Кибератаки, реестр черного ПО и скандал с Huawei. Интервью с главой Госспецсвязи
Держспецзв'язку – одне з ключових відомств, що займається кіберзахистом України. Але, як каже його голова Юрій Щиголь, вони не "ловлять за руку" хакерів та кіберзлочинців – на стороні Держспецзв'язку розроблення політик, які мають зробити кіберпростір в Україні стійкішим до атак.
Liga.Tech розпитала його про ці політики, а також про плани з посилення захисту зв'язку – через спецсмартфони, лабораторію для перевірки програмного забезпечення і нові рекомендації держорганам. Нижче – найважливіші тези з бесіди.
Про кібератаки
Коли відбувається атака, не видно з якої країни вона приходить. Але кожне хакерське угруповання діє зі своїм почерком, за яким можна встановити приналежність хакерів до певної країни, звідси і з’являється статистика щодо атак у розрізі країн.
За півріччя фахівцями Держспецзв’язку заблоковано більше 1,1 млн атак різних видів на державні інформаційні ресурси, крім того — заблоковано понад 250 DDoS-атак. Є країни, які сьогодні поводяться найбільш агресивно у кіберпросторі, серед них зокрема: Росія, Китай та Північна Корея. Активізація в кіберпросторі відбувається одночасно з активізацією в реальному житті, тому коли стягували війська у квітні до кордону, ми також бачили сплеск атак. Кожна така провокація супроводжується підвищенням напруги в кіберсекторі.
Щомісяця загальна кількість кіберінцидентів зростає на 5-10%, майже всі вони спрямовані або на отримання фінансової вигоди, або на послаблення держави. Атаки приходять переважно з приватного сектору, через спроби зараження систем шкідливим кодом.
Для кібербезпеки сьогодні основною проблемою є не техніка чи програмне забезпечення, а людський фактор. Наприклад, якщо користувач забуде оновити програмне забезпечення, чи користувач використовує прості паролі або відкриває підозрілі листи, він порушує елементарні правила безпеки, і це основна причина успіху окремих атак.
Про зміни у політиці з кіберзахисту
Досі на рівні країни була відсутня класифікація установ за рівнем важливості, аби встановити для них відповідні вимоги щодо кіберзахисту. Минулого року Держспецзв’язку розробило таку класифікацію і загальні вимоги до рівня кіберзахисту для кожної із категорій установ у цій класифікації. У ній відображено категорії найбільш критичної інфраструктури.
До кінця 2021 року самі установи (як державні, так і приватні, наприклад, атомні станції та електромережі) на підставі цієї класифікації повинні зарахувати себе до однієї з визначених у ній категорій, відповідно до встановлених критеріїв. Тоді вони отримують спеціальні рекомендації щодо захисту, впровадження яких розпочнеться з наступного року.
Серед рекомендацій багато базових вимог: наявність у складі особи або підрозділу, що відповідає за інформаційну безпеку і підпорядковується безпосередньо керівнику об'єкта, оновлення ПЗ щонайменше раз на рік, затвердження політики інформаційної безпеки, зокрема – створення переліку критичних бізнес-процесів, порядку управління правами доступу користувачів та адміністраторів до компонентів об'єкта критичної інфраструктури, створення резервних копій інформаційних ресурсів та критичних бізнес/операційних процесів для оперативного відновлення, використання комплексної системи захисту інформації або системи інформаційної безпеки з підтвердженою відповідністю та ін..
Держспецзв’язку створює методологію захисту і нормативну базу, а кожен системний адміністратор відповідальний за свою систему.
Про реєстр програмного забезпечення
Приклад успішної кібератаки за останні роки – це notpetya, і їм вдалося, бо для атаки був використаний елементарний недолік програмного забезпечення.
У нас поки немає реєстру програмного забезпечення, забороненого до використання, але згодом ми його створимо.
Наразі у нас діє лише реєстр програмного забезпечення, що отримало дозвіл на використання. Держоргани не можуть використовувати програмне забезпечення, яке не має дозволу і не присутнє в такому реєстрі.
У реєстр забороненого програмного забезпечення потрапить те ПЗ, яке несе в собі певні загрози. Але для того, щоб зробити такий реєстр потрібна лабораторія з дослідження ПЗ, яку ми побудуємо цього року.
В інших країнах такі лабораторії повноцінно функціонують. Там досліджується код чи його певні функціональні модулі. За аналізом коду, якщо не буде зрозуміло, як він працює, він буде заборонений, допоки його безпечність не буде доведена розробником.
Про скандал із Huawei
Huawei представлені на українському ринку як найбільший вендор обладнання для мобільних мереж, всі присутні на нашому ринку мобільні оператори використовують обладнання Huawei. Коли були ухвалені постанови про методологію зарахування до об'єктів критичної інфраструктури, мобільні оператори першими зрозуміли, що вони є критично важливими, і вони самі звернулись із запитом на рекомендації щодо побудови систем захисту.
Але мобільні оператори не мають доступу до коду того програмного забезпечення, яке вони використовують. Тому ми звернулись до Huawei з запитом на можливість вивчити їх обладнання і ПЗ. Вони погодились, але попросили оформити дозвіл у вигляді меморандуму про обмін досвідом і вивчення ПЗ. Водночас у меморандумі немає жодних зобов’язань від української сторони щодо Huawei. Ми не могли діяти по-іншому, бо на них зав’язані всі мобільні оператори.
Чому меморандум спочатку вивішували публічно, а потім зняли
Публікація про співпрацю Держспецзв'язку з Huawei була вилучена з офіційного сайту, оскільки викладена інформація не відповідала суті меморандуму, підписаному між Держспецзв'язку і ТОВ "Хуавей Україна".
Меморандум залишається чинним.
Про спеціальні смартфони
Ми працюємо над створенням спецсмартфонів. Вивчаємо два шляхи – або повноцінно спеціальний смартфон, або спеціальне ПЗ. Наша вимога – присутність вітчизняного криптографічного захисту інформації. Це може бути і діючий смартфон посадовця, на який ми поставимо спеціальне ПЗ із вітчизняною системою захисту. Зацікавленість вже показували і великі відомі імена, зокрема Nokia та Ericsson. Та компанія чи пул компаній, які втілять вимоги із захисту, отримають цей проєкт. Україна тут пасе задніх – у всіх розвинених країнах спецсмартфони вже давно реалізовані.
До кінця року ми вирішимо це питання. Більш логічним нам видається створення ПЗ. Як варіант – це створення окремого месенджера. Хоча є моменти щодо захищеності цілого рішення на базі оператора. Коштуватиме, залежно від рішення, від кількох мільйонів гривень до кількох десятків мільйонів гривень.
Про фінансування Держспецзв’язку і найбільший проєкт
Цього року на Держспецзв’язку виділено бюджет у 4 млрд грн. Це найбільший бюджет за останні роки, але його все ще недостатньо для повноцінного оновлення структури. Поки що ми змогли покращити умови для фахових спеціалістів у галузі: підвищили заробітну плату на 20%, раніше середня зарплата у Держспецзв’язку була 14 000 гривень.
Саме на зарплату йде більша частині виділених Держспецзв’язку 4 млрд грн. Кошти, закладені на розвиток, складають 28% (близько 1,5 млрд грн) від того, що потрібно, але на 130% більше, ніж було, минулого року.
Торік модернізація Держспецзв’язку була профінансована на 2%, не відбувалось навіть оновлення ПЗ. Більшість ліцензій, які використовуються для боротьби і захисту систем, були прострочені. Але ми відновили ліцензії і робимо подальші закупівлі.
Також частина коштів пішла на створення центру зберігання даних, де будуть зберігатись копії держреєстрів у зашифрованому вигляді. Центр дозволить швидко відновлювати роботу держреєстрів після кібератаки. У його створенні задіяно багато людей, побудова здійснюється на конкурсній основі, а управління здійснюватиметься державним підприємством у складі Держспецзв’язку.
Центр зберігання даних будуватиметься до 2023 року, на перший етап закладено близько 100 млн грн. Туди будуть завантажені копії всіх держреєстрів, вони всі будуть зашифровані, їх може розшифрувати тільки той, хто передав. Вони будуть оновлюватись з різною періодичністю, ми її ще встановлюємо. Сьогодні здебільшого кожен орган сам відповідає за резервування своїх даних, але такого зобов’язання немає. Запуск центру резервування зробить цей процес обов’язковим і забезпечить надійність інформаційних державних ресурсів. Окрім цього побудова цього центру дасть можливість зекономити бюджетні кошти, які кожен центральний орган витрачав би на побудову власного центру.
До конкурсу будуть допущені іноземці, переможця оберуть за найбільш привабливою технологічною моделлю і найкращою ціною.
Про зміни у Держспецзв’язку
Можливо, буде розділення чи переформатування функцій Держспецзв’язку, після завершення аналізу можливості підвищення ефективності. Сьогодні у нас 11 000 осіб. Ми скоротили близько 400-500 посад, які не були ефективними і займались переважно перекладанням паперу з місця на місце. Частково ці посади були порожні. Буде ще скорочення. Але ми також добираємо висококласних фахівців.
Ще один напрям нашої роботи – ми повертаємо втрачені активи. Маємо кілька судових процесів з повернення земельних ділянок, що належать Держспецзв’язку. Органи місцевої влади просто вирішили забрати за своїм рішенням землю і віддати забудовнику в одному з обласних центрів. На цій самій території є телевізійна вишка, яка транслює сигнал, і Держспецзв’язку від неї не відмовлявся. Таких кейсів близько десяти.