Ефективна система кібербезпеки країни сама себе не побудує
25 січня було здійснено кібератаку на великий київський дата-центр. Внаслідок цього постраждали сервіси Нафтогазу, Укрпошти, Укртрансбезпеки і ще бозна скількох організацій. Дізналися ми про це лише тому, що атаки мали зовнішні прояви, і це побачили багато людей: не працював сайт, не надавалися послуги, лежала система «Шлях». Під тиском громадськості довелося визнавати «технічні збої».
Тому що кібервійна триває. Триває ще з 2014 року. Є успіхи з обох сторін. Найбільші успіхи України: Росавіація, RuTube, Trickbot Group, дефейси Газпрому та РПЦ (все – 2022). Їхні найбільші успіхи: Медок (2017), Прикарпаттяобленерго (2015), Держказначейство (2016), Київстар (2023). І сотні прикладів поменше.
З боку України працюють переважно малочисельні волонтерські групи, з боку запорєбріка – організована машина, яка будувалася з початку 2000-х під керівництвом спецслужб та держструктур з великими бюджетами та розгалуженою вертикально-горизонтальною структурою.
Але давайте розділяти поняття «напад» та «захист» у кібербезпеці. Якщо говорити про «напад» (offensive), то для проведення успішної кібератаки потрібно на порядок менше зусиль та ресурсів, ніж на організацію захисту. Захистити усю державу неймовірно складніше, довше, дорожче. Просто для розуміння: успішна кібератака готується кілька місяців, а система національного кіберзахисту будується роками-десятиліттями, причому без гарантій успішності, у залежності від якості виконання.
Якщо ж говорити про кіберзахист країни, то в Україні наразі є кілька організацій, які нібито «відповідальні» за кібербезпеку країни: Держспецзв’язку, НКЦК РНБО, ДКІБ СБУ, кіберполіція та навіть МЦТ. А Держспецзв’язку ще й «відповідальний» за безпеку (не тільки кібер-) усієї критичної інфраструктури.
Тож давайте спитаємо усі ці поважні інституції: а якого, власне, біса ЙР продовжує виносити українську критичну інформаційну інфраструктуру? Чи візьме якась державна установа на себе провину за черговий пропущений гол? Чи хтось з посадовців буде покараний? Чи буде все «як завжди»? Ставлю що завгодно на останнє.
І ще питання: чи щось суттєво покращилося у системі національної кібербезпеки з часів атаки на Медок (червень 2017)? Я не бачу принципових позитивних змін.
Чи, може, нарешті прийнято нормальний Закон про кібербезпеку? Відповідь однозначна – «ні». Тоталітарний та корупційний законопроєкт №8087 і близько не лежав поряд з сучасними міжнародними практиками та підходами. А колишні керівники Держспецзв’язку, які його агресивно просували, ігноруючи протести громадськості та навіть Міноборони, зараз знаходяться під слідством НАБУ за розкрадання та зловживання.
Враховуючи ж, що дані про успішні кібератаки проти України наразі «непублічні», оцінити справжній масштаб проблеми кіберзахисту по всій країні практично неможливо. Визнаються лише ті атаки, результати яких не вдалося приховати.
Зате проводяться форуми-саміти-конгреси, на яких держслужбовці радісно звітують один одному про «покращення-поглиблення» (у форматі П-П-Р), іноземна допомога ллється рікою, чиновники їздять за кордон та й загалом непогано себе почувають. А ще Україна урочисто приєдналася до кібер-центру НАТО в Таллінні (CCDCOE), хоча імплементація НАТОвських кібер-стандартів не майорить навіть на обрії.
Що робити, запитаєте? Я про це пояснюю ще з 2018: потрібен єдиний для всієї країни кібер-орган, символ довіри та взірець професіоналізму. Наголошую: НЕ ще один умовний «держспецніфіга», а принципово нова інституція з прозорими конкурсними відборами та перевірками доброчесності. З працюючими радою громадського контролю та з радою незалежних експертів. З широким залученням західних колег. Зі справжнім державно-приватним партнерством (а не прихованою корупцією), з сучасними міжнародними принципами функціонування (а не КСЗІ з 90-х років), власними лабораторіями (а не те, що зараз, на колінках), кваліфікованими фахівцями (а не кумами-сватами-однокласниками), з комунікаціями та просвітництвом (а не ота Дія.Освіта). Щоб західні партнери чітко розуміли, з ким їм контактувати з питань кібер-допомоги, щоб була зрозуміла «точка входу» та відповідальний зворотній зв’язок.
А поки усі мої пояснення розбиваються об залізобетонний лоб корумпованого чиновництва – ефективна система кібербезпеки країни сама себе не побудує. А значить, кібератаки триватимуть, і деякі будуть успішними. Хоча про більшість із них ми не дізнаємося. Або дізнаємося після Перемоги, коли чиновники проситимуть гроші на «кібер-відновлення». Але то вже буде зовсім інша історія.