Олександр Потій, заступник Голови Держспецзв'язку

 

Кібератаки на критичну інфраструктуру стають дедалі серйознішою загрозою для всього світу. За даними Європейського агентства з мережевої та інформаційної безпеки ENISA, протягом минулого року кількість кібератак на критичну інфраструктуру в ЄС зросла вдвічі. У 2020 році їх було понад 300, тоді як у 2019-му – близько 150.

Кількість атак на критичну інфраструктуру – це не просто цифри. Це – безпека та якість життя. Адже це – безперервна робота атомних станцій, можливість дістатись у будь-яку частину країни залізничним транспортом, це доставлення вантажів і забезпечення продовольством, постачання води, світла і тепла до осель, вчасно видані зарплати й пенсії та інші життєво необхідні процеси.

Ми в Україні добре знаємо, наскільки небезпечною та дорогою для країни можуть бути такі атаки. Кілька років тому взимку мешканці Західної України провели кілька годин без світла через першу у світі атаку на енергетичну систему вірусом Blackenergy. Також ми пам'ятаємо вірус NotPetya, через який багато звичних сервісів тимчасово не працювали – кілька днів відновлювала роботу пошта, були проблеми з авіаперевезеннями, роботою банківських установ тощо.

Останнім часом ви рідше чуєте про масштабні кібератаки в Україні. Це не тому, що нас не атакують. Кількість інцидентів постійно зростає (див. інфографіку нижче), але й спроможності країни у кіберзахисті стають дедалі потужнішими.

Проте цього недостатньо. Кіберзахист – це не стан, а процес. Неможливо побудувати систему захисту сьогодні й чекати, що вона завжди оберігатиме нас від загроз. Неможливо прийняти стандарти захисту і вважати, що вони застрахують від усіх негараздів назавжди.

Складність і масштаби загроз постійно зростають. Тому і захист від них має постійно вдосконалюватися. Навіть США – країна з однією з найкращих систем кібербезпеки та кіберзахисту – страждає від кібератак на критичну інфраструктуру.

Україні треба багато чого зробити для вдосконалення захисту критичної інфраструктури та інформаційних систем цих об'єктів. Нормативна база нашої держави може лише частково задовольнити потреби власників ОКІІ. Потрібен всебічний і комплексний підхід, який використовують провідні країни в галузі кібербезпеки, який враховує постійні зміни в сегменті безпеки.

В ЄС основним органом, який займається досягненням високого спільного рівня кібербезпеки, є Агентство Європейського Союзу з кібербезпеки ENISA. ENISA розробило єдину загальноєвропейську концепцію захисту «Cyber Europe», яка була ухвалена у 2009 році й оновлюється раз на два роки.

Основою цього концепту є безпека та стійкість ОКІІ – це і є передовою лінією кіберзахисту. ЄС також забезпечив тактичні дії та оперативне співробітництво країн на загальноєвропейському рівні. Крім того, вимоги щодо захисту ОКІІ визначені національним законодавством окремих країн-членів ЄС.

У США організацією, яка опікується створенням вимог у галузі кібербезпеки, є NIST – Національний інститут стандартів і технологій. Для певних організацій у США при побудові інформаційних систем дотримання вимог NIST Cybersecurity Framework обов’язкове, зокрема для об'єктів критичної інформаційної інфраструктури. Цей документ з'явився у 2014 році та відтоді кілька разів був оновлений.

Гайдлайн із протистояння ризикам кібербезпеки Cybersecurity Framework, що розробив NIST, – один серед найкращих у галузі.

Саме його ми – Держспецзв'язку – взяли за основу для розроблення нового документу, який не тільки визначатиме рекомендації з підвищення кіберзахисту критичної інформаційної інфраструктури в Україні, а й надасть змогу досліджувати бачення своєї кібербезпеки та ефективність уже впроваджених заходів відповідним підприємствам та установам. Незабаром цей документ буде ухвалений. Він дасть власникам ОКІІ чіткий набір та алгоритм упровадження заходів кіберзахисту, управління ризиками кібербезпеки та захисту інформації; можливість планувати свою діяльність і бюджети, надавати пріоритет тому чи іншому напрямку заходів із кіберзахисту залежно від його поточного стану тощо.

Цей документ буде “живим”. Його регулярно переглядатимуть, адже власники критичної інформаційної інфраструктури мають бути здатними протистояти динамічним ризикам кібербезпеки.

Цей документ – не правила, написані з нуля. Він об’єднує всі напрацьовані підходи та чинну нормативну базу, яка вже використовується в Україні. Тобто Україна йде максимально демократичним шляхом, адже дає можливість обирати для побудови кіберзахисту будь-який національний або міжнародний стандарт захисту інформації, прийнятий в Україні, зокрема, КСЗІ, СУІБ, NIST, ISO 27 000 тощо. Крім того, поки що документ матиме рекомендаційний характер, тоді як у США та ЄС вимоги щодо захисту критичної інформаційної інфраструктури – обов'язкові для виконання.

Утім, згодом, сподіваюсь, принаймні для найважливіших для безпеки країни об'єктів критичної інформаційної інфраструктури, виконання положень документу стане обов'язковим.