Система киберзащиты Украины: Есть? Нет? Строится?

Система киберзащиты Украины: Есть? Нет? Строится?

Аналитика
1096
Ukrinform
В годовщину крупнейшей в истории кибератаки украинские спецслужбы уверяют, что опыт учтен. Эксперты спорят, в чем-то соглашаются, в чем-то – нет

В конце июня прошлого года Украина подверглась кибератаке вируса-вымогателя Petya.A, причинившей ущерб объектам критической инфраструктуры” почти на полмиллиарда долларов. Среди пострадавших: “Ощадбанк” и “Укргазбанк”, "Укрзалізниця", международные аэропорты “Киев” и “Борисполь”, "Укрпочта", Киевский метрополитен и Чернобыльская атомная электростанция.

Кибератака Petya.A изрядно шокировала общество. Хотя она не нанесла непоправимого ущерба, именно тогда стало ясно, насколько эффективное оружие есть в руках врага, чтобы парализовать всю страну. Стало также понятно, что следующая масштабная кибератака может привести и к человеческим жертвам: с помощью компьютера, сидя за тысячи километров от объекта, теперь можно и электроснабжения перекрыть для целого региона, заслонки плотины поднять на водохранилище, дезорганизовать авиадвижением. Тогда же многие выступали с заявлениями, мол, нам надо заново строить систему киберзащиты в стране, и обещаниями такую систему быстро создать.

Надо отдать должное: годовщину крупнейшей в истории Украины кибератаки, ответственные государственные структуры – и СНБО, и киберполиция, и СБУ – не забыли. Говорят, что Украина в вопросе киберзащиты за последний год значительно прибавила, а собственно украинская система киберзащиты достигла европейского уровня.

Например, с подобным заявлением 20 июня выступил секретарь СНБО Александр Турчинов. “Если говорить о киберугрозах, то мы сделали серьезный рывок, чтобы обеспечить Украину в этом направлении. Созданный два года назад при СНБО Национальный координационный центр кибербезопасности в ответ на масштабные атаки, которые нанесли миллиардные убытки стране, достаточно эффективно реализует основные принципы принятой нами стратегии кибербезопасности. В стране создан защитный контур, который уже выдержал несколько мощных атак”, – отметил господин Турчинов, добавив, что сейчас основная задача – обеспечить надежную киберзащиту объектов стратегической инфраструктуры.

Уже традиционно для нас, заявление секретаря СНБО, да еще и в столь позитивной тональности, многие раскритиковали. Мол, никакой такой системы в Украине до сих пор не создано и вообще непонятно, кто за кибербезопасность в государстве отвечает. Спор подогрело и то, что в Верховной Раде был зарегистрирован законопроект №6688 “О внесении изменений в некоторые законодательные акты Украины относительно противодействия угрозам национальной безопасности в информационной сфере”, который, по мнению экспертов, хоть и не связан напрямую с защитой от кибератак, но предусматривает блокирование веб-ресурсов (Укринформ детально с этим разбирался). Итак, вопрос, имеет ли Украина на самом деле систему противодействия киберугрозам, и как она выглядит – снова стало актуальным.

Система киберзащиты Украины: кто/что у нас есть и за что отвечает?

Еще 5 октября 2017-го был принят закон “Об основных принципах обеспечения кибербезопасности Украины”, который вступил в силу только 9 мая 2018 года. Он сейчас и является основным документом, регулирующим сферу киберзащиты в стране, создающим государственную систему киберзащиты.

Самое главное, что этот закон распределяет функции между правоохранителями и спецслужбами. За стратегическое управление и координацию ведомств, обеспечивающих кибербезопасность, отвечает СНБО. Ей подчинена Госспецсвязь, разрабатывающая комплексную систему киберзащиты стратегических объектов и “опекающая” компании, которые проводят аудит стратегических объектов. Госспецсвязи подчинен Государственный центр реагирования на кибератаки, подразделение которого CERT-UA ведет мониторинг и выявляет потенциальные киберугрозы. Киберзащитой также занимается МВД, которое ответственно за предотвращение и расследование киберпреступлений, Минобороны и Генштаб, которые обеспечивают охрану военных объектов и объектов критической инфраструктуры во время войны и чрезвычайного положения, СБУ – предотвращает террористические атаки в киберпространстве, и наделено правом проверять объекты критической инфраструктуры.

Перечень объектов, относящихся к критической инфраструктуре, определяет Кабинет Министров, а кибербезопасностью в банковской сфере занимается Нацбанк. Владельцы объектов критической инфраструктуры считаются исполнителями государственной политики кибербезопасности, то есть обязаны внедрить ее на своем предприятии. Так же, если государственные учреждения, включая министерства, станут целью киберпреступников, ответственность будет нести руководство этих учреждений.

Закон также предусматривал создание Государственного центра киберзащиты. Ему подчинен ситуационный центр реагирования на киберугрозы, который работает круглосуточно и без выходных и анализирует потенциальные киберугрозы. Подобная структура есть и в подчинении СБУ. Информация из этих центров передается в CERT-UA, которые в свою очередь разрабатывают инструкции и советы как для частных организаций, так и для государственных учреждений.

Одним законом о кибербезопасности систему защиты не построишь

Впрочем, многие эксперты сходятся во мнении, что Закон слишком распыляет ответственность за киберпреступления между различными ведомствами. Спикер хакерского объединения “Украинский киберальянс”, известный под псевдонимом “Шон Таунсенд” (кто он – неизвестно, как и положено хакерам) в комментарии Укринформу объясняет, что “закон “Об основных принципах обеспечения кибербезопасности Украины” и определяет базовые понятия и предусматривает ответственность руководителей организаций за возможные инциденты, с другой стороны отвечают за кибербезопасность как бы все: Кабмин, Нацполиция, СБУ, Госспецсвязь и Минобороны, но на самом деле – никто”.

Спікер хакерського об’єднання “Український кіберальянс”, відомий під псевдонімом “Шон Таунсенд”
Спикер хакерского объединения “Украинский киберальянс”, известный под псевдонимом “Шон Таунсенд”

Итак, если Украину вдруг снова поразит вирус, то ответственность будут нести и Минобороны или Генштаб (ведь тогда хакеры атаковали и их объекты), и СБУ, ведь это было ни что иное, как террористическая атака, и Нацбанк, ведь тогда парализовало работу около десяти банковских структур, и CERT-UA, ведь о кибератаке они не предупредили. Но согласно закону “Об основных принципах обеспечения кибербезопасности Украины” в случае подобной кибератаки вина будет на владельцах частных объектов критической инфраструктуры – в соответствии с пунктом 4 статьи 5 закона, их предприятия являются субъектами, которые должны непосредственно проводить меры по обеспечению кибербезопасности.

Внедрить систему киберзащиты, предусмотренную законом “Об основных принципах обеспечения кибербезопасности Украины”, даже в государственных органах достаточно сложно. И это, судя по словам экспертов, еще не сделано. Украинский киберальянс совместно с “хакерами-волонтерами” в течение прошлого года проводил флеш-моб #FuckResponsibleDisclosure, целью которого был поиск огрехов в системах безопасности как правительственных структур, так и других объектов критической инфраструктуры, а в целом – проверка, насколько страна готова к мощной кибератаке. Шон Таунсенд рассказал о его результатах: “Используя исключительно законные способы, без хакерского “инструмента”, нам удалось получить доступ к системам десятка объектов центральных и региональных органов власти и объектов критической инфраструктуры. Мы обнаружили массивные утечки документов из Министерства обороны (в том числе и с ограниченным доступом), военкоматов и Национальной полиции. Также мы нашли возможности для “взлома” систем предприятий концерна “Укроборонпром”, завода “Маяк”, пенсионного фонда, Черниговской, Донецкой, Херсонской и Кировоградской областных администраций, Министерств социальной политики, образования и науки, юстиции, экономического развития, здравоохранения, отдельные ресурсы Верховной Рады, Администрации Президента, Совета национальной безопасности и обороны, одного из космических центров, операторов мобильной связи, объектов энергетики, Энергоатом, Запорожской атомной электростанции (внутри периметра). Районные администрации, институты, отделения ЖКХ, региональные отделения крупных структур вообще никто не считал, полный список занял бы очень много места”.

Укринформ нашел подтверждение этих слов спикера Украинского киберальянса на официальной странице организации в Facebook. Например, хакеры (даже без использования “хакерского” оборудования) обнаружили, как вирус может «заползти» в сеть Запорожской АЭС и заразить компьютеры на станции. Судя по посту в Facebook, есть перечень лиц, которые имеют право проносить обычные “флешки” за “периметр” станции и использовать их на рабочих компьютерах. Значит, хакерам достаточно лишь отправить “вирус” на почту кому-то из перечня этих лиц, а дальше вирус распространится сам. Впрочем, руководство “Энергоатома” (которому подчинена Запорожская АЭС) сразу опровергло предположения хакеров, мол, персоналу запрещено на устройствах, важные для системы безопасности использовать внешние носители информации. Но расследование они все же провели.

Шон Таунсенд отмечает, что главная проблема – в восприятии самого понятия безопасности. “Кибербезопасность стала не менее модным словом, чем борьба с коррупцией. Но безопасность – это не состояние, которого можно достичь и поддерживать с помощью оборудования и бумажного аудита, а непрерывный технический и организационный процесс”, – объясняет спикер Украинского киберальянса.

Объекты критической инфраструктуры – все еще под угрозой. Как это исправить?

Насколько действенна система киберзащиты, которая предусмотрена законом “Об основных принципах обеспечения кибербезопасности Украины”, пока неизвестно: злоумышленники, похоже, не пытались провести масштабную атаку. Чуть ли не каждый месяц появляются новости от Нацполиции и СБУ, мол, мы предотвратили кибератаку. Последний случай имел место буквально на днях, накануне Дня Конституции. О ней сообщил глава Киберполиции Украины Сергей Демедюк в интервью Reuters. По его словам, хакеры заразили вирусом, похожим на Petya.A, устройства украинских компаний в различных отраслях, в частности банки и энергетические предприятия. Атака не имела развития, и это может свидетельствовать о том, что работа ситуационных центров, в частности мониторинг вероятных угроз, приносит свои результаты. Впрочем, других подтверждений этому, кроме слов руководителя киберполиции, нет.

Эксперты в чем-то и согласны со словами Александра Турчинова, в частности, о наличии в Украине “защитного контура".

Олександр Федієнко, голова Інтернет асоціації України
Александр Федиенко, глава Интернет-ассоциации Украины

“Этот контур, скорее всего, касается государственного сектора. Уже создан ситуационный центр Службы безопасности Украины, есть Ситуационный центр Госспецсвязи – они проводят аналитическую работу и выдают рекомендации для государственных учреждений, а возможно, и для некоторых объектов критической инфраструктуры. А коммерческие предприятия все же вынуждены сами себя защищать”, – комментирует Укринформа председатель Интернет-ассоциации Украины Александр Федиенко.

Специалист по информационной безопасности Константин Корсун объясняет Укринформу, что основной вопрос: какие объекты входят в “контур” системы киберзащиты.

“Если он охватывает только СНБО, Кабмин, Администрацию Президента и Верховную Раду, то вполне вероятно, что там защита уже надежная. Но о системе говорить пока рано – несколько сетей, объединенных между собой, не являются системой. В то же время, в Украине еще десятки учреждений центрального регионального уровня и тысячи, множество коммерческих предприятий, общественных структур, которые до сих пор не защищены от киберугроз. А объекты критической инфраструктуры – сами по себе, там, согласно закону, собственник объекта несет ответственность за его защиту. Хотя атомную электростанцию, химическое производство, пищевые предприятия должно защищать и государство. Другое дело, что до сих пор нет критериев отнесения объектов к такой инфраструктуре”, – объясняет специалист.

Эксперты сходятся во мнении, что государство должно урегулировать принципы, на которых будет построена кибербезопасность объектов критической инфраструктуры. “Как минимум, надо принимать закон о критической инфраструктуре. Закон об основах кибербезопасности не определяет перечень объектов, относящихся к ней. Кроме того, еще не разработаны подзаконные документы, регулирующие нормы кибербезопасности на таких объектах”, – считает Александр Федиенко.

Костянтин Корсун, спеціаліст з інформаційної безпеки
Константин Корсун, специалист по информационной безопасности

“Есть комплекс проблем, которые не имеют простого решения. Не стоит забывать, что Украина – то место, где проводится мощнейшая кибервойна за всю историю человечества. И в этих чрезвычайных условиях делается слишком мало и слишком медленно. Главное, что мешает – отсутствие инициативы тех, кто за это отвечает. Полномочия всех органов распылены, нет единого координационного центра, который бы был двигателем перемен и был бы заинтересован в результате – создать современную систему кибербезопасности”, – делится мыслями Константин Корсун.

Следовательно, система киберзащиты в Украине пока только строится. И основные следующие задачи – вполне понятны. Правительственным организациям, отвечающим за киберзащиту, надо создать почву – определить требования по киберзащите, которых должны придерживаться объекты критической инфраструктуры и определить, какие же объекты являются критической инфраструктурой, о чем подробнее говорилось выше. А владельцам этих объектов, в свою очередь, необходимо внедрить у себя достаточно надежную систему киберзащиты, с учетом всех требований. Впрочем, о защите не надо забывать и владельцам предприятий и организаций, которые не входят в перечень объектов стратегической инфраструктуры. А самое важное, о киберзащите нельзя забывать и рядовым гражданам. Защита от киберугроз теперь касается каждого.

Николай Романюк, Киев

При цитировании и использовании каких-либо материалов в Интернете открытые для поисковых систем гиперссылки не ниже первого абзаца на «ukrinform.ru» — обязательны. Цитирование и использование материалов в офлайн-медиа, мобильных приложениях, SmartTV возможно только с письменного разрешения "ukrinform.ua". Материалы с пометкой «Реклама», «PR», а также материалы в блоке «Релизы» публикуются на правах рекламы, ответственность за их содержание несет рекламодатель.

© 2015-2018 Укринформ. Все права соблюдены.

Дизайн сайта — Студия «Laconica»
Расширенный поискСпрятать расширенный поиск
За период:
-