Розкажіть про особливості створення комплексної системи захисту інформації (КСЗІ) для застосунку «Дія»?
— Почнімо із загального питання. Створення КСЗІ — це складний процес, що передбачає понад десять етапів. Держспецзв’язку стосується тільки чотирьох із них: затвердження методології експертизи, погодження виконавців експертизи, погодження технічного завдання та реєстрації висновку. І експертизою, й самим налагодженням КСЗІ займаються ліцензіати, ДССЗЗІ до цього не причетна. Ба більше, служба не впливає на самих ліцензіатів. Це системна проблема, що з’явилася тоді, коли Україна почала дерегуляцію. У цьому процесі інформаційну безпеку й захист інформації об’єднали з економічними питаннями. Тому служба нині не має повноважень ані відкликати ліцензію, ані не погодити її отримання компаніями, які виконують свою роботу неякісно чи не виконують узагалі. Тому принцип налагодження комплексної системи захисту інформації було частково дискредитовано, адже хтось робив якісні рішення, а хтось ставився до цього процесу формально, заради папірців.
Щодо «Дії», то сервіс запустили в лютому 2020 року — й одразу після цього розпочали створювати КСЗІ та видавати нормативно-розпорядчі документи. У квітні 2020 року уклали договір щодо розроблення КСЗІ з Інститутом інформаційних технологій.
1 вересня 2020 року вже підписали договір на здійснення експертизи інформаційно-телекомунікаційної системи мобільного застосунку «Дія», що фактично є фінальним етапом налагодження КСЗІ. 23 вересня видали й затвердили висновок про експертизу та видали атестат відповідності на мобільний застосунок.
Це короткий проміжок часу. Однак зараз, за умови якісного здійснення експертизи, вся процедура, разом з підготовкою висновку, рідко триває довше, ніж місяць. Наші фахівці за потреби працюють цілодобово. Водночас ми розуміємо, що виконавці, які розробляли комплексну систему для «Дії» та здійснювали експертизи, — це авторитетні компанії, що не ризикуватимуть своїм ім’ям на ринку. Цю КСЗІ розробили тільки для застосунку. Для порталу експертний висновок затвердили в червні 2021 року. І ці речі треба чітко розділяти, адже інколи цим маніпулюють, мовляв, система працювала без експертного висновку. Також треба розуміти, що «Дія» — це не державний реєстр і він ніяк не стосується зміни даних з реєстрів. Інформація з реєстрів передається через систему «Трембіта», яка має КСЗІ, і на ядро, і на сервіси кожного окремого реєстру.
Читайте також: Другий етап Bug Bounty та шахрайський кредит: нові "дірки" у безпеці Дії
Тоді чому зараз виникають проблеми з «Дією», наприклад кредит, який через цей застосунок оформили шахраї?
— Зараз обговорюють єдиний такий приклад. Однак це не зовсім наша сфера відповідальності. Наша робота — налагодження надійних систем захисту, а також кіберзахист. Тому коментувати діяльність іншого відомства вважаю не зовсім коректним. Нещодавно відбулася пресконференція Кіберполіції, Національного банку й заступника міністра цифрової трансформації, які поетапно розклали всю цю схему. Це шахрайська схема, яка мало чим відрізняється від видачі кредитів за підробленими документами. Розслідування підтвердило захищеність «Дії» та неможливість отримати кредит онлайн з використанням цифрових документів у «Дії» без участі їхнього власника. А всіх хвилює лише «Дія», бо це хайп, це цікаво.
Просто це новий канал для шахрайської схеми. Попри те, що нас переконували, наче «Дія» захищена й там усе гаразд. І раптом виявилося, що не все так добре…
— Портал і застосунок захищені відповідно до нормативних документів та розробленої КСЗІ. Ми ж не кажемо, що погано працює правоохоронна система, коли хтось порушує норми кримінального чи адміністративного права. Так само й тут — люди вчинили кримінальне правопорушення, яке не стосується системи захисту інформації.
Як ви зараз оцінюєте захист об’єктів критичної інфраструктури (ОКІ)?
— Почнімо з того, що країна перебуває в стані агресії з боку нашого сусіда, і найбільші загрози, які виникають для нас у кіберпросторі, надходять саме звідти. Наша критична інфраструктура нині не має чіткого нормативного врегулювання. Немає законодавчо визначеної процедури приналежності до цієї категорії, а закон про ОКІ, що повинен унормувати цю сферу, тільки розробляють. Водночас ми на рівні підзаконних актів у рамках своєї компетенції здійснюємо роботу в цьому напрямі. Торік було ухвалено постанови щодо категоризації об’єктів критичної інформаційної інфраструктури.
Якщо ми говоримо про ОКІ, то це підприємства, установи й організації. Об’єкти критичної інформаційної інфраструктури — це системи, які там функціонують: реєстри, бази даних тощо. Саме за їхню безпеку відповідає Держспецзв’язку.
Сьогодні є два нормативні шляхи їх захистити: налагодити КСЗІ та створити системи захисту відповідно до стандарту ІSO 27000. Нині ми розробляємо й до кінця року плануємо впровадити третій шлях створення системи захисту, відповідно до стандартів NIST (маються на увазі стандарти Національного інституту захисту інформації США). Можливість розробити або комплексну систему, або систему за стандартами ISO чи NIST є основою формування національної системи захисту інформації. Ми не щит, який може захистити. Ми не кажемо, що зараз Держспецзв’язку прийде, наведе порядок і всіх захистить. Ми створюємо умови!
Але слід усвідомити, що безпека — це також відповідальність кожного, тому в кожному відомстві має бути особа, яка опікується цими питаннями. Зараз у нас немає служби захисту інформації в тому класичному вигляді, у якому вона є у США чи Європі. Наразі ми лише почали роботу над її впровадженням. Думаю, до кінця року на кожному підприємстві, в кожній установі та організації, яка займається обробкою інформації, що підлягає захисту, буде призначено відповідальну особу, з якою Держспецзв’язку працюватиме напряму.
Читайте також: Костянтин Корсун: Пояснення Держспецзв'язку нічого не пояснює, а ще більше заплутує ситуацію
— Відповідь на це запитання має три частини. По-перше, суворість нашого закону часто впирається в «необов’язковість» його виконувати. Тому створення правил, які слід виконувати обов’язково та сповна, є одним із наших основних завдань. І ми зараз для цього розробляємо нормативну базу.
По-друге, за останній рік складено три протоколи щодо притягнення до адміністративної відповідальності за порушення захисту інформації.
Щодо керівника, який офіційно відповідає, ми з вами розуміємо, що міністр чи директор державного підприємства не можуть бути такими фахівцями. У них є адміністративна робота, тому має бути уповноважена людина-професіонал, що відповідатиме за ці питання. На жаль, обов’язки часто покладають на керівника, який може бути класним адміністратором чи професійним менеджером, але це точно не його основне завдання — бути ще й фахівцем у захисті інформації та перевіряти, хто змінив паролі…
Але він може обирати собі підлеглого, який це робитиме, і контролювати його…
— Саме тому створення посади фахівця із захисту інформації або офіцера захисту інформації — це нормальна практика для всіх установ, які належать до об’єктів критичної інфраструктури. У США та Європі такі фахівці працюють. Саме вони уповноважені здійснювати перевірки від імені керівника й відповідають перед керівником за виконання правил. У нас це питання не внормоване, тому його можуть виконувати за сумісництвом, обов’язків можуть додати кому завгодно. Тому нашим основним завданням є створити дієву систему захисту інформації, яка працюватиме відповідно до нормативної бази.
На ваш погляд, чи було зроблено висновки з найбільших кібератак, що відбулися в Україні?
— І так, і ні. Усе гальмується через відсутність адекватного фінансування й найголовніше — проблеми з кадровим потенціалом. Ми можемо придбати найкращу апаратуру за мільйони бюджетних гривень, але від неї буде мало користі, якщо немає фахівців, здатних працювати з цим залізом… Найголовніше — люди, це справедливо і для атаки, і для захисту. На жаль, кадровий потенціал у нас слабкий. Ми почали реформувати цю галузь знань спільно з Міністерством освіти тільки торік. Адже зараз у нас усе підпадає під єдину спеціальність — кібербезпеку. Хоча, наприклад, криптографія й кіберзахист — це дещо різні речі.
Висновки було зроблено — створили Національний координаційний центр кібербезпеки, до якого належать усі суб’єкти кібербезпеки й у рамках якого налагодили ефективну взаємодію. Та найголовніше — до нас прийшли технології, працювати з якими, на жаль, не було кому. Тільки впродовж останніх двох років ми почали реформувати всю систему, з орієнтуванням на безпеку й на людей.
Читайте також: PEN America: Цифровий суверенітет може бути зброєю масового контролю
— Звісно, користуємося, зокрема й усіма зауваженнями, а також критикою нашої діяльності та системи загалом. При Держспецзв’язку сформовано Раду кібербезпеки — до неї увійшли люди, які виявили бажання допомогти, професіонали з ринку, які щомісяця надають свої рекомендації.
Звичайно, є й такі, хто лише критикує та намагається дискредитувати те, що ми робимо. Але всі наявні рекомендації наші фахівці опрацьовують, узагальнюють та виносять на громадські обговорення — і багато з них імплементується на рівні нормативних актів. Скажу більше: з окремими громадськими організаціями, чи не найбільшими нашими критиками, є чинні меморандуми про співпрацю.
Водночас є й кримінальні справи проти них за вигаданими справами….
— Це питання до правоохоронних органів.
Що ви можете розповісти про поточний стан співпраці з закордонними партнерами?
— До приходу нашої команди в Держспецзв’язку не було жодного чинного меморандуму чи прямого діалогу з міжнародними організаціями. За останній рік нашими партнерами стали представники США та ЄС. Нещодавно відбувся візит до Естонії, де ми від імені секретаря РНБО подали заявку на вступ до Об’єднаного центру передових технологій з кібероборони НАТО (CCDСOE). Також ми здійснили близько десяти кібердіалогів: з Японією, Іспанією, Ізраїлем, Німеччиною, Францією і ще низкою країн. Нині поновлюється співпраця з Cybersecurity and Infrastructure Security Agency (CISA), американським агентством. Основними напрямами співпраці є створення адекватної нормативної бази відповідно до сучасних вимог, забезпечення кадрового потенціалу, проведення міжнародних тренінгів. До кінця року заплановано близько 30 тренінгів.
Кіберпростір — це середовище, у якому неможливо захищатися самостійно. Але щоб бути повноправними членами об’єднаного центру НАТО та співпрацювати з іншими організаціями, треба створити власну систему безпеки. Щоб нас сприймали як гідного партнера, а не як молодшого брата. У нас є значний досвід протистояння російській агресії та успішний досвід протистояння кібератакам, з якими Україна впоралася самостійно або разом з партнерами. Але водночас Держспецзв’язку мав раніше й бекграунд не дуже високої якості щодо співпраці в цій сфері.
У світлі нашої співпраці з Заходом, чи можете ви прокоментувати підписання меморандуму з китайською кампанією Huawei…
— Повернімося до торішніх жовтневих постанов, коли ми ухвалили методологію віднесення об’єктів до об’єктів критичної інформаційної інфраструктури. Найпершими, хто звернувся за рекомендаціями та роз’ясненнями, були мобільні оператори. Ми всі знаємо, що у двох із трьох операторів понад 50% обладнання виготовлено цією китайською компанією. Вони порушили таке питання: у них є обладнання, але немає доступу до програмного забезпечення (ПЗ), яке там установлено. Ми звернулися до компанії Huawei з проханням надати доступ до ПЗ і дати можливість попрацювати з ним нашим фахівцям. Вони погодилися, але за умови підписання певного офіційного документа, щоб пояснити своїм керівникам з Китаю, чому вони передаватимуть комусь інтелектуальну власність. Це й стало підставою укласти меморандум, у якому немає жодного слова про якісь зобов’язання України щодо цієї компанії чи взагалі Китаю. Вони нам у рамках документа надають на обстеження свій продукт — це співпраця лише в інтелектуальній сфері…
Читайте також: Фіктивні лицарі приватності
Чи правильно я розумію, що 5G ми розвиватимемо з ними?
— 5G кожна компанія розвиватиме окремо, і це їхній ринковий вибір, з якими постачальниками працювати. Ми надаємо технічні вимоги та створюємо всі умови, а вибір вендора є правом господарської діяльності кожної компанії.
В одному з ваших коментарів щодо підписання цього меморандуму була, цитую дослівно, така фраза: «Наша співпраця зміцнить обороноздатність держави перед кіберзагрозами». А ми знаємо про кейс Великої Британії, яка теж хотіла розвивати 5G з Huawei, але потім, після розмови зі своїми союзникам, зважила безпекові ризики та передумала. І тепер буде інший постачальник, з Європи…
— Це не питання розвитку 5G. Це питання наявності перевіреної інформації про загрози, які містить програмне забезпечення, незалежно від країни його походження. Ми так само досліджуємо російське ПЗ і на рівні санкцій блокуємо його використання. Це питання дослідження технологій і пошуку вразливостей, які можуть бути закладені в певному ПЗ. Ми досліджуємо ізраїльські програми, європейські… Будь-яке ПЗ, яке використовують в органах державної влади, має проходити державний контроль. На жаль, в Україні немає єдиної сертифікованої лабораторії для дослідження ПЗ, процес її створення розпочали тільки цього року й вона має почати роботу до кінця року.
Які ви бачите основні загрози для української безпеки в кіберпросторі?
— Загрози посилюються щодня, адже розвиваються технології, зростають знання та вміння зловмисників. Водночас Україна, як і багато інших країн, постала перед проблемою відсутності кваліфікованих кадрів і технологій. Фахівці, які працюють у хакерських угрупованнях, мають значно вищий рівень оплати, ніж люди, які створюють елементи захисту в державі. Тому спочатку розвиваються технології нападу, а потім захист намагається їх наздогнати. Недостатнє фінансування — одна з ключових проблем.
Щодо загроз для України, то насамперед вони надходять від нашого східного сусіда й інших країн з агресивною політикою в кіберпросторі.
З усіх кібератак, які відбуваються і в Україні, й у всьому світі, близько 90% мають на меті заробіток, вимагання грошей у державних органів та великих приватних компаній. Такими прикладами є нещодавня атака на телекомоператорів, атака на трубопроводи, нафтопровід у США. Мета була єдина — заробити грошей. І коли зловмисники отримують кошти, наприклад $4,5 млн від США за трубопровід Colonial Pipeline, то одразу витрачають їх на розвиток своїх технологій. Це і є основною проблемою. Кошти, які використовують для атаки, значно більші за кошти, які використовують для захисту.
Усі інші атаки — близько 10% — це спроба завдати іміджевого удару по державі. Ми маємо сусіда, який намагається дискредитувати Україну (і не тільки в кіберпросторі, а й загалом у політичному просторі). Мовляв, навіщо ви з ними співпрацюєте, якщо вони не здатні навіть захиститися.
Це і є основними загрозами кіберпростору.
Ще один важливий фактор — кіберпростір не має кордонів. Якщо перехід кордону є явним актом агресії й ми розуміємо, хто з якого боку атакує, то тут загроза може йти з будь-якої країни світу. Поки ми виявимо по атрибуції, звідки йде атака, яке хакерське угруповання за нею стоїть і за якою схемою воно діє, а також запустимо систему протидії, мине певний час.
Саме тому налагодження системи, яка швидко може відновитися, зараз серед пріоритетів держави. Кібератаки були й будуть, і ніхто від них не застрахований, але мінімізувати шкоду, швидко відновитися й не втратити дані — одне з наших завдань.
У вашому звіті за перше півріччя було написано про один мільйон атак, водночас у СБУ — про одну тисячу…
— Потрібно розуміти інфраструктуру…
У вас різні об’єкти?
— Різні об’єкти й технології, а також ми використовуємо різні системи. У нас є технологія ЗВІДів — захищених вузлів доступу до мережі інтернет (сенсорів), чого немає в Служби безпеки. У СБУ є своя сенсорна інфраструктура, розташована в конкретному органі державної влади, а ЗВІД розташований на каналі зв’язку. І коли ми бачимо кожну атаку на каналі зв’язку, вона не обов’язково дійде до певного органу державної влади. Адже завданням захищеного вузла доступу є блокування атаки або ПЗ, яке поширюється через канал зв’язку. Тому й маємо різну статистику.
Кожен володіє своєю інфраструктурою й відповідає за власний сектор. Це не означає, що деякі органи роблять менше. Вони працюють у своїй зоні відповідальності, відповідно до власного функціоналу. Ми захищаємо всі органи державної влади й об’єкти критичної інфраструктури. Загальну зведену статистику публікує НКЦК, туди входять наші дані, СБУ, розвідок, Міноборони. Це і є загальною інформацією по державі.
Читайте також: Die Welt: Google. наступний крок до влади
Кілька місяців тому відбулася атака, внаслідок якої не працювали сайти низки державних органів, зокрема ДССЗЗІ та СБУ. Чи є для таких відомств резервні захищені канали?
— З часу мого приходу в Держспецзв’язку й донедавна використовували один логічний канал. На жаль, компанія, з якою було підписано угоду щодо надання іншого логічного каналу доступу, не виконала своїх зобов’язань. Але законодавство написане так, що достроково розірвати договір неможливо. Зараз договір закінчився й запущено процедуру закупівлі.
У нас був резервний фізичний канал, але щоб на нього перепідключитися, потрібно близько 4,5 год. Недолугість нашого законодавства в певних питаннях стає причиною того, що ми потрапляємо в такі ситуації. Це була атака в 69 Гбіт/с, тобто досить потужна DOS-атака.
Нині ситуацію виправлено, ми маємо два логічні канали й один фізичний.
Водночас зараз у нас немає інфраструктури, яка дає змогу резервувати державні інфоресурси. Ми створюємо національний центр резервування даних і до кінця року плануємо запустити саме послугу із захищеного доступу від DOS-атак.
Тобто так ми захищатимемося від нападів?
— Так.
А як зараз блокуються DOS-атаки?
— З використанням можливостей операторів зв’язку, які надають нам послуги. У нас є власний центр фільтрації трафіку, але держава не може лише на сервісі захистити одразу всі органи державної влади.
Ви вже кілька разів згадали про проблеми з законодавством. Чи є з вашого боку якісь ініціативи щодо змін і пропозицій?
— Так, ми маємо підтримку президента й Кабінету міністрів, щотижня спілкуємося і працюємо з Комітетом цифрової трансформації, підготували низку нормативних актів. Ухвалено Закон «Про електронні комунікації», розроблено Закон «Про критичну інфраструктуру», розроблено і до другого читання підготовлено Закон «Про публічні електронні реєстри», який визначатиме процедуру роботи державних реєстрів і наш функціонал. Триває створення Національного центру резервування даних. Його функціонал також прописано в останньому законі.
До кінця року буде ухвалено ще чотири постанови Кабінету міністрів щодо унормування діяльності систем захисту інформації та запуску вже згаданого третього виду налагодження захисту за стандартами NIST.
За останній рік було зроблену колосальну роботу. Ми маємо підтримку всіх органів державної влади. Однак процедура не дає можливості ухвалити всі необхідні зміни в одноденний термін. До кінця року в нас буде ухвалено ще низку нормативних актів, які унормують діяльність.
Водночас ухвалення документа — не самоціль. Головне, щоб він працював і давав можливість надійніше захищати дані.
Ще одна тема, яка викликала ажіотаж, — справа «Джо Байдена». У ЗМІ було щонайменше три офіційні версії, зокрема й від вашого відомства, про причини виникнення цього порушення. Тобто спочатку називали одну, потім другу, опісля третю. Яка зараз офіційна остаточна версія причини?
— Це не три версії. Це три шляхи, поєднані в одній кібератаці. Будь-яка підміна чи спотворення інформації з використанням стороннього програмного забезпечення — це кібератака. Це не означає, що над нею працювала тисяча зловмисників: у хакерській команді може бути одна-дві особи, які втрутилися в роботу системи. Було підмінено сертифікат, і це стало також наслідком втручання в роботу автоматизованої системи, що є хакерською атакою. Водночас цей сертифікат використали не для створення електронного підпису, а лише для автентифікації на сайті петицій президента.
Сертифікат автентичний чи не автентичний?
— Підмінений. Звісно, не автентичний, бо змінено його роботу.
Натомість деякі вітчизняні спеціалісти кажуть, що з технічного погляду цей сертифікат був автентичним, тобто з технічного погляду його створили в системі коректно. Ви з цим погоджуєтеся?
— Якщо він не такий, як його створив банк, то питання взагалі до використання віртуальних ключів, наскільки вони відповідають рівню захисту. Цей ключ було створено у файловому носії, в якому одночасно зберігаються і ключ, і сертифікат до нього. Підміна в одному середовищі цього елемента дала змогу використати ключ для автентифікації й виставлення галочки, а далі його більше ніде не використовували.
Нині цим питанням займаються правоохоронні органи і, наскільки я знаю, досить успішно. Тому поки що не коментуватиму їхню роботу.
Ви погоджуєтеся з твердженням, що це було зроблено лише в політичних цілях і зараз де-факто скомпрометовано всю систему?
— Систему довірчих послуг не скомпрометовано, бо про використання ключа не йшлося. Система довірчих послуг базується на тому, що електронний підпис підтверджує особа. У цьому випадку електронний підпис не використали. Це не банк ID, він не давав можливість відкрити рахунок, його можна було застосувати лише для автентифікації. Тому система електронних довірчих послуг як така, що надає послуги кваліфікованих електронних підписів та електронних підписів, які базуються на кваліфікованих сертифікатах, цього кейсу ніяк не стосується, бо електронний підпис не створили. Зробити ажіотаж з цього, звісно, можна, але коли розглядаємо технічно, то немає можливості в підміненого сертифіката створити електронний підпис.
Де, на ваш погляд, пролягає баланс між цифровізацією і реальним світом? Тобто що справді варто перенести у віртуальний формат, а що краще тримати на папері або в залізі?
— Почнімо з того, що процес цифровізації — це не супер ноу-хау України, а світовий досвід, і наша держава наздоганяє весь світ. Основним завданням і президента, і всієї команди, яка працює в Держспецзв’язку та всіх органах виконавчої влади, є зробити державу зручною для громадян. Водночас зручність не має бути небезпечною. Зручність і безпека — це поняття, які стоять поряд. Ми не зможемо розвивати безпеку того, чого немає. Ми створюємо цифрові послуги, робимо зручною державу й водночас розвиваємо систему безпеки.
Чого не має бути в віртуальному просторі? Цілком таємних документів, бо це інформація з обмеженим доступом. Водночас ми працюємо також над створенням закритої системи для обробки таємних документів в електронній формі. Але вона має бути без підключення до мережі інтернет. Розподілення інформації, яку можуть обробляти реєстри, і створення зручної для людей держави — основне завдання влади. А наше завдання — гарантувати в цьому процесі безпеку, створити нормативну базу та вимоги до учасників процесу й налагодити надійні системи захисту.
Як ви ставитеся до ідеї проведення виборів або голосування в цифровому форматі?
— В ідеальному світі це позитивна ідея, але в такому разі системи захисту мають відповідати рівню, який гарантує безпеку проведення виборів. Якщо ми на шляху до електронних виборів налагодимо надійні системи захисту, яким люди довірятимуть, це вже буде позитивний результат, навіть якщо саме електронне голосування запустити не вдасться. Люди мають повірити державній системі захисту, а ми — довести кожному громадянину, що наша система надійна. Тому проведення електронних виборів — це точно не самоціль ані президента, ні віцепрем’єра, ні нашої команди. А створення надійної системи, якій громадяни довірятимуть, — наша самоціль.
То ви за чи проти?
— Якщо ми створимо ідеальну надійну систему захисту інформації, то не бачу в цьому нічого поганого.
На ваш погляд, чи збалансована система відносин між СБУ, ДССЗЗІ та Міністерством цифрової трансформації?
— Так, збалансована. Вона має систему стримувань і противаг. А це — основа будь-якої влади в будь-якій країні. Не може один орган відповідати за все. У кожного є свої повноваження і кожен відповідальний за власні напрями роботи. Держспецзв’зку відповідальна за кіберзахист, Служба безпеки України — за протидію кіберзлочинам і кібертероризму, кіберпол — за протидію шахрайству й незаконному використанню прав інтелектуальної власності, розвідка — за безпеку зовнішніх периметрів. І коли ми чітко визначимо повноваження кожного, і кожен займатиметься своєю справою та забезпечуватиме надійний захист на власному рівні, тоді наша система працюватиме правильно. Ми до цього йдемо.
————
Юрій Щиголь народився 5 листопада 1983 року на Київщині. У 2006 році закінчив Національний університет державної податкової служби України за спеціальністю правознавство. У 2017-му — Університет ім. Альфреда Нобеля за спеціальністю фінанси і кредит. У 2007–2008 році працював у Баришівській податковій інспекції Київської області. У 2008–2009-му навчався в Національній академії Служби безпеки України. У 2008–2020 роках проходив військову службу на оперативних та керівних посадах в СБУ. З липня 2020 року очолює Державну службу спеціального зв’язку та захисту інформації України.