфере, должны оставлять не только бумажный след. А они уже приобрели большой резонанс…

- О 38 миллионах. Проект рассчитан на 4 года. И это общий бюджет этого проекта.

- Десять самых известных украинских киберэкспертов обратились к донору с советом пересмотреть состав соисполнителей киберпроекта, привлекая к нему профессиональные киберкомпании...

- Давайте тогда разберем по полочкам. Если речь идет об экспертном совете, то люди подали туда заявки, проголосовали друг за друга, сформировали состав экспертного совета. Там три группы - это бизнес, образование и общественный сектор. И два представителя со стороны государства для того, чтобы иметь возможность непосредственно, напрямую получать идеи, которые возникли в результате обсуждения. То есть, никаких ограничений здесь не было.

- Однако 10 игроков в сфере кибербезопасности предлагали экспертизу.

- Возможно, они обращались в Минцифру, вряд ли в Госспецсвязь. Когда мы говорим о гражданском обществе, важно понимать то, что когда экспертное сообщество готово идти навстречу, то и мы готовы идти навстречу всем, но ожидаем так же идеи и конструктивный подход.

Есть общественные организации, которые представляют разные слои. Нет там профессионального какого-то отбора - эти люди нам подходят, а те люди не подходят. Это сообщество формирует самостоятельно. Госспецсвязи не влияет на этот процесс. Что касается донорских проектов. У каждого донора есть свои правила. Нам дают помощь по определенным правилам. Мы не можем диктовать эти условия.

- Но существует порочная традиция, которая описана и в западных исследованиях, о том, что есть грантовая экономика, где деньги распределяются только между своими. И не является ли сегодня шансом в Украине привлечь настоящий бизнес и кибериндустрию вместо того, чтобы все было между своими, как это принято?

- Давайте говорить конкретно. Единственный их проект, с которым сотрудничает Госспецсвязи в сфере киберзащиты - «Кибербезопасность критически важной инфраструктуры Украины». И если мы говорим конкретно об этом проекте, то в консорциуме, который выполняет этот проект, находятся две украинские компании. Более того, в компании DAI LLC, которая является главным исполнителем этого проекта, более 20 украинских работников. Я бы не хотел быть адвокатом этих компаний. И, как по мне, было бы некорректно комментировать это. Но со своей стороны мы видим определенный процесс, мы видим план работы и мы видим конкретные действия с их стороны.

Например, часть уже выполненных этапов - это разработка документов, рекомендаций относительно построения центров реагирования на компьютерные инциденты. Все эти документы базируются на международных стандартах и рекомендациях, а эксперты, которые над ними работали - они наши граждане. То есть, есть нормативно-правовая работа, которую мы получаем в рамках этого проекта.

Буквально недавно они запустили очень важную инициативу, мы были приглашены на это событие. Они отобрали 14 украинских университетов, которым будут помогать улучшить высшее образование в области кибербезопасности. И как мы можем увидеть из заявлений президента Украины, которые он делал на прошлой неделе: улучшение качества образования в области кибербезопасности - это приоритет государства.

Также ведется работа с малым и средним бизнесом. В прошлом месяце проект запустил киберакселератор для компаний в области кибербезопасности. Более того, делается проект по созданию реестра объектов критической информационной инфраструктуры. Проект предоставляет техническую помощь в разработке этого реестра.

Надеемся, что мы до конца лета получим уже работающий реестр объектов критической информационной инфраструктуры.

- Наличие реестра - это прогресс.

- Опять-таки, хочу напомнить, что закона о критической инфраструктуре еще нет. Он только внесен в Верховную Раду. То есть, это параллельная работа. Мы делаем свою часть работы, законодатели делают свою часть работы, другие коллеги из других субъектов кибербезопасности так же ответственны за свои участки. Я хочу заверить, что в этом проекте в той части, которая касается Госспецсвязи как реципиента, есть практическое наполнение, и наша задача - сделать так, чтобы оно было максимально эффективным. У донора существуют определенные ограничения, есть проекты, в которых могут предоставляться только консультативные услуги, а есть проекты, в которых предоставляется конкретная техническая помощь в виде каких-то решений.

Но в любом из проектов международной помощи наша задача - получить по максимуму и инициировать дальнейшее сотрудничество. То есть, успешность выполнения этих проектов и успешность внедрения тех решений, которые предоставляются по этим проектам, и правовых, и организационных, и методических, и технических, она является залогом развития международного сотрудничества. Ведь мы знаем, что кибербезопасность - это прежде всего о взаимодействии и о сотрудничестве.

- Вопрос от "чайника" о безопасности реестров. У нас ведь все сейчас открывается. Как человеку обезопасить себя, чтобы (например, черные регистраторы существуют) он однажды не проснулся с сообщением, что его собственность - уже не его собственность, или земельные паи, которые он арендовал, это уже не его земельные паи? Существуют какие-то предупредительные меры?

- Ответственность государства заключается в том, чтобы сделать невозможным манипуляции в реестрах.

Когда происходят такие случаи, это очевидная уголовная квалификация. Это вопрос Национальной полиции. Однако предотвращение возможностей таких, как часть государственной политики, она также в зоне ответственности Госспецсвязи. Мы создаем стандарты, на базе этих стандартов строятся системы защиты. С точки зрения контроля за этим процессом, у нас меньше рычагов. Мы лишь согласовываем техническое задание и регистрируем экспертное заключение и аттестат соответствия. Но есть так же этап государственного контроля за состоянием защиты государственных информационных ресурсов, сейчас больше полномочий у Государственного центра киберзащиты относительно аудита. Мы можем проводить аудит и веб-ресурсов, например, без получения согласия на это владельца ресурса. Оценку защищенности тех или иных ресурсов мы также осуществляем, и эта работа только активизируется.

- А простой человек может на реестр установить какой-то колокольчик: если вдруг что, то тебе придет сообщение на почту, например?

- Каждый из реестров может реализовать такую функциональность. Есть такая штука, когда кто-то ищет о тебе информацию даже, приходят данные. Кажется, в реестре имущественных прав такая вещь есть.

- Помните, в предыдущие годы на каждый государственный праздник у нас была кибератака. Сдача ВНО - атакуют сети. День Конституции, далее - День Независимости. А сейчас словно затишье. Только не говорите, что это вы так хорошо периметр "Украина" защищаете.

- Как раз только хотел об этом сказать (смеется). На самом деле, мы видим общемировую тенденцию, мы слышим эти месседжи - и о вмешательстве в выборы. Мы чувствуем постоянно эту опасность. И те отчеты о киберинцидентах, об атаках, которые мы формируем, и те данные, которые мы ежедневно собираем, они свидетельствуют о том, что количество инцидентов растет изо дня в день.

И в Украине в частности. Мы являемся частью глобальной тенденции, но у нас есть своя локальная история. Мы видим эти атаки. Они происходят постоянно. Ну это хорошо, что пока они не привели к каким-то разрушительным последствиям, но мы все время начеку.

Праздники - это такой опасный период, но, осознавая все эти растущие риски, мы не можем сказать, что другая сторона медлит или отдыхает. Нет, совершенно. Все время делаются попытки: и фишинг-рассылки, и прямые атаки-вмешательства свидетельствуют о том, что активность в киберпространстве очень высокая. Но мы тоже выходим с новыми мощностями. Мы открыли новый киберцентр UA30, а это новые возможности, во-первых, для работы команды, коммуникационные, новые возможности для проведения киберучений.

- В чем новизна центра?

- Это другая организационная структура. Просто будет новая и техника, и подходы, и новая оргструктура, и задачи новые. Чтобы мы могли учить, и были киберполигонами не только для безопасности организаций, а чтобы как можно больше людей из разных государственных структур могли участвовать в этих киберучениях. Будет сотрудничество с донорами, выполнение проектов в рамках международной технической помощи, киберучения. Это введение новых стандартов безопасности и требований к защите критической информационной инфраструктуры. Это обновление стандартов КСЗИ (КСЗИ — комплексная защита информации, совокупность организационных и инженерно-технических мероприятий, средств и методов защиты информации).

СТРАНЕ ПОРА НАЧАТЬ ДЕЛАТЬ БЕКАПЫ

- Давайте поговорим о КСЗИ. Это, с одной стороны, государственный стандарт безопасности, с другой - ваши опытные коллеги называют его "бумажным тигром", который убивает творческую активность "безопасников", содержит устаревшие и негибкие требования, (цитирую) "питается приказами, циркулярами, проверками, аттестациями, сертификациями, предписаниями".

- Год назад были внесены изменения в закон о защите информации в информационно-телекоммуникационных системах, где для существенной части информационных систем уже можно создавать систему управления информационной безопасностью по стандарту ISO 27001 как альтернативу КСЗИ. Это не снимает с нас ответственности за обновление стандартов КСЗИ. Мы работаем над этим для того, чтобы как можно быстрее предложить новые, более адаптированные к сегодняшнему дню стандарты защиты. Мы хотим с Государственным центром киберзащиты создать сервисную организацию, которая будет предоставлять сервис на киберзащиту органам государственной власти. Мы инициировали сейчас крупный проект по созданию национального центра резервирования государственных информационных ресурсов для того, чтобы защищенным образом хранить резервные копии архивов, реестров, баз данных и др.

- Вы считаете, что это разумно?

- Существуют разные точки зрения на эту задачу. Но речь не идет о концентрации всех ресурсов в одном месте. Речь идет о том, что наконец-то в стране нужно начать делать бэкапы (создавать резервные копии - ред). До этого момента резервные дата-центры каждый строил по собственному усмотрению, тратя не всегда эффективно огромную кучу бюджетных денег. Денег налогоплательщиков. Речь идет о том, чтобы эту политику каким-то образом централизовать. Централизовать защиту, централизовать расходы и оптимизировать их соответственно. Это все направлено на усиление киберзащиты государственных информационных ресурсов. То есть, фактически эти все направления работы нацелены на как можно более быструю полную имплементацию организационно-технической модели киберзащиты, которая предложена Госспецсвязи и, надеюсь, будет поддержана на государственном уровне, в том числе другими субъектами обеспечения кибербезопасности.

- Так вы выгоните "бумажного тигра", как называли ваши коллеги КСЗИ?

- Хороший вопрос. О бумажном тигре. Я более сотни проектов КСЗИ реализовал, я в течение 17 лет создавал КСЗИ. Понимаю этот процесс изнутри и видел разные системы. И разные КСЗИ, и разные информационные системы в органах государственной власти, на которые они создавались. КСЗИ - это инструмент, которым может пользоваться мастер - как Микеланджело создать «Давида», а может просто испортить материал. Зависит от многих факторов. Успешность этих проектов зависит от требований заказчика, бюджетов, мастерства его исполнителя, от времени в конце концов. То есть, есть примеры успешных и работающих КСЗИ. Более того, если вернуться к атаке «NotPetya» в 2017 году, может, непопулярное мнение, но я его озвучу: ресурсы, в которых была создана КСЗИ, от «NotPetya» не пострадали. Может ли это свидетельствовать об эффективности КСЗИ? Дискуссионный вопрос. Но факт этот нельзя отвергнуть.

Можно взять этот инструмент и создать адекватную надежную систему защиты. А можно ничего не создать, а распечатать кипу бумаг и просто поставить печати. Поэтому как раз в сфере ответственности Госспецсвязи - не пропускать очевидный хлам.

И должен признать, в течение последних 5-7 лет эта работа значительно усилена. Первые нормативные требования относительно КСЗИ появились более двадцати лет назад, сейчас продолжают выходить новые нормативные документы. Эта система эволюционирует так, как я уже сказал. Мы работаем над тем, чтобы ее изменить. Но можно взять и на существующей базе построить абсолютно достойные системы, которые справляются со своими задачами. И на данный момент это единственный доступный механизм вместе с системой управления информационной безопасностью, которым можно защитить государственные информационные ресурсы. Могу еще раз отметить: наличие КСЗИ лучше, чем ее отсутствие. А как она реализована - это вопрос реализации.

- А в принципе как вы оцениваете развитие диджитализации в целом?

- У цифровизации ведь есть цель. Это возможность для граждан получения как можно большего количества услуг от государства дистанционно в электронном виде. И это стимул для развития экономики. Мы все видим мировые тренды. Если Украина хочет видеть себя среди успешных развитых стран, она должна инвестировать в высокие технологии, образование, сферы, которые улучшают качество жизни граждан. Это путь, с которого трудно свернуть. Можно только приложить усилия для того, чтобы ускорить торирование этим путем.

А если говорить о прогрессе в плане кибербезопасности, то мы заинтересованы в обмене опытом, в совместных учениях, в практическом взаимодействии с другими странами. Мы готовы активно взаимодействовать и участвовать в международных проектах.

Несколько дней назад президент США Джо Байден объявил запуск проекта "CYBER FLAG 21-1". Это проект создания системы коллективной безопасности в киберпространстве. По состоянию на сегодня привлекаются США, Великобритания, Франция, Дания и Эстония. Это то, что называют киберНАТО. Мне не очень нравится именно этот термин, но мы будем работать над самой идеей вступления в этот альянс. Так что, кто знает, может, в киберНАТО будем быстрее, чем в реальном.

Лана Самохвалова, Киев

Фото: Владимир Тарасов

При цитировании и использовании каких-либо материалов в Интернете открытые для поисковых систем гиперссылки не ниже первого абзаца на «ukrinform.ru» — обязательны, кроме того, цитирование переводов материалов иностранных СМИ возможно только при условии гиперссылки на сайт ukrinform.ru и на сайт иноземного СМИ. Цитирование и использование материалов в офлайн-медиа, мобильных приложениях, SmartTV возможно только с письменного разрешения "ukrinform.ua". Материалы с пометкой «Реклама», «PR», а также материалы в блоке «Релизы» публикуются на правах рекламы, ответственность за их содержание несет рекламодатель.

© 2015-2021 Укринформ. Все права соблюдены.

Дизайн сайта — Студия «Laconica»

Расширенный поискСпрятать расширенный поиск
За период:
-