Кіберзахист, що рятує: як нам посилити опір агресії Росії
Нам украй потрібний закон про кібербезпеку. Без нього нам не перемогти у російсько-українській війні.
Інформаційні війни та кібервійни — невід'ємні складові гібридної війни між Україною та Росією.
Доказ цієї тези — новина про створення у лютому 2017 року військ інформаційних операцій у складі Міноборони РФ.
Це легалізація підрозділів, які успішно виконували завдання: завдавали нищівних інформаційних та кіберударів.
Нема жодного сумніву в тому, що найвразливішою мішенню російських кібервійськ є Україна, на якій відпрацьовуються нові методи ведення гібридної війни.
Українська влада не лишилася осторонь. За кілька днів Петро Порошенко підписав указ про затвердження доктрини інформаційної безпеки.
Цей нормативний документ, безумовно, потрібний воюючій державі. Однак, не підкріпивши його реальним змістом та не прописавши процес і механізми його виконання, ми стаємо надто вразливими для атак ворога.
Проект закону "Про основні засади забезпечення кібербезпеки України", який розглядався у Верховній Раді минулого тижня, — комплексний, проте рамковий документ. Ухваливши його, ми б на крок наблизилися до перемоги.
За оцінками експертів, у світі зростає кількість кібератак, що порушують цілісність, конфіденційність і доступність інформаційних ресурсів, впливають на функціонування інформаційно-телекомунікаційних систем. Зокрема, це стосується систем, що діють на критично важливих інфраструктурних об'єктах країни.
Через низьку явку депутатів проект закону не був ухвалений, його відправили на повторне друге читання. Є шанс, що до кінця цієї сесії, до середини липня, ми встигнемо покращити документ і його внесуть до сесійної зали повторно.
Україна четвертий рік захищається у цій виснажливій гібридній війні, не маючи законодавства, яке регулює сферу кібербезпеки. Що ж пропонує цей законопроект і чому його прийняття — це крок до перемоги у війні?
Перше. Проект визначає поняття, які нині дещо розмиті і можуть мати різні трактування. Зокрема, визначаються поняття "кібератака" (несанкціоноване втручання в інформаційні системи з метою дестабілізації) та "кіберзахист" (заходи, спрямовані на забезпечення безпеки систем та інформаційних ресурсів).
Друге. Законопроект передбачає створення центру при РНБО — єдиного органу протидії кібератакам, який буде координатором між різними органами державної влади, місцевого самоврядування та інших відповідних установ. Такі структури діють у всіх розвинутих країнах, що захищають свій кіберпростір.
В Україні, на жаль, за кіберпостір кожен орган відповідає сам. Це колективна безвідповідальність, а отже, програш у війні. Кібератаки нині — не точкові дії, а сплановані акції, протистояти яким може лише якісний захист. Завданням центру при РНБО, зокрема, буде моніторинг ситуації та робота на випередження.
За Конституцією створення такого центру — компетенція не Верховної Ради, а РНБО. До речі, його повноваження повинні визначатися окремими положеннями, які затверджує президент. Отже, для створення центру не обов'язково чекати на ухвалення закону. Достатньо розуміння масштабу проблеми і політичної волі.
Третє. Проект вводить механізми застосування найкращих світових практик з розробки і прийняття стандартів кіберзахисту важливих об'єктів інфраструктури та запровадження системи аудиту інформаційної безпеки таких об'єктів.
Четверте. У проекті зроблений акцент на суспільній складовій, приватно-державному партнерстві як базових вимогах забезпечення кібербезпеки. Йдеться про спільну роботу всіх, а не тільки держави (це пропозиції експертів НАТО та ЄС).
П'яте. Законопроект визначає правові та організаційні основи забезпечення захисту життєво важливих інтересів громадян, держави, національних інтересів України у кіберпросторі, основні цілі, напрями та принципи державної політики, повноваження та обов'язки державних органів, підприємств та установ у цій сфері.
Законопроект не ідеальний і сам він не захистить від атак ворога. Проте, оскільки кіберзахист в Україні існує лише на словах, наявність такого документу — це крок до перемоги. Без нього про інформаційну безпеку і перемогу не може бути й мови.
Ось приклади цієї невидимої війни. У грудні 2016 року атаки на Мінфін, Держказначейство та "Укренерго" спричинили мільйонні збитки та відключення електроенергії. Далі відбувся злам сайтів офіційних установ — хакери розміщували фейкові повідомлення, які потім поширювали у соціальних мережах.
Мусимо визнати, що війна триває не лише на полі бою. Атаки ворога у кіберпросторі — це цілком військова загроза, на яку треба відповідно реагувати. Методи цивільного регулювання і контролю тут не діють.
До речі, у невеличкій Естонії це давно усвідомили. Розуміючи свою фізичну слабкість перед російською армією, тут створили надпотужне кібервійсько.
Це основа кібервійськ НАТО з центром у Таллінні. Їхні воїни — це кілька тисяч експертів інформаційної галузі, які у разі потреби можуть протягом кількох годин бути задіяними у виконані складних завдань.
Це приклад того, як треба створювати умови для фахівців, які за потреби захистять державу. Україна теж має значний внутрішній потенціал у сфері фахівців інформаційної галузі. На жаль, чимало з них віддають перевагу високооплачуваній роботі за кордоном, а не захисту українського кіберпростору.
У цій ситуації в України як суб'єкта гібридної війни нема іншого вибору, як у стислі строки створити реальний інформаційний захист та кіберзахист. Врегулювати законодавство і врешті зрозуміти, що інформаційна загроза у гібридній війні — це не пусті слова, а реальна військова загроза, що має таку ж убивчу силу.