Як це робила Польща: досвід боротьби з кіберзагрозами
Польські політичні еліти давно зрозуміли важливість побудови міцної системи кіберзахисту і перейшли до дій. Україна поки що пише закони.
Цього тижня у польському Кракові відбувся міжнародний форум із кібербезпеки Sybersec.
На цьому зібранні експерти обговорювали виклики та загрози, пов'язані з розвитком цифрового світу.
В останні роки Польща демонструє послідовну державну політику боротьби із кіберзагрозами.
Польща усвідомила небезпеку кіберзагроз після масштабних кібератак 2012 року. Тоді була паралізована робота урядових сайтів, а масові протести, що почалися на вулицях, прокотилися і в мережі шляхом масованих DOS-атак.
Те, що сталося, показало кілька прогалин: слабкість телекомунікаційного та інформаційного забезпечення держави, а також низьку обізнаність державних діячів та їх небажання визнавати проблему. Деякі з них, приміром, публічно заявляли, що урядові сайти не працюють, бо їх відвідує забагато людей.
Тривалий час зусилля влади щодо боротьби з кіберзагрозами були недостатніми. Однак низка масштабних атак на тлі відсутності єдиного координованого центру ухвалення рішень стали стимулом для дій. Отже, що зробила Польща?
По-перше, ухвалила зміни до законодавства, які дозволяють запроваджувати у країні надзвичайний стан в разі атаки у віртуальному просторі. Такими юридичними новаціями можуть похвалитися небагато держав.
По-друге, влада погодилася з недоцільністю функціонування кількох інституцій з боротьби з кіберзагрозами, які лише дублювали одна одну.
У 2011 році було створене Міністерство адміністрації і цифровізації, завданням якого стало забезпечення кібербезпеки у військовій сфері, захист конфіденційності громадян, побудова національної освітньої платформи, залучення до інтернету людей похилого віку і жителів віддалених районів країни.
По-третє, в рамках Міністерства цифровізації у 2016 році створили Національний центр кібербезпеки. Його ключовим завданням стало попередження загроз, реакція на них та координація дій. Робота центру — вдалий приклад державно-приватного партнерства у сфері кіберзахисту. Працює центр цілодобово.
По-четверте, Польща опрацювала нову стратегію кібербезпеки. Вона передбачає, що до 2020 року влада гарантуватиме безпеку громадян, суб'єктів економічної діяльності і державних установ у галузі кібербезпеки.
Така системність, не означає, що Польща впоралася із загрозами. За даними Національного центру кібербезпеки кількість інцидентів зростає. Якщо два роки тому їх було 1 456, то у 2016 році — 1 926. Проте збільшення кількості повідомлень — це показник зростання свідомості користувачів.
Визнали у Польщі і потребу в достатньому фінансуванні заходів з кібербезпеки. Відповідний рядок повинен з'явитися у держбюджеті країни на 2018 рік.
Польща була однією з країн, проти яких вели кібернетичні війни російські хакери. Вони, зокрема, викрадали інформацію з державних інституцій.
Шлях України у цій боротьбі можна порівняти з польським. Ми не раз стикалися з кібератаками, інспірованими Росією. Найбільш відомими з них стали спроби втрутитися в роботу сервера ЦВК у 2014 році, серверів обленерго у 2016 році, а також сайтів Держказначейства, Мінфіну та інших державних установ.
27 червня 2017 року Україну вразила найпотужніша хакерська атака за усю історію. Вірус PetyА вплинув на роботу транспортних підприємств, банків, упали системи "Укренерго", "Укрпошти", "Нової пошти", великих супермаркетів та ЗМІ. Російський слід простежувався і в низці масованих атак на комунікаційні мережі.
Департамент кіберполіції Національної поліції України отримав понад 3 тис повідомлень про блокування роботи комп'ютерів. Це тільки офіційна статистика. Що Україна змогла протиставити віртуальному ворогу? Поки що увага кібербезпеці у нас приділяється за залишковим принципом і є декларативною.
Так, з 1 липня 2015 року у Державній службі спеціального зв'язку та захисту інформації діє Державний центр кіберзахисту та протидії кіберзагрозам.
Серед його завдань — забезпечення функціонування команди реагування на комп'ютерні надзвичайні події CERT-UA, яка може взаємодіяти з 326 командами із 73 країн. Втім, у США таких команд 72, у Німеччині — 23, у Польщі — дві.
Також у нас створено Департамент кіберполіції у структурі Нацполіції, а при РНБО діє Національний координаційний центр з питань кібербезпеки.
Отже, структури є, але їх завдання розпорошені, а головний орган не визначений. До того ж, у цих установах працює надто мало кваліфікованих спеціалістів з відповідним рівнем зарплат. Не краща ситуація із законодавством. Маємо кілька нормативно-правових актів щодо боротьби з кіберзлочинністю.
Це закон "Про ратифікацію конвенції про кіберзлочинність" та указ президента "Про рішення РНБО від 27 січня 2016 року "Про стратегію кібербезпеки України". Щоправда, останній документ лише вказує напрями роботи.
Маємо також доктрину інформаційної безпеки і недавно ухвалений рамковий закон "Про основні засади забезпечення кібербезпеки України".
Законодавча база — важлива складова, але якщо вона лишається на папері, результату не буде. Польща ж перейшла від слів до дій. Правда, перед цим польські еліти зрозуміли, що підвищенню рівня кібербезпеки нема альтернативи.