В Україні набрав чинності новий Порядок обміну інформацією про кіберінциденти

Дмитро Сизов
В Україні набрав чинності новий Порядок обміну інформацією про кіберінциденти

В Україні набрав чинності новий Порядок обміну інформацією про кіберінциденти, кібератаки та кіберзагрози, який деталізує, як саме державні органи, оператори критичної інфраструктури та інші суб'єкти мають взаємодіяти під час виявлення та реагування на кіберзагрози.

Документ є одним із практичних елементів реалізації Національного плану реагування на кіберінциденти та спрямований на прискорення обміну інформацією між усіма учасниками національної системи кібербезпеки.

Кого стосуються нові правила

Порядок поширюється на:

  • основних суб'єктів національної системи кібербезпеки;
  • суб'єктів системи реагування на кіберінциденти;
  • органи державної влади та місцевого самоврядування;
  • операторів критичної інфраструктури;
  • власників і розпорядників об'єктів критичної інформаційної інфраструктури;
  • інших суб'єктів, які відповідно до законодавства залучаються до забезпечення кібербезпеки.

Тобто документ охоплює практично всіх учасників, які можуть бути залучені до реагування на масштабні кіберінциденти.

Як здійснюватиметься обмін інформацією

Порядок визначає декілька офіційних каналів обміну інформацією:

  • спеціалізовану платформу обміну інформацією про кіберінциденти;
  • електронну пошту із використанням криптографічних ключів OpenPGP;
  • телефонний зв'язок або месенджери — якщо інші засоби тимчасово недоступні.

При цьому інформація з обмеженим доступом має передаватися виключно з дотриманням вимог законодавства щодо її захисту.

Якою інформацією обмінюватимуться

Новий порядок передбачає передачу не лише повідомлень про самі кіберінциденти.

Обмін охоплюватиме:

  • повідомлення про кіберінциденти, кібератаки та кіберзагрози;
  • інформацію про події кібербезпеки;
  • індикатори компрометації (IoC);
  • тактики, техніки та процедури (TTP), які використовують зловмисники;
  • інформацію про вразливості;
  • оцінки ризиків;
  • звіти про реагування;
  • рекомендації щодо ліквідації наслідків та запобігання повторним атакам.

Фактично формується єдиний інформаційний простір для оперативного реагування на кіберзагрози.

MISP стає одним із ключових інструментів

Документ офіційно передбачає використання платформи Malware Information Sharing Platform and Threat Sharing (MISP) для обміну індикаторами кіберзагроз.

Передбачено декілька способів взаємодії:

  • через вебінтерфейс;
  • шляхом інтеграції кількох платформ MISP;
  • інтеграції із засобами кіберзахисту;
  • використання API для автоматизованого обміну.

Це дозволяє максимально швидко поширювати інформацію про нові загрози між учасниками системи.

Автоматизація обміну

Окремо передбачена можливість автоматизованого обміну інформацією між суб'єктами.

Якщо сторони мають необхідні технічні можливості, вони можуть налаштовувати автоматичну передачу даних у структурованих машинозчитуваних форматах. Це значно скорочує час між виявленням загрози та інформуванням інших учасників.

Нові організаційні обов'язки

Суб'єкти, на яких поширюється Порядок, повинні:

  • приєднатися до платформи обміну інформацією;
  • створити службову електронну адресу у власному домені;
  • використовувати криптографічний ключ OpenPGP;
  • визначити відповідальних осіб за обмін інформацією;
  • підтримувати актуальність контактної інформації.

Це означає, що питання організації процесів кібербезпеки тепер набуває не лише технічного, а й адміністративного значення.

Конфіденційність інформації

Важливо, що документ встановлює чітке правило щодо розголошення інформації про кіберінциденти.

Поширення технічних деталей можливе лише за погодженням із власником або розпорядником відповідної системи та з урахуванням вимог законодавства про інформацію, доступ до публічної інформації та захист інформації з обмеженим доступом.

Що це означає на практиці

Новий Порядок формує єдині правила взаємодії всіх учасників системи кібербезпеки України. Він стандартизує процес повідомлення про кіберінциденти, визначає офіційні канали обміну інформацією, закріплює використання сучасних платформ на кшталт MISP та створює передумови для автоматизованого обміну даними про кіберзагрози.

Для операторів критичної інфраструктури та державних органів це означає необхідність перевірити власні процедури реагування, визначити відповідальних осіб, забезпечити використання OpenPGP та готовність до роботи в єдиній системі обміну інформацією. Саме швидкість і повнота такого обміну дедалі більше визначатимуть ефективність реагування на сучасні кібератаки.