Чи у нас не кібервійна? Легенда про НАІБУ

Ну добре, начетбо остання хвиля кібератак “про Петю” вже розібрана на молекули як з технічного боку, так і з політично-тактично-стратегічного. 

Багато розумних людей і організацій опублікували звіти і роз’яснення.

Питання “що ж трапилося” і “хто винуватий” можна вважати в цілому розкритими.

А тепер давайте розмірковувати – “а що ж робити далі”.

Мабуть, ніхто вже не сумнівається, що наступні хвилі кібератак обов’язково будуть, і наслідки будуть ще гіршими. 

Питання лише — коли: до Дня Незалежності чи раніше, наприклад до Саміту 19+0.

На моє тверде переконання, країні конче необхідна абсолютно нова структура, яка централізовано взяла б на себе усю відповідальність за все, що стосується кібербезпеки

Поки що з гумором умовно назвемо її “Національна Агенція з Інформаційної Безпеки України”. Гумор — у аббревіатурі, мені подобається, особливо у контексті протидії кіберагресії запоребриків. :-)

Я згоден з Владом Стираном, що кожен керівник компанії, установи, організації має нести повну відповідальність за безпеку своїх мереж. 

“Візьми і зроби” або “Не зроби і сядь”.

Але ж існує ще безліч речей, які мають бути якось скоординовані у національному масштабі.

Ось лише деякі з них:

– визначення що ж є об’єктом критичної інфраструкури, загальні принципи (та вимоги!) побудови їх захисту (нехай це буде навіть просто перекладом давно існуючих у Світі стандартів); 

– методологічні рекомендації “в одному вікні” щодо захисту, детальні інструкції – до кого і в яких випадках бігти та звертатися, коли “запалало”;

– порядок обміну інформацією про кіберінциденти (хто, про що і кому зобов’язаний повідомляти, як ця інформація має захищатися, ким, яким чином; у яких випадках до неї матимуть доступ слідчі чи правоохоронці та багато іншого);

– скоординоване навчання основам кібербезпеки “тренуймо тренера” (коли навчають спочатку першу партію людей, вони стають тренерами і починають тренувати інших), цікава ідея від хлопців з ISACA;

– активна допомога вітчизняним вишам у розробці навчальних курсів;

– імплементація міжнародних стандартів замість застарілого вітчизняного законодавства, яке не встигає себе “патчити”;

– координація та практична допомога у створенні мережі галузевих, регіональних, університетських та інших CERTів (коменд реагування на інциденти);

– активне залучення приватного сектора до всього вищезгаданого, у тому числі не безкоштовно (без грошей бізнес чомусь працювати не хоче, бо перестає при цьому ідентифікувати себе як «бізнес»).

Ще є інші проблеми на кшталт “висмикування правоохоронцями серверів”, поширення у соціальних мережах “всього хорошого проти всього поганого”, контрпропаганда в Інтернет, спеціальні інформаційні операції (у хорошому сенсі), та багато іншого, у тому числі Кіберармія, але про це вже тихенько, це таємниця.

І головне: розробка законодавства про усе згадане.

Так, вже існує багато всіляких законопроектів, у яких відомство-розробник тягне ковдру на себе, мріючи про “важелі впливу” та ласий шматок з держбюджету.

Але за три останні роки, поки йде активна кібервійна, усі ми пересвідчилися, що схема “лебідь-рак-щука” не працює. І за три роки вже мало б бути щось набагато дієвіше і ефективніше, ніж Стратегія та Концепція.

Дехто скаже: “Нафіга нам ще один контролюючий коррупційний орган, у нас вже є Мінстець, ДССЗЗІ, СБУ, Кіберполіція, CERT-UА та ще якісь агенції”.

Згоден, такий ризик існує.

Тому треба його виключити ще на стадії зачаття: обрання перших осіб на відкритому конкурсі з онлайн-трансляцією (досвід НАБУ), набрати фахівців на пристойну (!) зарплату теж на конкурсі (як це було у Кіберполіції), державно-приватне партнерство організувати через систему ProZorro, щомісячна публікація звітів про діяльність на сайті НАІБУ, знов за конкурсом заснувати Громадську раду і багато інших “стримань і противаг”. 

На кожному важливому об’єкті критичної інформструктури, у ключових державних установах, системних банках, найбільших ISP, основних дипмісіях України за кордоном має бути Представник НАІБУ (ой, як мені подобається аббревіатура). 

Колишні мої колеги знають цей принцип за чудовим скороченням ОДР.

У ДССЗЗІ, СБУ, Кіберполіцію, CERT-UА слід забрати частку повноважень (а Мінстець взагалі можна ліквідувати, гг), натомість обов’язково включити їх преставників як радників, та/або до складу Громадської/надглядової ради.

Звісно, уся ця махіна повинна мати відповідний і немаленький бюджет, бо кібербезпека – то справа недешева. Як контролювати його використання — то окреме питання, але певен, що якось це можливо зробити. 

Хоча зловживання були, є і будуть у всіх високорозвинених країнах. Цей ризик требе просто прийняти, перемогти його неможливо.

Але бюджет має бути пропорційний ступеню загроз. Скільки у нас був бюджет на ЗСУ до війни? А скільки зараз? 

Отож.

Імплементувати усю цю махіну складних взаємовідносин у вигляді Закону України (а може й “Кодексу про кібернетичні правопорушення”, хто знає?) має той, хто “і до, і після” нестиме повну відповідальність за належне винання написаного та потім затвердженого Верховною Радою.

Під час війни у армії має бути лише один командир. Лише він має віддавати накази, і лише він має потім йти за них під суд або отримати орден.

Чи у нас не кібервійна?

Відчуваю, що хотів сказати ще щось важливе, але то вже мабуть згодом допишу, по мірі дискусії з розумними людьми.

Поки що це костяк загального бачення головних принципів.

А тепер можна починати аргументовано усе це критикувати.

Але я буду пручатися, хоча слушні ідеї буду думати  😉

Костянтин Корсун
FB

 

* Точка зору автора може не збігатися з позицією агентства

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>