Кибербезопасность в Украине: наличие отсутствия

Тема безопасности стала ключевой на 8-м Украинском форуме по управлению Интернетом IGF-UA. Практически каждая секция форума тем или иным образом касалась вопросов безопасности в целом и кибербезопасности в частности.

– Сегодня, когда страна находиться в состоянии необъявленной войны, кибервойны, мы, хотим этого или нет, как общество, сталкиваемся с этим. Я считаю, что одной из главных составляющих противодействия киберугрозе является сознательное общество, – отметил во время вступительного слова Глава Правления Интернет Ассоциации Украины Александр Федиенко.

Ожидаемо, что самой многолюдной и, пожалуй, самой дискуссионной стала первая секция форума – «Кибербезопасность», где рассматривали три вопроса: «Есть ли система кибербезопасности в Украине?», «Антивирус против Endpoint protection: борьба за рынок. Что дальше?» и «Высшее киберборазование в Украине».

Самые горячие споры вызвал первый вопрос секции.

Кибербезопасность, которой нет

Выводы, которые зачитал в конце форума IGF-UA модератор секции «Кибербезопасность», Глава Комиссии по вопросам науки и IТ УСПП Иван Петухов (на фото), понравились далеко не всем.

На резолюцию форума секция вынесла следующие пункты:

– В Украине очень низкий уровень подготовки законов и нормативно-правовых актов касательно кибербезопасности. В кабинетах власти не слышат других участников процесса и создают несистемный и некачественный законодательный продукт.

– Отсутствует координация в области кибербезопасности Украины, поэтому есть необходимость создания нового органа по вопросу координации мер кибербезопасности.

– Отсутствует государственно-частное партнерство в сфере кибербезопасности страны.

– Не смотря на состояние войны, в котором находится государство, специалисты государственных органов власти не имеют достаточной компетенции в сфере кибербезопасности и не понимают что нужно делать в этих условиях.  

– Как вывод: в Украине отсутствует система кибербезопасности, – резюмировал Иван Петухов.

Недовольны выводами оказались  в Госспецсвязи. Представитель этого ведомства, Даниил Мялковский назвал озвученные итоги работы секции «домашней заготовкой» и поинтересовался «целевой функцией такой резолюции». 

InternetUA присутствовал на секции «Кибербезопасность» 8-го Украинского форума по управлению Интернетом IGF-UA и узнал, откуда же появились такие выводы.

«Новое украинское колесо»

Говорит один из спикеров форума, исполнительный директор Комиссии по науке и информационным технологиям Олег Гусев. –  Ещё лет 5 назад даже в узком кругу специалистов законодательство Украины в вопросах кибербезопасности практически не обсуждалось. При этом Конвенция кибербезопасности государством была одобрена, но до этого времени не внедрена. 

Гусев отметил, что только после вражеской агрессии на Украины, то есть, только с 2014 года, после того как элементы кибервойны развернулись в атаки против нашего киберпространства, в государственных кабинетах, заговорили о том, что нужно что-то делать.

– Первое, что у нас появилось, – это Стратегия. Которая, кстати, до сих пор не легитимизована в Украине. Документ, которым попробуют её легитимизовать, –  это Закон «Об основных засадах…», заключительными положениями которого прописано, что Стратегия становится одним из документов национальной безопасности Украины, – объясняет Гусев.

– Мы достаточно долго работаем с экспертами Совета Европы, которые пытаются, за что им спасибо, внести предложения и рекомендации об имплементации в законодательство Украины Киберконвенции. При этом, те проекты, которые появляются, – это «новое украинское колесо», а не то, что предлагают эксперты. Это, по моему мнению, совсем не то, что необходимо украинскому обществу, – считает Олег Гусев. 

Есть ли система в отсутствии системы?

Задал вопрос участникам форума глава совета ОО «Украинская группа информационной безопасности» Константин Корсун и сразу же дал ответ.

– Не существует никакой системы вообще. Но мы, наверное, собрались здесь не для того, чтобы констатировать какие-то очевидные вещи. Поэтому, немного о том, что сейчас есть. Есть Госпспецсвязи, у которого есть CERT-UA, полномочия, занимается лицензированием и многими аспектами, которые имеют непосредственное отношение к кибербезопасности. Есть Киберполиция, которая расследует преступления, определенные 16 разделом Криминального кодекса Украины. Есть СБУ, которая, согласно Криминально-процессуального кодекса, вообще не имеет права ничего расследовать, но она выполняет серьезные задачи в сфере контрразведки, противодействия терроризму, другие специфичные задачи. И есть СНБО, которое вроде бы координирует это всё. Но на сегодня системы никакой нет, ведь каждый из этих четырех основных игроков, по сути, работает «на себя». 

Выход, считает Константин Корсун, – в создании нового обособленного государственного органа, занимающегося вопросами кибербезопасности. По мнению эксперта, новый орган должен создаваться по принципу Антикоррупционного бюро: прозрачный конкурс на должности, прозрачное финансирование и механизмы работы, межправительственные связи, необходимые полномочия и, соответственно, специальный закон.

Тезисы о том, что СБУ не должна так «перетягивать на себя одеяло» в вопросах кибербезопасности, не понравились представителю СБУ, принимавшему участие в форуме.

– В мире как раз кибертерроризм как новый вид терроризма все больше набирает оборотов, и именно Служба безопасности должна заниматься этим вопросом. Если взять недавние случаи кибердиверсий и кибертерроризма (это атаки на объекты энергетики в Украине, вирус Petya, центрифуги в  Иране и т.д.) то, на мой взгляд, это очень важный вопрос и отстранять от его решения Службу безопасности с её возможностями – не очень полезно, – заявил представитель СБУ, на что получил вполне аргументированный ответ о том, что СБУ не должна координировать всю кибербезопасность страны, но должна, безусловно, быть вовлечена в процесс.

У представителя СБУ нашлись и контраргументы по поводу отсутствия специалистов с кибербезопасности в госструктурах:

– Сколько в среднем сейчас получает высококвалифицированный специалист и сколько он может получать на государственной службе? – задал риторический вопрос представитель Службы безопасности страны.

Достучаться к «лбам»

Как оказалось, инструментов и влияния на законодателя у общественности практически нет.

– Влияния нет, инструментов тоже нет, – заявил Константин Корсун. – Наша общественная организация имеет представителей в общественных советах при Госспецсвязи и Агентстве по вопросам е-правительства. Инструмента влияния на Верховную Раду на то, что пишется в проектах законов – не имеем. Это если кратко. Возьмем к примеру Конвенцию по киберпреступности. Она подписана Украиной в 2001 году, ратифицирована парламентом в 2004–2005 году, но до сих пор не имплементирована.  Эти понятия, определения, которые там содержаться, должны были согласовываться с украинским законодательством, но этого до сих пор не случилось. Возможно, сама Конвенция уже устарела…

В то же время Глава Комиссии по вопросам науки и IТ УСПП Иван Петухов отметил, что УСПП уже почти 15 лет сотрудничает в Верховной Радой.

– Мы «нажимаем» теми путями, которые у нас есть, на смену законодательства, на принятие тех или иных постановлений. Не всегда на прямой вопрос можно получить прямой ответ. Иногда собирается сообщество и, скажем так, благодаря социальным технологиям, общению, это всё попадает к народным депутатам, – рассказал Иван Михайлович.

Поддержал Ивана Петухова и Александр Федиенко:

– Я уверен, что мы сможем достучаться к тем «лбам», которые находятся в Верховной Раде. Для того, чтобы они услышали общественность. У нас общественная организация, я не получаю зарплату, но в этих комитетах (ВР – Ред.) бываю чаще, чем некоторые депутаты, –  сказал Александр Павлович. – Мы постоянно работаем. Мы лоббируем законы, сотрудничаем… Мы тоннами пишем эти письма – у нас уже бумагу, как говорят, грузовиками подвозят, но, к сожалению, политикум нас не слышит. Мы выбрали тех, кто вообще нас не слышит. Они делают всё, чтобы уничтожить вообще интернет в этой стране и в дальнейшем контролировать сеть, но мы всё-таки объемся своего.

Спикер секции «Кибербезопасность» Олег Гусев подытожил: единой государственной политики в сфере кибербезопасности нет. Более того, чиновники довольно часто формально подходят к этому вопросу. Зачастую, формально, подходят к выполнению своих обязанностей не только чиновники, но и силовики, добавляет Иван Петухов.

– Какая реакция Службы безопасности и МВД на те инциденты, которые происходят с инфраструктурой до сегодняшнего дня? У нас было уничтожено большое количество кабелей связи, произошло много инцидентов. Один из них – накануне президентских выборов был выжжен 300-метровый коллектор с кабелями связи, соединявший телевизионную антенну и главный центр, откуда идут телевизионные каналы. Присутствующие здесь мужественно помогали решать этот вопрос государству, – рассказал Иван Петухов. – Так вот. От одной из служб (я не буду уточнять от какой) мы получили ответ:  пожар коллектора – это проблемы коммунальщиков Шевченковского района, то есть ЖЭКа… Одно из последних полученных нами писем по этому поводу, за подписью руководителя одного из подразделений департамента кибербезопасности СБУ, говорит о том, что этот инцидент – не их сфера деятельности, и голова должна болеть в Нацполиции. У нас ни один киберинцидент не был признан на уровне теракта, когда в стране идет война.   

Смягчат ли формулировки

На данный момент официально результаты Восьмого Украинского форума по управлению Интернетом IGF-UA ещё официально не оглашены. Неизвестно, смягчат ли характеристику кибербезопасности Украины с «нет» на «не совсем нет», но то, что дальше кибербезопасность страны в таком состоянии находиться не может – согласны практически все участники форума.