АНАЛІТИЧНИЙ ЦЕНТР

Ranked Best New Think Tank by 2020 Global Go To Think Tank Index

PER ASPERA – AD ASTRA

АНАЛІТИЧНИЙ ЦЕНТР

Ranked Best New Think Tank by 2020 Global Go To Think Tank Index

PER ASPERA – AD ASTRA

Нова стратегія кібербезпеки: як Україна захищатиметься в кіберпросторі?

Нова стратегія кібербезпеки: як Україна захищатиметься в кіберпросторі?

1 лютого Президент України Володимир Зеленський підписав указ про введення в дію рішення РНБО про «Про План реалізації Стратегії кібербезпеки України», яку було затверджено ще в серпні 2021 року. Це вже другий документ такого роду, й важливість його в часи навислої російської агресії важко переоцінити. Про те, чим нова стратегія відрізняється від попередньої, досягнення яких цілей передбачає, а також як співвідноситься зі Стратегією на цифрове десятиліття ЄС, – читайте в цьому матеріалі.

Засвоївши урок

Першу Стратегію кібербезпеки України було затверджено у 2016 році. Документ містив низку прогалин, які позначились на ефективності реалізації поставлених цілей, прогрес у досягненні яких становив лише 40%. По-перше, у ній не було достатньо чітко окреслено пріоритети державної політики в кіберсекторі. По-друге, увага акцентувалась на діяльності органів безпеки та оборони, не пропонуючи моделі державно-приватної співпраці та мінімально висвітлюючи питання залучення академічних кіл і громадськості. По-третє, не було розроблено систему індикаторів виконання стратегії як оцінки стану кібербезпеки.

Утім, варто зазначити, що за цей час відбулась низка позитивних зрушень у розбудові системи кібербезпеки України:

1.              У 2017 році прийнято Закон України «Про основні засади забезпечення кібербезпеки України», яким серед іншого визначили повноваження державних органів, підприємств та осіб у секторі;

2.              У 2020 Постановою КМУ №943 затверджено порядок формування переліку об’єктів критичної інформаційної інфраструктури, однак відповідний список так і не було сформовано;

3.              У низці структур, зокрема в Нацбанку, Міністерстві інфраструктури, Державній службі спецзв’язку, СБУ, було утворено спеціалізовані підрозділи, а також робочий орган РНБО – Національний координаційний центр кібербезпеки – покликаний координувати та узгоджувати діяльність різних суб’єктів державного кіберсектору;

4.              Налагоджено галузеве партнерство на міжнародному рівні, зокрема започатковано кібердіалог зі Сполученими Штатами.

Зустріч фахівців Національного координаційного центру кібербезпеки з представниками міжнародних компаній, що спеціалізуються на виробництві та впровадженні в Україні технологій та обладнання для побудови сучасних систем кібербезпеки, 6 серпня 2020 року. rnbo.gov.ua

Стратегія 2021 року визначає три пріоритети: безпечний кіберпростір, захист прав громадян у цифровому просторі та європейську і євроатлантичну інтеграції, а також передбачає досягнення важливих цілей, як-то:

1.              Дієва кібероборона. Для цього в структурі Міноборони заплановане створення кібервійська в першому півріччі 2023 року;

2.              Протидія розвідувально-підривній діяльності та кібертероризму;

3.              Протидія кіберзлочинності шляхом завершення імплементації в українське законодавство положень Конвенції про кіберзлочинність та залучення відповідних практик США;

4.              Розвиток асиметричних інструментів стримування;

5.              Національна кіберготовність та надійний кіберзахист (таким чином документ обіцяє створення національної системи управління інцидентами);

6.              Професійне вдосконалення, кіберобізнане суспільство та науково-технічне забезпечення кібербезпеки;

7.              Безпечні цифрові послуги;

8.              Зміцнення системи координації; 

9.              Формування нової моделі відносин у сфері кібербезпеки, де за державою закріплюватиметься роль партнера;

10.          Прагматичне міжнародне співробітництво.

Читайте також: Український кіберпростір: безпекові загрози, виклики та перспективи розвитку

Про роботу над помилками попереднього документа свідчить План реалізації Стратегії, який чітко визначає терміни та відповідальні установи для досягнення кожної з поставлених цілей. Приміром, розробку системи індикаторів стану кібербезпеки заплановано на друге півріччя 2022 року. А про залучення академічних кіл до розбудови безпечного та перспективного кіберпростору свідчить, наприклад, покладене на Національний інститут стратегічних досліджень завдання щорічного проведення соціологічних досліджень щодо кіберзагроз для населення.

Стратегія кібербезпеки України та Стратегія кібербезпеки Міністерства оборони Грузії: однаковий шлях до спільної мети?

Гібридна війна Росії проти України, що з 2014 року активно супроводжується кібернападами на сайти урядових установ та навіть на об’єкти забезпечення життєдіяльності населення (атаки на «Прикарпаттяобленерго»), – не перша апробація кремлівської методички гібридної агресії. У серпні 2008 року, у переддень гарячої фази війни Кремля проти Грузії, російські гакери атакували відомчі сайти та ЗМІ, спричинивши відмову в обслуговуванні, а згодом здійснили DoS-атаки на приватні структури.

Дізнавайтеся більше: Асоційоване тріо: гуртом і в ЄС легше йти

Інша схожість полягає в тому, що Грузія, як і Україна, входить до Асоційованого тріо, тобто також орієнтована на приведення внутрішнього законодавства у відповідність із нормами Європейського Союзу. Відтак, цікаво порівняти стратегічні документи щодо кібербезпеки обох держав.

Стратегія кібербезпеки Міністерства оборони Грузії розрахована на 2021-2024 роки (українська – 2021-2025 рр.) та передбачає всього три цілі:

1.              Розвиток людського капіталу. Аналіз кіберінцидентів Міністерством оборони вказав на людський фактор як на один із найбільш вразливих елементів у забезпеченні кібербезпеки держави. Тобто перша ціль орієнтована на професійний ріст кіберфахівців завдяки участі у відповідних освітніх проєктах;

2.              Інституціоналізація процесів та підвищення ефективності управління. Передбачається оптимізація адміністрування за допомогою планування, орієнтованого на ризик, оскільки причиною низької ефективності реалізації мети спеціалісти Міноборони називають фрагментарність планування;

3.              Забезпечення технологічної стійкості через нарощення кіберможливостей за допомогою високого рівня технічної підтримки.

Засобами досягнення стратегічних цілей, які, зокрема, сприятимуть «наближенню до західних стандартів», визначено три рівні співробітництва: внутрішньовідомче, національне та міжнародне. Щодо національного співробітництва, то в документі описана потреба взаємодії спеціалізованих державних структур, таких як Рада національної безпеки, Бюро кібербезпеки Міністерства оборони, відділ кіберзлочинності МВС та ін., й одним реченням прописано залучення бізнесу, наукових кіл та громадськості. У рамках останнього передбачається партнерство з НАТО та ЄС задля залучення кіберфахівців до програм, семінарів та тренінгів, що, знову ж таки, сприятиме узгодженості норм роботи міністерства з західними стандартами. Примітно, що грузинська стратегія не визначає джерел загроз, на відміну від українського кейсу, де таким визнана Російська Федерація.

Детальніше за темою: Кіберагресія як інструмент політичного впливу Російської Федерації

А проте обидві стратегії передбачають приведення внутрішньої кіберполітики у відповідність із нормами ЄС. В українській Стратегії зазначається, що «враховано положення Стратегії кібербезпеки ЄС на цифрове десятиліття, стратегій кібербезпеки окремих держав-членів ЄС та держав-членів НАТО». Однак документ не містить переліку чи окремого додатку, які саме положення будуть враховані, за винятком одного з пунктів Плану реалізації, що передбачає імплементацію Директиви Європейського парламенту і Ради ЄС 2016/1148 від 6 липня 2016 року про заходи для високого спільного рівня безпеки мережевих та інформаційних систем на території Союзу як елементу євроінтеграції України. У той самий час у грузинському варіанті не має чіткого визначення, яким стандартам буде приділена увага.

Отож, можна констатувати, що оновлена Стратегія кібербезпеки України ширша та більш фактична, ніж у Грузії, при тому, що Грузія дещо випереджає Україну в галузевих рейтингах. Приміром, станом на 2020 рік у GCI, Глобальному індексі кібербезпеки, вона посідає 55 сходинку, а Україна – 78. Однак рівень розвитку електронного врядування (E-governance Development Index) обох держав схожий – 65 позиція в Грузії та 69 в України.

Українська кіберстратегія VS Стратегія кібербезпеки на цифрове десятиріччя ЄС

Державна служба спеціального зв’язку та захисту інформації України стверджує, що нова стратегія відповідає не тільки сучасним викликам та загрозам у кіберпросторі, але також і Стратегії кібербезпеки на цифрове десятиріччя ЄС. Чи справді це так?

Саме слово стратегія означає загальний план, що створений на довгострокову перспективу для досягнення важливої мети. Тому питання має бути, чи однакова в нас мета з Європейським Союзом у сфері кібербезпеки? Ці дві стратегії навіть починаються схоже: «забезпечення кібербезпеки є одним із пріоритетів у системі національної безпеки України» та «кібербезпека є невід’ємною частиною європейської безпеки». Обидві стратегії спрямовані на забезпечення такого глобального та відкритого кіберпростору, що є надійно захищеним. Стратегія кібербезпеки України та Стратегія кібербезпеки на цифрове десятиріччя вказують на те, що загрози посилюються геополітичною напруженістю (однак Україна вказує гібридну агресію РФ загрозою, а ЄС – ні), а також на важливість привернення уваги до кібертероризму, поширення загроз на всі сфери життя тощо.

Вас може зацікавити: Поняття європейської ідентичності та її значення для політики ЄС

Якщо наша мета збігається, то методи досягнення, або іншими словами тактика, є різними. ЄС визначив три сфери, де має досягти успіху. Перша пов’язана зі стійкістю, технологічним суверенітетом та лідерством. Для цього пропонується реформа правил безпеки мережевих та інформаційних систем. Друга сфера охоплює середні та великі підприємства залежно від їхньої важливості для економіки та суспільства. Досягнення мети Євросоюз бачить через посилення вимог безпеки, що висуваються компаніям, вирішення питань безпеки ланцюгів постачань, відносин із постачальниками тощо. Третя сфера стосується просування глобального та відкритого кіберпростору завдяки розширенню співпраці. Стратегія кібербезпеки на цифрове десятиріччя говорить про те, що Євросоюз також має намагатися знайти спільну мову, де це можливо та вигідно з партнерами на основі питань, що становлять спільний інтерес.

Кіберстратегія ЄС не виділяє Україну як пріоритетного партнера в цій сфері, тоді як для Києва європейська та євроатлантична інтеграція у сфері кібербезпеки є важливою. Українська стратегія задля розвитку стратегічних відносин у кіберпросторі пріоритетними партнерами визначає Європейський Союз і США, а також інших країн-членів НАТО та міжнародні організації.

Головними загрозами в нашій стратегії визначено гібридну агресію РФ, кіберзлочинність, організовані та спонсоровані урядами інших держав кібератаки, кібертероризм та іншу підтримку терористичної діяльності. Водночас у стратегії йдеться про те, що повільна імплементація положень європейського законодавства є одним із чинників, що формує вищезазначені загрози. У рамках гарантування безпеки цифрового простору Україна має спрямувати свої зусилля на розроблення національних стандартів у сфері кібербезпеки, організаційних та технічних вимог з урахуванням європейських та міжнародних стандартів.

Рекомендуємо до прочитання: Місце гакерства в зовнішній політиці КНР

Одним зі стратегічних завдань наша кіберстратегія визначає створення MIL.CERT-UA, що буде працювати в інтересах Міністерства оборони та Збройних сил України. Для цього потрібно налагодити постійну співпрацю з CERT-мережею ЄС – командою фахівців, що обробляє та реагує на інциденти в кіберпросторі (Computer Emergency Response Team). У стратегії з кібербезпеки Союзу йдеться про те, що нагальним є посилення CERT-EU завдяки вдосконаленню механізму фінансування.

Президент України Володимир Зеленський знайомиться з роботою CERT-UA, 13 травня 2021 року. president.gov.ua.

Це допоможе європейським CERT допомагати установам, органам та агентствам ЄС застосовувати нові правила кібербезпеки, покращувати їхню кіберстійкість. Україна перебуває в епіцентрі гібридної війни, де кібератаки є невід’ємною її частиною. Тому для Києва дійсно важливо підтримувати постійний контакт із європейськими командами реагування, особливо коли ЄС сам стверджує про важливість обміну практиками задля більш ефективної співпраці.

Читайте також: Гактивізм у Білорусі, або Партизани XXI століття

Ці дві стратегії показують, що і Україна, і Європейський Союз мають однакову мету у сфері гарантування кібербезпеки. Методи досягнення цілей дещо різняться, але українська тактика безпосередньо пов’язана з прагненням Києва до набуття повноправного членства в ЄС та тісною співпрацею з його країнами-членами.

Висновок

Зважаючи на низку прогалин, які містила Стратегія з кібербезпеки 2016 року та лише 40% реалізованих цілей, стратегія 2021 року намагалася врахувати всі недоліки попередньої. Так, наприклад, План реалізації Стратегії визначає терміни, а також відповідальні установи для досягнення кожної з поставлених цілей. Український та європейський профільні документи визначають три пріоритетні напрями роботи. Для України такими є безпечний кіберпростір, захист прав громадян у кіберпросторі та європейська і євроатлантична інтеграція. І Київ, і Тбілісі відчули на собі російську гібридну агресію. Нова Стратегія кібербезпеки України врахувала цей фактор, тому документ вийшов більш детальним і широким, ніж Стратегія кібербезпеки Міністерства оборони Грузії. Також українська Кіберстратегія перегукується зі Стратегією на цифрове десятиліття ЄС. Ми маємо спільну мету, а саме: забезпечення надійно захищеного глобального та відкритого кіберпростору. Однак, незважаючи на весь позитив, а також, здавалося б, намагання врахувати всі минулі помилки, варто пам’ятати, що навіть хороша стратегія не є запорукою успіху без її належного виконання.

Авторки – Анастасія Гаценко та Богдана Садомська, експертки з інформаційної та кібернетичної безпеки Аналітичного центру ADASTRA

Якщо вам сподобалась стаття, підтримайте діяльність центру на нашому Патреоні, аби ми й надалі могли створювати якісний контент