Киберфронт в Украине: иллюзия спокойствия

Анатолий Дробаха, экс-гендиректор «Укрспецсвязи», для "Хвилі"

хакер киберпреступник интернет компьютер

Революция и военные события на Востоке Украины толкнули государство навстречу долго откладываемой трансформации. Более 20 лет страна и общество жили вне оборонно-военного контекста, постепенно сдавая национальные интересы: Будапештский меморандум, Черноморский флот, внеблоковый статус.

Перманентные смены внешнего политического вектора всегда сопровождались надеждой на помощь со стороны партнеров, будь то Российская Федерация или Запад в обличии НАТО. Война заставила власть пересмотреть свои позиции по вопросам безопасности, однако о комплексном понимании проблемы защиты государства говорить нельзя.

В начале этого года Совет национальной безопасности и обороны в срочном порядке принял Национальную стратегию кибербезопасности. Этот шаг, как и многие другие в сфере обороны, стал реактивным. Принятие стратегического документа увенчало ряд многоуровневых атак на украинские облэнерго, а также попыток атаковать коммуникационные узлы государства: аэропорты и общенациональные телеканалы. Как выяснилось позже, вирус, открывший возможности для мощного киберудара со стороны группы российских хакеров, был внедрен в информационные системы соответствующих структур годом ранее. Атака была тщательно спланирована и позволила идентифицировать еще одну серьезную брешь в системе безопасности Украины.

Новейшие вызовы

Процессы глобализации и все большей интеграции информационных технологий в жизнь каждого гражданина, общества и страны, привели к появлению угроз новой генерации. Если явная война выражается во взрывах и обстрелах, то неявная, кибервойна – в поражении инфраструктуры и параличе экономики. На данный момент, когда в информационных системах происходит не просто передача почтовых сообщений, а реальная телеметрия и управление объектами, критически важными для жизнедеятельности страны, относиться к этому вопросу так, как буквально несколько лет назад нельзя. Современная повестка дня требует повышенного внимания и грамотного менеджмента для устранения ключевых угроз в этом секторе. И начинать стоит, традиционно, со смены философии обеспечения информационной безопасности государства.

Долгие годы после обретения независимости, украинские спецслужбы жили в рамках советской парадигмы их функционирования. Главной задачей Службы безопасности и других силовых структур была защита не столько страны в целом, сколько охрана государства и тех, кто стоял у его руля, а также государственной информации. Бюджет, стоит отметить, выделялся соответствующий – ни о каком финансировании новейших разработок, исследований или внедрении новых технологий речь не шла. Если же финансовые вливания и увеличивались, то не для инновационных проектов, а для выстраивания вертикали полицейского государства, как это было во времена режима Януковича.

Из заявленных в бюджете средств на обеспечение информационной безопасности, соответствующие службы получали не больше 20%. Этого хватало ровно для того, чтобы исполнять свой рудиментарный долг по защите каналов государственной связи. О каких-либо других полномочиях, вроде защиты таких объектов инфраструктуры как облэнерго, никто не думал. Де-юре, также, существовала и программа по финансированию разработки украинского программного обеспечения. Однако, де-факто, она зависела от тактических решений сменяющих друг друга государственных лидеров. Программу то активизировали, то тихо забывали о ней. Причины находились разные: одни твердили, что дешевле купить иностранный софт, другие придерживались позиции, что необходимо разработать свой продукт, но денег на него не хватало.
Принятие стратегии кибербезопасности и дальнейшее одобрение закона о кибербезопасности должно не просто обезопасить страну и защитить ее от ряда новейших угроз, но и преломить постсовковую модель работы спецслужб. Конечно, это станет возможным при наличии политической воли и комплексной визии будущего развития страны.

Одной из краеугольных, должна стать норма и об обеспечении безопасности критической инфраструктуры – объектов, без которых государство будет нежизнеспособно. Критическая инфраструктура страны – это все системы, от которых зависит политическое, экономическое и социальное благосостояние граждан. То есть, это все системы, обеспечивающие жизнедеятельность страны: от крупных агрохолдингов до дамб и военных объектов, от госпиталей до телеканалов и мобильной связи, от электростанций до интернет-коммуникаций. Политическому менеджменту предстоит решить в рамках какой системы координат развивать кибернетическую безопасность, и что ставить во главу угла: безопасность лишь государства как набора институций и уполномоченных лиц, или всей страны и ее граждан.
Западный подход к киберобороне явно свидетельствует, что решение должно быть принято в пользу второго. К примеру, в США объекты критической инфраструктуры поделены на 16 ключевых категорий: химическая отрасль, коммерческие услуги, коммуникации, критическое производство, плотины, оборонная индустрия, службы помощи, энергетическая отрасль, финансовые службы, продовольственный и агросектор, государственные услуги, больницы, информационные технологии, ядерные реакторы, отходы и материалы, транспортные и водные системы.

Новая философия спецслужб

Согласно проекту закона о кибербезопасности, перечень объектов критической инфраструктуры должен будет определить Кабинет министров Украины. На данный момент, никаких предварительных разработок у правительства нет, более того, отсутствует сам подход к формированию критериев для составления такого списка. Наряду с уничтожением армии и полной деградацией военно-оборонного комплекса, велась и ползущая война против безопасности информационных систем. Финансирование на защиту госпредприятий, таких как железная дорога, аэропорты, энергетические станции, не выделялось. Кроме того, власти придется столкнуться с непростой дилеммой, а именно: включать в этот список или нет объекты, которые находятся не в государственной собственности. Если решение будет положительным, государство возьмет на себя обязанность обезопасить автоматизированные системы управления каждого из таких предприятий, что потребует немалых средств.

Если защита государственных информационных систем уже имеет четко выписанные механизмы, то взаимодействие бизнеса и власти в этой сфере потребует разработки новых методик. Иллюзию, что частных предпринимателей можно заставить заняться вопросом кибернетической безопасности за свой счет стоит отбросить сразу. Вопрос можно урегулировать в принудительном порядке, ужесточив условия лицензирования и прописав соответствующую норму как обязательную. Но эффективность такого подхода едва ли будет высокой и может негативно отобразиться на экономических показателях. В конечном итоге это приведет к увеличению стоимости товаров и услуг, а значит гражданам и бизнесу придется платить дважды: не только налоги на защиту государства, но и скрытый налог на кибербезопасность. К тому же, взятая государством линия на разгосударствление указывает на то, что сотрудничества с частными компаниями избежать невозможно.

Уже сейчас в руках частных лиц находится вся коммуникация: фиксированная мобильная и телефонная связь. То есть, управление первичными сетями государства – кабельными линиями связи, порядком их соединения, передачей по ним информации. Например, «Укртелеком» является незаменимым элементом инфраструктуры, хоть и находится в частных руках. Государство может влиять на него только через нормы закона о приватизации и лицензировании. Такая же история с интернет-провайдерами – все они частные. Точки обмена трафика закреплены либо за интернет-сообществами, то есть, общественными организациями, либо за частными компаниями. В один прекрасный момент эти точки доступа могут подвергнуться атаке, и страна останется без интернета. Более того, в частной собственности находятся и энергораспределительные компании. Энергодобывающие объекты принадлежат государству, но распределение и все энергетические коммуникации принадлежат частным лицам, в том числе и гражданам России.

До тех пор, пока Кабмин не предоставит список объектов критической инфраструктуры и концепцию их защиты, любое выделение средств на обеспечение информационной безопасности государства будет профанацией. Нужно понимать, на что будут истрачены государственные деньги: на защиту государственных информационных ресурсов и информации, либо на защиту инфраструктуры. Поскольку рассчитывать на выделение 5% национального бюджета, как на военную оборону, для решения вопросов киберзащиты не приходится, могут быть рассмотрены альтернативные варианты. Правительство должно создать условия если не для полной защиты критических объектов, то контроля над инфраструктурой.

Война интеллектов

Немаловажным вопросом, с которым столкнется государственный менеджмент – поиск оптимальной управленческой организационной структуры и подготовленных кадров. Подобная модернизация требует времени, вливания немалых средств и соответствующего кадрового потенциала. К тому же, создание такой структуры сопряжено с рядом рисков: гарантии, что полученный результат будет отвечать запросам государства, нет. Система киберзащиты, без наступательной модернизации очень сильно деградирует. И происходит это не столько из-за низкого уровня менеджмента, а, в первую очередь, из-за того, что информационные системы очень быстро развиваются и создание систем защиты не успевает за ними.
Самым простым выходом из ситуации может казаться использование иностранных средств защиты — криптографические продукты, средства хранения и обработки данных, другие. Но это влечет за собой огромные риски. Такой шаг равносилен передаче управления над всем государства. Скажем, если бы вместо национальной армии, мы завели в зону АТО военных другой страны: они в любой момент могут оставить боевые позиции или же забрать Донбасс себе, потому что он им приглянулся. Последствия такого решения непредсказуемы.

Актуален в данном контексте и вопрос человеческого ресурса – постулат: «Кадры решают все» не утратил значения. Потенциальных защитников критической инфраструктуры, солдат киберобороны, очень мало. В Украине ежегодно выпускается около 10 тыс. программистов, но людей, которые не просто имеют красивый диплом со сложным текстом, а реально умеют защищать информационные ресурсы и информационную инфраструктуру, в сотни раз меньше. Такие кадры готовят как в специальных, так и в военных и частных институтах, но их подготовка не выдерживает критики. Зачастую, ни уровень преподавания, ни имеющаяся в вузах техника и технологии не соответствуют современным требованиям. Многие преподаватели имеют знания и опыт применения средств защиты прошлого века. Чему они могут научить в условиях современной кибервойны выпускника средней школы — вопрос риторический.

Как и остальных сферах государственного управления, здесь можно поднимать вопрос заработной платы специалистов. Разница в оплате киберзащитника в погонах и в костюме служащего банка или страховой компании может отличаться в разы. Здесь нужно искать нетрадиционные подходы сотрудничества государства и бизнеса. Достаточно просто создать условия для последнего, и, затем, не мешать работать, прекратив экспорт профессионалов. Во-первых, специалисты заинтересованы в том, чтобы строить систему защиты информации для Украины, при этом получая дополнительные знания о самом современном инструментарии киберзащиты от западных специалистов. Во-вторых, многих профессионалов можно привлечь тем, что они смогут реализовывать свои знания и проекты в Украине, а не уезжать заграницу. Украина имеет огромный потенциал, в том числе, человеческий, нужно лишь правильно сформулировать задачи и выстроить процессы взаимовыгодного сотрудничества бизнеса и власти с привлечением средств под реализацию конкретных проектов. Кстати, некоторые проекты Запад уже готов оплатить и объявил о проведении конкурсов для получения грантов по реализации задач кибербезопасности.

Послесловие

Простого выхода из сложившейся сложной ситуации нет. Решение должно быть комплексным и комбинированным. Во-первых, пусть и небольшое количество негосударственных специалистов, которые работают в секторе кибербезопасности, есть. Сейчас они решают свои узкие коммерческие задачи: кто-то разрабатывает софт, кто-то строит комплексные системы защиты информации для госорганов, кто-то проводит госэкспертизу иностранных продуктов или защищает информацию в банках и иностранных компаниях. Задача политического менеджмента состоит в том, чтобы корректно заинтересовать этих людей работать под общим тематическим управлением, вооружив их новейшей техникой и инструментарием для выполнения поставленных задач.

Международное сообщество заинтересовано в том, чтобы Украина, как трансфертный узел между Европой и Азией развивала систему киберзащиты, в том числе, обороняла инфраструктуру и коммуникации. Правительство США уже выделяли 335 млн долларов на покупку «птуров» и беспилотников для Украины, потому, при правильно разработанной стратегии и скоординированном государственном подходе, они смогут выделить определенную сумму и для того, чтобы дать нам современные средства киберзащиты, поделиться методиками и провести инструктажи. Это должны быть такие же учения как те, что проходят на тренировочных базах под Львовом, так как у них общая цель – выстраивание полноценной системы защиты страны.

Есть у этой медали и оборотная сторона. В экспертном кругу уже несколько лет идет дискуссия о начале эпохи «Индустрия 4.0», или так называемого Интернета вещей. Игроки мирового рынка должны будут отвечать ряду новых требований и, в первую очередь, это будет касаться современных информационных технологий. Если у нас не будет защищенных коммуникаций, в страну никогда не придут инвестиции, инновации и другие блага развитых стран. И проблема не в том, что у нас коллекторы взрываются и нечистоты текут в речку, а поездки в украинскую глубинку возможны только на внедорожниках. Беда в том, что в Украине растворяется существующая и не создается новая инфраструктура для безопасного существования людей.

Вопрос киберзащиты – это вопрос выживания страны и возможности ее развития. Время сжимается, мир меняется и, если не предпринять нужные меры сейчас, через 3-5 лет мы не догоним эти процессы.

Автор —  специалист по безопасности информационных систем государства, советник Государственного агентства по вопросам электронного управления, экс-гендиректор «Укрспецсвязи»




Комментирование закрыто.