Подвійна істина кіберзахисту

Суспільство
27 Жовтня 2017, 12:18

Україна намагається розвивати свої електронні ресурси, такий процес часто просувається не так швидко, як хотілося б. Втішає, що це частина неминучого технічного прогресу, він відбудеться так чи інакше, навіть попри спротив вітчизняних бюрократів. Розвиток національних комп’ютерних мереж і баз даних крім зрозумілих переваг, на жаль, має і зворотний бік. Вірусні атаки вже встигли стати звичним явищем в Україні, вони трапляються частіше, їхні наслідки дедалі серйозніші. Активність ворожої сторони та звичайних комп’ютерних шахраїв вимагає від української влади невідкладного розвитку національних засобів кібербезпеки. 

Частиною цих зусиль є нещодавнє ухвалення Верхов­ною Радою проекту Закону «Про основні засади забезпечення кібербезпеки України». Законопроект № 2126а, як і більшість сучасних нормативних документів, одразу дістав скандальну репутацію. Таку, що з першої спроби його не змогли ухвалити, підтримало лише 186 депутатів. Головним зауваженням стала можливість встановити контроль держави над бізнесом. Знімалися обмеження на перевірки підприємств, які займаються криптографічним і технічним захистами. Дозволяється діяльність лише телеком-операторів, які мають системи захисту встановленого зразка. Крім того, критикувалися й певні потенційні можливості обходу системи державних закупівель ProZorro. З позитивних положень: підняття зарплат спеціалістам із кібербезпеки, що давно є однією з головних проблем для державних установ.

Читайте також: Сорін Дукару: «Ми бачимо дедалі більше випадків, коли за кібератаками стоять державні структури»

Винагороди державних фахівців не витримують конкуренції із середніми на ринку, що викликає значний відплив кадрів і труднощі з пошуком заміни. Крім того, певним успіхом можна вважати розмежування відповідальності за злочини проти звичайних комп’ютерних мереж та об’єктів критичної інфраструктури. На практиці це допоможе встановлювати справедливіші покарання для кіберзловмисників. Новинкою для країни є забезпечення ефективного застосування Збройних сил України для адекватної відповіді реальним і потенційним загрозам національному сегментові кіберпростору. Після правок законопроект був узятий за основу, 20 жовтня підписаний головою ВР і відправлений на доопрацювання. Втім, навіть після внесення коректив закон містить багато декларативних речей, які поки що в сучасних умовах країни буде складно реалізувати. Зокрема, розгортання національної системи кібербезпеки, адекватної характеру й масштабам реальних і потенційних загроз, а також застосування новітніх технологій і передового досвіду для поліпшення стану кіберзахисту об’єктів критичної інформаційної інфраструктури. Це потребує наявності достатніх ресурсів і, що більш важливо, достатньої експертизи в такому питанні. 

Саморегулювання кіберсфери вигідне державі, адже звільняє від навантаження відповідні органи національної безпеки, які можуть зосередитися виключно на своїх питаннях

Щоб дізнатися, як саме можна уникнути перетворення на тоталітарну країну й водночас гарантувати безпечне функціонування важливих систем, Тиждень поспілкувався з експертами у сфері регулювання комп’ютерних мереж під час конференції з інформаційної та кібербезпеки UISGCON13. Зокрема, з директором із зовнішніх зв’язків асоціації RIPE NCC (регіон Східна Європа та Центральна Азія) Олексієм Семенякою. RIPE NCC — некомерційна недержавна асоціація, регіональна реєстратура, до функцій якої належить розподіл цифрових ресурсів (ІР-адрес і номерів автономних систем) для свого регіону.

 Так, на думку експерта, із зайвим контролем завжди є ризик створити аналог сумнозвісного російського «Роскомнадзора». Втім, державне регулювання мережі інтернет і суміжних сфер є необхідним, коли це стосується процесів, які впливають на життя або здоров’я громадян, коли йдеться про керування обмеженим ресурсом або там, де можлива монополізація ринку. Однак варто розуміти, що держава завжди намагатиметься розширити сферу свого впливу, адже це випливає із самої суті влади, саме тому потрібно мати суспільний контроль за збільшенням повноважень. Проте, за словами Семеняки, у державного регулювання є низка проблем і поза наступом на свободу громадян заради національної безпеки. Так, експерт вважає, що регулювання завжди запізнюється, бо є реакцією керівних органів на події, фактично йдеться про відповіді на загрози, які вже відбулися. «Часто методи захисту застарілі й не відповідають креативному підходу атакуючої сторони, однак вони створюють певну ілюзію захищеності», — зазначив він. Іншою проблемою є сама природа державних органів. Що складніша система, то більше накопичується помилок між її рівнями. Інколи це призводить навіть до протилежного трактування чиновниками встановлених норм чи правил. Ускладнюють процес розвитку національної інформаційної системи й спроби сліпого копіювання чужого досвіду. З одного боку, це певне запобігання «винайденню велосипеда», тоді як у низці розвинених країн усе вже доволі давно вдалося зробити. А з другого — на практиці це часто означає копіювання чужих помилок і спробу застосувати іншу логіку в українських реаліях.

Чиатйте також: Гонка цифрових озброєнь

Часто на хід глобальних процесів впливає навіть дрібна людська помилка. А через всеосяжний масштаб мережі та міжнародні зв’язки жертва такої помилки може перебувати на іншому боці планети й не мати жодного уявлення про те, що відбувається. Наприклад, Семеняка згадав нещодавній інцидент у компанії Google, де помилкові налаштування, зроблені системним інженером у США, спрямували на американські сервери весь трафік із японських операторів зв’язку. Це спричинило значні перешкоди в роботі японських систем, призвело до перебоїв з інтернетом цілої країни. Втім, визначивши походження помилки, Google зміг доволі швидко виправити ситуацію, хоча японські державні органи досі проводять розслідування подробиць інциденту. Це свідчить про те, що індустрія часто може розібратися з комп’ютерними проблемами набагато швидше й простіше, ніж відповідні державні служби, які витрачають час на багаторівневі погодження.

Тому в деяких країнах регулювання кіберсфери віддано недержавним організаціям, які представляють інте­реси галузі. Таким шляхом пішли, наприклад, у Великій Британії, створивши Internet Watch Foundation — недержавну організацію операторів зв’язку. Саме вона виконує всю нормативну та регуляторну роботу, фактично шукає компроміс та консенсус між бізнесом і державними інтересами. IWF моніторить сайти й за потреби надає пропозиції щодо призупинення (для національних ресурсів) або блокування доступу (для іноземних). Крім того, організація приймає скарги на неприпустимий контент від поліції та звичайних громадян через спеціальну гарячу лінію. Хоча такі рекомендації не є обов’язковими й остаточне рішення залишається за операторами, більшість провайдерів беззаперечно виконує вказівки IWF. Для держави таке делегування повноважень теж вигідне, адже звільняє від додаткового навантаження відповідні органи національної безпеки, які можуть зосередитися виключно на своїх питаннях.

Чиатйте також: Час як зброя. Про вразливі місця GPS в добу кібервійн

Таку саму думку має і Кауто Хуопіо, головний спеціаліст Фінського органу регулювання комунікацій (FICORA) та Національного центру кібербезпеки Фінляндії (NCSC-FI). Він зазначив, що створення сучасної системи кібербезпеки вимагає не лише активної роботи державних органів, а й залучення всіх суб’єктів галузі, особливо представників критичної інфраструктури. «Це командна гра, тільки разом можна отримати результат, тому ми маємо бути націо­нальною та міжнародною командою», — підкреслив Хуопіо. Крім того, експерт наголосив на важливості створення спеціальних груп для кожної окремої галузі промисловості, щоб оперативно обмінюватися специфічною інформа­цією щодо кіберінцидентів і знаходити способи їх подолати. Приклад Фінляндії показує, що в таких групах бажано мати представників державних органів, але виключно для початку комунікації між членами групи. Керівництво ж має бути тільки з-поміж самих учасників, часто на ротаційній основі. Звичайно, розпочати цей діалог важко, інколи посадити за один стіл конкурентів майже неможливо.

Щодо кібербезпеки, то до головних функцій Національного центру кібербезпеки належить інформування про можливі загрози. До того ж, як підкреслив Хуопіо, Центр не витрачає сили на кожну вірусну атаку, вони зай­маються лише більш-менш серйозними випадками, що оптимізує навантаження на експертів. Водночас, на його думку, дуже важливим є надання простої зрозумілої інформації для громадян, як-от проведення занять із населенням, спеціальних промо-кампаній, запуск відповідних веб-ресурсів. Це призводить до того, що у Фінляндії дуже великий відсоток населення обізнаний про необхідність встановлення й оновлення антивірусів, постійно перевіряється вся персональна техніка — від комп’ютерів до смартфонів. Це робить країну загалом менш вразливою до масштабних комп’ютерних атак, що показали останні події. Для цього Центр має тісну співпрацю з національними мас-медіа, які охоче поширюють його зведення та рекомендації. Що стосується підприємств, то Центр має автоматизовану службу оповіщення, яка розсилає повідом­лення зі специфічними рекомендаціями відповідно до сфери діяльності більш ніж 1800 адресатам.

Чиатйте також: Як долати кіберепідемію в армії

На думку експерта, саме такий підхід може стати дуже ефективним для України в умовах обмеженого ресурсу. «Якщо кожна організація знатиме найкращі практики з інформаційної безпеки, а системні адміністратори будуть знайомі з оптимальними принципами налаштувань серверів і робочих станцій, то це дасть змогу мінімізувати значну частину проблем», — наполягав Хуопіо. Адже більшість вірусних атак проти України показали, що зловмисники скористалися браком належного оновлення систем безпеки в мережах. До того ж, за словами експерта, такі заходи не потребують складного й дорогого обладнання, потрібні лише відповідні знання. Це допоможе залучити до загальної справи спільноту українських спеціалістів із кібербезпеки, які могли б надати власні рекомендації щодо пріоритетних заходів. «Звичайно, повністю передбачити майбутній розвиток кіберзлочинності неможливо, але застосування найкращих практик і передового досвіду зробить атаки менш успішними», — наголосив Хуопіо.