Пріоритет безпеки. Як Україні перемогти у сучасній кібервійні

Колонка народного депутата Олександра Федієнка для РБК-Україна – про кібервійну та інструменти, які дозволять у ній перемогти.

Сучасна війна – це не тільки танки, гармати чи літаки, а й кіберпростір. росія намагається досягти кінетичних цілей за допомогою кіберзасобів, зокрема, зруйнувати нашу критичну інфраструктуру.

Україна успішно захищається у масштабній кібервійні, яку веде росія проти усього цивілізованого світу. Українські кіберфахівці мають унікальний досвід, якого зараз немає в жодної країни. Так само українське законодавство не стоїть на місці. Воно видозмінюється відповідно до тих викликів, які ставить перед нами війна.

Агресор лише збільшує кількість атак. Від початку 2022 року по травень 2023-го Урядова команда реагування на компʼютерні надзвичайні події CERT-UA опрацювала в ручному режимі понад 3 000 спроб російських хакерів знищити інформаційні системи України: вони намагалися позбавити наших військових резервного супутникового зв’язку, сотні тисяч українців – електроенергії, позбавити наших громадян доступу до цифрових послуг і сервісів.

Незважаючи на те, що війна з росією триває вже дев'ятий рік, співробітники і керівники низки компаній продовжують користуватися російським софтом, ігнорують елементарні безпекові рекомендації. Вони не вважають себе значущими цілями для російських хакерів, тому, на їхню думку, уваги кіберзахисту можна майже не приділяти.

Тим часом російські хакери змінюють тактику, стають хитрішими. Раніше вони намагалися напряму атакувати об'єкти критичної інфраструктури за допомогою фішингу. Зараз агресор прагне дістатись до них, використовуючи вразливості постачальників послуг, в основному ІТ-рішень. Це називається "атака на ланцюжки постачання".

У цій ситуації відповідальний за кіберзахист орган не має ніякого впливу на власників інформаційної інфраструктури. Компанії не несуть відповідальності за те, що через їхню безтурботність можуть постраждати навіть сотні тисяч людей.

Щоб передбачити відповідальність у разі порушення норм, для інтернет-провайдерів (постачальників цифрових послуг та мереж), центрів оброблення даних, постачальників хмарних послуг та інших суб'єктів ринку був розроблений законопроєкт №8087, одним із авторів якого я і став.

Звісно, посилення спроможностей із кіберзахисту – це додаткова робота і витрати для таких компаній, тому це може не подобатись. Зараз ми чуємо думки деяких підприємців, мовляв, запропоновані заходи продукують цензуру, корупційні ризики.

Але це не так, законопроєкт впроваджує систему захисту об'єктів критичної інформаційної інфраструктури в межах найкращих практик країн НАТО та ЄС. Адже там добре розуміють, що в контексті зростання загроз регуляторні заходи у сфері кібербезпеки та спроможності відповідальних органів потрібно збільшувати.

Один із головних документів, на які ми орієнтувались, – нова директива ЄС щодо кібербезпеки: NIS2. Вона встановлює чіткий мінімальний перелік технічних та організаційних заходів із кіберзахисту, в тому числі – для таких суб’єктів, як інтернет-провайдери, центри оброблення даних, постачальники хмарних послуг та онлайн-майданчики.

Директива зобов’язує суб’єкти кіберзахисту приділяти належну увагу ризикам атак на ланцюги постачання і, відповідно, проводити належну перевірку кібербезпеки своїх постачальників. У ЄС розуміють, що для контролю виконання цих вимог регулятори повинні мати достатні повноваження, тож ця директива розширює їх.

Якщо ж суб'єкт не виконує розпоряджень, йому загрожує призупинення дії дозволів, ліцензій, сертифікації, а також – суворі штрафи.

Це необхідний безпековий мінімум, оскільки парадигма "business as usual" не працює у сфері кібербезпеки. Наш законопроєкт розроблений за схожим вектором, проте є значно ліберальнішим.

Але якщо такий постачальник не задіяний у ланцюжку постачання цифрових сервісів державним інституціям або об`єктам, які належать до ОКІ, – він не підпадає під дію законопроєкту.

Розглянемо деякі міфи, які озвучують критики, і прокоментуємо їх.

Міф: "Закон виписаний таким чином, що право на контроль розповсюджується на всі суб'єкти без винятку".

Сфера контролю, передбачена у 8087, є обмеженою і стосується тільки дотримання передбачених законодавством вимог щодо технічного, криптографічного і кіберзахисту.

Контролюватимуть не будь-якого постачальника послуг, а лише того, чия послуга або постачання безпосередньо повʼязані з функціонуванням певної ІКС державного органу чи критичної інфраструктури.

Міф: "Запропонований контроль обмежує базові конституційні права і свободи, не передбачає оскаржень та механізмів захисту".

По-перше, законопроєкт не передбачає будь-яких обмежень щодо можливості судового оскарження. Він передбачає, що порядок такої перевірки встановлює КМУ. І хоча проєкт такої постанови Кабміну ще не представлений, попередньо, такий порядок може передбачати адміністративне оскарження.

Міф: "Будь-який постачальник послуг, будь-який інтернет-провайдер, дата-центр, інтернет-магазин чи інтернет-сервіс мають бути готовими, що до них прийде Держспецзв’язку (разом із СБУ), дістане доступ до будь-якого обладнання, будь-якої інформації, встановить своє обладнання та видасть обов’язковий для виконання припис".

Як уже зазначали, контролюватимуть не будь-якого постачальника послуг, а лише того, чия послуга або постачання безпосередньо повʼязані з функціонуванням певної ІКС державного органу чи критичної інфраструктури.

Якщо ви все ж таки є обʼєктом контролю, то при його здійсненні доступ надається до інформації, яка безпосередньо пов’язана з контролем за технічним, криптографічним захистом інформації та кіберзахистом.

Навіть якщо при здійсненні контролю є доступ до інформації з обмеженим доступом, то законопроєкт чітко встановлює, що мають бути дотримані вимоги спеціальних законів щодо її охорони.

Отже, все доволі просто. Немає вимоги законодавства – немає контролю. Є вимога законодавства – за певних умов є контроль. Немає порушення – немає вимог. Є порушення – отримуєте вимогу про усунення.

Окремо хочу додати щодо тих, хто розповсюджує цей негатив. Перепрошую, а хто вони? Наскільки я бачу, дехто з них є громадським діячем, але чи є вони експертами з питань кібербезпеки? Ні, не є експертами.

Також я бачу, що деяких із них наосліп використовують спецслужби росії для того, щоб зірвати ухвалення законопроєкту. А можливо, вони і є тими, хто працює на ці спецслужби та підриває ініціативи щодо підвищення стану кібербезпеки України.

Щодо можливих корупційних зловживань, про які йшлося у висновках НАЗК стосовно попередніх версій законопроєкту, то наразі всі зауваження до документу враховані, а від НАЗК отримана відповідь про відсутність зауважень.

Країна-агресор продовжує потуги із втручання в наш кіберпростір. Історія не має умовного способу, але якби заходи щодо посилення спроможностей із кіберзахисту об'єктів критичної інфраструктури були впроваджені раніше, то можна було б уникнути наслідків частини масштабних атак – як до, так і після початку повномасштабної російської агресії. Тому рухаємося вперед та перемагаємо!