Может ли бизнес укрепить кибербезопасность Украины

Внедрение информационных технологий, которые становятся неотъемлемой частью демократии, то есть государства, а также современного бизнеса и жизни каждого гражданина, порождает все новые вызовы. Во время Всемирного экономического форума в Давосе киберугрозы были внесены в топ-5 самых опасных для мировой экономики. Первыми об укреплении кибернетической обороноспособности страны заявили США. Обострение ситуации вызвало ответные меры со стороны правительства в виде увеличения бюджета на обеспечение безопасности страны в кибернетическом пространстве до $19 млрд. Однако этого оказалось недостаточно. К решению вопроса кибербезопасности привлекли и частные организации. Так, Белый дом создал комиссию по кибербезопасности, в состав которой вошел всего один государственный чиновник и три представителя топ-менеджмента Master Card, Uber и Microsoft Research.

Мобильная связь, интернет, водоснабжение, атомные и энергетические станции, аэропорты и вокзалы — вся инфраструктура страны объединена технологиями, которые, к сожалению, имеют очень слабый уровень защиты и в любой момент могут подвергнуться атаке противника, спровоцировав паралич экономики. Однако ввиду отсутствия соответствующего бюджета у государства привлечение экспертов частного сектора может помочь в построении релевантной систему защиты информационных систем.

К сожалению, если речь идет о сотрудничестве государства с иностранными компаниями и их филиалами в Украине, часто возникают трудности. Дело в том, что такие компании обычно имеют свои правила игры и четкие бизнес-модели, которые несовместимы с украинскими реалиями, и они не желают, да и не могут жонглировать нашими противоречивыми законодательными нормами и искать юридические лазейки для решения государственных и, например, волонтерских задач. Например, Министерство обороны уже обращалось к Microsoft с просьбой о предоставлении бесплатного лицензионного программного обеспечения для нужд обороны, однако компания заявила, что не может этого сделать, поскольку это противоречит ее правилам и нормам ведения бизнеса, единым для всех стран мира, и менять их специально для Украины она просто не в силах.

С украинским бизнесом ситуация диаметрально противоположная — он очень гибкий. А изменчивость среды и отсутствие жестких механизмов регулирования таит в себе как множество рисков, так и немало возможностей.

Полигон для взаимодействия немалый: к примеру, бесплатная передача продуктов компаний с дальнейшим усовершенствованием или обслуживанием на бизнес-условиях. Отличным примером такого партнерства может быть разработка медицинской информационной системы, с помощью которой будет создан электронный реестр медицинских карточек воинов АТО. Частные компании выделили средства для разработки соответствующего программного обеспечения и оснащения на благотворительной основе. Благодаря проекту "Е-Здоровья", разработанному в сотрудничестве с офисом реформ Минобороны, врачи смогут получать полную информацию о поступившем к ним бойце вне зависимости от того, имеют ли они доступ к бумажной карте пациента. Неосведомленность врача часто становится причиной фатальных ошибок. Система призвана устранить такие риски.

Плечом к плечу с бизнесменами в разработке эффективных систем информационной безопасности могут стать и представители экспертной и общественной среды. На данный момент они отрезаны от влияния на вопросы безопасности государства. Отдельные представители есть в общественных советах при профильных ведомствах, не имея при этом фактического влияния на их работу. И это является еще одной причиной, почему такое плачевное состояние в области кибербезопасности защиты инфраструктуры.

Опыт и знания специалистов, а также общественный мониторинг и контроль могли бы не только способствовать развитию системы кибербезопасности, но и существенно улучшить качество работы и, соответственно, репутацию спецслужб. Ярким примером взаимодействия может быть экспертное сообщество ISACA, которое активно сотрудничает с Министерством обороны и Государственной службой специальной связи, консультируя ведомства по наиболее острым вопросам свой компетенции. Но заставить чиновников использовать экспертные знания они, конечно, не могут.

Сопротивление государства

Прежде чем решить проблему сотрудничества бизнеса и государства, последнему нужно урегулировать проблемы внутри собственной системы. Конструкция киберзащиты достаточно сложная и малокоординируемая. На данный момент существует два центра управления ведомствами, которые отвечают за информационную безопасность: Администрация президента и Кабинет министров Украины. В их состав входит проблемная отрасль, которая подлежит защите: вооруженные силы, правоохранительные органы, системы защиты государственной информации и правительственной связи, система электронного управления, госреестров, оказания административных услуг и система защиты инфраструктуры. Руководство над этими блоками имеют Совет национальной безопасности и обороны в качестве институции, определяющей направления защиты, Служба безопасности Украины и Министерство внутренних дел в качестве обеспечивающих информационную безопасность и расследование преступлений, и Государственная служба специальной связи как обеспечивающая управление системами защиты информации, координацию в соответствии с законом. Также в систему кибербезопасности входит каждый отдельный орган исполнительной власти, местного самоуправления, которые осуществляют защиту информационного пространства в соответствии с полномочиями ведомств или территорий.

Главная проблема заключается в том, что во всей этой многоуровневой структуре нет единого центра, органа, чиновника, который осуществлял бы координацию и управление в области защиты информационных ресурсов и критической информации. Эффективной организации, которая должна определить стратегию и расставить приоритеты. СНБО, МВД, СБУ, Госспецсвязи, органы исполнительной власти, министерства и ведомства, каждая обладминистрация, райадминистрация, каждый директор госпредприятия — все они являются частью этой системы и лоббируют свои и только свои местечковые интересы. Закономерно, что СНБО, МВД и СБУ будут говорить о защите государственной информации, а министерства и ведомства — акцентировать внимание на защите инфраструктуры, за которую они отвечают.

Неупорядоченность в сфере защиты информации и инфраструктуры привела к созданию конфликтной среды: кто должен возглавить этот процесс. С одной стороны, Кабмин не конкретизировал задачи для ведомств и для бизнеса, общественные организации остались отрезанными от процесса принятия решения, а контролирующие органы заняты своими специфическими ведомственными задачами.

Не в последнюю очередь ведомства волнует и вопрос осваивания государственного бюджета. Кабинет министров, который должен курировать выделение средств, в том числе, иностранной помощи для вопросов кибербезопасности, делает это по старинке, делегировав соответствующие полномочия ведомствам. Они, в свою очередь, планируют и тратят деньги на то, что считают необходимым, а не на какие-то стратегические задачи и даже не на задачи операционного функционирования, как показал недавний пример с потерей информации в Государственной фискальной службе.

Более того, есть несколько иностранных фондов, которые готовы выделять финансовую помощь на решение вопросов кибербезопасности. Периодически органы пытаются вести диалог с донорами по поводу выделения таких грантов и даже имеют определенный успех. Однако это средства, которые нацелены на реализацию узких задач конкретных ведомств, и они не решают комплексной задачи защиты инфраструктуры.

Идея против действия

Стратегия национальной кибербезопасности, вопреки своему названию, регламентирует полномочия и обязанности каждого отдельного органа. Комплексной визии проблемы кибернетической безопасности страны документ не предлагает. Как нет и указания на то, кто будет нести персональную ответственность за выполнение поставленных задач. Вместо того чтобы объединить усилия и создать единый центр управления и координации, каждый орган снова отсеется сам на сам со своими проблемами и будет вынужден тянуть одеяло на себя. И снова будет борьба за расширение сфер ведомственного влияния и финансовые потоки, но никак не за результат и возможности использовать потенциал бизнеса и гражданского общества. Роль последнего в стратегии вообще не указана.

Если обратиться к примеру США, там устройство системы безопасности совершенно иное. Существует структура под названием Homeland Security (Безопасность родины), которая фактически объединяет под одной крышей аналоги нашим МВД, СБУ, пограничникам, Службе чрезвычайных ситуаций, Госспецсвязи, а также разведку. Таким образом осуществляется координация всех вопросов защиты государства.

В существующих в Украине условиях любые средства и усилия, которые будут выделять на реализацию общих задач кибербезопасности, не дадут результата, так как будут распылены. Отсутствует орган, который сможет принимать решения по защите конкретных направлений кибербезопасности и привлечения для этого денег, а также будет отвечать за создание правил игры в этой сфере для госорганов, бизнеса и экспертов. А собрать их, как пальцы в кулак — у нас снова не оказалось политической воли.

Для Украины можно рассматривать разные варианты, но при этом учитывать сложившиеся традиции. Если отдать эту задачу какому-то из органов, они просто усилят работу в своем узком направлении, так как имеют свои задачи и обязанности. Делегировать деньги бизнесу, общественным организациям или экспертной среде невозможно, потому что они не организованы в единую силу, которая могла бы выступать модератором этого процесса.

Необходимо создать площадку для дискуссии относительно вопроса поиска оптимального варианта решения проблемы координации киберзащиты. В последний год, например, экспертная среда под крышей профильного комитета Рады активно спорит на счет электронного правительства: должно ли появиться новое министерство или ответственность за этот вопрос должен лечь на плечи профильного вице-премьера с правами управления министерства по электронному правительству или, как в Америке, соответствующие полномочия должны появиться у так называемого технического директора, который отвечает за эти вопросы. В сфере кибербезопасности ситуация аналогичная, но этот вопрос никем не обсуждается. Ибо некому — у семи нянек дитя без глаза.

На мой взгляд, в структуре Кабинета министров должен быть вице-премьер, который отвечал бы одновременно и за вопросы электронного правительства, всего что связано с ИТ-проектами, и за вопросы защиты этих ИТ-проектов: как инфраструктуры, так и госинформации. Он должен возглавлять небольшой аппарат, с ролью подготовки технических документов и является связующим между ведомствами. Создание еще одного министерства может привести лишь к усугублению ситуации и конкуренции в среде кибербезопасности: у кого-то будет больше возможностей и больше аппетитов.

Проблема кибербезопасности выходит на первый план, поскольку таит в себе массу угроз и возможностей, и в то же время из-за постоянного развития технологий требует перманентного усовершенствования подходов и методов для защиты информации. Промедление в решении вопроса создания соответствующей инфраструктуры и ее защиты, а также понятных механизмов функционирования киберобороны, может привести к тому, что мы не сможем догнать передовые технологии и будем не только уязвимы с точки зрения безопасности страны, но и понесем ощутимые репутационные и экономические убытки.