Кібербезпека України: американці зробили перший крок

Думки експертів про те, що нам дасть прийняття Конгресом США закону про захист України від кібератак

Першим про підтримку конгресом США «українського» законопроекту про кібербезпеки повідомив в своєму Фейсбуці заступник глави Адміністрації Президента України Дмитро Шимків.

Він подякував конгресменів, їх помічників, українське посольство у Вашингтоні і наших партнерів за цю ініціативу і всі ті зусилля, які були докладені в просуванні її в Конгресі, зазначивши, що здійснити це було дуже непросто, враховуючи кількість законодавчих ініціатив.

Це буде перший закон США в сфері кібербезпеки, де слово Україна винесено в заголовок. А ще в ньому згадується Будапештський меморандум, і Україні пропонується ні більше, ні менше, ніж разом з Америкою виконувати лідерську роль в поліпшенні кібербезпеки у всій Центральній і Східній Європі. Закон свідчить про відповідальне ставлення наддержави до безпеки в нашому регіоні. Конгрес дав зрозуміти, що усвідомлює небезпеки неконвенційну війни, і що поза увагою конгресменів не залишаються все ті нападу на енергетичні об'єкти, газо-транспортну систему, аеропорти, метро, ​​які так нас стурбували. У цій, нехай поки безкровною, але найпотужнішою війні, ми швидше за все отримаємо союзників.

І хоча законопроект ще повинен пройти голосування в Сенаті, ми вважаємо його гідним для обговорення. Укрінформ зробив переклад документа і попросив прокоментувати його експертів зі сфери інформаційної безпеки.

ЗАКОН МАТИМЕ рамковий характер, АЛЕ РОБОЧІ ГРУПИ наповнити його ЗМІСТОМ

Дмитро Дубов, завідувач відділом інформаційної безпеки і розвитку інформаційного суспільства Національного інституту стратегічних досліджень:

- Законопроект, прийнятий нижньою палатою Конгресу, сприймаю ні з точки зору практики, але як однозначну перемогу політичної позиції. У США сформовано законодавство з кібербезпеки, але це буде перший закон, який стосується України і регулює в цій галузі відносини між Україною і США. Він на дві третини складається з констатуючій частині, щоб було зрозуміло, як вони сприймають події в Україні в сфері кібербезпеки. А в резолютивній частині є дуже важливі слова. Слова про те, що підтверджується прихильність США Хартії про стратегічне партнерство між США і Україною, прихильність США підтримці співпраці між НАТО і Україною. А також певні положення, які фактично містять зобов'язання для американської влади.

Наприклад, Державному секретарю - вживати заходів, відповідно до інтересів США, по допомогу Україні в підвищенні її кібербезпеки. Департамент енергетики буде нести відповідальність для створення українсько-американської робочої групи з розробки Програми кібернетичної безпеки України. Тобто, є чіткі положення, що це - завдання Держдепу і Міністерства енергетики, і чим вони повинні допомогти українській стороні. Встановлюється формат відносин, констатується, якими вони повинні бути. Тому що до цього моменту формальних документів, в яких це закріплено, не існувало. Американська влада повинна робити певні кроки по захисту критичної інфраструктури. Але які конкретно кроки і скільки коштів буде виділятися - не зрозуміло. Це рамковий документ, який дозволяє почати ефективний двосторонній діалог, а як він буде наповнюватися, залежить від учасників діалогу, від комісії, яка буде працювати і в США, і в Україні.

Певна допомога від НАТО вже є. Окремо США могли б допомагати в розслідуванні інцидентів, хоча, якщо брати технічну сторону - ми і самі багато чого можемо. Але точно нам би не завадила допомога в установці систем для захисту критичної інфраструктури, в розвитку системи CERT-ів (команди реагування на кіберзагрози - ред.), Яка ще формується.

Їх завдання оцінки кіберзахисту в країні теж вважаю дуже важливою. Насправді така оцінка не проводилась, руки не дійшли. Тому поглиблення методологічної допомоги, щоб зрозуміти стан нашої кібероборони і з'ясувати, чим би вони могли допомогти у фінансовому, технічному, кадровому сенсі, дуже важливо. Можливо, це спричинило б за собою створення освітніх програм не тільки для фахівців сфери, але і для держслужбовців, персоналу об'єктів критичної інфраструктури.

ЗАКОН - ФУНДАМЕНТ ПОДАЛЬШОГО СПІВРОБІТНИЦТВА, ЯКИЙ ВИЗНАЧАЄ УКРАЇНИ ЯК ГОЛОВНЕ ПОЛЕ кібервійни

Костянтин Корсун, голова ради громадської організації "Українська група інформаційної безпеки":

- Я віддаю належне українським дипломатам, які цілеспрямовано ведуть роботу з нашими американськими партнерами по підтримці кібербезпеки в Україні. Якщо говорити про сам закон, то там згадуються головні моменти відносин України і США: дипломатичні відносини встановлені в 1992 році, спроба зірвати вибори Президента України 2014 року, атака на Прикарпаттяобленерго і інші об'єкти енергетики. Йдеться про те, як багато представників різних відомств США приїжджали в Україну допомагати розслідувати той інцидент, і що Петро Порошенко наголосив на необхідності створення Національної системи кібербезпеки.

Читаючи закон в оригіналі, зустрів цікаве висловлювання: «cyberspace has turned into another battlefield 101 for State independence». Я так розумію, battlefield 101 - означає щось на зразок «основної поле битви». Далі США підтверджують своє прагнення підтримувати Україну в сферах оборони, безпеки, економіки, торгівлі, енергетичної безпеки, демократії та культурного обміну.

Автори законопроекту підтверджують підтримку реформ і антикорупційних ініціатив, Будапештського меморандуму і обіцяють допомагати Уряду України поліпшити його стратегію кібербезпеки.

Які пункти перерахованих пропонованих заходів підтримки привернули мою увагу? Не пізніше 180 днів після введення в дію Акту, Держсекретар США подає Комітету закордонних справ Палати представників і Комітету з закордонних відносин Сенату Звіт про стан взаємодії США з Україною. Деталізується, які саме пункти і заходу включатиме Звіт. І один з них, до речі, вже виконано, це поглиблення угоди з НАТО щодо заснування Центру управління інцидентами - для моніторингу подій кібербезпеки і лабораторій з розслідування інцидентів кібербезпеки. По останньому пункту можна сміливо ставити галочку "done": Центр запущений, відкривав голова СБУ, новина про це розміщували на сайті Служби, запросили представників місцевої infosec-ком'юніті.

Який би могла бути допомога США? Кібербезпека - витратна штука, яка не приносить прибутку, але багато хто розуміє, що безпека важливіша прибутку. Інформаційною безпекою в державному секторі, в органах влади ніхто особливо не займався, особливо до 2014 року. Бюджети ніколи не виділялися, і зараз вони не виділяються.

Спілкуючись з різними представниками влади, розумію, що хоч і йде четвертий рік війни, коли відбуваються потужні кібератаки і кипить кібервійна, як і раніше, нічого не виділяється на цю сферу.

Хоча СБУ була більш ініціативною, вони домовилися про співпрацю з НАТО через Трастовий фонд. Тобто методична допомога відбувається і зараз. Співробітники правоохоронної системи постійно туди їздять на навчання. Але без софта і заліза результат навряд чи буде ефективним. Повертатися додому і на якомусь Windows XP або Pentium 4 намагатися будувати безпеку інформаційної мережі - неможливо. Тому американська допомога могла б бути у вигляді сучасного обладнання та сучасних софтверних рішень, плюс - методологічна допомога (вона надається досить давно, але тепер буде надаватися згідно останніх рішень з кібербезпеки).

Які подальші шляхи реалізації закону в разі його вступу в силу? Про це краще знають люди з виконавчої влади. Але закладаються передумови: ми з вами, ми хочемо вас підтримати. І взагалі факт, що такого роду акт пройшов через досить громіздку машину американського конгресу, - це вже дуже велике досягнення саме по собі. Американська бюрократія складна, я розумію, що підзаконними актами будуть вирішуватися конкретні кроки.

Думаю, що відповіді на питання - «як», «що», «в якій кількості», «коли» - будуть далі. Але без основоположного закону навряд чи можливі інші рішення. Закон - теоретична, фундаментальна база, підзаконні акти деталізують шлях його імплементації. У США є розуміння, що закладений фундамент, щоб розвивати співробітництво.

УКРАЇНСЬКОМУ ПАРЛАМЕНТУ ТЕПЕР ТРЕБА ВСТИГНУТИ за Сенатом

Олексій Барановський, доцент кафедри інформаційної безпеки КПІ:

- Закон дійсно цікавий. Це необхідний для України знак солідарності і підтримки від Сполучених Штатів Америки.

Головний пункт, який би я виділив, якщо треба було сформулювати його одним реченням - такий: на найвищому законодавчому рівні визначено прагнення США допомогти Україні в сфері інформаційної безпеки.

Мої колеги висловилися про позитиви і перспективи, а я б хотів відзначити таку річ. Український закон про основи кібербезпеки вступає в силу в травні поточного року. Уявіть, що американський закон буде прийнятий Сенатом і підписаний президентом раніше? Тоді американці змушені будуть почати нам допомагати в кіберзахисту критичної інфраструктури. Але у нас її, вибачте, законодавчо ще немає .

Я думаю, що нашим законотворцям варто почати бігом формувати критерії, за якими буде визначатися список об'єктів критичної інфраструктури, і закривати всі наявні законодавчі лакуни. Щоб американці, власне, мали уявлення, де саме вони повинні допомагати, якщо закон буде прийнятий Сенатом.

В цілому, Україна повинна була б приймати будь-яку допомогу в сфері кібербезпеки і розвивати співпрацю з будь-яких напрямах, але поки що законом її види та обсяги не деталізовані.

Хоча варто відзначити, що у нас є позитивний досвід співпраці з НАТО. Про створений в СБУ Центрі кібербезпеки я чув позитивні відгуки колег.

Але особисто мені цікавий підпункт майбутнього закону про початок кампанії з підвищення обізнаності щодо інформаційної безпеки. Я думаю, що Україна потребує великих освітніх програм. А оскільки працюю в сфері освіти, то вважаю, що навчання - первинне.

Лана Самохвалова. Київ.