Кібербезпека України: американці зробили перший крок
Думки експертів про те, що нам дасть ухвалення Конгресом США закону про захист України від кібератак
Першим про підтримку конгресом США «українського» законопроекту про кібербезпеку повідомив у своєму Фейсбуці заступник голови Адміністрації Президента України Дмитро Шимків.
Він подякував конгресменам, їх помічникам, українському посольству в Вашингтоні та нашим партнерам за цю ініціативу й усі ті зусилля, які були покладенні у просуванні його в Конгресі, зазначивши, що здійснити це було дуже непросто, зважаючи на кількість законодавчих ініціатив.
Це буде перший закон США в сфері кібербезпеки, де слово Україна винесене в заголовок. А ще в ньому згадується Будапештський меморандум, і Україні пропонується, ні більше, ні менше, як разом з Америкою виконувати лідерську роль у покращенні кібербезпеки у всій Центральній та Східній Європі. Закон свідчить про відповідальне ставлення наддержави до безпеки у нашому регіоні. Конгрес дав зрозуміти, що усвідомлює небезпеки неконвенційної війни, і що поза увагою конгресменів не залишаються оті всі напади на енергетичні об'єкти, газотранспортну систему, аеропорти, метро, що так стурбували нас. У цій, хай наразі безкровній, але найпотужнішій війні, ми швидше за все матимемо союзників.
І хоча законопроект має ще пройти голосування у Сенаті, ми вважаємо його достойним для обговорення. Укрінформ зробив переклад документу і попросив прокоментувати його експертів зі сфери інформаційної безпеки.
ЗАКОН МАТИМЕ РАМКОВИЙ ХАРАКТЕР, АЛЕ РОБОЧІ ГРУПИ НАПОВНЯТЬ ЙОГО ЗМІСТОМ
Дмитро Дубов, завідувач відділу інформаційної безпеки та розвитку інформаційного суспільства Національного інституту стратегічних досліджень:
- Законопроект, ухвалений нижньою палатою Конгресу, сприймаю не з точки зору практики, але як однозначну перемогу політичної позиції. В США сформоване законодавство щодо кібербезпеки, але це буде перший закон, який стосується України та регулює у цій сфері відносини між Україною й США. Він на дві третини складається з констатуючої частини, щоб було зрозуміло, як вони сприймають події в Україні у сфері кібербезпеки. А в резолюючій частині є дуже важливі слова. Слова про те, що підтверджується відданість США Хартії про стратегічне партнерство між США та Україною, відданість США підтримці співпраці між НАТО та Україною. А також певні положення, які фактично містять зобов'язання для американської влади.
Наприклад, Державному секретарю – вживати дії, відповідно до інтересів США, із допомоги Україні в підвищенні її кібербезпеки. Департамент енергетики нестиме відповідальність для створення українсько-американської робочої групи з розробки Програми кібернетичної безпеки України. Тобто є чіткі положення, що це – завдання Держдепу та Міністерства енергетики, і чим вони мають допомогти українській стороні. Встановлюється формат відносин, констатуються, якими вони мають бути. Бо до цього моменту формальних документів, у яких це закріплено, не існувало. Американська влада має вживати певних кроків на захист критичної інфраструктури. Але які конкретно кроки і скільки коштів буде виділятися – не зрозуміло. Це рамочний документ, який дозволяє розпочати ефективний двосторонній діалог, а як він буде наповнюватися, залежить від учасників діалогу, від комісії, яка працюватиме і в США, і в Україні.
Певна допомога від НАТО вже є. Окремо США могли б допомагати у розслідуванні інцидентів, хоча, якщо брати технічний бік – ми і самі багато що можемо. Але точно нам би не завадила допомога у встановленні систем для захисту критичної інфраструктури, у розвитку системи CERT-ів (команди реагування на кіберзагрози – ред.), яка ще формується.
Їхнє завдання з оцінки кіберзахисту в країні також вважаю дуже важливим. Насправді, така оцінка не проводилася, руки не дійшли. Тому поглиблення методологічної допомоги, щоб зрозуміти стан нашої кібероборони та тоді з'ясувати, чим би вони могли допомогти в фінансовому, технічному, кадровому сенсі, є дуже важливим. Можливо, це потягло б за собою створення освітніх програм не тільки для фахівців сфери, а й для держслужбовців, персоналу об'єктів критичної інфраструктури.
ЗАКОН – ФУНДАМЕНТ ПОДАЛЬШОЇ СПІВПРАЦІ, ЯКИЙ ВИЗНАЧАЄ УКРАЇНУ, ЯК ГОЛОВНЕ ПОЛЕ КІБЕРВІЙНИ
Костянтин Корсун, голова ради громадської організації "Українська група інформаційної безпеки":
- Я віддаю належне українським дипломатам, які цілеспрямовано ведуть роботу з нашими американськими партнерами з підтримки кібербезпеки в Україні. Якщо говорити про сам закон, то там згадуються головні моменти відносин України та США: дипломатичні стосунки встановлено у 1992 році, спроба зірвати вибори Президента України у 2014, атака на Прикарпаттяобленерго та інші об'єкти енергетики. Йдеться про те, як багато представників різних відомств США приїжджали до України допомагати розслідувати той інцидент, і що Петро Порошенко підкреслив необхідність створення Національної системи кібербезпеки.
Читаючи закон в оригіналі, зустрів цікавий вислів: «cyberspace has turned into another battlefield 101 for State independence». Я так розумію, battlefield 101 – означає щось типу «основоположне поле битви». Далі США підтверджують своє прагнення підтримувати Україну в сферах оборони, безпеки, економіки, торгівлі, енергетичної безпеки, демократії та культурного обміну.
Автори законопроекту підтверджують підтримку реформ та антикорупційних ініціатив, Будапештського меморандуму та обіцяють допомагати Уряду України покращити його стратегію кібербезпеки.
Які пункти перелічених пропонованих заходів підтримки привернули мою увагу? Не пізніше, ніж за 180 днів після введення в дію Акта, Держсекретар США подає Комітету закордонних справ Палати представників та Комітету закордонних відносин Сенату Звіт про стан взаємодії США з Україною. Деталізується, які саме пункти та заходи включатиме Звіт. І один з них, до речі, вже виконано, це поглиблення угоди з НАТО щодо заснування Центру керування інцидентами – для моніторінгу подій кібербезпеки та лабораторій із розслідування інцидентів кібербезпеки. По останньому пункту можна сміливо ставити галочку "done": Центр запущено, відкривав голова СБУ, новину про це публікували на сайті Служби, запросили представників місцевої infosec-ком'юніті.
Якою б могла бути допомога США? Кібербезпека – витратна штука, яка не приносить прибутків, але багато хто розуміє, що безпека важливіша за прибуток. Інформаційною безпекою у державному секторі, в органах влади ніхто особливо не займався, особливо до 2014 року. Бюджетів ніколи не виділялося, і зараз вони не виділяються.
Спілкуючись з різними представниками влади, розумію, що хоч і триває четвертий рік війни, коли відбуваються потужні кібератаки та вирує кібервійна, – як і раніше, нічого не виділяється на цю сферу.
Хоча СБУ була більш ініціативною, вони домовилися про співпрацю із НАТО через Трастовий фонд. Тобто методична допомога відбувається і зараз. Співробітники правоохоронної системи постійно туди їздять на навчання. Але без софта та заліза результат навряд чи буде ефективним. Повертатися додому і на якомусь Windows XP чи Pentium 4 намагатися будувати безпеку інформаційної мережі – неможливо. Тому американська допомога могла б бути у вигляді сучасного обладнання та сучасних софтверних рішень, плюс – методологічна допомога (вона надається досить давно, але тепер надаватиметься відповідно до останніх рішень з кібербезпеки).
Які подальші шляхи реалізації закону в разі набрання чинності? Про це краще знають люди з виконавчої влади. Але закладаються передумови: ми з вами, ми хочемо вас підтримати. І взагалі факт, що такого роду акт пройшов через доволі громіздку машину американського конгресу, – це вже дуже велике досягнення саме по собі. Американська бюрократія складна, я розумію, що підзаконними актами будуть вирішуватися конкретні кроки.
Думаю, що відповіді на запитання – «як», «що», «в якій кількості», «коли» – будуть далі. Але без основоположного закону навряд чи можливі інші рішення. Закон – теоретична, фундаментальна база, підзаконні акти деталізують шлях його імплементації. У США є розуміння, що закладено фундамент, щоб розвивати співробітництво.
УКРАЇНСЬКОМУ ПАРЛАМЕНТУ ТЕПЕР ТРЕБА ВСТИГНУТИ ЗА СЕНАТОМ
Олексій Барановський, доцент кафедри інформаційної безпеки КПІ:
- Закон дійсно цікавий. Це потрібний Україні знак солідарності та підтримки від Сполучених Штатів Америки.
Головний пункт, який би я виділив, якщо треба було сформулювати його одним реченням – такий: на найвищому законодавчому рівні визначено прагнення США допомогти Україні в сфері інформаційної безпеки.
Мої колеги висловилися про позитиви та перспективи, а я б хотів відзначити наступну річ. Український закон про засади кібербезпеки набирає чинності у травні поточного року. Уявіть, що американський закон буде прийнято Сенатом та підписано президентом раніше? Тоді американці вимушені будуть почати нам допомагати у кіберзахисті критичної інфраструктури. Але у нас її, вибачте, законодавчо ще нема.
Я думаю, що нашим законотворцям варто почати бігом формувати критерії, за якими визначатиметься список об'єктів критичної інфраструктури, та закривати усі наявні законодавчі лакуни. Щоб американці, власне, мали уявлення, де саме вони мають допомагати, якщо закон буде прийнято Сенатом.
У цілому, Україна мала би приймати будь-яку допомогу в сфері кібербезпеки та розвивати співпрацю по будь-яких напрямках, але поки що законом її види та обсяги не деталізовані.
Хоча варто відзначити, що у нас є позитивний досвід співпраці з НАТО. Про створений в СБУ Центр кібербезпеки я чув позитивні відгуки колег.
Але особисто мені цікавий підпункт майбутнього закону про започаткування кампанії з підвищення поінформованості щодо інформаційної безпеки. Я думаю, що Україна потребує великих освітніх програм. А оскільки працюю у сфері освіти, то вважаю, що навчання – первинне.
Лана Самохвалова. Київ.