Приоритет безопасности. Как Украине победить в современной кибервойне

Колонка народного депутата Александра Федиенко для РБК-Украина – о кибервойне и инструментах, которые позволят в ней победить.

Современная война – это не только танки, пушки или самолеты, но и киберпространство. Россия пытается достичь кинетических целей с помощью киберсредств, в частности, разрушить нашу критическую инфраструктуру.

Украина успешно защищается в масштабной кибервойне, которую ведет Россия против всего цивилизованного мира. Украинские киберспециалисты имеют уникальный опыт, которого сейчас нет ни у одной страны. Также украинское законодательство не стоит на месте. Оно видоизменяется в соответствии с теми вызовами, которые ставит перед нами война.

Агрессор только увеличивает количество атак. С начала 2022 по май 2023-го правительственная команда реагирования на компьютерные чрезвычайные события CERT-UA проработала в ручном режиме более 3 000 попыток российских хакеров уничтожить информационные системы Украины: они пытались лишить наших военных резервной спутниковой связи, сотни тысяч украинцев – электроэнергии, лишить наших граждан доступа к цифровым услугам и сервисам.

Несмотря на то, что война с Россией продолжается уже девятый год, сотрудники и руководители ряда компаний продолжают пользоваться российским софтом, игнорируют элементарные рекомендации по безопасности. Они не считают себя значимыми целями для российских хакеров, поэтому, по их мнению, внимание киберзащиты можно почти не уделять.

Тем временем российские хакеры меняют тактику, становятся хитрее. Ранее они пытались напрямую атаковать объекты критической инфраструктуры с помощью фишинга. Сейчас агрессор стремится добраться до них, используя уязвимости поставщиков услуг, в основном ИТ-решений. Это называется "атака на цепочки снабжения".

В этой ситуации ответственный за киберзащиту орган не оказывает никакого влияния на владельцев информационной инфраструктуры. Компании не несут ответственности за то, что из-за их беззаботности могут пострадать даже сотни тысяч человек.

Чтобы предусмотреть ответственность при нарушении норм, для интернет-провайдеров (поставщиков цифровых услуг и сетей), центров обработки данных, поставщиков облачных услуг и других субъектов рынка был разработан законопроект №8087, одним из авторов которого я и стал.

Конечно, усиление возможностей по киберзащите – это дополнительная работа и затраты для таких компаний, поэтому это может не нравиться. Сейчас мы слышим мнения некоторых предпринимателей, мол, предложенные меры продуцируют цензуру, коррупционные риски.

Но это не так, законопроект внедряет систему защиты объектов критической информационной инфраструктуры в рамках лучших практик стран НАТО и ЕС. Там ведь хорошо понимают, что в контексте роста угроз регуляторные меры в сфере кибербезопасности и способности ответственных органов нужно увеличивать.

Один из главных документов, на которые мы ориентировались, – новая директива ЕС по кибербезопасности: NIS2. Она устанавливает четкий минимальный перечень технических и организационных мероприятий по киберзащите, в том числе для таких субъектов, как интернет-провайдеры, центры обработки данных, поставщики облачных услуг и онлайн-площадки.

Директива обязывает субъекты киберзащиты уделять должное внимание рискам атак на цепочки снабжения и, соответственно, проводить надлежащую проверку кибербезопасности своих поставщиков. В ЕС понимают, что для контроля выполнения этих требований регуляторы должны иметь достаточные полномочия, и эта директива расширяет их.

Если же субъект не выполняет распоряжения, ему грозит приостановка действия разрешений, лицензий, сертификации, а также – строгие штрафы.

Это необходимый минимум безопасности, поскольку парадигма "business as usual" не работает в сфере кибербезопасности. Наш законопроект разработан по схожему вектору, однако значительно либеральнее.

Но если такой поставщик не задействован в цепочке поставок цифровых сервисов государственным институтам или объектам, принадлежащим к ОКИ, – он не подпадает под действие законопроекта.

Рассмотрим некоторые мифы, которые озвучивают критики, и прокомментируем их.

Миф: "Закон выписан таким образом, что право на контроль распространяется на все субъекты без исключения".

Сфера контроля, предусмотренная в 8087, ограничена и касается только соблюдения предусмотренных законодательством требований по технической, криптографической и киберзащите.

Контролируют не любого поставщика услуг, а только того, чья услуга или поставки напрямую связаны с функционированием определенной ИКС государственного органа или критической инфраструктуры.

Миф: "Предложенный контроль ограничивает базовые конституционные права и свободы, не предусматривает обжалования и механизмы защиты".

Во-первых, законопроект не предусматривает каких-либо ограничений по возможности судебного обжалования. Он предполагает, что порядок такой проверки устанавливается КМУ. И хотя проект такого постановления Кабмина еще не представлен, предварительно такой порядок может предусматривать административное обжалование.

Миф: "Любой поставщик услуг, любой интернет-провайдер, дата-центр, интернет-магазин или интернет-сервис должны быть готовы, что к ним придет Госспецсвязи (вместе с СБУ), получит доступ к любому оборудование, любой информации, установит свое оборудование и выдаст обязательное для выполнения предписание".

Как уже отмечалось, будут контролировать не любого поставщика услуг, а только того, чья услуга или поставки напрямую связаны с функционированием определенной ИКС государственного органа или критической инфраструктуры.

Если вы все же являетесь объектом контроля, то при его осуществлении доступ предоставляется к информации, непосредственно связанной с контролем за технической, криптографической защитой информации и киберзащитой.

Даже если при осуществлении контроля есть доступ к информации с ограниченным доступом, то законопроект четко устанавливает, что должны соблюдаться требования специальных законов относительно ее охраны.

Итак, все просто. Нет требования законодательства – нет контроля. Есть требование законодательства – при определенных условиях есть контроль. Нет нарушения – нет требований. Есть нарушения – получаете требование об устранении.

Отдельно хочу добавить по поводу тех, кто распространяет этот негатив. Простите, а кто они? Насколько я вижу, некоторые из них являются общественными деятелями, но являются ли они экспертами по вопросам кибербезопасности? Нет, это не эксперты.

Также я вижу, что некоторые из них вслепую используют спецслужбы россии для того, чтобы сорвать принятие законопроекта. А может быть, они и являются теми, кто работает на эти спецслужбы и подрывает инициативы по повышению состояния кибербезопасности Украины.

Что касается возможных коррупционных злоупотреблений, о которых говорилось в выводах НАПК относительно предыдущих версий законопроекта, то все замечания к документу учтены, а от НАПК получен ответ об отсутствии замечаний.

Страна-агрессор продолжает потуги по вмешательству в наше киберпространство. История не имеет сослагательного наклонения, но если бы меры по усилению возможностей по киберзащите объектов критической инфраструктуры были внедрены ранее, то можно было бы избежать последствий части масштабных атак – как до, так и после начала полномасштабной российской агрессии. Поэтому двигаемся вперед и побеждаем!