Кіберзахист в умовах війни: досвід Європи для України

Олександр Федієнко, народний депутат України 9-го скликання, експерт з питань кібербезпеки, телекомунікацій, ІТ-технологій та інформаційної безпеки

 

Після початку повномасштабної агресії рф проти України українські кіберфахівці перебувають на передовій світової кібервійни. Європа вивчає наш досвід і вже зараз посилює повноваження власних відповідальних органів у зв'язку зі збільшенням кількості атак і зміною тактики російських хакерів. Україна теж рухається у цьому фарватері та вдосконалює своє законодавство в умовах війни.

Ворог теж вчиться. Якщо раніше агресор намагався безпосередньо атакувати об'єкти критичної інфраструктури за допомогою фішингу, то з другої половини 2022 року вони почали намагатися використовувати технічні вразливості установ, які надають послуги операторам критичної інформаційної інфраструктури. 

Це стало значним викликом, оскільки таким чином у ворога було більше шансів знайти слабке місце в обороні та зашкодити об'єктам критичної інфраструктури.

Російські хакери не тільки збільшили кількість атак проти України (у 2,8 рази, порівнюючи 2021 та 2022 рік), а й атакують також Європу та весь цивілізований світ. Уже зараз партнери починають розуміти, як кібервійна впливає на них комплексно, та впроваджують заходи, щоб їй протидіяти.

Наприклад, у січні 2023 року набула чинності директива Європейської комісії NIS2, спрямована на підвищення загального рівня кібербезпеки в ЄС. Зокрема, вона встановлює чіткий мінімальний перелік технічних та організаційних заходів із кіберзахисту, серед усього – для таких суб’єктів, як інтернет-провайдери, центри оброблення даних, постачальники хмарних послуг та онлайн-майданчики. 

Більш того, директива зобов’язує суб’єкти кіберзахисту приділяти належну увагу ризикам атак на ланцюги постачання і, відповідно, проводити належну перевірку кібербезпеки своїх постачальників. У ЄС розуміють, що для контролю виконання цих вимог регулятори повинні мати достатні повноваження, і ця директива розширює їх.

Згідно з нею, орган, що контролює виконання вимог, має право видавати попередження про порушення; надавати обов'язкові приписи, в тому числі щодо заходів, необхідних для запобігання або усунення інциденту. Якщо ж суб'єкт не виконує розпоряджень, йому загрожує призупинення дії дозволів, ліцензій, сертифікації, а також – суворі штрафи за невиконання.

Усі ці заходи стають необхідним безпековим мінімумом, враховуючи те, що бізнес і державні установи зазнають кібератак росії, і це впливає на їхню роботу.

А що в Україні, яка перебуває на передовій світової кібервійни і має унікальний досвід?

Довгоочікуваним і вкрай необхідним рішенням – відповіддю на актуальні виклики – стала розробка законопроєкту №8087, одним із ініціаторів якого є я. Він орієнтується та має схожий вектор із NIS2 Directive, проте є більш ліберальним.

Доволі іронічно, що деякі коментатори вважають законопроєкт, який має головну мету – протидію російській агресії у просторі, “закручуванням гайок” за прикладом росії. Розглянемо деякі тези, які озвучують критики, і дамо на них відповіді.

Однією з таких тез є те, що закон виписаний таким чином, що право на контроль розповсюджується на всі суб'єкти без винятку.

Сфера контролю, передбачена у 8087, є обмеженою і стосується тільки дотримання передбачених законодавством вимог щодо технічного, криптографічного і кіберзахисту.

Контролюватимуть не будь-якого постачальника послуг, а лише того, чия послуга або постачання безпосередньо повʼязані з функціонуванням певної ІКС державного органу чи критичної інфраструктури.

Хтось може сказати, що запропонований контроль обмежує базові конституційні права і свободи, не передбачає оскаржень та механізмів захисту. Проте законопроєкт не передбачає  будь-яких обмежень щодо можливості судового оскарження. Він передбачає, що порядок такої перевірки встановлює КМУ. І хоча проєкт такої постанови Кабміну ще не представлений, попередньо, такий порядок може передбачати адміністративне оскарження.

У когось на ринку може бути страх, що будь-який постачальник послуг, будь-який інтернет-провайдер, дата-центр, інтернет-магазин чи інтернет-сервіс мають бути готовими, що до них прийде Держспецзв’язку (разом із СБУ), дістане доступ до будь-якого обладнання, будь-якої інформації, встановить своє обладнання та видасть обов’язковий для виконання припис.

Як уже зазначено, контролюватимуть не будь-якого постачальника послуг, а лише того, чия послуга або постачання безпосередньо повʼязані з функціонуванням певної ІКС державного органу чи критичної інфраструктури.

Якщо ви все ж таки є обʼєктом контролю, то при його здійсненні доступ надається до інформації, яка безпосередньо пов’язана з контролем за технічним, криптографічним захистом інформації та кіберзахистом.

Навіть якщо при здійсненні контролю є доступ до інформації з обмеженим доступом, то законопроєкт чітко встановлює, що мають бути дотримані вимоги спеціальних законів щодо її охорони.

Отже, все доволі просто. Немає вимоги законодавства – немає контролю. Є вимога законодавства – за певних умов є контроль. Немає порушення – немає вимог. Є порушення – отримуєте вимогу про усунення.

Безумовно, важко впроваджувати європейську практику, коли зі стандартами або додається відповідальність, або посилюються роль і спроможності відповідального органу. 

Проте ще важче здійснювати кіберзахист і впроваджувати стандарти за умови відсутніх  механізмів забезпечення їх виконання. Або ж твої повноваження розповсюджуються не на весь ланцюг ризиків, які ти маєш мінімізувати, підвищуючи загальний рівень стійкості системи. І все це маємо робити в агресивних умовах війни.

Рухаємося вперед та перемагаємо!