Верховная Рада в этом году выделила на модернизацию и развитие киберзащиты в Украине 150 млн гривен: 7 млн на обеспечение функционирования системы спецсвязи и информации и 143 млн – на развитие и модернизацию этой системы. И все бы хорошо, если не было бы так грустно. Ведь в свете плачевности состояния кибербезопасности в Украине, это бюджетное вливание – не оздоровительная мера, а, скорее, реанимационная.
В 2016 году на сайты органов государственной власти и стратегические объекты совершались громкие хакерские атаки. Они не только вредили сетевому оборудованию, но и имели место утечки информации, приостанавливалась работа учреждений. Например, при взломе «Прикарпатьеоблэнерго» часть Ивано-Франковской области была обесточена.
Пришла пора понять: кибератаки – это не тролли в комментариях, а серьезные угрозы. Но за все время независимости Украина, к величайшему сожалению и стыду, пассивно реагирует на необходимость развития информационной безопасности и в новой геополитической войне – кибервойне – ведет себя инертно. Смотрите сами: в 2005 году Украиной была ратифицирована Конвенция о кибербезопасности, но только в 2016 году власть начала осуществлять первые шаги в создании Координационного центра в структуре СНБО. Законодательство в сфере IT работает слабо, и только в 2017 году запланировано первое серьезное финансирование системы. Но финансирование – это только обложка без содержания и стратегии. Разумеется, этих денег недостаточно. Уязвимость информационных систем и критическое состояние инфраструктуры в нашем государстве настолько плачевны, что изъять информацию и нанести урон можно практически любой политически или экономически важной базе данных – вот так беспечно у нас охраняют информацию.
Кибератаки – это не тролли в комментариях, а серьезные угрозы
Самая большая проблема в сфере информатизации – отсутствие единой концептуальной стратегии по созданию соответствующей инфраструктуры. До сих пор нет механизма по созданию и работе национальных DATA-центров, которые хранили бы и администрировали все информационные потоки государственного и коммунального характера. Национальная стратегия по кибербезопасности была разработана около 6-ти лет назад и, конечно, нуждается в пересмотре и обновлении.
Нет единства и во власти: между СНБО и Государственной службой специальной связи и защиты информации нет договоренности в том, кто за что отвечает, и как осваивает бюджет. Механизмы государственно-частного партнерства в сегменте не отлажены, а такие прецеденты в IT вообще пока единичны. А теперь Минфин выделил деньги. На что их потратить? Какие проблемы решать в первую очередь? Дело в том, что для Украины актуальны как внутренние, так и внешние киберугрозы.
Первые связаны с тем, что коммерческие компании и частные предприниматели чаще всего не знают, как защитить себя при возникновении даже примитивной киберпроблемы. Технически они слабы и на модернизацию решаются нечасто, поскольку экономят на услугах IT-подрядчиков. В результате, взломать базу данных небольшой компании, занимающейся примитивными транзакциями, может при желании даже школьник.
А неудовлетворительный уровень информационной защищенности государственных объектов сам по себе создает еще и внешние угрозы. В конце концов, что такое государственная тайна в стране с низким уровнем внедрения инновационных технологий в IT? Именно поэтому важным шагом в развитии киберзащиты Украины должно стать ужесточение на правовом уровне ответственности за отсутствие либо халатное отношение к построению комплексной системы защиты информации на предприятиях государственной, коммунальной и частной собственности, использующих конфиденциальные данные.
В Украине также провисает информационная грамотность. Не прививается гигиена использования, хранения и обработки информации в школах и вузах, и это уже вопрос к отечественной системе образования. Как театр начинается с вешалки, так и внутренняя программа по кибербезопасности должна начинаться именно отсюда. Мы можем постепенно изменить положение, благо, в стране достаточно светлых голов. В первую очередь, необходимо обеспечить и закрепить взаимодействие между силовыми ведомствами и этими самыми светлыми головами – подрядчиками, которые способны обеспечить качественное сервисное обслуживание. Это дорого. Боюсь, что в итоге тендеры выиграют «свои», а апгрейд системы будет поверхностным. Без четкого плана распределения средств и механизма контроля над эффективностью их использования, выделенные из бюджета миллионы, скорее всего, разойдутся по карманам.
Печально, но в случае с украинскими чиновниками действует поговорка «пока гром не грянет, мужик не перекрестится»: увы, приоритетность развития кибербезопасности в Украине власть сможет оценить только тогда, когда на своем горьком опыте поймет всю важность сохранности информации.