Ексклюзивне інтерв'ю голови Державної служби спеціального зв'язку та захисту інформації України Юрія Щиголя агентству "Інтерфакс-Україна"

Автор: Дар Грищенко

 

− Почнемо з найцікавішого та поговоримо про кількість кібератак на критичну інфраструктуру за останні два-три роки: як воно змінюється та за рахунок чого?

− Україна зараз долає етап стрімкої трансформації цифрового середовища. У нас з'являється все більше електронних послуг, які надають як державні структури, так і приватні компанії. Наприклад, кількість активних користувачів "Дія" вже перевищила 6 млн осіб. Загалом обсяг ринку електронних послуг минулого року перевищив 100 млрд грн, показавши зростання на 40%. Онлайн-покупки, онлайн-банкінг, онлайн-спілкування відіграють все більшу роль у нашому повсякденному житті. Як наслідок – зростає інтерес до цієї сфери у зловмисників.

Щотижня на сайті Держспецзв'язку ми публікуємо статистику кіберінцидентів і кібератак. Зараз можна точно говорити про постійний приріст цих показників на 10-12% за квартал. Але це якщо згадувати нашу статистику, адже Служба моніторить не весь інтернет. Наше завдання – захист державних інформаційних ресурсів та інших об'єктів критичної інформаційної інфраструктури. Також за кібербезпеку у своїх сферах відповідають СБУ, Національний координаційний центр кібербезпеки при РНБО та інші органи. Кожен має свою інфраструктуру, свої завдання і, відповідно, свою статистику.

− Можете назвати основні напрямки, країни, від яких найчастіше страждає Україна?

− Якщо скласти рейтинг, то в ньому буде лише "номер один" та всі інші. Лідером цілком очікувано є Російська Федерація, яка має ресурси та бажання завдати шкоди Україні, а також – неабияк велику цікавість до нашої країни. Серед решти можна відзначити Китай, Північну Корею, Іран – країни, які традиційно проявляють свою агресивну поведінку в цій сфері.

− Що з об'єктів критичної інфраструктури атакують найчастіше? І який, власне, ступінь захисту в Україні?

− Якщо говорити про державні інформаційні ресурси, підключені до Системи захищеного доступу державних органів до інтернету, то найчастіше атакують офіційні вебпредставництва Президента України (president.gov.ua, petition.president.gov.ua), сайти СБУ, Державного бюро розслідувань (ДБР) та Національного антикорупційного бюро України.

За даними системи виявлення вразливостей та реагування на кіберінциденти та кібератаки, останні два роки лідерами є Київська міська держадміністрація (КМДА), Державна служба з надзвичайних ситуацій (ДержНС) та Міністерство внутрішніх справ.

Водночас значна частина інцидентів, за якими звертаються до Урядової команди реагування на комп'ютерні надзвичайні події CERT-UA, стосуються фішингових розсилань. Тут об'єктами атак найчастіше стають державні органи цивільного захисту, сектори економіки (Фонд держмайна (ФДМ)), Антимонопольний комітет (АМКУ)), органи прокуратури (Офіс Генпрокурора), енергосектор (Нафтогаз).

Як бачите, список доволі широкий, і це – тільки верхівка айсберга. Атак так чи інакше завдають усім державним структурам. Наше завдання – забезпечити стабільність роботи кожної з них. Жоден орган не має випадати з-під постійного контролю та моніторингу з боку Держспецзв'язку.

 

− Ми часто говоримо "критична інфраструктура, яка потребує кіберзахисту", але мало хто розуміє, що це таке. Що належить до цього поняття?

− У своєму запитанні ви вже частково дали відповідь і вказали на проблему, над вирішенням якої ми зараз працюємо. Наразі у нас все ще не сформовано список об'єктів критичної інфраструктури (ОКІ) та немає реєстру об'єктів критичної інформаційної інфраструктури (ОКІІ), які розташовані на відповідних ОКІ.

Рік тому ми запустили цей процес: ухвалили нормативно-правові документи, необхідні для формування списку об'єктів критичної інформаційної інфраструктури. Міністерства та відомства, у межах своєї сфери відповідальності, мали сформувати такий список та передати його Держспецзв'язку для валідації.

Але цей процес триває повільніше, ніж ми очікували, через бюрократичний механізм і "величезне бажання" багатьох структур потрапити до цього списку. Адже статус ОКІ передбачає певне регулювання та певну підвищену увагу. Хоч уже й минуло пів року, об'єктивну та правильну інформацію подали ще не всі відомства, які відповідають за це.

 

− А хто подався?

− З-поміж 10 уповноважених органів свої пропозиції вже подали вісім: Міністерство економіки, Міненерго, Мінінфраструктури, Міністерство охорони здоров'я, Міністерство розвитку громад та територій, Мінцифри, Національна служба здоров'я та Нацкомісія з цінних паперів та фондового ринку.

МВС заявило, що у них таких об'єктів немає. А Міністерство з питань стратегічних галузей відзвітувало про потребу додаткового часу через велику кількість об'єктів.

Були навіть окремі суб'єкти зі сфери діяльності Мінінфраструктури, які надсилали нам листи із проханням зачислити їх до об'єктів критичної інфраструктури та включити до списку. Але ми зобов'язані дотримуватись передбаченої нормативними актами процедури, згідно з якою списки формує відповідне міністерство або відомство.

Тільки після визначення всіх об'єктів, на яких є ОКІІ, та створення їх реєстру ми зможемо зрозуміти, що саме потрібно захищати; провести аудит систем захисту ОКІІ на підприємствах, що увійшли до Реєстру, та сформулювати умови для кожного підприємства, виконання яких забезпечить якісний захист критичної інформаційної інфраструктури. При цьому методологія захисту ОКІІ вже існує у вигляді (поки що) наказу адміністрації Держспецзв'язку.

Цей документ базується на підходах Національного інституту стандартизації та технологій США (NIST) із кіберзахисту, зокрема, відображає більшість положень із гайдлайну із захисту інформації CyberSecurity Framework.

NIST регулярно оновлює цей гайдлайн, і ми плануємо піти тим же шляхом – зробити "живий" документ, який регулярно переглядатимуть і в якому враховуватимуть усі актуальні виклики.

Крім того, цей документ запроваджує новий підхід до захисту інформації, що базується на управлінні ризиками. Компанії, яким належить критична інформаційна інфраструктура, повинні будуть аналізувати поточний стан кібербезпеки та цільовий, визначаючи пріоритети та які потрібні дії та заходи, щоб їх досягти. Це оцінювання має відбуватися регулярно. Адже кіберзахист не можна побудувати один раз, отримати "папірці" та забути про це, як роблять зараз деякі компанії. Цим потрібно займатися постійно та постійно оцінювати свій успіх у цьому напрямі. І ми як регулятор даємо для ОКІ інструмент, який дозволить це робити.

 

− У вас уже є якесь розуміння, в якому стані перебуває захищеність критичної інфраструктури в Україні? Тому що я знаю, що буквально кілька років тому т. зв. "білі хакери" показували, що шлях до критичних вузлів держкомпаній лежить у відкритому доступі. Нині таких дірок уже немає?

− Ми чудово розуміємо, що система неідеальна і має недоліки. І нам не вдасться їх позбутися доти, доки ми не зможемо створити загальну систему кіберзахисту, в якій кожен чітко розумітиме сферу своєї відповідальності.

Але цього мало. Другим проблемним моментом є формування достатнього кадрового потенціалу, який допоможе втілювати у життя напрацювання у сфері кіберзахисту. Цей процес нешвидкий, на жаль. І наша роль у ньому – формувати політику та пояснювати, що і як треба робити для формування ефективної системи захисту.

Ще однією проблемою є можливість залучити фахівців, які забезпечать формування достатнього кадрового потенціалу. Повірте, людина, яка заробляє 15 тис. грн у міністерстві, відповідати за її інформаційну безпеку не може. Якщо людина готова працювати за таку зарплату, виникає питання про рівень її компетенцій, або ж у неї є якийсь інший інтерес. Тому проблема формування кадрового потенціалу та побудови самої системи є сьогодні одним із наших пріоритетів.

 

− Що доведеться змінювати у міністерствах, у держорганах? Багато хто досі використовує неліцензійну ОС Windows…

− Щоб визначитися, що змінювати, потрібно хоча б розуміти – де. Тільки після формування переліку об'єктів критичної інформаційної інфраструктури ми зможемо провести аудит їхніх систем захисту та матимемо повне право сказати, що саме треба міняти. Зараз ми обмежуємося державним контролем захищеності інформації.

Ще один важливий нюанс: у кожному міністерстві та відомстві має бути створена окрема служба захисту інформації. Нині вже є ті, хто розуміє необхідність цього. Наприклад, атомні електростанції. Але для них наявність такої структури – це вимога міжнародних асоціацій, яких наші енергетики зобов'язані дотримуватись.

Для більшості інших органів і відомств є нормою, коли служба захисту інформації – це одна людина, на яку поклали цю функцію. Тому реформування служб захисту інформації – одне з найважливіших завдань, яке ми маємо розв'язати.

Так само важливо розвивати служби захисту на об'єктах критичної інфраструктури. Якщо подивитися на рекомендації щодо захисту ОКІІ, які подала Держспецзв'язку, то кадровим питанням у них також приділено увагу. Без відділу фахівців із кіберзахисту неможливо буде ні провести аналіз поточного стану, ні виявити недоліки, ні розробити стратегію розвитку.

Поява таких підрозділів у будь-якому бізнесі має стати нормальною практикою.

 

− Ви згадували людський ресурс. Чи потрібно наймати додаткових фахівців з боку, і чи доведеться перевчати тих, хто є? І взагалі, чи є хоч якийсь шанс, що фахівців вдасться перевчити?

− Україна належить до першості п'яти країн світу за якістю програмістів, яких ми випускаємо, у тому числі й у напрямку кібербезпеки. Наша проблема – у правильному використанні цього потенціалу та у тому, щоб підготовлені кадри працювали на державу.

Це розумні хлопці, які добре розуміють, що у приватній компанії зі світовим ім'ям чи навіть працюючи на аутсорсі вони зароблять значно більше грошей, ніж у держорганах.

Наразі Держспецзв'язку вирішує цю проблему, в тому числі за допомогою свого інституту. Майже 90% людей, які займаються кіберзахистом у нашій структурі, – це випускники нашого закладу вищої освіти. Курсанти після завершення навчання мають відпрацювати у державних структурах щонайменше п'ять років. І ключова проблема – як зробити так, щоб вони залишилися після першого терміну контракту. Адже, незважаючи на підвищення цього року зарплати у Службі на 20%, ми все одно не дотягуємо до мінімальної зарплати в галузі.

 

− Яка плинність у відсотках?

− Після першого контракту – близько 10%. Але проблема не в кількісному показнику, а в якісному. Приватні структури переманюють 10% найкращих фахівців. І якщо ми зможемо залишити у себе ці 10% якісних, до яких зможуть підтягуватися решта, тоді вирішимо цю проблему, корінь якої лежить у фінансовій площині. Але варто зазначити, не все вирішується винятково розміром зарплати.

 

− Ви зараз активно співпрацюєте зі США з питань кібербезпеки. Нещодавно USAID запустила програму "Кібербезпека критично важливої ​​інфраструктури України", в межах якої пропонує допомогу МСБ у розвитку послуг у цій сфері. На їхню думку, так держава зможе за рахунок бізнесу отримати якісніший продукт кіберзахисту та задовольнити свої потреби в таких продуктах. Яка ваша думка? У сфері кіберзахисту Україні як державі потрібен аутсорс, державно-приватне партнерство – чи все-таки свої фахівці?

− Підтримка з боку США розпочалася близько півтора року тому, коли нашу країну почали сприймати всерйоз у сфері захисту інформації та кібербезпеки.

Розвиток міжнародного партнерства у сфері кіберзахисту як зі США, так і з іншими державами є одним із завдань, над якими ми зараз активно працюємо. Україна не може існувати винятково в межах своєї маленької екосистеми, оскільки кібербезпека не має державних чи інших кордонів. Неможливо в країні побудувати найкращий захист і забезпечити кібербезпеку без співробітництва з партнерами. Навіть найуспішніший у плані кібербезпеки Ізраїль працює з іншими країнами, обмінюється інформацією та знаннями.

Створення партнерських взаємин із бізнесом – це те, що ми обов'язково маємо розвивати. На жаль, раніше такої співпраці фактично не було. Держава жила окремо, а приватний бізнес захищав себе як міг. Однак після вірусу Petya, коли через приватну компанію постраждав і приватний сектор, і державний, дещо переосмислили ставлення до взаємодії держави та бізнесу.

Водночас ми маємо розуміти, що існують сфери діяльності, за які може відповідати винятково держава. Ми маємо інформаційні системи з обмеженим доступом, де приватна компанія просто не зможе працювати. Наприклад, усе, що стосується криптографії, може бути лише у державних руках. З огляду на такі розмежування ми можемо упевнено сказати, що синтез приватного й державного – це єдиний можливий напрямок подальшого розвитку системи кібербезпеки.

За такими принципами будують свою систему США та безліч інших країн. Так, є речі, які захищає лише держава, а є те, що ми можемо захищати разом із приватним бізнесом, використовуючи їхній потенціал.

За останній рік ми почали щільніше працювати із бізнесом. Було створено Раду кібербезпеки, куди увійшли топкомпанії у сфері кібербезпеки. Вони допомагають нам видавати ідеї, які ми імплементуємо у вигляді нормативних документів, радимося з ними, як комфортніше будувати захист.

Одне із напрацювань, яке буде реалізоване найближчим часом, – національні стандарти у сфері захисту інформації. Скептики регулярно говорять про комплексну систему захисту інформації (КСЗІ) як про "паперового монстра", але правильно і якісно побудована КСЗІ нічим не гірша за системи управління інформаційною безпекою (СУІБ).

Наразі в Україні є можливість збудувати і КСЗІ, і СУІБ, яка будується згідно з вимогами ДСТУ ISO/IEC 27 001. До кінця року також буде реалізована можливість створення систем захисту за адаптованими нормами Національного інституту стандартів і технологій США (NIST). Це було однією з вимог бізнесу.

 

− Це не перетвориться на те, що від бізнесу почнуть вимагати всіх трьох систем одразу?

− Зараз уже є можливість вибирати із двох варіантів побудови систем захисту, і такої проблеми не виникає. Фахівці, які займаються створенням систем захисту на своїх об'єктах, спочатку самостійно можуть визначати, який варіант їм підходить, що зручніше будувати. Завдання Держспецзв'язку – скласти єдині та зрозумілі правила, які дозволять створити такі системи. За двома напрямками такі правила вже є. Над третім зараз триває активна робота.

Крім того, організація може застосувати рекомендації щодо кіберзахисту на всіх етапах створення систем інформаційної безпеки за різними підходами – відповідно до міжнародних та національних стандартів.

Щоб удосконалити систему захисту інформації, ОКІ може зіставляти рівень захисту інформації з галузевими вимогами безпеки. Наприклад, результати, отримані на етапі оцінювання ризиків кіберзахисту під час створення КСЗІ, СУІБ, системи інформаційної безпеки або проведення аудиту безпеки.

 

− Як у нашій країні справи із захищеністю саме інтернет-доступу?

− Питання захищеності органів державної влади – одна з проблем, яку Держспецзв'язку зараз вирішує організаційним способом. Ми маємо захищені вузли доступу, через які зобов'язані працювати всі органи державної влади.

Водночас минулого року було збудовано та введено в промислову експлуатацію національну комунікаційну мережу, яка перебуває в оперативному управлінні Держспецзв'язку. Однак лише цього року було ухвалено нормативні документи, які зобов'язують усі органи підключитися до неї. За цей рік ми вже підключили понад 90 об'єктів, і процес не зупиняється, всі органи чудово розуміють, що це питання їхньої безпеки. Наступний етап – підключення всіх регіонів до мережі. Плануємо у найближчий рік завершити створення цієї системи. Паралельно відбуватимуться роботи зі створення Національного центру резервування даних. Це буде ще один із етапів забезпечення захисту державних реєстрів та доступу до них.

 

− У кібербезпеці найчастіше причиною більшості інцидентів є саме люди. Якщо говорити про урядовий зв'язок, можна помітити, як часто відбувається витік інформації з Кабінету Міністрів, Верховної Ради? Хто взагалі має за це відповідати?

− Не можна виключати людський фактор, на який ми ніколи не вплинемо безпосередньо. Ми можемо проводити роз'яснення. Для цього у нас розроблено спеціальну програму роботи з державними органами. Цим же напрямком займається Мінцифри, яке проводить заходи щодо кіберграмотності та освітні програми для держслужбовців. Але від людського чинника ми нікуди не дінемося.

З приводу захищеності урядового зв'язку – не коментуватиму попередні періоди, але за період нашої роботи витоків не було. І в принципі витік неможливий, тому що урядовий зв'язок не має доступу до інтернету. Це закриті канали, які використовують алгоритми шифрування. Втрутитися у розмову збоку неможливо.

 

− Однак доступ до інтернету мають безпосередньо депутати, що й підводить нас до наступного питання. Багато років тому було порушено тему мобільного урядового зв'язку, спеціального месенджера або спецзахищених телефонів. Наскільки пам'ятаю, вирішення цього питання актуальне в цьому році…

− До кінця поточного року буде запущено перший етап програми створення мережі захищеного урядового мобільного зв'язку. Гроші на цей рік було виділено, і зараз відбувається процедура закупівлі. Ми йдемо шляхом створення державного оператора, який забезпечить потребу держслужбовців у таких послугах. Він використовуватиме чинну інфраструктуру мобільного зв'язку за схемою "віртуальний оператор". Уже тестується ядро ​​системи. На першому етапі доступ до послуг захищеного мобільного зв'язку матимуть лише вищі посадові особи.

 

− Чи достатньо цього буде для Уряду та спілкування депутатів один з одним? Чи використовуватиметься ця система військовими та іншими закритими силовими відомствами? І якщо так, то як плануєте працювати з покриттям?

− Наша сфера відповідальності – це якраз вищі посадові особи. У військових свій зв'язок зі своїми алгоритмами шифрування та стандартами. Проблему з якістю покриття адміністрація Держспецзв'язку як орган, одним із основних завдань якого є забезпечення формування та реалізації державної технічної політики у сфері зв'язку, з нашими операторами хоч і не без затримок, але вирішує. Оператори справді інвестують у розвиток інфраструктури. І одна з ініціатив – покриття основних автомобільних доріг. Очікуємо, що цього року вони забезпечать 95% покриття чотирьох національних шляхів.

Проте проблема масштабування справді існує. І питання не так в операторах, як у самій процедурі: у виділенні земельної ділянки, відсутності електрики для забезпечення сталого зв'язку. Щоб вирішити цю проблему, вже ухвалено у першому читанні законопроєкт № 5811, який гарантує операторам виділення землі для зведення базових станцій. Також у Парламенті очікує на розгляд законопроєкт № 4118, який забезпечує спрощений доступ до інфраструктури.

 

− До речі, про роботу з мобільними операторами. Антишпигунські фільтри, які ви нещодавно пропонували встановити на мережах мобільних операторів, – що це і навіщо?

− Цей напрямок зараз на стадії розробки, потім планується впровадження технічного регламенту. Він визначатиме вимоги до інформації, яку ми хочемо отримувати. Як це робити – у межах технічного регламенту визначатимуть самі оператори. Але вирішення проблеми отримання інформації з мереж про кібератаки та питання систем захисту від них буде врегульовано цим нормативним актом.

Перший варіант документа був підготовлений, але Мін'юст побачив у ньому ознаки нормативного акту, тому регламент поки що знято з порядку денного. Ми його доопрацьовуємо та найближчим часом винесемо на публічне обговорення. При цьому оператори та профільні асоціації його однозначно підтримують.

Щоб попередити різні домисли, відразу скажу, що цей документ не передбачає контролю за людьми і отримання будь-якої інформації про них. Нам цікаві дані про операторські мережі та про те, що в них відбувається. Вся ця інформація не має персональної ідентифікації.

 

− Знову ж таки, питання, яке складно залишити без відповіді: реєстри персональних даних. Нам постійно кажуть, що все захищено, ніяких витоків не може бути, але з'являється наступний витік – і так по колу. Який зараз стан усіх цих реєстрів? Як вони відцифровуються, працюють, взаємодіють? І головне – хто за це відповідатиме?

− У нас у країні близько 300 реєстрів. Згідно з чинною нормативною базою, за захист реєстру відповідає той, хто його адмініструє. Держспецзв'язку розробляє правила захисту, які відповідні органи зобов'язані виконувати. Але всі реєстри кожним органом розроблялися окремо, кожен застосовував те бачення, яке мав. Це призвело до того, що багато реєстрів між собою не можуть взаємодіяти через різні архітектури. Процеси цифровізації держави та впровадження електронних сервісів вимагали можливості обміну даними. Для вирішення цієї проблеми було створено систему обміну даними "Трембіта", яка дозволила пов'язати між собою багато реєстрів.

Один зі шляхів повноцінного вирішення цієї проблеми – створення єдиної платформи, на базі якої буде побудовано державні бази даних.

Уже розпочато процес створення Національного центру резервування державних інформаційних ресурсів – "швейцарського банку", який дозволить зберігати всі дані державних реєстрів. Ми ніколи не втечемо від кібератак, ми всі розуміємо, що зламати можна все. Питання в тому, наскільки складно і витратно це буде для зломника, наскільки швидко ми зможемо відреагувати і за потреби відновити дані. Це сфера нашої відповідальності.

 

− Хто відповідає за централізацію даних усіх цих реєстрів?

− Ми зараз говоримо зовсім не про централізацію інформації та зведення всіх даних до одного реєстру. Створення єдиного "реєстру всього" я вважаю аж ніяк не найкращою ідеєю. Ми зараз говоримо про обмін інформацією, максимально спростити який допоможе платформа побудови реєстрів, яка впровадить однакову архітектуру в усі бази даних. Платформа вже будується, до кінця року буде запущено її перший етап, і кілька реєстрів перейдуть на неї.

Надалі більшість державних реєстрів буде побудовано однотипно, після чого ми зможемо їх зв'язати як мінімум на архітектурному рівні.

Немає єдиного органу, який відповідає за обмін даними. Є орган, який відповідає за їх захист та створення правил – це Держспецзв'язку. І ми створюємо правила, але не всі виконують їх.

 

− А чи є якісь інструменти, які можуть підштовхнути до виконання ваших вимог?

− Мають бути інструменти державного контролю. Але кілька років тому країна пішла шляхом лібералізації законодавства, заявивши, що всі мають контролювати себе самі, а держава має мінімально втручатися та проводити державний контроль. У цю хвилю саморегуляції якимось чудовим чином потрапила й сфера захисту інформації. Наразі ми не маємо прямого впливу на цей процес. Так, ми проводимо державний контроль, виписуємо акти, висуваємо вимоги "припинити порушувати законодавство у сфері захисту інформації". При цьому якихось відчутних санкцій за такі порушення немає.

Як це відбувається насправді? Ми приходимо один раз із перевіркою, потім другий, і лише на третій складаємо адмінпротокол на 1 700 грн – і все. Це одна із ключових проблем.

Ми неодноразово наголошували, що у кожному держоргані має бути служба захисту інформації з професіоналами у штаті. За законом – зараз за захист інформації в усьому органі відповідає його голова. Але самі зрозумійте – у керівника органу інші завдання. Наприклад, міністр, за рідкісними винятками, не може бути фахівцем із захисту інформації.

 

− Крім створення таких служб, у принципі, плануєте якось удосконалювати цей механізм контролю? Запроваджувати штрафи?

− Штрафи – один зі шляхів впливу на ситуацію, запровадження якого ми опрацьовуємо. Але для того, щоб правила виконували, вони мають бути зрозумілими.

Перший етап – створення чітких і прозорих правил та вимог, які будуть зрозумілі всіма учасниками процесу. На другому етапі ми створимо зрозумілу систему санкцій за їх невиконання.

 

− Повернемося до Держспецзв'язку. Чи можете описати її основні функції, крім регуляторки? Чим ви займаєтеся, і чи є щось, що вважаєте непрофільним у цій діяльності?

− Зараз у Держспецзв'язку – 92 функції, більше тільки у Мінфіну та Мінекономіки. Наразі готується до другого читання законопроєкт, який наділить Службу ще однією функцією, про яку ми говорили раніше: "зберігання копій державних даних".

Ключовими напрямами у сфері відповідальності Держспецзв'язку є урядовий зв'язок, кіберзахист, електронні комунікації (адміністрація зв'язку), фельд'єгерська служба, Концерн радіомовлення, зв'язку та телебачення, три проєктні інститути, науково-дослідний інститут, підготовка курсантів.

Якщо говорити про функції, які можна назвати невластивими для нас, – це, мабуть, електронні комунікації. Але органу, якому можна було б цей напрямок передати і який би успішно підхопив цей прапор і поніс далі, на сьогоднішній день немає. У перспективі цим органом може стати Мінціфри. Вже подано правки до закону "Про електронні комунікації", які ще на рік залишають цю функцію в адміністрації Держспецзв'язку, щоб сформувати нормативну базу з передання. І хоча цей закон набирає чинності вже від 1 січня 2022 року, якщо від 1 січня передати цей напрямок Мінцифри, є ризик негативних наслідків. Їм потрібно буде ще з пів року нормативи упорядковувати. Тому щойно закон набуде чинності – підтягнемо нормативну базу і лише потім передамо.

− Давайте поговоримо про матеріальні активи Держспецзв'язку. Чи є у вас усе для хорошої роботи? Чи щось уже морально застаріло, як відомі вантажівки "Укрпошти" без коліс?

− Повірте, у нас теж є такі ж вантажівки. Це не є ексклюзивом "Укрпошти". Ми постійно оновлюємо матеріально-технічну базу. Щодо національної телекомунікаційної мережі, то вона будується на винятково сучасних рішеннях, до яких неможливо застосувати стару аналогову техніку.

Якщо у цифрах, то потреба фінансування органу перевищує 10 млрд грн на рік. Ми отримуємо з бюджету близько 4 млрд грн. У 2020 році розвиток було профінансовано на 12%, цього року – на 28%. У 2019 році через кризу багато було недофінансовано. Частина наших систем на якийсь час втратили ліцензії та "перетворилися на гарбуз". Лише у 2021 році все вдалося відновити, і завдяки допомозі віцепрем'єра та Президента ми змогли вийти на мінімально необхідний рівень.

Проте недофінансування, як і раніше, є значною проблемою. І кіберзахист, і урядовий зв'язок – це сфери, про які ніхто не пам'ятає, коли все добре працює. Але щойно щось трапляється, всі про це згадують, і тільки тоді чують, що потрібні ще гроші і треба хоч якось дофінансувати Службу.

 

− Оцініть успішність роботи CERT. Наскільки фахівцям вдається спілкуватися з аналогічними підрозділами з інших країн? Як вони живуть? Із чим стикаються?

− Впевнено можу сказати, що відкриття в межах Кіберреформи UA30 Кіберцентру, до якого належить і урядова команда реагування на надзвичайні комп'ютерні події CERT, і тренінговий центр, є одним із наших найуспішніших кейсів. Фактично – флагманом усієї реформи кіберзахисту. Нам вдалося реформувати цю систему та підняти роботу тренінгового центру та CERT на зовсім інший рівень.

По-перше, ми перевели їх на безперервну роботу. Якщо раніше це була робота з 8:00 до 17:00 з урахуванням вихідних і свят, то зараз команда працює 24/7. Український CERT належить до міжнародної команди FIRST, що дозволяє здійснювати постійний обмін інформацією про кіберінциденти та кібератаки з представниками аналогічних команд з інших країн на доволі високому рівні. При цьому наші фахівці заслужено цінуються міжнародною командою як високий клас. А найголовніше – у них з'явилася не лише можливість, а й бажання працювати. Це те, про що я казав.

Для кожного IT-фахівця важливі умови. Коли вони працюють у нормальних умовах, бачать нормальне ставлення до себе, можливість зростати професійно, в тому числі завдяки тренінгам, які відбуваються на базі тренінгового центру доволі регулярно, вони готові частково жертвувати своїми заробітками.

Це все – частина великих системних змін, які створює наша команда. Ми працюємо над кадровим потенціалом, законодавством, у тому числі впроваджуючи найкращі світові стандарти; працюємо над технічним розвитком і розвитком міжнародного партнерства – це все поступово дає свої плоди.

Водночас хочу наголосити на тому, що бізнесу, зокрема керівникам об'єктів, на яких є критична інформаційна інфраструктура, теж потрібно включитися. Ми можемо дати стандарти як обов'язковий чи необов'язковий інструмент, можемо нескінченно інвестувати у розвиток кадрового потенціалу для кіберзахисту України, але якщо завтра хтось успішно атакує бізнес, тим більше ОКІ, тому що він вирішив не інвестувати у кіберзахист, ми всі від цього програємо. Навіть якщо зловмисників знайдуть і посадять, ніхто не компенсує економічних збитків ані компанії, ані її користувачам і державі.