26 травня 2017 року Верховна Рада України відправила на повторне друге читання законопроект «Про основні засади кібербезпеки України». Він містить ряд скандальних правок, внесених для блокування роботи системи Prozorro, про що писав Максим Нефьодов та багато ЗМІ. На жаль, перелік проблем з цим законопроектом значно ширший. Він містить ряд положень, які створюють умови для зловживань та дають чиновникам інструменти, що дозволять чинити тиск на бізнес. В той же час, запропонована законопроектом модель управління кібербезпекою має недоліки, які не дозволяють суттєво підняти рівень кібербезпеки держави. Ця стаття надає стислий опис поточної версії законопроекту, основних проблем, та пропозиції щодо його покращення з точки зору міжнародного досвіду.
Огляд поточної версії законопроекту
Поточну версію законопроекту можна знайти на сайті Верховної Ради України. Перш за все, цей документ вводить важливі базові поняття і визначає права і обов’язки державних органів щодо кібербезпеки. Його автори пропонують наступний розподіл функцій:
- РНБО визначається основним органом, що здійснює стратегічне управління кібербезпекою та координацію суб’єктів її забезпечення (силових відомств);
- Держспецзв’язок (ДССЗЗІ) відповідає за формування та реалізацію державної політики щодо захисту в кіберпросторі державних інформаційних ресурсів, об’єктів критичної інфраструктури (в тому числі приватної форми власності) та інформації, вимоги щодо захисту якої встановлені законом. ДССЗЗІ також здійснює державний контроль у цій сфері, встановлює вимоги та проводить сертифікацію компаній-аудиторів, які проводять аудит систем кіберзахисту.
Згідно законопроекту, якщо вашу організацію буде віднесено до критичної інфраструктури (фактично це будуть всі великі підприємства, медіа, телекомунікаційні компанії, генерація, передача та розподіл електроенергії, води, газу, виготовлення продуктів харчування тощо), вона буде зобов’язана впровадити Комплексну Систему Захисту Інформації (КСЗІ). Для цього буде потрібно запросити компанію-аудитора, ліцензованого Держспецзв’язком, для проведення перевірки побудованої системи захисту та видачі сертифікату відповідності.
За ДССЗЗІ залишається контроль дотримання законодавства в сфері захисту інформації, проведення державної інспекції в цій сфері згідно закону “Про захист інформації в інформаційно-телекомунікаційних системах”, який діє зараз. Він вимагає створення так званої КСЗІ для захисту інформації з обмеженим доступом чи грифом таємності.
Підпорядкований Держспецв’язку державний центр реагування на кібератаки – CERT-UA допомагає в підготовці, реагуванні та відновлені після кібератак;
- МВС – відповідає за запобігання та розслідування кіберзлочинів;
- Міноборони та Генштаб – забезпечення кібероборони військових об’єктів, а також забезпечення кіберзахисту об’єктів критичної інфраструктури під час війни та надзвичайного стану;
- СБУ – запобігання, виявлення, припинення та розслідування терористичних атак в кіберпросторі. Також СБУ надається повноваження проводити таємні перевірки об’єктів критичної інфраструктури;
- Кабміну надається право визначати критерії для віднесення організацій до об’єктів критичної інфраструктури, та формувати перелік таких об’єктів;
- НБУ – регулятор з кібербезпеки в банківській сфері – має право встановлювати в цій сфері власні стандарти та організовувати перевірку їх дотримання (що наразі і відбувається – банківський сектор України давно впровадив міжнародний стандарт захисту інформації ISO-27001);
- Власники об’єктів критичної інфраструктури – зобов’язані запровадити систему кібербезпеки та залучити сертифікованих Держспецзв’язком аудиторів для проведення її атестації.
Які основні проблеми законопроекту “Про основні засади кібербезпеки”?
Вершник без голови. Законопроект не визначає єдиного органу, який здійснює оперативне командування всіма суб’єктами забезпечення кібербезпеки у мирний час. РНБО здійснює лише координацію та стратегічне управління. Генштаб – оперативне управління в “особливий період”.
На практиці, кібервійну ніхто ніколи не оголошує. Фактично, вона ніколи не припиняється.
Тому без єдиного відповідального органу, що буде мати повноваження командувати всіма силами та засобами кібербезпеки, ми не зможемо ефективно реагувати. Це було помітно під час хвилі кібератак на Україну в грудні 2016 року.
Відсутній трансформаційний підхід. Не визначена організація, що буде управляти впровадженням кібербезпеки на загальнодержавному рівні (та охопить не тільки силові відомства, але й академічний, громадський та приватний сектори, пересічних громадян).
“Годівничка” для фірм-ліцензіатів, чи механізми тиску на бізнес? Держспецзв’язок має надмірні повноваження із аудиту об’єктів критичної інфраструктури, що знаходяться в приватній власності (по суті це буде весь великий та середній бізнес). Водночас, ДССЗЗІ має право визначати вимоги для аудиторів та порядок їх атестації. Це створює можливості для зловживань, тиску на бізнес з боку держави, передумови для корупції (коли ліцензії для аудиту будуть видаватися тільки “своїм” фірмам, які, в свою чергу, будуть робити перевірки “на папері”), та суперечить політиці держави з дерегуляції. На жаль, практика показує, що наявність ліцензіата не гарантує високого рівня якості. В той же час, міжнародні професійні сертифікації з кібербезпеки та ІТ-аудиту на визнаються.
КСЗІ продовжує жити? В законопроекті зазначається, що методика аудиту кібербезпеки буде визначена на основі міжнародних стандартів. Але в той же час ніхто не відміняє поточний “Закон про захист інформації в інформаційно-телекомуніукаційних системах”, що вимагає створення КСЗІ. Це, на думку більшості експертного співтовариства, є неефективним.
Більше того, в прикінцевих положеннях законопроекту про кібербезпеку включено зміни в закон “Про інформацію”: вводиться визначення “технологічна інформація”. Це поняття визначають як дані систем, які контролюють технологічні процеси на промислових об’єктах. З цією інформацією працюють так звані SCADA та АСУТП системи, наприклад, на заводах. Законопроектом пропонується захищати технологічну інформацію об’єктів критичної інфраструктури за допомогою створення КСЗІ.
Тотальне шпигунство, чи право держави атакувати приватний бізнес? СБУ має надмірні права з проведення таємних перевірок кібербезпеки критичних об’єктів. Це по суті надає СБУ права проводити хакерські атаки на приватний бізнес.
Як вдосконалити законопроект?
- Визначити єдиний орган, який буде здійснювати оперативне командування всіма суб’єктами забезпечення кібербезпеки (кіберпідрозділами силових відомств) у мирний час. Пропонується визначити таким органом Генштаб ЗСУ, у відповідності до моделі прибалтійських країн.
- Визначити Офіс трансформації кібербезпеки, що здійснюватиме управління, відслідковування та координацію впровадження кібербезпеки на національному рівні (на кшталт Офісу реформ).
- Обмежити повноваження Держспецзв’язку та СБУ об’єктами критичної інфраструктури, що є власністю держави. Щодо приватних об’єктів – віддати повноваження з регулювання та контролю кібербезпеки галузевим регуляторам, міністерствам, або саморегулюючим організаціям, створеним учасниками відповідних галузей, у відповідності до моделі, яка працює в США. Аудит кібербезпеки приватного бізнесу має проводитись незалежними аудиторами (або самими власниками критичних об’єктів), а звіти – надаватися галузевим регуляторам. NERC CIP в США є прикладом саморегулюючої організації, що розробила галузеві стандарити з кібербезпеки для енергетичного сектора, які можна було б запровадити в Україні.
- Вимоги щодо атестації аудиторів необхідно замінити на вимоги наявності в штаті аудиторів, сертифікованих згідно міжнародним стандартам, що забезпечить неупередженість процесу їх атестації.
- Таємні перевірки критичних об’єктів приватної форми власності необхідно скасувати.
Чому КСЗІ неефективна?
- Об’єкт захисту – система, а не організація. КСЗІ (НД ТЗІ 2.5-004) заснована на Common Criteria (ISO 15408), націлена на захист та сертифікацію інформації в окремій системі, а не в організації. Вона не охоплює управлінський рівень і реагування на інциденти. Закордоном Common Criteria використовуються переважно для сертифікації обладнання, чи конкретного ІТ-рішення.
- КСЗІ не надає гнучкості. КСЗІ статична і не забезпечує достатнього рівня гнучкості, якого вимагає кіберзахист. Зокрема, для створення КСЗІ необхідно провести скрупульозну документацію архітектури та всіх налаштувань системи. При внесенні змін потрібно переробляти документацію та викликати визначену чиновниками компанію-ліцензіата для проведення переатестації системи захисту (цей процес займає кілька місяців). Однак, реагування на кібератаки вимагає можливості динамічно змінювати архітектуру в режимі реального часу, або протягом годин, що суперечить парадигмі КСЗІ;
- Громіздка. Підходи НДТЗІ, що вимагають створення великої кількості документації є занадто громіздкими для приватного бізнесу;
- Не підходить для великих організацій. КСЗІ/НДТЗІ не підходять для великих організації, які, використовують десятки чи сотні систем, наприклад для заводів, де можуть використовуватися сотні SCADA/АСУТП.
- Не ризикоорієнтована – веде до неефективних рішень. КСЗІ/НДТЗІ не засновані на ризик-орієнтованих підходах. Вони використовують поняття “загроза” та «вразливість», та не приймають до уваги можливий рівень збитків, пов’язаний із компроментацією системи. Тому впровадження КСЗІ не супроводжується реальним економічним обґрунтованням, що веде до впровадження неефективних рішень.
Які міжнародні стандарти пропонуєтеся запровадити замість КСЗІ?
- NIST Cybersecurity Framework – фреймворк з кібербезпеки, розроблений американським інститутом стандартів;
- Серія міжнародних стандартів ISO-2700X – з інформаційної- та кібербезпеки;
- Галузеві стандарти з кібербезпеки, розроблені в різних країнах для таких галузей як енергетика, хімічна промисловість, залізничний транспорт, охорона здоров’я, водопостачання, телекомунікації та медіа, тощо.
Важливо також дати приватним компаніям можливість впроваджувати альтернативні стандарти та фреймворки з кібербезпеки, для того, щоб уникнути монополізації даного ринку, та нечесної конкуренції. Наприклад, США дозволяє організаціям впроваджувати стандарти, альтернативні до NIST.
Які подальші кроки щодо «Про основні засади кібербезпеки України»?
Оскільки законопроект все ж вкрай потрібен, пропонується обмежити даний законопроект виключно об’єктами що є власністю держави, а підходи до забезпечення кібербезпеки критичних об’єктів, що є в приватній власності, визначити в окремому законопроекті. Цей, новий законопроект має пройти широке експертне обговорення, а не розроблятися в кулуарах, як поточний законопроект.
Автор: Олексій Янковський, президент Київського відділення міжнародної професійної неприбуткової асоціації ISACA