Почну з того, що нещодавно на міжнародному форумі з кібербезпеки в Ліллі Європейський комісар Тьєррі Бретон зробив гучну заяву, щодо забезпечення Європи кіберщитом.
Йдеться про будівництво до 2024 року кількох оперативних центрів з
безпеки, сам проект оцінюється у понад один мільярд євро.
Європейський кіберщит складатиметься з операційних центрів безпеки (SOC) по всьому ЄС, об’єднаних у кілька платформ SOC у кількох країнах,
створених за підтримки Програми цифрової Європи (DEP) на додаток до
національного фінансування.
Зіткнувшись зі збільшенням кількості кібератак, Європейський Союз
озброївся законодавчим арсеналом, таким як Закон про кіберстійкість,
оголошений наприкінці минулого року, який встановлює спільні правила
щодо підключених об’єктів перевірку механізмів інцидентів кібербезпеки,
перегляду конкретних інцидентів, обмін інцидентами.
Всі ці дії призведуть до підвищення готовності та реагування на інциденти
кібербезпеки.
Повертаючись до наших реалій, щодо від чого залежить національна
кіберстійкість.
Ні для кого не секрет, що ще до початку активної фази військового
вторгнення, державні інституції України постійно піддавались кібератакам.
Не треба бути великим експертам щоб зробити висновок хто був
бініфіціаром цих кібератак.
За більш як місяць до повномасштабного вторгнення, 14 січня 2022 року,
росія здійснила кібератаку на десятки державних інформаційних ресурсів,
розпочавши фактично першу світову кібервійну.
Виклики, які постали того і в наступні дні, а також зроблені висновки і уроки
протистояння агресору по перше нагадали мені всі ті меседжі які тільки
закладаються у формування кіберщиту Європейців, а по друге лягли в основу законопроекту № 8087 — щодо невідкладних заходів посилення
спроможностей із кіберзахисту державних інформаційних ресурсів та
об'єктів критичної інформаційної інфраструктури.
На мій погляд, це революційній законопроект який вже на високому рівні
оцінений міжнародними експертами. Сам законопроект розроблявся з
залученням команди фахівців з кібербезпеки, представників основних
суб’єктів національної системи кібербезпеки які перелічені в діючому Законі
про основні засади забезпечення кібербезпеки.
Законопроектом 8087 дозволяє впровадити в національну практику нову
методологію побудови систем захисту інформації, що засновані на
стандартах NIST (NIST Cybersecurity Framework) і базуються на ризик-
орієнтованому підході. Треба звернути увагу, що необхідні стандарти вже
розроблені і прийняті, проте саме цей законопроект необхідний, аби
закріпити підхід авторизації безпеки та запустити процес побудови систем,
які в перспективі допоможуть нам замінити морально застарілу методологію КСЗІ.
Законопроект 8087 передбачає децентралізацію у питаннях формування
вимог безпеки до галузевих систем, тож дозволяє з’явитися секторальним
регуляторам, які, враховуючи особливості своєї діяльності, зможуть
визначати, специфікувати додаткові вимоги безпеки і проводити відповідну
авторизацію своїх систем. Тобто МО може запровадити на своїх системах
будь які стандарти НАТО.
Вивчаючи кіберінциденти команди які захищали цифрову інфраструктуру
накопичували практичний досвід як субєкти забезпечення кібербезпеки.
Саме тому після цих висновків законопроект передбачає формування і
побудову національної системи реагування на кіберінциденти та кібератаки,
національної системи інформаційної взаємодії цих суб’єктів під час
реагування.
У документі чітко розподіллено повноваження, функції та відповідальність
усіх основних суб’єктів забезпечення кібербезпеки на базі того досвіду
реагування на кібератаки, який ми отримали до повномасштабного
вторгнення і протягом більш ніж року протистояння.
Більш оперативне реагування та нові секторальні команди захисту. В
рамках цього законопроекту уточнюється і посилюється роль Національного координаційного центру кібербезпеки при РНБО. Уточнення його координаційних функцій дозволить підвищити ефективність процесів
реагування усіх суб’єктів кібербезпеки на критичні кібератаки.
Мова також і про введення в законодавче поле діяльність робочої групи
реагування на кіберінциденти, яка створюється при НКЦК. Ця група
враховуватиме повноваження і відповідальність усіх основних суб’єктів
забезпечення кібербезпеки і дозволить в майбутньому ефективно реалізувати процеси виявлення і реагування на кібератаки та кіберінциденти.
Для підвищення ефективності процедур реагування в законопроекті
закладено також норми, які дозволяють створювати секторальні команди
(мова про секторальність згідно Закону про критичну інфраструктуру) реагування та залучати приватні команди реагування до надання послуг в
держсекторі.
Тобто документ є одним із ключових для формування мережі команд
реагування різного рівня (галузевих, секторальних, об’єктових тощо), що є
фактично подальшою реалізацією організаційно-технічної моделі
кіберзахисту.
Оцінка захищеності і безпека критичної інфраструктури. Комплексний
законопроект № 8087 закладає основи для формування системи оцінки
кіберзахисту і аудиту безпеки об’єктів критичної інфраструктури та систем,
які обробляють державні інформаційні ресурси. Передбачається, що до цього процесу будуть залучені незалежні галузеві експерти та профільні компанії.
Більш того, вводяться норми, які вимагають проводити такі оцінки на
регулярній основі. Це один із інструментів підвищення загального рівня
кібербезпеки критично важливих інформаційних ресурсів та систем.
Краще оповіщення та посилена відповідальність. Законопроектом
дозволить підвищити оперативність сповіщення про кібератаки та
кіберінциденти: він формує механізми, які дають можливість усім основним
суб’єктам забезпечення кібербезпеки оперативно сповіщати про необхідність виконувати ті чи інші вимоги та рекомендації — на основі актуального досвіду реагування на кіберзагрози.
Законопроект також передбачає і посилення відповідальності осіб, на яких
покладено обов’язки із забезпечення кібербезпеки, за неналежне їх
виконання. Такої норми, нагадаю, роками вимагала експертна спільнота.
Кадровий потенціал і майбутнє. Цей законопроект також закладає основи
для формування кадрового кіберпотенціалу країни. По-перше, документом
передбачено введення до організаційно-штатних структур усіх державних
органів та установ відповідальних, за організацію і реалізацію кіберзахисту
державних інформаційних ресурсів. Мова не просто про чергову штатну
одиницю, а про фахівця з відповідним рівнем компетенції та відповідними
гарантіями правового і соціального захисту.
Також законопроект закладає основи для формування Національної рамки
кваліфікацій в сфері кібербезпеки шляхом розробки професійних стандартів і організації системи професіональної стандартизації.
Тобто, мова про формування професійного ринку праці і необхідного
кадрового потенціалу у сфері кібербезпеки для нашої країни.
Аналізуючи відкриті джерела, більша частина експертного міжнародного
середовища, висловлює свою думку, що москва готується до наступної кібератаки. За останній рік російські кібервійськові змінили свій
оперативний підхід, щоб краще координувати свої дії та брати участь у
боротьбі з тривалим конфліктом. Тому важливо, щоб конкретні чинники
успіху України в обороні були визначені, проаналізовані та, де це необхідно,
посилені.
Проблема полягає не лише в тому, щоб забезпечити готовність до майбутніх
конфліктів, а, що більш терміново, у забезпеченні подальшого успіху
кіберзахисту обєктів критичної інфраструктури.
Важливо розуміти: усі ці зміни не з’явилися нізвідки. Вони назріли давно. Їх
вимагає ринок, наукова спільнота, їх потребує держава. Це результат
опрацювання практичного досвіду, це ті вимоги, які диктує нам поточна
ситуація в галузі, це той необхідний мінімум, який дозволить вітчизняній
системі кібербезпеки стати більш стійкою до існуючих викликів і загроз та
бути готовою до викликів майбутніх.
Світові аналіти пишуть «Ретельний аналіз наявних доказів свідчить про те,
що основні уроки полягають не в тому, що зробила Україна, а в більш
загальному плані в її вищій здатності пристосовуватися до різних аспектів
кібернаступу Росії. Інституційні адаптації, такі як зміни законодавства в
Україні та заходи, вжиті для отримання підтримки державного та приватного секторів, значною мірою сприяли успіху Києва в обороні.
На цьому етапі війни беззаперечно можливо стверджувати, що Україна
рішуче виграла адаптаційну битву в кіберпросторі. Але питання залишається відкритим, щодо нашої готовності, та постійного ручного керування та ситуаційного адаптування на будь які кіберзагрози.
Також питання відкрите, чому та з яких причин відбувається гальмування
прийняття законопроекту 8087.
Це — майбутнє галузі і нашої з вами захищеності. Більш того, як я вище
писав у документі уже враховано передовий європейський досвід, що високо оцінили наші міжнародні партнери та союзники, адже в його основі — ключові європейські директиви з кібербезпеки, що наближає Україну до
інтеграції в європейське співтовариство і вступу до ЄС.