Украине нужна новая киберстратегия
Шлях, яким рухається Україна у розбудові власної кібербезпеки, потребує докорінних та невідкладних змін. Це не лише точка зору лідерів думок вітчизняного кіберзахисту.
Необхідність змін підтверджена атаками на об'єкти критичної інфраструктури, сумнозвісним NotPetya та багатьма іншими інцидентами, які протягом останніх років створили Україні сумнівну репутацію одного з головних кіберполігонів.
У цій колонці, створеній у співавторстві з групою експертів, розглянемо основні прогалини в галузі кібербезпеки України.
Неефективна нормативна база та система управління
Аналіз першопричин призводить до цілої низки системних проблем у галузі, ігнорувати які з кожним наступним інцидентом стає дедалі важче. Одна з головних – неефективна нормативна база та система управління.
Закон України "Про захист інформації в інформаційно-телекомунікаційних системах" та серія нормативних документів про технічний захист інформації (НД ТЗІ) безнадійно застарілі.
Більше того, вони зобов'язують органи державної влади, об'єкти критичної інфраструктури та приватні компанії, які хочуть надавати послуги державним органам (наприклад, Інтернет-провайдери), впроваджувати так звану Комплексну систему захисту інформації (КСЗІ). Вона, окрім того, що морально застаріла, впродовж багатьох років довела свою неефективність.
Низька готовність реагувати на кібератаки
Інша і не менш важлива проблема – неготовність реагувати на кіберінциденти.
Більшість компаній все ще не готові організаційно до нових хвиль кібератак та не мають підготовлених в достатній мірі фахівців у своєму штаті.
Відсутнє й централізоване управління силами реагування на кіберінциденти на загальнодержавному рівні.
А якщо спуститися на щабель нижче – від державних структур та приватних компаній до пересічних громадян – то ситуація ще гірша.
Рівень обізнаності українців з питань кібербезпеки залишає бажати кращого. Державна програма для заповнення цієї прогалини в Україні наразі, на жаль, відсутня.
Низький рівень залучення професійної спільноти, відсутність трансформаційного підходу
Загалом управління кібербезпекою в Україні на державному рівні важко назвати ефективним.
Національна система кібербезпеки обмежується переважно участю в ній силових органів (Нацполіція, СБУ, Держспецзв'язок тощо). Приватний бізнес та кіберспільнота до вирішення важливих питань майже не залучаються.
Відсутній трансформаційний підхід до управління національною кібербезпекою, що передбачає наявність організації, яка керує впровадженням програми з кібербезпеки, та регулярного контролю за процесом впровадження.
До того ж, через специфіку багатьох галузей (охорона здоров'я, енергетика, телекомунікації тощо) існує гостра потреба в окремих галузевих стандартах з кіберзахисту.
Кіберрозвідка потребує покращення
Ще одна суттєва проблема – в Україні все ще недостатньо ефективно працює система кіберрозвідки (Threat Intelligence). Є приклади, коли приватні організації та волонтерські угрупування попереджають державу про атаки, які плануються. Але ж в умовах існуючих загроз цього видається недостатньо.
Низька якість аудиту кібербезеки
Окрема проблемна ділянка – аудити кібербезпеки. В системі координат НД ТЗІ, дозвіл на проведення аудиту мають лише акредитовані державою організації. Міжнародні сертифікати з інформаційної безпеки та IT-аудиту наразі не визнаються, що негативно впливає на якість аудиту.
Роль держави: не регулятор, а фасилітатор
Наразі експертним співтовариством ведеться робота з визначення основних принципів та напрямків для покращення стану кібербезпеки в Україні.
Основна ідея реформи – перейти від моделі, коли держава намагається контролювати кібербезпеку, в тому числі в приватних організаціях, до саморегуляції, яка дозволить бізнесу самостійно визначати і контролювати впровадження стандартів кібербезпеки для відповідних галузей.
Роль держави у розбудові вітчизняної системи кіберзахисту потребує переосмислення.
Очевидно, це має бути не функція контролю (як зараз), а скоріше фасилітації і допомоги у вирішенні проблем кібербезпеки.
Потрібен перехід на міжнародні стандарти кібербезпеки, в тому числі галузеві
Першочерговий крок – замінити НД ТЗІ більш ефективним та сучасним базовим стандартом і запровадити галузеві стандарти кібербезпеки.
Винаходити велосипед не потрібно. Існує ціла низка міжнародних стандартів, які зарекомендували себе в розвинених країнах світу та пройшли перевірку часом.
Чому б не взяти за основу, скажімо, розроблений у США NIST Cybersecurity Framework, який, окрім США, застосовують уряди Японії та Ізраїлю? Причому організаціям можна запропонувати на вибір – впроваджувати NIST, ISO, Cobit тощо.
Бізнес має визначати галузеві вимоги щодо кібербезпеки
Питання регулювання та контролю можна делегувати галузевим регуляторам або саморегулюючим організаціям. Одним із прикладів останніх є NERC CIP в США, що розробила галузеві стандарти з кібербезпеки для енергетичного сектора.
Прикладами інших галузевих регуляцій, які було б доцільно розглянути на предмет можливості їх впровадження в України, є HIPAA із забезпечення захисту електронних медичних даних в сфері охорони здоров'я, Ofcom для телекомунікацій тощо.
Визначення чітких критеріїв об'єктів критичної інфраструктури
Критерії віднесення об'єктів до критичної інфраструктури мають бути чітко визначені.
Критерії повинні розроблятися експертами та бути такими, що можна виміряти.
Наприклад, обсяг електроенергїї яка генерується чи передається, має становити не менше чітко обрахованого значення МВт.
Навчання для організацій та громадян та формування культури кібербезпеки в суспільстві
Сучасний ландшафт кіберзлочинів стає дедалі складнішим. Всупереч поширеній думці, безпека – це не стан, а процес. Крім того, в умовах сьогодення недостатньо покладатися виключно на захист.
Для того, щоб мінімізувати збитки від кібератак, важливо фокусуватися не лише на захисті, але й на побудові правильних процесів реагування на інциденти.
Значну роль у налагодженні цих процесів відіграє навчання реагуванню керівників компаній, пересічних громадян тощо.
Потрібно створити національний портал кібербезпеки із електронними курсами та запровадити кампанію із підвищення обізнаності населення в ЗМІ.
Не менш важливим є формування культури кібербезпеки у суспільстві. З правилами кібергігієни дітей потрібно знайомити ще за шкільною партою, як, наприклад, зараз це відбувається з правилами безпечної поведінки на дорозі.
Визнання міжнародних сертифікацій та запровадження обов'язкової міжнародної сертифікації для посадовців, які займаються кібербезпекою та аудитом
Профільна освіта з кібербезпеки в Україні потребує вдосконалення.
Нестачу профільних знань фахівці компенсують зазвичай міжнародними професійними сертифікатами (наприклад CISSP, CISM, OSCP, GSEC та інші), які дають хороший базовий рівень.
У той же час на державному рівні такі сертифікати визнання не отримали. Ситуацію варто було б змінити.
На додачу, державну акредитацію аудиторів з кібербезпеки, яка наразі створюється, потрібно замінити акредитацією на основі міжнародних сертифікацій.
Співпраця з дослідниками та створення галузевих центрів реагування на кібератаки
Необхідне налагодження обміну інформацією про кіберінциденти та тісна співпраця держави з приватними компаніями й дослідниками, які мають працювати не на волонтерських засадах, як це відбувається зараз, а в межах встановлених правил.
Створення галузевих центрів реагування на кіберінциденти (SOC) та центрів обміну інформацією про кібератаки (ISAC) допоможе з вирішенням цієї проблеми.
Причому локальні SOC-и та ISAC-и мають налагодити тісну взаємодію з міжнародною мережею подібних організацій. Залучення професійної спільноти до цього процесу є обов'язковим кроком.
Аудити кібербезпеки за міжнародними стандартами
Для оцінки захищеності інформаційних систем пропонується впровадити аудити на відповідність міжнародним стандартам. Аудити потрібно проводити регулярно, із залученням незалежних (бажано, зовнішніх) спеціалістів, які мають міжнародну сертифікацію.
Створення bug bounty програм
Один з головних акцентів має бути зроблений на розвитку bug bounty програм як дієвого механізму виявлення вразливих місць в інформаційних системах.
Суть bug bounty у тому, що будь-хто може знайти вразливість у системі компанії та повідомити про це власників системи, отримавши при цьому певну винагороду.
В українських реаліях це явище поки що особливим попитом не користується.
А державні установи не квапляться з впровадженням таких програм ще і через те, що не мають відповідної нормативної бази.
Проблема хоча і не першочергова, але, безумовно, потребує уваги з боку наших законотворців.
Створення національної експертної ради з кібербезпеки
Важливим кроком має стати створення експертної ради з питань кібербезпеки за участю представників бізнесу, професійних спільнот та державних органів.
Така рада має готувати пропозиції щодо нормативно-правових актів у цій сфері, давати рекомендації по функціонуванню національної системи кібербезпеки та вирішувати інші завдання та проблеми, які потребують належної експертизи.
Прикладом такої організації є Національна Рада Кібербезпеки в Нідерладнах.
Впровадження кібербезпеки вимагає трансформаційного підходу
Усі ініціативи з кібербезпеки мають бути сформовані в єдину програму трансформації кібербезпеки.
Необхідне внесення змін в законодавство, включаючи закон України "Про захист інформації", закон "Про основні засади кібербезпеки" тощо.
Функції регулярного контролю за виконанням програми повинні належати офісу з кібербезпеки, який може існувати на базі неурядової організації, уповноваженої впроваджувати реформи у сфері кібербезпеки.
Державні структури, обмежені поточними вимогами законодавства та нормативних документів, не зможуть провести таку трансформацію.
Олексій Янковський,
Костянтин Корсун, Бережа Сек'юріті, директор та співзасновник,
Олексій Барановський, к.т.н., доцент кафедри інформаційної безпеки НТУУ "КПІ ім. Ігоря Сікорського", директор Київського відділення професійної неприбуткової організації ISACA,
Єгор Аушев, співзасновник Cyber School, Hacken,
Артем Карпинський, експерт з кібербезпеки, співзасновник NoNameCon,
Володимир Стиран, співзасновник Berezha Security, NoNameCon
Спеціально для УП
Колонка – матеріал, який відображає винятково точку зору автора. Текст колонки не претендує на об'єктивність та всебічність висвітлення теми, яка у ній піднімається. Редакція "Української правди" не відповідає за достовірність та тлумачення наведеної інформації і виконує винятково роль носія. Точка зору редакції УП може не збігатися з точкою зору автора колонки.
УП 100. Поза межами можливого
"Украинская правда" представит свой второй в истории рейтинг лидеров - сотню украинцев, которые делают наибольший вклад в независимость и будущее Украины.