Блог | Решит ли задачи кибербезопасности страны Национальный координационный центр кибербезопасности?
На прошлой неделе произошло довольно важное событие с точки зрения усиления информационной безопасности страны: президент Украины подписал указ о Национальном координационном центре кибербезопасности (Центр), в котором детально определены задачи и специфика работы нового органа. Отметим, что Центр, во главе которого стал Александр Турчинов, появился только через полгода после принятия решения о его создании – 27 января 2016 года на заседании Совета национальной безопасности и обороны Украины. Вероятно, причиной задержки выполнения решения Совета является "перетягивание одеяла" между центрами силового влияния государства, заинтересованными в усилении своих, и ослаблением чужих позиций.
К созданию подобного Центра руководителей государства стимулировал ряд громких кибератак на государственные и приватные организации в прошлом году. Наиболее масштабные из них (известные под кодовым названием BlackEnergy), привели к отключению электроэнергии в западных областях на несколько часов. Не был безоблачным и 2014 год – стоит вспомнить хакерскую атаку на ЦИК, в ходе которой была произведена попытка удаления влияния на результаты выборов, а также мощные DDoS-атаки перед осенними парламентскими выборами. Анализ киберпространства Украины тогда показал, что самыми важными проблемами в сфере защиты являются уязвимость для киберпреступников критической ИТ-инфраструктуры информационных систем.
Предыстория появления Центра
Еще в апреле 2014 года было принято решение СНБО "О мерах по совершенствованию формирования и реализации государственной политики в сфере информационной безопасности Украины". Тогда же оговаривался проект Стратегии кибербезопасности и проект закона о кибернетической безопасности Украины. Наконец, 28 августа 2014 СНБО опубликовал решение "О неотложных мерах по защите Украины и укрепления ее обороноспособности", которым был создан Национальный центр киберзащиты и противодействия киберугрозами
Однако специалисты раскритиковали данное решение. Во-первых, к моменту его принятия не было проведено обсуждение в экспертной среде. Во-вторых, в документе отсутствовали надлежащие финансовые расчеты, а также не была заложена основа для гармонизации модели отношений между различными государственными органами, такими как ГСССЗИ, СБУ, МВД, СНБО, ВСУ, НБУ и др. Для исправления ситуации требовалось сотрудничество на уровне государства, приватного, общественного и академического секторов. Анализ указа нового президента показал, что власть попыталась ликвидировать эти недочеты.
Задачи и обязанности
Созданный Центр будет курировать целый ряд задач в сфере кибербезопасности: от технических до финансовых и организационных. Так, специалисты центра должны будут анализировать состояние систем кибербезопасности в госорганах, прогнозировать и выявлять потенциальные и реальные угрозы в сфере информационной безопасности Украины. Также на Центр возлагается задача координации кадровой политики в сфере национальной системы кибербезопасности и подготовки предложений по ее совершенствованию, плюс финансовое и организационное обеспечение соответствующих программ и мероприятий.
Кроме того, сотрудники Центра будут обобщать международный опыт в сфере обеспечения кибербезопасности, принимать участие в разработке механизмов обмена информацией, необходимой для соответствующего реагирования на кибератаки и киберинциденты, устранения их причин и последствий.
Помимо аналитики, Центр будет заниматься определением приоритетных направлений и концептуальных подходов к формированию государственной политики по безопасному функционированию киберпространства, его использование в интересах личности, общества и государства. Также новый руководящий орган будет осуществлять системные меры, направленные на усиление возможностей субъектов сектора безопасности и обороны в борьбе с киберугрозами военного характера, кибершпионажем, кибертерроризмом и киберпреступностью.
Очень важный пункт нового указа состоит в том, что Центр обязан осуществлять мероприятия по обеспечению киберзащиты объектов критической инфраструктуры и технологических процессов на производстве в реальном секторе экономики.
Помимо технической деятельности, Центр будет заниматься совершенствованием нормативно-правовой базы. В частности — правовым регулированием сфер ответственности субъектов сектора безопасности и обороны, которые обеспечивают кибербезопасность Украины, и механизмов взаимодействия между ними.
От киберобороны — к киберучениям
Вместе с тем, документ содержит и множество декларативных положений, которые не подразумевают достижения каких-либо конкретно прописанных результатов. Например, речь идет о пункте повышения "эффективности реализации военно-технической политики и политики военно-технического сотрудничества в сфере киберобороны". Кроме того, смущает пространная фраза о "целесообразности наращивания кибероборонных возможностей государства, перевода национальной системы связи, стратегических общегосударственных автоматизированных систем управления, правительственных сетей, систем связи и управления оружием, информационно-телекоммуникационных сетей и систем органов военного управления на функционирование в условиях особого периода, мобилизации дополнительных ресурсов для организации операций в киберпространстве". Очевидно, на этом этапе, СНБОУ не удалось конкретизировать свои полномочия, ограничив уже существующие полномочия министерств и ведомств.
В который раз власти пытаются вернуться к вопросу создания национальной ОС, национального антивируса и прочего. В частности, об этом говорит пункт "совершенствование работы по созданию отечественных программных продуктов для защиты государственных информационных ресурсов, в том числе национальной операционной системы, национального антивирусного программного обеспечения и т.д.". Правда, текст указа по данному пункту снова не содержит какой-либо конкретики — все-таки "совершенствование работы" не подразумевает финансирования, точных сроков, да и результатов тоже. Возможно, мы увидим ответы на эти вопросы в проекте госбюджета на 2017 год.
Напомним, что еще в 2014 году было проведено несколько круглых столов с участием госорганов и приватных компаний, на которых детально обсуждались подобные вопросы. Тогда же на создании национальной защищенной ОС в очередной раз поставили логичный жирный крест, поскольку не нашел ответа вопрос поддержки этой ОС, а также портирования множества унаследованных приложений. Вместе с тем, в качестве оптимального пути приняли вариант построения собственной ОС на базе open-source проекта на базе Linux. Это важно как с точки зрения ухода от проприетарных систем, так и необходимости избежать использования нелицензионного ПО.
В то же время, указ содержит очень важный пункт, касающийся разработки и внедрения национальных стандартов, гармонизированных со стандартами ЕС и НАТО. О необходимости этого уже давно говорят представители приватного сектора. Притом, с вышеупомянутым пунктом согласуется и другой: изучение международного опыта создания и функционирования национальных систем кибербезопасности, распространение его между организациями, учреждениями и заведениями, проведение мониторинга по его внедрению в Украине.
Президентским указом вводится понятие киберучений и тренингов в сфере обеспечения кибербезопасности, за которые как раз и будет отвечать Центр. Стоит отметить, что такие мероприятия в Украине будут проводиться впервые (если, конечно, будут проводиться).
Для выполнения возложенных на него задач Центру предоставлены довольно широкие полномочия. Например, сотрудники центра имеют право запрашивать и получать от госорганов справочные и другие материалы, необходимые для решения вопросов, относящихся к его компетенции. Кроме того, они могут пользоваться информационными базами госорганов, государственными системами связи и коммуникаций, сетями специальной связи и другими техническими средствами. Также для решения своих задач они могут подключать соответствующие департаменты СБУ и других ведомств.
Кадры решают все
Для координации действий различных силовых ведомств государства в сфере киберобороны, в состав Центра войдут практически все руководители силовых ведомств. Так, предполагается, что в работе ведомства примут участие замминистра обороны Украины, начальник Генштаба ВСУ, зампредседателя СБУ, зампред Службы внешней разведки Украины, зампред Нацполиции Украины, Начальник по информационной безопасности НБУ (по согласию), к ведению которых относятся вопросы кибербезопасности. Кроме того, в состав Центра войдут начальник Главного управления разведки МО, начальник управления разведки Госпогранслужбы Украины, а также Председатель Госспецсвязи Украины
Основной формой работы Центра являются заседания, которые проводятся по мере необходимости, но не реже одного раза в квартал. Заседание Центра является правомочным, если на нем присутствует более половины его состава. Решения Центра принимаются на заседании большинством голосов членов Центра. Все они являются обязательными для рассмотрения органами государственной власти, органами местного самоуправления, военными формированиями, созданными в соответствии с законами Украины, предприятиями, учреждениями и организациями.
Примечательно, что в состав Центра не включены на каких ли бы то ни было правах представители иностранных вендоров, бизнеса и гражданского общества. А без этого новый орган наследует все хронические болезни нашего государственного аппарата - медлительность (как следствие формальных госпроцедур и межведомственных конфликтов) и дороговизну, что в результате приведет к неэффективности в области киребезопасности.
Успех проекта зависит от реализации
Главный позитив нового указа в том, что руководство Украины поставило тематику киберобороны как один из приоритетов национальной безопасности. Президентский указ содержит ряд необходимых положений, прежде всего, с организационной точки зрения. Правда, многие из них пока что выглядят как абстрактные, но в скором времени вполне могут стать актуальными.
Тем не менее, очень многое зависит от того, как будет реализована инициатива СНБОУ. Для максимального эффекта потребуется налаженное государственно-частное партнерство, а также участие в работе Центра негосударственных структур.
