Фото: iStock/Global Images Ukraine

При поддержке Октава Киберзахист

В преддверии выборов всплывает очень важный вопрос: кто отвечает за информационную безопасность страны? У нас есть Министерство информационной политики. И многие люди убеждены, что именно этот орган главный в этой сфере. Но при более близком знакомстве с полномочиями ведомства оказывается, что оно отвечает не столько за хранение и безопасность информации, сколько за ее распространение. А также за формирование информационной политики.

Непосредственно за безопасность информации отвечают другие органы. И в связи с тем, что такое событие, как выборы президента, обычно притягивает хакеров и недоброжелателей изо всех уголков мира, редакция LIGA.net решила поподробнее рассказать, кто и чем занимается.     

Сначала отделим мух от котлет

Говоря об информационной безопасности, следует обратить внимание на начальную терминологию. Есть информационная безопасность, а есть кибербезопасность.

Эксперт по информационной безопасности и основатель компании Октава Киберзахист Александр Кардаков разделяет эти два понятия следующим образом.

Информационная безопасность (ИБ) – защита информационных ресурсов, физических и цифровых данных от несанкционированного доступа, использования, раскрытия, нарушения, модификации или уничтожения. Основная задача ИБ – обеспечение доступности, конфиденциальности и целостности информации. В некоторых трактовках ИБ включает в себя защиту прав личности и сферу медиа.

Кибербезопасность (КБ) – это обеспечение защиты цифровых данных, информационных систем и инфраструктуры от атак с использованием ИТС (информационно-телекоммуникационных систем). КБ – часть ИБ.

Теперь разберемся с тем, какие органы отвечают за информационную безопасность. И немаловажная ремарка - за что именно они отвечают.

Как говорит Кардаков, единого органа ответственности по КБ нет – это система. Основные субъекты системы в Украине: СНБО, Госспецсвязь, СБУ, Минобороны, МВД, НБУ. Они формируют правила «игры» в госсекторе.

Система ИБ в госсекторе сформирована для информации, являющейся собственностью государства, а не всей существующей информации граждан и бизнеса. Главные субъекты – СБУ и Госспецсвязь. (Основополагающие нормативные документы - законы «Про информацию», «Про защиту информации в ИТС»).

Полномочия у этих органов частично пересекаются.

Теперь попробуем разобраться, какой из этих органов за что именно в ответе.

Госспецсвязи. Этот орган заботится о технической защите информации и криптозащите данных, являющихся собственностью государства, и персональных данных. Он лицензирует компании, которые имеют право оказывать услуги криптозащиты и технической защиты информации. Выдает аттестаты соответствия на средства и комплексные системы защиты информации. Например, на софт и на систему в целом, которая обеспечивает работу реестра электронного декларирования.

При Госспецсвязи есть центр реагирования на киберугрозы для ресурсов государства  - CERT.UA (подразделение, струкртурно относящееся к Госцентру киберзащиты и противодействия). На него возложены функции предупреждения и ликвидации последствий кибератак. Например, если в ходе выборов хакеры атакуют реестры ЦИК или сайт президента, специалисты этого центра должны будут отреагировать на этот киберинцидент, в случае необходимости связаться с международными центрами реагирования и отследить источник угрозы. При Госспецсвязи также работает Центр антивирусной защиты информации. Он отвечает за защиту информационных ресурсов государства.

СБУ отвечает за защиту интересов государства и прав граждан в информационной среде. В СБУ не так давно открылся Ситуационный центр обеспечения кибернетической безопасности. Его создали на базе департамента контрразведывательной защиты интересов государства в сфере информационной безопасности этого ведомства.

Задача центра - предотвращение хакерского вмешательства в работу объектов критической инфраструктуры и государственных служб. У центра есть собственная лаборатория компьютерной криминалистики и реагирования на киберинциденты. Оборудование и ПО для работы центра СБУ приобрела на средства, полученные от трастового фонда Украина-НАТО.

У Министерства внутренних дел есть Киберполиция. Она занимается расследованиями в сфере размещения противоправного контента в интернете, взлома платежных систем и площадок e-commerce. Это подразделение также обязано информировать граждан о новых угрозах и противодействовать их распространению.

В Минобороны тоже есть свои подразделения, отвечающие за ИБ. Например, войска радиоэлектронной борьбы (РЭБ). Они отвечают за защиту систем управления ВСУ и нарушение работы информсистем управления противника. Специальными мероприятиями по обеспечению национальных интересов в информационной сфере занимается также Главное управление разведки Украины. В 2017 году Министр обороны Степан Полторак также сообщал, что ведомство работает над созданием специальных “кибервойск” для отражения киберударов. Подробности пока не сообщались.  

Не так давно был создан Центр киберзащиты при Национальном банке. Его задача - реагирование на инциденты кибербезопасности в банковской системе Украины. Обсуждается, что аналогичный центр будет создан и при Министерстве инфраструктуры.

Защита утопающих - дело рук самих утопающих

Самое важное, что должен знать обычный украинец: центры реагирования и защиты информации заботятся о том, чтобы обеспечить ИБ только государственных структур.

“За свою безопасность каждый лично отвечает сам даже на бытовом уровне. Госорганы могут давать рекомендации. Но они в первую очередь должны защищать государственные ресурсы. В остальном предприятие защищает само себя, гражданин - сам себя”, - подчеркивает Александр Кардаков.

То же самое касается и бизнеса. Их собственная ИБ и КБ - это их ответственность. Как подчеркивает Кардаков, все предприятия, где важна информация, должны иметь человека, ответственного за это - Chief Information Security Officer. Это мировая практика.

Уровень этого ответственного обязательно должен быть N-1 - то есть он должен подчиняться напрямую либо первому лицу компании, либо акционерам. Он должен иметь влияние на критические бизнес-процессы. Так же как ИТ-директор не должен ограничиваться функциями "начальника над серверами", так и CISO не должен быть ограничен сугубо прикладными задачами на уровне защиты ИТ-инфраструктуры. Вся деятельность CISO направлена ​​на обеспечение непрерывности бизнеса, создание условий для его безопасного роста. CISO обязан мыслить категориями решения бизнес-задач, разумеется, в разрезе кибер- и информационной безопасности.

Как рассказывает Александр Кардаков, таких людей в Украине очень мало, но их можно обучить. Это могут быть переученные айтишники, безопасники. Доучиваются они пониманию, какую информацию и какие процессы предприятия надо защищать. Главное для  CISO - понимание, какая информация предприятия - важная, как должны работать информационные системы, что критично и что делать в случае возникновения проблемы.

“Курсов по этим вещам нет, люди пока что обучаются сами. Но этот вопрос уже обсуждается, в массовом порядке к этому идет и государство”, - резюмирует Кардаков.  

 

Где остановка информационной системы чревата большими убытками, должны быть такие выделенные люди. Предприятия критической инфраструктуры - обязательно. А таких предприятий сотни.

Кто уже обзавелся CISO?

“Сегодня позиция CISO есть во многих украинских корпорациях, имеющих развитые филиальные сети и мощную ИТ-инфраструктуру, огромные массивы конфиденциальных данных, требующих грамотной защиты”, - рассказывает глава наблюдательного совета компании ИТ-Интегратор Андрей Верба .

Например, такая должность есть во многих финансовых учреждениях:  в Таскомбанке и группе TAS, Креді Агріколь Банке. Есть она и у мобильных операторов. Например, у lifecell.

В некоторых украинских бизнесах есть такая должность, но она называется иначе. Например, у группы EVO (e-commerce) это Head of Information Security. Он подчиняется напрямую бизнес-девелоперу B2B-направления. “В подчинении у него два администратора безопасности”, - уточняют в компании.

Head of Information Security and Privacy - так называется эта должность в Ciklum, крупной украинской IT-компании.

Есть уже примеры, когда такой человек назначается и в относительно небольших фирмах. Например, как рассказывает основатель Zeleni.Agency Артем Зеленый, такой специалист находится непосредственно в его подчинении. Его функция - кибербезопасность, а именно исключение несанкционированного доступа к сетям компании. “Благодаря этому, нас обошли вирусы типа Petya.A, которые разорвали IТ-системы клиентов” - уточняет Зеленый.