Чем Стратегия кибербезопасности опасна для IT-бизнеса

Анастасия Пика
Чем Стратегия кибербезопасности опасна для IT-бизнеса

Президент Петр Порошенко подписал Указ, которым ввел в действие решение Совета национальной безопасности и обороны Украины от 27 января «О Стратегии кибербезопасности Украины».

В документе отмечается, что наряду с преимуществами современного цифрового мира и развитием информационных технологий, в настоящее время активно распространяются случаи незаконного сбора, хранения, использования, уничтожения, распространения персональных данных, незаконных финансовых операций, краж и мошенничества в сети Интернет. Современные информационно-коммуникационные технологии могут использоваться для совершения террористических актов, в том числе путем нарушения штатных режимов работы автоматизированных систем управления технологическими процессами на объектах инфраструктуры. Большее распространение получает политически мотивированная деятельность в киберпространстве в виде атак на правительственные и частные сайты в сети Интернет.

В концепции говорится: «Экономическая, научно-техническая, информационная сфера, сфера государственного управления, оборонно-промышленный и транспортный комплексы, инфраструктура электронных коммуникаций, сектор безопасности и обороны Украины становятся все более уязвимыми для разведывательно-подрывной деятельности иностранных спецслужб в киберпространстве. Этому способствует широкое, иногда доминирующее, присутствие в информационной инфраструктуре Украины организаций, групп, лиц, прямо или косвенно связанных с Российской Федерацией».

Целью Стратегии кибербезопасности Украины является создание условий для безопасного функционирования киберпространства, его использование в интересах личности, общества и государства.

Основу национальной системы кибербезопасности составят Министерство обороны Украины, Государственная служба специальной связи и защиты информации Украины, Служба безопасности Украины, Национальная полиция Украины, Национальный банк Украины, разведывательные органы.

Стратегия предусматривает комплекс мер, приоритетов и направлений обеспечения кибербезопасности Украины. В частности, создание и оперативную адаптацию государственной политики, направленной на развитие киберпространства и достижения совместимости с соответствующими стандартами ЕС и НАТО, формирование конкурентной среды в сфере электронных коммуникаций, предоставление услуг по защите информации и киберзащиты; привлечение экспертного потенциала научных учреждений, профессиональных и общественных объединений к подготовке проектов концептуальных документов в этой сфере; повышение цифровой грамотности граждан и культуры безопасности поведения в киберпространстве; развитие международного сотрудничества и поддержку международных инициатив в сфере кибербезопасности, в том числе, углубление сотрудничества Украины с ЕС и НАТО.

Кроме того, СНБО поручил Кабинету Министров вместе с СБУ, Службой внешней разведки и при участии Национального института стратегических исследований утвердить в двухмесячный срок план мероприятий на 2016 год по реализации Стратегии кибербезопасности Украины и в дальнейшем разрабатывать и утверждать такие планы ежегодно и информировать о состоянии реализации. Также Совет решила создать Национальный координационный центр кибербезопасности как рабочий орган СНБО.

Напомним, что подписанию документа предшествовали хакерские кибератаки на "Прикарпатьеоблэнерго" и аэропорт "Борисполь", произошедшие в конце 2015 года. Проблема была оперативно поднята на государственном уровне. Порошенко анонсировал создание Национальной системы безопасности. И 27 января 2016 года проект Стратегии был принят за основу на заседании СНБО.

К сожалению, окончательный вариант документа не показали ни общественности, ни даже Госспецсвязи, которая принимала участие в разработке (свой текст ведомство передало в Кабмин еще в 2014-м году). И это несмотря на то, что тогда у профильных ассоциаций было достаточно много вопросов и предложений. Вот, к примеру,  выдержка из прошлогоднего письма Интернет Ассоциации Украины Президенту:

 

После того как полностью готовый стратегический документ появился на сайте Президента, он сразу вызвал живое обсуждение среди представителей телеком-сообщества. Наибольшее количество нареканий получил пункт 4.5:

Обсуждение Стратегии в Facebook:

 

17 марта в Госспецсвязи состоялось внеочередное заседание общественного совета по поводу обсуждения положений Стратегии и дальнейших мероприятий по ее реализации. Член Общественного Совета Олег Гусев рассказал InternetUA, что на встрече было высказано очень много замечаний, которые сейчас готовятся для отправки в письменном виде главе Госспецсвязи.

Мы поинтересовались у экспертов, какие спорные пункты они нашли в Стратегии кибербезопасности.

Александр Федиенко, глава Правления ИнАУ:

- Стратегия кибербезопасности - еще не закон. Конечно, она нужна. Но как далее будет "писаться" закон и как он будет ориентирован по отношению к бизнес-среде, - это вопрос, на который мы сможем дать ответ, только увидев его текст. Именно эти опасения я высказал на последнем заседании общественного совета Госспецсвязи.
Также очень важно, чтобы стратегия была одна в контексте вертикали подчинения и управления, а не имела многовекторность подразделений силового блока.
Как видим уже сейчас, каждое ведомство создает свои подразделения киберов, причем, по функционалу они разные. А если киберспециалисты есть в разных ведомствах, без единого управленца и единого контроля, то рано или поздно стратегия у них разойдется.

Максим Тульев, директор компании NetAssist:

- Выполнение пункта Стратегии "запровадження блокування операторами та провайдерами телекомунікацій визначеного (ідентифікованого) інформаційного ресурсу (інформаційного сервісу) за рішенням суду" требует включения механизма цензуры. А как только это включение "продавят" под любым предлогом - через пару месяцев о судах можно будет забыть.

Сейчас технической возможности осуществлять блокировку по черному списку
URL у операторов НЕТ. Чтобы она появилась - операторам нужно закупить и настроить соответствующее оборудование, перестроить свои сети. В России это заняло около двух лет и потребовало с рынка более 1 млрд долларов.

Зато после того, как цензура технически была включена - не прошло и года, как она стала использоваться исключительно с единственной целью, для которой цензура в Интернете может использоваться эффективно - для запрета доступа к материалам политической оппозиции, массовым мероприятиям и так далее. 

У меня нет ни малейшего сомнения, что как только под ЛЮБЫМ предлогом технический механизм цензуры в украинском Интернете будет активирован - с ним будет ровно то же, что и в России (Китае, Иране).

Иван Петухов, вице-президент Комиссии УСПП по вопросам науки и информационных технологий:

- В общей части Стратегии делается упор на непрекращающуюся агрессию российской федерации, что диссонирует с официальной позицией господина Порошенко, упорно не вводящего военное положение в отдельных регионах Украины, которые захвачены войсками рф и коллаборационистами. В остальном данный раздел представляет собой некий набор деклараций и лозунгов, призванных пустить «пыль в глаза» отечественной и мировой общественности. В частности, вступает в противоречия с разделом 4.

Второй раздел Стратегии уже не такой радужный и позитивный в отношении прав и свобод человека, гражданина и общества в целом. В нем говорится исключительно про интересы и проблемы киберугроз государству. Отдельной строкой прописана угроза существующему олигархическо-политическому строю: «Більшого поширення набуває політично вмотивована діяльність у кіберпросторі...». Возникает законный вопрос, а что у нас уже планируется разработка законодательных актов, преследующих по политическим мотивам? Ведь под эту формулировку легко подвести свободу политических взглядов и вольнодумие в социальных сетях.... А в части «Загрози кібербезпеці актуалізуються через дію таких чинників, зокрема, як:» напрочь отсутствует понятие защиты критической инфраструктуры для телекоммуникаций, которая в последние два года подверглась атакам. Вместо этого используется определение «критической информационной инфраструктуры», что наводит на мысли о распиле бюджетных средств под новым трендом.

Третий раздел Стратегии так и не дает понимания, каким же образом будет построено взаимодействие между всеми государевыми органами, бизнесом и обществом. Возможно, это сделано из-за отсутствия понимания, как это осуществить, а, возможно, оставлено для дальнейших торгов... При разделе контролирующих функций, свой «кусок мяса» получили практически все. Военные добились привилегии и будут участвовать двумя структурными подразделениями. ДССЗЗИ пробила возможность заработка на проведении аудита критической информационной инфраструктуры на уязвимость. Интересно, каким образом они будут тестировать работающие информационные системы?! Скорее всего, «откатами». СБУ добилась дублирования всех функций, что есть в ДССЗЗИ и даже «засовывания носа» в компьютерные инциденты, например, в неполадки в сети оператора или вирус на домашнем компьютере. Ну, чем не компьютерный инцидент?! Киберполиция получила в довесок профилактически-воспитательную работу с гражданами. Интересно, как они будут этим заниматься: виртуально или создавать отдельные комнаты(камеры) для пере/воспитания кибернарушителей? :)
Концовка раздела окончательно развеивает сомнения и показывает истинные мотивы Стратегии, определяя, кого именно будут «доить» все вышеперечисленные государевы органы от ДССЗЗИ до Службы внешней разведки, а также, кто и чьи должен будет отрабатывать предписания (смотри П.4.5).

В раздел четвертый втолкнули все, что смогли и даже «невпихуемое». Один только пункт: «розвитку та удосконаленні системи державного контролю за станом захисту інформації, а також системи незалежного аудиту інформаційної безпеки...» говорит о многом. В КМУ уже подготовлено ряд проектов таких документов относительно внешнего сканирования государственного ресурса, который по заключению экспертов может стать ничем иным как вмешательством в работу систем, итогом которого станет практическое блокирование ресурсов. Отдельного внимания стоят пункты П.П.4.2 — 4.5. В них речь идет об очередном многомиллиардном проекте «распила» бюджетных средств на очередной никчемный проект телеком-сети государственного оператора связи (детальнее - в предыдущем материале InternetUA). Не меньшее удивление вызывает пункт: «розбудові захищеної інтегрованої системи електронних державних реєстрів, баз даних, дата-центрів, у тому числі єдиного дата-центру резервного збереження інформації..». Очень хочется узнать, на чем и где строим? Документооборот (вместо электронного правительства) на Microsoft Azure в ДЦ «Парковый»? 

Пункт 4.3 заметно бодрит частный сектор аттестацией персонала, отвечающего за кибербезопасность. С учетом аппетитов ДСС ЗЗИ, понятно, кто будет заниматься теперь еще и аттестацией персонала.... Пункт 4.5 в частности устанавливает «унормування порядку внесення обов'язкових до виконання операторами та провайдерами телекомунікацій приписів про термінове фіксування та подальше зберігання комп'ютерних даних, збереження даних про трафік». Новое понятие «предписание», которое выходит за рамки Конституции Украины в части прав и свобод граждан, а «запровадження особливого порядку зняття інформації з каналів телекомунікацій у випадку розслідування кіберзлочинів» говорит о предстоящей установке на сети отечественных операторов системы СОРМ, как и в соседней россии!
Ну что ж, теперь понятно, почему мешал общественный сектор при рассмотрении проекта данного опуса!

А вот силовики, как оказалось, очень довольны Стратегией Президента:

Сергей Демедюк, глава Департамента киберполиции Национальной полиции Украины:

- Ми позитивно оцінюємо підписання Президентом Стратегії кібербезпеки. Це перший офіційний документ, який дає поштовх для її побудови в Україні реально. Це і внесення певних змін в законодавство, зокрема прийняття закону "Про кібербезпеку", який ми вже розробили спільно з іншими держорганами, і чіткий розподіл функцій між відомствами та правоохоронними органами.
Стратегія координує нашу діяльність у спірних питаннях. Наприклад, до нас із ЗМІ часто звертаються за коментарями про кібербезпеку країни в цілому, хоча це парафія Держспецзв'язку. Нацполіція ж забезпечує боротьбу зі злочинністю, а також побутову кібербезпеку, у чому ми активно допомагаємо громадянам.
Ми безпосередньо приймали участь у розробці Стратегії, вносили до тексту свої пропозиції. Більшість з них були враховані.

Сергей Южда, заместитель начальника первого управления СБУ: 

 - До принятия Стратегии кибербезопасности были большие проблемы с понимаем того, кто и чем занимается. В этом документе есть четкое разграничение, что входит в компетенцию каждого органа. С точки зрения различия функций МВД и СБУ, первые теперь занимаются киберпреступлениями, а Служба безопасности - контрразведывательной защитой и сопровождением. В составе СБУ действует специализированный департамент, он больше занимается организационными вопросами, связанными с людьми, а департамент кибербезопасности - техническими аспектами.

В любом случае Стратегия кибербезопасности принята. На очереди - план мероприятий на 2016 год по ее реализации и "Закон о кибербезопасности", которого с замиранием сердца ждет телеком-общественность. Остается только надеяться, что перед их принятием правительство наконец-то обратит внимание на "глас народа" и обсудит текст с представителями профильного сообщества.

А пока эксперты прогнозируют, что совсем скоро "под Стратегию" госорганы начнут активно "протягивать" нужные им законопроекты. Судя по ответу Госспецсвязи на последний запрос InternetUA - небезосновательно.

Ситуация, сложившаяся в последние годы в IT-секторе, когда в любую компанию могут заявится люди в погонах и безнаказанно уничтожить легальный и законопослушный бизнес, не только не нормализуется, но и как видно из реакции силовиков имеет тенденцию к ухудшению. Одно непонятно - когда этот бизнес будет частично выведен за рубеж, а частично уничтожен - кто будет платить налоги на содержание репрессивного госаппарата?