ЩОДО МОЖЛИВОСТЕЙ СПІВПРАЦІ З НАТО У СФЕРІ КІБЕР-БЕЗПЕКИ ТА ЗАХИСТУ КРИТИЧНОЇ ІНФРАСТРУКТУРИ У КІБЕР СФЕРІ

Кіберпростір визначений, як один з операційних просторів (земля, повітря, вода, кіберпростір, космічний та інформаційний простори) у системі забезпечення національної безпеки України на рівні стратегічних документів та операційної діяльності.

Підписатись на новини "Української призми"

Костянтин Корсун

ксперт з кібербезпеки, засновник та перший керівник CERT-UA

 

Кіберпростір визначений, як один з операційних просторів (земля, повітря, вода, кіберпростір, космічний та інформаційний простори) у системі забезпечення національної безпеки України на рівні стратегічних документів та операційної діяльності. Вибудовування відповідних спроможностей відбувається як на національному рівні, так і у співпраці з міжнародними партнерами, зокрема НАТО, і є частиною побудови системи національної стійкості держави. 

 

Архітектура органів кібербезпеки в Україні

В Україні питання національної кібербезпеки та кібербезпеки критичної інфраструктури регулюються Законом України «Про основні засади забезпечення кібербезпеки України» (2018 року) (1), а також оновленою Стратегією кібербезпеки (2) від 2021 року(3). Згідно Закону про кібербезпеку, основними суб’єктами національної системи кібербезпеки є:

  • Державна служба спеціального зв’язку та захисту інформації України, 
  • Національна поліція України,
  • Служба безпеки України,
  • Міністерство оборони України та Генеральний штаб Збройних Сил України,
  • Розвідувальні органи (Служба зовнішньої розвідки, ГУР МО, розвідувальний орган Державної прикордонної служби України (4)),
  • Національний банк України.

Відповідно до Закону, координація діяльності у сфері кібербезпеки як складової національної безпеки України здійснюється Президентом України через очолювану ним Раду національної безпеки і оборони України (стаття 5). Національний координаційний центр кібербезпеки (НКЦК) як робочий орган Ради національної безпеки і оборони України здійснює координацію та контроль за діяльністю суб’єктів сектору безпеки і оборони.

Усі дев’ять головних суб’єктів національної кібербезпеки є державними органами виконавчої влади, більшість з яких є силовими структурами. Приватний сектор, кібер-спільнота, наукові заклади жодним чином не включені до цієї системи та не мають можливості вносити свій внесок.

Фактично кожен із зазначених державних органів здійснює заходи з кібербезпеки лише у межах свого сектору відповідальності, а координаційна діяльність НКЦК РНБО не відповідає очікуванням суспільства, оскільки не має прямих владних повноважень та регуляторних важелів впливу на основних суб’єктів національної системи кіберзахисту.

Наприклад, НБУ керується переважно Законом України про банки та банківську діяльність, а Міністерство оборони – Законом про оборону України, про ЗСУ, про військову службу та ін. (5). Сфери інтересів та специфіка двох відомств кардинально відрізняються, мають власні особливості та нормативну базу, яка далека від уніфікації. Через відсутність належної координації з боку РНБО не відбувається синергії спроможностей у питаннях кібезбезпеки різних органів. 

Здійснювати ефективну координацію діяльності основних суб’єктів у сфері кібербезпеки НКЦК РНБО заважає не тільки відсутність практичних та нормативних механізмів такої координації, уніфікованої регуляторної бази, єдиних метрик, критеріїв ефективності, тощо. Основною проблемою є недостатній рівень кваліфікації співробітників як «координатора», так і «основних суб’єктів». Це стосується не лише технічного рівня знань про сучасні міжнародні практики кібербезпеки, але і обізнаності у специфіці галузей, які є суб’єктами координації, розуміння їх особливостей та фактичних спроможностей, можливий внесок у спільну справу тощо. Традиційний для багатьох країн суттєвий розрив у розмірі оплати праці між державним та приватним секторами також накладається на системну недовіру до органів державної влади в Україні серед фахівців. 

 

Стан кібербезпеки України

Кібер-працівникам держорганів здійснюються доплати за рахунок іноземної допомоги (6), у деяких випадках проводиться їх професійне навчання з питань кібербезпеки, але після отримання належного рівня кваліфікації переважна більшість намагається перейти на роботу до приватного сектору. Внаслідок зазначеної ситуації стан власної кібербезпеки усіх «основних суб’єктів забезпечення кібербезпеки» залишається на незадовільному рівні. 

Численні факти некомпетентності у питаннях кіберзахисту ресурсів ключових державних органів України висвітлювалися групою українських фахівців з кібербезпеки у рамках онлайн-акції #FRD (Fuck Responsible Disclosure). За весь період існування цієї активності (жовтень 2018 – лютий 2020) було опубліковано більше 120 повідомлень про низький рівень захисту веб-ресурсів та критичні вразливості внутрішніх мереж держструктур, зокрема Міністерства оборони України, РНБО, Міністерства внутрішніх справ України, а також об’єктів критичної інфраструктури й державних установ (7). Після кожної публікації активістів Українського кіберальянсу (УКА) у Facebook під хештегом #FRD, представники відповідних установ реагували переважно різко негативно: заперечували факт існування вразливостей, применшували їх небезпечність, погрожували заявами в поліцію, принижували викривальників та висловлювали сумнів у їхній професійній компетентності. Сумнівним та таким, що зіпсував відносини держави та кібер фахівців став інцидент зі зломом інформаційної системи Одеського аеропорту у лютому 2020 року (8). Про існування серйозних вразливостей у мережах аеропорту активісти повідомляли публічно ще за рік до даного інциденту, а також доводили цю інформацію до відома посадових осіб аеропорту приватними непублічними каналами. Але попри це, вразливості не було усунуто.

Після проведення обшуків, 26 лютого 2020 року Громадська організація «Український кіберальянс» провело публічну прес-конференцію (9) під час якої її представники підкреслили свої непричетність до будь-яких протиправних дій та оголосили про припинення співпраці з будь-якими державними органами та надання їм допомоги, яку вони надавали раніше. Таким чином, владою свідомо було значно звужено коридор можливостей взаємодії з професійною спільнотою. 

Про проблеми комунікації може також свідчити вкрай недостатнє публічне висвітлення діяльності НКЦК РНБО та «основних суб’єктів» у сфері кібербезпеки, що є вкрай важливим для об’єднання зусиль та консолідації суспільства для вирішення питань кібербезпеки країни. Нечасті публікації переважно присвячені неочевидним досягненнями на кшталт засідань держслужбовців, відвідування навчальних заходів, виступам чиновників з вітальними промовами на конференціях, тощо (10).

Суттєвим досягненням НКЦК РНБО як національного координатора можна вважати розробку та затвердження 26 серпня 2021 року нової Стратегії кібербезпеки України на 2021-2025 роки (далі – Стратегія) (11). Але більш уважний аналіз змісту підтверджує, що незважаючи на декларацію дійсно важливих завдань, у Стратегії жодним чином не окреслено шляхи або методи досягнення заявлених цілей, що перетворює їх на гасла, не підкріплені баченням практичної імплементації. За умови відсутності з боку держави кардинальних змін у підходах до вирішення проблем національної кібербезпеки та збереження якісного складу державних виконавців, виникають сумніви щодо можливості досягнення заявлених цілей.

Разом з тим, Стратегія містить і кілька доволі сумнівних з професійної точки зору тверджень. Наприклад, «Україна посилить спроможності національної системи кібербезпеки для унеможливлення збройної агресії проти України у кіберпросторі». Коректними формулюваннями були б кібер-тероризм, кіберзброя, але не «збройна агресія у кіберпросторі», що протирічить суті самої загрози та її інструментів.

Крім того, на реалізацію Стратегії не передбачено ніякого додаткового фінансування. Для прикладу, Велика Британія під реалізацію своєї першої Стратегії кібербезпеки (2013-2015) заклала один мільярд фунтів. Під нову Стратегію кібербезпеки (2016-2021) виділили вже майже 2 мільярди фунтів.

Окремо слід зазначити, що Стратегією передбачається утворення у складі ЗСУ окремого роду військ – сил кібероборони – “створення MIL.CERT-UA в інтересах МО та ЗСУ.” Наразі в Міністерстві оборони України та Збройних силах України існує кілька різних підрозділів, так чи інакше пов’язаних з кібербезпекою та кіберзахистом:

  • ГУЗІС (Головне управління зв’язку та інформаційних систем) ГШ ЗСУ;
  • Управління захисту інформації в інформаційно-телекомунікаційних системах ГУЗІС;
  • Головний об’єднаний центр захисту інформації ЗСУ (ЧБП ГУЗІС);
  • УІТ (Управління інформаційних технологій) МО.

Більшість із зазначених підрозділів мають схожі проблеми: слабка технічна база, брак кваліфікованих фахівців, недостатність фінансування, неготовність до обміну інформацією про інциденти тощо. Навіть у разі об’єднання усіх підрозділів у єдине кібер-командування, це навряд чи вирішить хоча б частину проблем. Так само їх не вирішить механічне створення військового MIL.CERT-UA, – без розуміння принципів його функціонування, завдань та методів їх досягнення.

Приклад слабкого функціонування та неефективної роботи напів-цивільного CERT-UA (є підрозділом Державної служби спеціального зв’язку та захисту інформації України) свідчить, що працівники державних кібер-установ схильні до формального копіювання сучасних міжнародних кібер-практик без наповнення їх практичним змістом та глибоким розумінням, результатом якого є подальша стагнація національної системи кібербезпеки.

В Україні запущено кілька програм кібер-допомоги (12) від різних міжнародних організацій, але їх ефективність є доволі сумнівною через безсистемність, точковість прикладання зусиль та відсутності довіри між національним стейкхолдерами, що обумовлено високими корупційними ризиками всередині країни та орієнтованість іноземних донорів виключно на державні інституції, без залучення професійної спільноти та кібер-громадськості. 

Підсумовуючи короткий огляд поточно стану функціонування національної системи кібербезпеки України, слід зазначити наступне:

  • Більшість з «основних суб’єктів національної системи кібербезпеки» самі мають суттєві проблеми з кібербезпекою.
  • Ефективність координації їхньої діяльності викликає сумніви.
  • Рівень відкритості «основних суб’єктів національної системи кібербезпеки» залишається у незадовільному стані.
  • Співпраця з не-державними організаціями, громадянами, бізнесом, об’єктами критичної інфраструктури майже не ведеться.

Реальна ж Стратегія та принципи розбудови Національної системи кібербезпеки потребують докорінного перегляду, за активної участі усіх ключових стейкхолдерів: приватного сектору, професійної спільноти, державних установ, наукових організацій.

 

Питання кібер безпеки у відносинах Україна-НАТО безпеки

На сьогоднішній момент рівень співпраці у сфері кібер безпеки між Україною та НАТО не є на належному рівні. 

У 2007 році після масштабної кібер-агресії РФ проти Естонії, влада цієї країни вжила швидких та ефективних заходів з побудови працюючої системи національного кіберзахисту. Важливу роль у цьому процесі відіграло створення у 2008 році у Таллінні об’єднаного центру передових технологій з кібероборони НАТО, NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE) (13). По суті даний центр став відправною точкою для розбудови національної системи кібербезпеки Естонії, заснованій на сучасних принципах, моделях та стандартах кібербезпеки.

У серпні 2021 року Україна виступила з офіційним запитом на приєднання до роботи Об’єднаного центру передових технологій з кібероборони НАТО (CCDCOE) (14). 

Позитивної оцінки заслуговує також створення у 2017 році Ситуаційного центру з питань кібербезпеки при СБ України за кошти Трастового фонду Україна-НАТО з кібербезпеки. На його відкриття були запрошені провідні українські експерти з кібербезпеки, керівництво Центру виявляло відкритість до співпраці з усіма стейкхолдерами, як з державного, так і з приватного сектору. Подальший розвиток цієї ініціативи міг би стати стартовим майданчиком для розвитку сектору національної кібербезпеки та ефективної співпраці між усіма зацікавленими сторонами. Але, на жаль, після зміни керівного складу ДКІБ СБУ у 2019 році, даний проект не отримав подальшого розвитку.

Річна національна програма Україна-НАТО на 2021 рік (15) передбачає низку цілей, пов’язаних із питаннями кібезберзпеки, які закріплені за різними відомостями. Пріоритет сфери кібербезпеки визначений окремою Стратегічною метою РНП – «СТРАТЕГІЧНА МЕТА 4.2. Створено умови для безпечного функціонування кіберпростору та його використання в інтересах особи, суспільства і держави». Частина завдань описаних у реалізації зазначеної стратегічної мети покликана на вирішення тих проблем, які описані вище, зокрема, питання кадрового забезпечення, матеріально-технічного та ресурсного забезпечення, а також посилення координації різних відомств та створення ситуативних центрів. 

Водночас, цілі окремих відомств також мають завдання у сфері кібербезпеки, зокрема,

«Ціль 2.6.2.2. Забезпечено належний рівень захисту інформації та кіберзахисту єдиної інформаційної системи Міністерства внутрішніх справ України…»

«Ціль 2.7.1.2. Створена та функціонує інформаційно-телекомунікаційна система Національної гвардії України відповідно до принципів та стандартів НАТО, що досягається виконанням таких пріоритетних завдань: … б) створення Центру кіберзахисту Національної гвардії України…». 

Окремо визначені шляхи посилення міжнародного співробітництва:

«4.2.1.4. Міжнародне співробітництво та підтримка Україною міжнародних ініціатив підвищують спроможність національної системи кібербезпеки, що досягається виконанням таких пріоритетних завдань:

а) удосконалення взаємодії з відповідними (спеціальними) органами держав – членів НАТО та держав – членів ЄС з метою обміну інформацією про проведені кібератаки для ефективного та своєчасного реагування;

б) налагодження механізмів міжнародного співробітництва і взаємодії з компетентними органами інших держав у сфері протидії кіберзагрозам державній безпеці або іншим життєво важливим національним інтересам України;

в) упровадження системи класифікації кіберзагроз та кіберінцидентів, сумісної з NATO Computer Incident Response Capability».

Водночас, звіти щодо виконання РНП 2021 демонструють неузгодженість між поставленими завданнями та фактично реалізованими заходами. Зокрема, щодо Розроблення та впровадження цілісної системи нормативно-правових актіву у сфері виявлення кібератак та протидії кіберзагрозам зазначено – «Головою Служби прийнято рішення про те, що розробка Плану дій з реалізація заходів Стратегії кібербезпеки на 2021 рік є недоцільним» (16). А більшість пунктів щодо посилення взаємодії із закордонними партнерами з країн-членів НАТО та відповідними структурами обмежуються перерахуванням участі окремих українських фахівців у відповідних навчальних курсах. 

 

Рекомендації

  1. Співробітництво у сфері кібербезпеки може розвиватися одночасно на декількох рівнях
    1. багатонаціональний рівень у рамках приєднання до центрів передового досвіду; 
    2. двосторонньому рівні з такими країнами як передусім Естонія, Румунія, Велика Британія, Чехія, які приділяють особливу увагу кібер захисту; 
    3. національному рівню – створення відповідних спроможностей всередині країни за рахунок технічної та експертної підтримки структур НАТО. 
  2. Україна потребує створення власного Центру кібезбезпеки, подібного до центру передових технологій з кібероборони НАТО. Подібний центр повинен стати професійним об’єднанням, яке б викликало довіру усіх стейкхолдерів та навколо якого можна було б почати процес об’єднання національних стейкхолдерів разом з іноземними та міжнародними партнерами. Такий Центр сприяв би зміцненню обороноздатності України не тільки у військовій сфері, але й усієї системи національної кібербезпеки, у тому числі критичної інфраструктури. Побудований на основі високого професіоналізму, взаємної довіри та демократичних принципах, новий міжнародний Centre of Excellence міг би об’єднати як вітчизняних, так й іноземних фахівців, швидко та правильно визначати ключові проблеми національної кібербезпеки України, знайти механізми їх розв’язання, окреслити чіткій покроковий план заходів, реалізувати цей план у визначений час і взяти на себе усю відповідальність за його виконання.
  3. Новий Центр міг би допомогти у координації кібер-діяльності інших країн регіону: Туреччини, Грузії, Молдови, а також узгоджувати заходи та розподіляти спеціалізацію з існуючим CCDCOE у м. Таллінн.
  4. Важливим аспектом є посилення співпраці зі структурами НАТО та окремими країнами щодо обміну інформаціє. При чому, в даному випадку джерелом інформації та досвіду може виступати саме Україна, на яку приходиться найбільша кількість атак в останні роки. Таким обмін інформацією є важливим з точки зору створення системи вивчення та запровадження досвіду. 
  5. Проведення спільних  навчань та створення єдиних курсів з  питань  кібер безпеки та захисту критичної  інфраструктури у кібер сфері допоможуть підвищити взаємосумісність відповідних  структур різних країн, поза межами співробітництва міністерств оборони та  служб  спеціального зв’язку. 

Підготовлено: Костянтин Корсун, експерт з кібербезпеки, засновник та перший керівник CERT-UA, співзасновник та СОО у кібербезпековій компанії BSG, За більш детальною інформацією можна звертатися info@prismua.org

У рамках проекту Ради зовнішньої політики «Українська призма» – «Ukraine-NATO: Enhanced level» за підтримки Представництва НАТО в Україні

1. https://zakon.rada.gov.ua/laws/show/2163-19#Text

2. https://www.president.gov.ua/documents/4472021-40013

3. Детальний аналіз стратегії від автора можна подивитися з а цим відео https://youtu.be/GbEa7A3NtqU 

4. https://zakon.rada.gov.ua/laws/show/2331-14#Text

5. https://www.mil.gov.ua/ministry/normativno-pravova-baza/zakoni-ukraini.html 

6. Приклади такої допомоги – EU4Digital, програми допомоги від CRDF та USAID/UKAID, програма SIGMA https://rdo.in.ua/direction/reforma-derzhavnogo-upravlinnya та програма URA від ЄБРР: https://rdo.in.ua/ura 

7. https://youtu.be/AUr1UeExbNA 

8. Більше деталей тут: https://biz.nv.ua/ukr/tech/ukrajinskiy-kiberalyans-derzhava-rokami-ignoruvala-problemi-z-kiberbezpekoyu-novini-ukrajini-50073507.html

9. https://youtu.be/z9034dyD0UY 

10. https://www.rnbo.gov.ua/ua/Diialnist/ 

11. https://zakon.rada.gov.ua/laws/show/447/2021#Text 

12. Приклад: USAID Cybersecurity Activity, CRDF Global.

13. https://ccdcoe.org 

14. Україна та Естонія поглиблюють співробітництво у сфері кібербезпеки, 2021, https://www.rnbo.gov.ua/ua/Diialnist/4948.html

15. https://zakon.rada.gov.ua/laws/show/189/2021#n12

16. https://cip.gov.ua/ua/news/zvit-derzhspeczv-yazku-pro-vikonannya-rnp-za-iii-kvartal-2021-roku