Іван Пєтухов: ВР руйнує систему кібербезпеки в Україні через комерційні інтереси
Важко переоцінити роль кібербезпеки в сучасному світі смартфонів і штучного інтелекту, але так сталося що з кінця 2019 року наша країна жила в парадигмі того що «роль кібербезпеки трохи перебільшена», але буремні події широкомасштабного наступу рфії повинні були поставити це питання з голови на ноги. Тому коли з’явився профільний законопроект №8087 від депутата “Слуги народу” Олександра Федієнка, якій впевнено стверджував що він «революційний», професійна спільнота майже не звернула на нього увагу, хоча дарма.
При детальному вивченні норм законопроекту стає зрозуміло, що він дійсно «революційний», оскільки не тільки руйнує існуючу систему кібербезпеки в країні, а й затягує нас до запозичення норм рашизму, але пройдемося по його головним “новаціям”.
По-перше, законопроект (ЗП) 8087 зовсім не відповідає кращим світовим і Європейським практикам з кібербезпеки, про що стверджує його автор, ба більше він повністю йде в розріз з тим, як його позиціонують громадськості. Головна парадигма ЗП, це створення на базі Держспецзвязку (ДСС ЗЗІ) потужного над-органу, що замикає на собі усі процеси, усі інформаційні потоки, усі рішення у сфері кібербезпеки, а всі інші (бізнес, органи влади та й МОУ з ЗСУ разом) беззаперечно виконують рішення і вказівки цього органу. Не вистачає тільки одного — це захисту інформації в інформаційних системах державних органах, за що також тоді має відповідати ДССЗЗІ, а не керівники державних органів, об’єктів критичної інфраструктури, чи невеличкі компанії з базами персональних даних. Цілком логічно, що б за таких умов керівництво ДССЗЗІ несло і персональну відповідальність за всю кібербезпеку в Україні, але само цього авторами ЗП 8087 й не було передбачено, тому це створює надвисокі корупційні ризики. Але, а ні замовників, а ні автора ЗП 8087 це зовсім не хвилює, скоріш за все за цим стоять суто комерційні інтереси де вони мріють нав'язувати усім що й у кого купляти, точніше лобіювати конкретних вендорів та конкретних постачальників послуг, та й ще контролювати як виконуються їх вказівки, та жорстко наказувати тих хто ослухався цидулок, звісно за умови жодної відповідальності за кінцевий підсумок! Тому у разі потужної кібератаки відмовлять мережі, крім стрілочника відповідати буде нікому, нічого особистого тільки бізнес “пристосуванців у владі”.
На жаль активна частина бізнесу ще до кінця ще незрозуміла чим череваті ці зміни в законодавстві, бо ЗП 8087 стосується усіх хто обробляє конфіденційну інформацію куди відносяться і персональні дані.
Ніхто не звертає увагу, як «технічно» вносяться зміни до ЗУ «Про основні засади забезпечення кібербезпеки» і дія вказаного ЗУ, яка раніше не розповсюджувалася на (цитую з Закону що діє):
“2. Цей Закон (Про основні засади забезпечення кібербезпеки) не поширюється на:
1) відносини та послуги, пов'язані із змістом інформації, що передається (обробляється, зберігається) в системах електронних комунікацій та/або в системах управління технологічними процесами;
2) діяльність, пов'язану із захистом інформації, що становить державну таємницю, комунікаційні та технологічні системи, призначені для її оброблення;
3) соціальні мережі, приватні електронні інформаційні ресурси в мережі Інтернет (включаючи блог-платформи, відеохостинги, інші веб-ресурси), якщо такі інформаційні ресурси не містять інформацію, необхідність захисту якої встановлена законом, відносини та послуги, пов'язані із функціонуванням таких мереж і ресурсів;”
У разі прийняття цього ЗП 8087 усі ці сфери вже підпадають під «обов'язковий кіберзахист» від Держспецзвязку, одним рухом весь бізнес підпадає під вимоги з кіберзахисту, які встановлює ДССЗЗІ. Це так в Європі кажете? А от ніт – такого там немає.
Після того як депутат Федієнко послався на своєї сторінці у ФБ на норми NIS2 Directive і не тільки, ось цитата: “ Чотири документи, які поки лише частково враховані в 8087: NIS2 Directive, Cybersecurity Act, Digital Operational Resilience Act та Cyber Resilience Act.”.
Я був змушений вивчити цей документ, що набуває чинності 18 жовтня 2024 року, а не зараз, та якій до речі було прийнято у грудні 2022 року, а сам законопроект 8087 було подано в вересні 22р., тому зовсім незрозуміло звідки він (Федієнко) його до цього бачив і міг врахувати? Ба більше, там є конкретні застереження до малих підприємств, мікропідприємств і оборонного сектору, по яких повинні бути враховані норми країн-учасниць ЄС що повинні врахувати в національному законодавстві норми NIS2 Directive.
А щодо того, що «діяльність, пов'язану із захистом інформації, що становить державну таємницю, комунікаційні та технологічні системи, призначені для її оброблення» - це також кіберпростір – це взагалі нонсенс. Інформація яка складає державну таємницю циркулює у закритих мережах не пов'язаних з кіберпростором.
І при цьому, ніхто не звертає уваги на те, що завдяки ЗП 8087 будуть існувати дві паралельні сфери захисту інформації: технічний захист інформації та кіберзахист. Між ними де-факти не буде ніякої різниці.
Це що - різні вітки ДССЗЗІ «ділять» ринок між собою? А як же здоровий глузд?
Ніхто не звертає уваги на те, що СБУ буде відносити до державної таємниці інформацію про організацію, стан, плани та заходи з кібербезпеки.
Виникає питання — нащо? Комусь кортить, щоб ніхто не знав як атакують ворожі хакери українські державні органи і за умови таємничості як в рфії країна перетворилася на непрофесійний оркостан? Чи є бажання як за часи Януковича знов проводити державні закупівлі по секретній процедурі?
В принципі враховуючи те, що цим законопроектом і інформацію щодо кіберінцидентів планують віднести до інформації з обмеженим доступом і ДСС ЗІІ буде встановлювати не тільки правила обміну цією інформацією, а ще і будувати окрему систему (за які кошти? з державного бюджету чи від партнерів?), коло замикається — ніхто без дозволу ДССЗЗІ зробити цього не зможе - навіть партнерів повідомити про індикатор компрометації без дозволу ДССЗЗІ навряд чи буде дозволено. Де прописана у NIS2 Directive міжнародна взаємодія чи державно-приватне партнерство?
Дивиться сами, це цитати з норм законопроекту 8087:
“Інформація про інцидент кібербезпеки, кібератаку щодо інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, об'єктів критичної інформаційної інфраструктури є інформацією з обмеженим доступом, крім випадків, якщо порядком обміну такою інформацією або на підставі інших вимог законодавства передбачається обов'язок щодо її розкриття з визначеною метою”.
Як будемо обмінюватися індикаторами компрометації? Невже – ДСС ЗЗЗІ побудує за величезні кошти окрему систему обміну інформацією і це буде відбуватися тільки там?!
Далі, йдемо і дивимося по законопроекту:
“В Україні створюється та забезпечується функціонування національної системи обміну інформацією про інциденти кібербезпеки, кібератаки, кіберзагрози щодо інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, об'єктів критичної інформаційної інфраструктури; Уповноваженим органом, що здійснює забезпечення функціонування національної системи обміну інформацією про інциденти кібербезпеки, кібератаки, кіберзагрози є Державна служба спеціального зв'язку та захисту інформації України”.
А правоохоронцям чи по взаємодії тільки «національний CERT» має право на: «взаємодії у встановленому порядку з правоохоронними, розвідувальними та контррозвідувальними органами, суб'єктами оперативно-розшукової діяльності в межах, необхідних для виконання ними повноважень, встановлених законом».
Коло замкнулося, ніяка інформація про кіберінциденти за обмежене ДССЗЗІ коло не вийде, а за її розголошення передбачена відповідальність.
І ще стосовно засекречування: а що буде робити СБУ в кіберрозвідці та кіберобороні? Нащо їх обтяжувати невласними функціями? Це сфери діяльності МОУ та ГШ і розвідувальних органів, в розвинених країнах це свята святих, як й до речі в нормах NIS2 Directive це також передбачено для сфери національної безпеки. Чи хтось вважає що там не має державних експертів з питань таємниць? Чи ми забули ти скандали що відбувалися в минулому році?
Ще дуже епічна новація ЗП 8087: «Інформація, що становить державну таємницю, повинна озвучуватися на об’єкті інформаційної діяльності із застосуванням комплексу технічного захисту інформації з підтвердженою відповідністю». Це що вітання ЗСУ від ФСБ, що в сівій час поглинуло ФАПСІ?! Як військові будуть будувати і головне атестувати системи захисту у польових умовах? Тобто ви хочете повністю покласти усі системи бойового управління?
Ну і ще щодо деяких вищенаведених «найкращих практик» порівняно з дійсно прийнятими в ЄС та США підходами:
1) Виконавчі та контролюючі функції - не можуть поєднуватися ВЗАГАЛІ НІКОЛИ та ЗОВСІМ. Поєднання цих пунктів створює величезний простір для саботажу і корупції, яким неможливо буде протидіяти. Функції стандартизації також відокремлюють в окремі структури, через методологічні особливості цієї діяльності. Зокрема, у США US-CERT не замінює наявні в органах чи установах команди реагування; скоріше, команда посилює зусилля федеральної влади, виступаючи в ролі координаційного центру для боротьби з інцидентами. А не контролює.
2) Робота за специфічними напрямами потребує знання відповідної специфіки. У результаті експертиза розпорошується по кількох точках, а в центрі концентрує надто багато інформації. Перше, цілком контрпродуктивно, а друге - доводі небезпечно. Саме тому у країнах ЄС, США та Великоїй Британії так не роблять.
Директива (ЄС) 2022/2555 (ст.10, 11) передбачає, що кожна держава-член призначає або засновує одну або більше групи реагування на інциденти комп’ютерної безпеки CSIRT, CSIRT (NIS2 Directive це також успадковує) можуть бути призначені або створені в рамках компетентного органу.
Відповідно до правил FIRST (Форум команд реагування на інциденти та безпеки. за правилами якої організується робота національних команд реагування на кіберзагрози якщо є мета приймати участь у цьому об’єднанні) (https://www.first.org/standards/frameworks/csirts/csirt_services_framework_v ) – п.2.1 - секція 6.1.2, каже, що процес в 6.1.2, що визначає реакцію CSIRT, має базуватись на принципі: «Особливо важливо, чи має він реальний вплив інформаційної безпеки на об'єкт і може призвести (або вже призвів) до шкоди» (It is of particular importance whether it has a real information security impact on the target and can result (or has already resulted) in damage).
Крім того, виключення треба робити не тільки в тому, кому делегувати повноваження, а й в тому, щодо яких об'єктів, і виділяти все військове в окремий клас. CERT має за таксонометрію ризику «сценарії відмов» (failure scenarios), а у цивільних з військовими вони зобов'язані бути різними. Таким чином, ДССЗЗІ не може оцінювати ВПЛИВ на всі без виключення системи (енергетичні, банківські, тем більше військові), а має бути спеціалізація і спеціалізованим командам реагування не потрібно «делегувати повноваження» від ДССЗЗІ.
3) Інформація про інциденти. Стандарти NIST дотримуються чинного Федерального закону США про управління інформаційною безпекою (FISMA, 2002 рік), який зобов'язує інформувати операторів інформаційних систем, держоргани та підприємства про інциденти. Обмеження вводяться тільки на ту частину інформації, яка може ідентифікувати конкретну особу (Меморандум OMB M-07-16).
Стандарт NIST (SP) 800-61 у п.2.3.4 безпосередньо зазначає:
«Організаціям часто потрібно комунікувати зі сторонніми особами / третіми сторонами щодо інциденту, і у відповідних випадках вони повинні це робити, наприклад звертатися до правоохоронних органів, надсилати запити ЗМІ та залучати сторонніх спеціалістів. Є й інший приклад: обговорення інцидентів з іншими причетними сторонами, зокрема з інтернет- провайдерами (ISP), постачальниками вразливого програмного забезпечення або іншими командами реагування на інциденти.
Організаціям часто потрібно комунікувати зі сторонніми особами / третіми сторонами щодо інциденту, і у відповідних випадках вони повинні це робити, наприклад звертатися до правоохоронних органів, надсилати запити ЗМІ та залучати сторонніх спеціалістів. Ще один приклад: обговорення інцидентів з іншими причетними сторонами, зокрема з інтернет- провайдерами (ISP), постачальниками вразливого програмного забезпечення або іншими командами реагування на інциденти.
Організаціям часто потрібно комунікувати зі сторонніми особами / третіми сторонами щодо інциденту, і у відповідних випадках вони повинні це робити, наприклад звертатися до правоохоронних органів, надсилати запити ЗМІ та залучати сторонніх спеціалістів. Є й інший приклад: обговорення інцидентів з іншими причетними сторонами, зокрема з інтернет- провайдерами (ISP), постачальниками вразливого програмного забезпечення або іншими командами реагування на інциденти.»
Також п.4.2 того ж стандарту: «Обмін інформацією – це визначальний елемент для забезпечення координації між організаціями. Навіть у малих організацій має бути можливість обмінюватись інформацією щодо інцидентів із колегами та партнерами, щоб ефективно боротися з багатьма інцидентами».
Висновок: чому цей ЗП 8087, що зачіпає абсолютно усі сфери життєдіяльності та як державні органи так і приватні структури не виноситься на громадське обговорення? Які іноземні експерти схвально про нього висловилися? — будь ласка, в студію!
Чому він взагалі писався у повній таємниці і світ його побачив лише після реєстрації?
До речі, Директиви NIS2 обговорювалися всіма стейкхолдерами 12 тижнів, і вводиться він з урахуванням суттевих умов для кожної країни ЄС.
Вважаю, що конче необхідно залучити фахові європейські структури до його аналізу та провести громадські слухання з урахуванням всіх зацікавлених вітчизняних експертів, нам не потрібен цифровий ГУЛАГ чи аналог ФСБ.
А взагалі – кому цікаво, загуглить «ГосСОПКА», це рашистська система в складі ФСБ, тому подивиться уважно на ЗП 8087 – він вам нічого не нагадує?....
Від редактора:
ГосСОПКА - державна система виявлення, запобігання та ліквідації наслідків комп'ютерних атак на інформаційні ресурси Російської Федерації, створювана на підставі Указу Президента РФ Путіна №31с від 15.01.2013.
За функціонування відповідає ФСБ. НКЦКМ уповноважений здійснювати внутрішньоросійську та міжнародну взаємодію з питань реагування на комп'ютерні інциденти, до яких залучені російські інформаційні ресурси.