Уроки не вивчено? Як Україна (не)захищає свій кіберпростір
Уроки не вивчено? Як Україна (не)захищає свій кіберпростір
Втручання у мережу ЦВК під час президентських виборів-2014, знеструмлення домівок близько 230 тисяч мешканців унаслідок атаки на «Прикарпаттяобленерго» і, нарешті, вірус NotPetya, через який постраждало близько 30 % української економіки. Усе це події, які експерти називають кібервійною між Росією та Україною, пік якої припав на 2014–2018 роки.
Та в той час, як військові дії на сході спонукали українську армію модернізуватись і стати сильним противником, кіберсфера все ще залишається вразливим місцем України. Про це говорили експерти на 11-му форумі з управління інтернетом IGF-UA, що цього року відбувся в режимі відеоконференцій через пандемію коронавірусу.
Організатори засмучені, що подією не зацікавилися представники Міністерства цифрової трансформації, яке нині задає тон у вирішенні питань стосовно інтернет-простору країни. Проте на форумі були присутні інші чиновники, зокрема з Держслужби спеціального зв’язку та захисту інформації України та профільного комітету Верховної Ради, й вони не згодні з песимістичними настроями експертів.
Держава й хакери: кому довіряти?
У мові Олександра Федієнка, голови підкомітету цифрової інфраструктури, електронних комунікацій та смарт-інфраструктури, найчастіше звучали слова «напрацьовується» та «має бути».
Він почав із того, що торік президент Володимир Зеленський затвердив нову Стратегію національної безпеки України. Там держава висловлює намір працювати над вразливостями свого кіберпростору та вивчати потенційні загрози — докладніше про це йтиметься у Стратегії кібербезпеки України, яку Кабінет Міністрів має розробити на початку наступного року.
Федієнко наголосив, що державі необхідно провести аудит критичної інфраструктури, запровадити антикризове управління, і все це — з урахуванням рекомендацій НАТО. Крім того, напрацьовуються законопроєкти в цій галузі, зокрема щодо захисту даних. На його думку, було би добре також навчати кібергігієни школярів, а також перевіряти знання працівників державних та комерційних установ.
Костянтин Корсун, експерт із кібербезпеки та засновник громадянської організації «Українська група інформаційної безпеки», звернув увагу на волонтерські ініціативи, які виявилися більш діяльними за державу. Український кіберальянс (неформальне об’єднання чотирьох хакерських груп FalconsFlame, Trinity, RUH8, Cuberjunta) зламали чимало пропагандистських ресурсів. InformNapalm, серед усього іншого, займались аналізом даних із відкритих джерел: група експертів Bellingcat у своєму розслідуванні падіння боїнгу MH17 взяла за основу матеріали, зібрані цією українською організацією.
Рішучіше повівся ще один альянс, FRD, публікуючи кричущі факти повної відсутності кіберзахисту стратегічно важливих для функціонування економіки й безпеки держави та суспільства об’єктів інфраструктури. У такий спосіб «етичні хакери» хотіли привернути увагу держави, мотивувати її на швидші зміни. Та якщо попередня влада, зазначив Корсун, намагалася конструктивно реагувати на дії активістів, то про нинішню цього сказати не можна.
Як приклад він наводить історію з відкриттям кримінальної справи проти активістів Українського кіберальянсу, які не раз виявляли вразливості в системах міжнародного аеропорту «Одеса». Хакери непублічно звітували про це одеській владі та спецслужбам, «але там розводили руками». Коли ж в аеропорті зламали табло, техніку активістів заарештували: за словами прокурора Андрія Чебанова, «щоб провести експертне дослідження і отримати докази того, що саме з цієї техніки були вчинені дії зі зламу». «Так багато активістів згорнули свою діяльність, — пояснює Корсун. — Держава показала їм, що буде, "якщо бути надто розумними"».
Що ж можна віднести до державних успіхів? На думку експерта, стало більше кіберцентрів. «До того їх було кілька, і вони (належно. — Ред.) не працювали. Тепер їх стає все більше, кожні пів року ми чуємо ще про один. Але кількість не переходить у якість».
Найбільшим досягненням останніх років Корсун вважає закон про основні засади забезпечення кібербезпеки України. Та прийняття цього документа було вимогою західних партнерів, а на практиці закон не працює, каже експерт. Великого галасу в 2018 році наробив законопроєкт № 6688, згідно з яким інформаційні ресурси пропонувалося тимчасово блокувати рішенням не лише суду, а операторів зобов’язати власним коштом встановлювати на своїх телекомунікаційних мережах обладнання, за допомогою якого держава в разі необхідності може стежити за громадянами.
І хоча № 6688 не прийняли, новий законопроєкт № 4004, запропонований у вересні цього року, містить фактично те ж саме зобов’язання для операторів. Таке втручання держави у приватне життя має бути обґрунтованим і не має призвести до незаконної обробки чи випадкової втрати даних, попереджає авторів законопроєкту Комітет з питань інтеграції України з ЄС, та, за словами Корсуна, «підстав довіряти державі немає».
Підозріла «Дія»
Найбільше спільноту експертів вразила репліка нинішнього міністра цифрової трансформації Михайла Федорова, який в інтерв’ю виданню «Лівий берег» у листопаді минулого року заявив, що «роль кібербезпеки трохи перебільшена» і що нібито назвати реальні «кейси кіберзагроз» мало хто може.
«На жаль, це не обмовка — там (при владі. — Ред.) дійсно так вважають. І це біда», — каже Корсун. На його думку, онлайн-платформа та однойменний додаток «Дія», що є головним продуктом міністерства, є прикладом того, як «гарна ідея досягається негарними методами».
Експерт розповів, що під час створення порталу, додатку та цифрових послуг повністю ігнорувалася думка професійної кіберспільноти. «Подібні проєкти мають бути серйозно захищені, а користувачам конкретними діями та доказами слід довести, що це (користування. — Ред.) безпечно. Я і мої колеги переконані, що безпека цих додатків наразі недоведена», — сказав Корсун.
Директор ІТ-асоціації України Віктор Валєєв теж із підозрою ставиться до «Дії». З одного боку, існування додатку та введення цифрового сервісу в часи пандемії, падіння економіки та переведення життя в онлайн грає на руку державі та громадянам. Але з іншого, досі не існує громадського аналізу коду, який використовується в «Дії», «хоча неодноразові звернення з цього приводу були».
Валєєв також насторожують слова першого заступника Федорова, Олексія Вискуба, який у серпні дав інтерв’ю «Інтерфаксу». З відповідей останнього напрошується висновок, що держава має намір зробити з «Дії» монополіста у сфері розробки інформаційних систем і реєстрів. Монополія може стати загрозою для створення нових електронних сервісів, а також реалізації потенціалу України зі створення інформаційних технологій для протидії пандемії, переконаний експерт.
«Держава не має створювати монополіста чи арбітра, — каже Валєєв. — Натомість вона має створювати майданчик для обміну даними та реєстрів, ринок ІТ-сервісів. З точки зору кіберзахисту це буде більш дієва модель».
Проблема з об’єктами критичної інфраструктури
Валєєв зауважив, що йому би також хотілось, аби на об’єктах критичної інфраструктури не використовували російське програмне забезпечення, або таке, що «мімікрує під українське, але за вихідним кодом є російським».
Проте перш ніж вирішити цю проблему, треба насамперед визначити перелік об’єктів критичної інфраструктури. Його відсутність дала про себе знати у 2019 році. Тоді прийняли постанову про загальні вимоги до кіберзахисту таких об’єктів, але через те, що їх переліку не існувало, вона так і не запрацювала повною мірою.
Справа в тому, що визначитися не так просто. Олексій Семеняка, технічний директор із зовнішніх зв’язків у компанії RIPE NCC, пояснює проблему на побутовому прикладі. Що є критичною інфраструктурою у вашій квартирі, тим, без чого не обійтися: холодильник чи шафа? Якщо холодильник, то наскільки важливою є компанія, що відряджає працівників для його ремонту?
Необхідно також порівнювати ризики потенційної поломки критично важливих об’єктів. Оцінюється масовість та вплив. Наприклад, якщо на Кабінет Міністрів України впаде шматок метеориту, то масовість буде невелика — там працює не так багато людей, просто наслідки — надзвичайні. Якщо ж у половини жителів України почне боліти палець на нозі, то наслідків це фактично не матиме, але явищем буде масштабним, каже Семеняка.
«Ось не показали по телевізору серію популярного серіалу, і у 20 % населення впав настрій… Значить, та серія явно має бути частиною критичної інфраструктури. І такі анекдотичні ситуації можуть траплятись у житті», — розповідає Семеняка, пояснюючи складність викликів, які стоять перед чиновниками сьогодні. Чорно-білий підхід, який раніше застосовувався («щось критичне, а щось ні»), не працює в сучасному світі.
Олександр Потій, заступник голови Держслужби спецзв’язку, який раніше виконував роль наукового керівника групи, що й оцінювала критичність об’єктів інфраструктури, цілком розуміє проблему. За його словами, український підхід полягатиме в тому, щоби спочатку виокремити об’єкти, які надають життєво важливі послуги населенню (тут можна орієнтуватися на списки, сформовані у США, Канаді чи ЄС), а вже потім аналізувати потенційний вплив інших об’єктів.
І якщо маленькі країни можуть дозволити собі впровадити одні правила й чітко розділити об’єкти за рівнем значущості, то великі (на кшталт України) вводитимуть градацію — ділитимуть об’єкти за категоріями, для кожної з яких діятимуть свої вимоги до захисту даних. «Об’єкти категорії 1 та 2 нестимуть у тому числі соціальну відповідальність. Одного стандарту та єдиної регуляції для всіх не буде», — сказав Потій.
Освіта теж має значення
Олександр Галущенко, провідний інспектор Національного координаційного центру кібербезпеки РНБО України, однією із загроз цієї сфери вважає людський фактор. За його спостереженнями, при 90 % атак використовуються старі методи, тому що розробка нових коштує неабияких грошей. «Та є клінічні випадки, коли все (системи. — Ред.) відкрито й люди не виконують своїх обов’язків», — каже експерт.
Коли хтось атакує сайт, ризиків для діяльності компанії може й не виникнути. За словами Галущенка, основна ж проблема полягає в тому, що керівництво не хоче заглиблюватися, що відбувається насправді та як слід контролювати своїх працівників. «Ось дають бюджет на кібербезпеку (а коли не використати, то його більше не дадуть наступного року), і починається закупка якихось сервісів, що насправді не потрібні», — каже експерт. За його словами, кошти краще вкладати в освіту працівників.
Цю ж ідею активно просуває Торгово-промислова палата. Віцепрезидент київського осередку Володимир Коляденко розповів, що з її ініціативи вже кілька років проводиться місяць кібербезпеки у країні та дні кібербезпеки — в університетах. А також у кожній області від Торгово-промислової палати працює навчальний центр, де працівникам державних органів, а також представникам малого та середнього бізнесу прищеплюють навички кібергігієни.
У Київському політехнічному університеті ж нині розробляють курс із безпеки та кібергігієни, щоб у майбутньому запропонувати Міністерству освіти та науки проведення національного уроку з безпечного інтернету. «Такі ініціативи дозволяють вивести на новий рівень загальну обізнаність, поведінку та культуру в кіберпросторі», — зазначив Коляденко.
Протистояння триває
Та це не переконало Костянтина Корсуна. Уроки не вивчено, заявляв він на початку дискусії, й залишився при своїй думці наприкінці. «Стан кібербезпеки критичної інфраструктури залишається таким же, як у 2014 році. Державно-приватного партнерства, про яке люблять говорити, немає. А те, що вони цим називають, таким не є — бо має бути рівність, — сказав експерт. — Українські урядові структури просто імпотентні в питаннях кібербезпеки. Головним чином через те, що в них немає власних фахівців, а голос кіберком’юніті вони чути не хочуть».
На думку Ігоря Козаченка, дійсного члена української Академії кібербезпеки, інформаційну оборону неможливо вибудувати без взаємодії з бізнесом, який завжди приходив на допомогу. І в 2014-му, коли завдяки спільним зусиллям за шість годин відновили роботу системи ЦВК та врятували президентські вибори. І в подальшому, коли ініціювали діалог із державою, надавали необхідне обладнання тощо.
Бізнес, за словами експерта, у протистоянні із сучасними кіберзагрозами, випереджає державу, тому що захищає насамперед свої дані. «Та протистояння триває, — каже Козаченко. — І держава програє».
Фото: niss.gov.ua, dev.by, Aleksandr Goncharov, фейсбук-сторінки Олексія Семеняки, Олександра Федієнка