Комментарии к Стратегии национальной кибербезопасности Дмитрия Петращука, CTO компании БМС Консалтинг

Актуальность проблемы информационной безопасности в рамках государственного сектора растет с каждым днем – проводится анализ защищенности критических объектов страны, степень их подверженности атакам, последствия урона, связанного с открытыми уязвимостями, которыми могут воспользоваться злоумышленники.

8 июня 2016 года Президент Украины подписал указ о “Национальном координационном центре кибербезопасности”, непосредственно связанным со Стратегией национальной кибербезопасности, которая была утверждена Президентом Украины и введена в действие с 15 марта 2016 года.

Дмитрий Петращук, занимающий пост директора по технологиям БМС Консалтинг, провел детальный анализ принятой стратегии и выразил свое понимание сути и возможных последствий выхода данного документа.

Комментарии к Стратегии национальной кибербезопасности подробно изложены ниже:

В первую очередь я хотел бы отметить, что стратегия кибербезопасности в том виде, в котором она опубликована на сайте СНБО, является очень своевременным и качественно подготовленным документом. Конечно, многие пункты можно было бы улучшить. Обязательно на стратегию выльется огромное количество критики от различных экспертов отрасли. Но, в целом, документ получился очень качественный и кое-где даже превзошел мои ожидания.

Видно невооруженным глазом, что стратегия разрабатывалась под влиянием прошлогодних кибератак на объекты украинской инфраструктуры (облэнерго, медиа, аэропорты) и многие уроки, вынесенные из этих неприятных событий, оголивших проблематику национальной кибербезопасности, в новой стратегии приняты во внимание.

Обращает на себя внимание то, насколько явно в стратегии кибербезопасности прописаны внешнеполитические приоритеты страны. Это – четкое и ясное стремление в Европейский союз, интеграция в глобальные структуры безопасности, сотрудничество с НАТО. С другой стороны, стратегия открыто признает текущую агрессию со стороны Российской федерации и вводит ограничения по использование российских продуктов для защиты информации в Украине. Также ограничивается участие связанных с Россией компаний в проектах и инициативах по обеспечению кибербезопасности государства и объектов национальной инфраструктуры.

Пожалуй, текст стратегии национальной кибербезопасности является рекордсменом по количеству слов с приставкой кибер- среди всех украинских законодательных документов. Эта приставке встречается 154 раза. Фактически каждое 15-е слово. Такое количество кибертерминов, введенное и использованное в одном документе, является уникальным.

Первая часть стратегии посвящена анализу угроз и предпосылок для из возникновения. И тут внимание! Основной причиной тяжелой ситуации с кибербезопасностью в стране названы несоответствие телекоммуникационной инфраструктуры государства современным требованиям, плохая  защищенность объектов критической инфраструктуры, бессистемность подходов к организации защиты. Другими словами, фактически стратегией признана полная неэффективность всей деятельности ДСТСЗИ и СБУ по защите информации государственных органов, предприятий и объектов критической инфраструктуры. Все построенные КСЗИ, горы исписанной бумаги, десятки национальных стандартов, десятки же национальных разработок по криптографической и технической защите оказались неэффективными и бессистемными. Самое интересное, что далее в тексте стратегии находим предложенное решение для выхода из сложившейся ситуации – взаимодействие ВСЕХ участников рынка, широкое государственно-частное партнерство, гармонизация отрасли со стандартами ЕС и НАТО, поддержка конкуренции в отрасли. Прочитав это, я еле сдержался чтобы не встать и не зааплодировать. Я всегда критиковал сложившиеся в Украине подходы к кибербезопасности, направленные на разработку своих уникальных стандартов, максимальному закрытию и монополизации отрасли и отсутствие нормального диалога между государством и бизнесом. Наконец-то в этой стратегии забрезжил лучик адекватности и надежды на то, что в Украине будут реализованы принятые во всем мире подходы к обеспечению кибербезопасности государства.

Вторая часть стратегии посвящена распределению ролей и обязанностей между основными 6-ю государственными субъектами. К ним отнесены – МинОбороны, СБУ, Разведка, ДСТСЗИ, Нацполиция и НБУ. Минобороне отдали ведение кибервойн, Разведке, соответственно, – киберразведку, ДСТСЗИ – формирование норм и правил, СБУ – расследование кибератак на государство и критичные объекты, Нацполиции – защиту граждан в киберпространстве и awareness, НБУ – организацию и контроль кибербезопасности в банковской сфере Украины.

Не обошлось без неожиданностей. Так, например, задачу проведения тестов на проникновение и сканирование уязвимостей объектов критической инфраструктуры отдали ДСТСЗИ, хотя  расследование инцидентов и реагирование на них должна делать СБУ. При этом, кто будет делать пентесты и аудиты государственных организаций и предприятий, не входящих в список критичных объектов инфраструктуры, осталось непонятным.

Много недосказанности также остается в области ведения процессуальных действий в электронной форме. Это касается и электронного документооборота и сбора и предоставления в судах доказательств киберпреступлений в электронном виде. Будем надеяться, что дальнейшее законотворчество по этой теме развеет туман и сделает наконец-то возможным доведение дел по киберпреступлениям до судов и наказание преступников. До сегодняшнего дня, невозможность привлечь к ответственности является одним из основных препятствий для обеспечения кибербезопасности в государстве.

Необходимо также отметить, что авторы стратегии не забыли заложить в нее несколько перспективных проектов, на которые можно будет выделить крупные бюджеты из государственной казны или попросить грантов у зарубежных партнеров. Это понятно, что без внедрения чего-то нового, хорошую систему кибербезопасности не построишь, но на мой взгляд, стратегия – это не тот документ, который должен описывать конкретные проекты. Среди таких проектов в стратегии названы:
1) Создание сети центров реагирования на компьютерные чрезвычайные ситуации
2) Создание единого кол-центра для приема сообщений о киберинцидентах (сколько уже создавалось подобных кол-центров?!)
3) Поддержка и развитие Национальной системы конфиденциальной связи (закрытая сеть между государственными органами и предприятиями)
4) Интеграция всех реестров в единую систему
5) Создание централизованной площадки для хранения резервных копий реестров, всех госорганов
6) Создание нового (N+1 – го) реестра для учета объектов критической инфраструктуры
7) Разработка отраслевых индикаторов состояния информационной безопасности.
В общем, широкой душе любителей что-нибудь построить за бюджетные деньги, будет где разгуляться.

Отдельной критике подвергаются положения стратегии, посвященные перехвату трафика на стороне провайдеров и закрепление за ними обязанности предоставлять спецслужбам доступ к данным клиентов. Но я считаю, что лучше, если вопросы перехвата и расследования будут четко описаны и контролируемы обществом, чем такой перехват будет осуществляться скрытно, как это часто делается сейчас. Необходимые основы для этого в данной стратегии заложены.

В качестве вывода хочу сказать, что Стратегия национальной кибербезопасности, несмотря на некоторые присущие ей незначительные недостатки, в целом, является документом качественным и своевременным. Она задает верное направление для развития национальной системы киберзащиты. Будем надеяться, что ее продолжение, выраженное в законах, подзаконных актах, стандартах, отраслевых нормативных документах и последующих за ними всеми проектах, даст возможность Украине не только защитить государственную информацию и объекты критической инфраструктуры, но также даст мощный толчок для развития отрасли кибербезопасности Украины в целом.

Дмитрий Петращук, Директор по технологиям компании БМС Консалтинг

Підписка на новини

Пошук