Круглый стол: «Кибербезопасность: миф или реальность»?


«Кибербезопасность: миф или реальность?»

 

11 февраля 2015 года Общественная Организация «ІТ Альянс»   при поддержке профильного комитета Верховной Рады Украины и Государственной службы специальной связи и защиты информации Украины, провели круглый стол на тему: «Кибербезопасность: миф или реальность?».

Соорганизаторами выступили Университет банковского дела Национального банка Украины (г. Киев), который предоставил конференс-зал, и Национальный аэрокосмический университет им. М.Е. Жуковского «ХАИ» (г. Харьков).
Генеральный партнер: Hewlett-Packard Company

Официальный партнер: Group-fs

Партнеры:  ISACA

Генеральный медиа-партнер: ЛИГА БизнесИнформ

К общественному интерактивному обсуждению присоединились более 80 человек: представители органов государственной власти (Юрий Шкиль - Администрация Президента Украины, Надежда Хван - ОБСЕ в Украине, Владимир Зверев - Государственная служба специальной связи и защиты информации Украины, Владимир Шеломенцев - МВД, Максим Рыбчук - МВД (Управление по борьбе с организованной преступностью), Сергей Шапочка - СНБО, Александр Любич - Академия финансового управления Министерства финансов Украины), представители учебных заведений (Тамара Смовженко -университет банковского дела Национального банка Украины (г. Киев), Вячеслав Харченко - национальный аэрокосмический университет им. Н.Е. Жуковского «ХАИ», и другие представители университетов).

Среди участников круглого стола, которые активно обсуждали вопросы кибербезопасности, были и представители банковского сектора (Приват Банк, Сбербанк России, Кредобанк, Укргазбанк, Банк Форвард, Фидобанк, Банк Пивденный, ВТБ), представители международных организаций (ISACAМеждународный фонд  «Единый мир», ACC, ЮСКУТУМ, GroupFS (forensic&security), DATAS Technology, Hewlett-Packard Company, ITbiz Solutions, ITCCEE, БКТ Сольюшнс, BMS-Consulting, САМБЕН, ATLANT-FINANCE, Monitor+, Лига противодействия кибертерроризму и информационным войнам), а также Первый секретарь Посольства Республики Казахстан в Украине и Республики Молдова.

Программа круглого стола была очень насыщена выступлениями и активным обсуждением тематики. Было заслушано 10 докладов от ведущих экспертов в области кибербезопасности и противодействия мошенничеству.

Участники мероприятия остались довольны эффективной работой и предложили организаторам как можно чаще выносить на обсуждение вопрос по заданной тематике, также выразили свою благодарность, что удалось собрать такую аудиторию за круглым столом, которую до этого никто не мог «усадить» за стол переговоров.

Организаторы благодарны всем участникам круглого стола за поданные предложения и острую дискуссию. По итогам  мероприятия для дальнейшей комплексной проработки вопроса обеспечения кибербезопасности Украины и качественного выполнения задачи, самые актуальные вопросы будут переданы в  рабочую группу по вопросам разработки и согласования законопроекта.

Нужен базовый документ

Вдадимир Зверев, глава Государственной службы специальной связи и защиты информации Украины, подчеркнул важность обсуждаемого вопроса для государства. «К сожалению, нет утвержденной стратегии и нет базового закона», - сказал он и добавил, что на Службу поручением Кабмина возложено задание консолидировать усилия, чтобы общественность и госструктуры могли подготовить документ по кибербезопасности. За последний год вопрос много обсуждается на уровне госаппарата. «Важно добавить общественную составляющую, которая отсутствовала. Возможно, важно привлечь банковскую сферу. Ведь пионерами электронной подписи выступали банки. Защищаться нужно. Считаем, что у нас есть этот потенциал», - отметил Зверев.

Тамара Смовженко, ректор Университета банковского дела НБУ, отметила особую важность вопросов кибербезопсности для банкиров. «Мошенничество, фишинг, DDoS-атаки, социнженерия приводят к утечке информации, ухудшения репутации и потери доверия населения к банкам», - считает она.

Андрей Бирюков, президент ОО «ІТ Альянс»,  для решения этой проблемы предложил участникам круглого стола создать меморандум развития кибербезопасности, который бы лег в основу законодательных инициатив.

История вопроса

Павел Смольянинов из Госспецсвязи провел небольшой экскурс в историю с законодательными инициативами в сфере кибербезопасности. Он рассказал, что первые законопроекты регистрировались в Верховной раде в 2012 и в 2013 году. Но в 2014 году были отозваны. Позже Кабинет министров поручил Госспецсвязи разработать законопроект и стратегию кибербезопасности. Разработка ведется при участии СБУ, СНБО, Миноброны, Генштаба, Минюста, Минфина, Минэкономразвития. Созданы рабочие и межведомственные группы. Привлекаются Интернет ассоциация, УАПП, Институт стратегических исследований.

Служба разработала стратегию, но ее не подписал президент, и ее вернули на доработку. После стратегии рабочая группа при Госспецсвязи разработала проект закона, который также после рассмотрения в Кабмине отправили на доработку международным экспертам. Рабочее название – «Про основні засади забезпечення кібербезпеки України». Также разрабатывается «Порядок віднесення об’єктів до критичної інфраструктури». Как отметили в Госспецсвязи, пока законопроект и стратегия в разработке, защита от киберугроз осуществляется в соответствии с Планом мероприятий, принятым в прошлом году и действующим до 2016 года. В Гооспецсвязи подчеркивают, что мнений уже собрано достаточно много, чтобы сделать хороший продукт.   

Иностранный опыт – чего не хватает украинским законам?

Алексей Янковский, президент Киевского отделения международной организации по разработке методологий и стандартов в сфере ИТ-управления, аудита и кибербезопасности ISACA, которая выступила партнером мероприятия, рассказал о существующих в мире моделях управления кибербезопасностью. Алексей представил модель управления кибербезопасностью США, и предложил участникам круглого стола обсудить применение элементов данной модели в Украине. Алексей Янковский отметил, что проект Закона Украины «Об основных положениях обеспечения кибербезопасности Украины» (далее - законопроект) содержит важные базовые определения и предлагает централизованную модель управления кибербезопасностью, при которой государству, в лице Госспецсвязи, выделяется основная роль по определению требований к кибербезопасности и контролю по их выполнению. При этом вряд ли удастся разработать единый стандарт кибербезопасности, который бы учитывал все особенности таких разных отраслей как, например, атомная энергетика, химическая промышленность и финансовый сектор. Внедрение единой системы контроля для всех отраслей будет дорого и неэффективно.

Янковский также отметил, что в законопроекте объекты киберзащиты определяются достаточно узко - как объекты критической инфраструктуры и государственные информационные ресурсы. В отличие от киберстратегий других стран, определение не включает объекты среднего и малого бизнеса и устройства конечных пользователей.  В частности, Янковский предложил обсудить следующие направления изменений:

1. внедрить децентрализованную модель управления кибербезопасностью, при которой функции по созданию отраслевых стандартов киберзащиты, контролю их выполнения и обмену информацией об атаках делегируются отраслевым регуляторам либо профессиональным ассоциациям. Янковский привел пример ассоциации NERC (North American Electric Reliability Corporation), которая разработала набор стандартов CIP (Critical Infrastructure Protection), которые обязательны к применению для энергетических компаний в США;

2. делегировать вопросы оценки киберзащищенности независимым аудиторам и экспертам, которые должны проверять критические объекты и отчитываться отраслевым ассоциациям и Госспецсвязи. Создать функции внутреннего ИТ аудита в государственных организациях, которые должны осуществлять проверки системы контролей в сфере кибербезопасности и ИТ;

3.     обязать Госспецсвязь взаимодействовать с отраслевыми ассоциациями в части обмена информацией об атаках и угрозах, обеспечения методологической поддержки, и помощи в расследованиях кибератак и восстановлении после инцидентов. При этом Янковский предложил создать в Госспецсвязи компетенции по расследованию киберинцидентов в сфере автоматизации управления производством и промышленной автоматики, как это сделано в Department of Homeland Security в США;

4.   зафиксировать в «базовом» Законе критичные отрасли, а также разработать модель определения объектов, которые необходимо отнести к критической инфраструктуре государства, на основе стандартов ENISA;

5.     урегулировать вопросы киберзащиты предприятий малого, среднего бизнеса и устройств конечного пользователя. Во многих странах государство предоставляет различные виды поддержки малому и среднему бизнесу, начиная от «чеклистов» по внедрению кибербезопасности, и заканчивая поддержкой в реагировании на атаки;

6.     активно вовлекать волонтеров и независимых экспертов в работу государственных органов в части киберзащиты. Подобная программа привлечения экспертов существовала в США, и включала содействие в ускоренном получении экспертом необходимых разрешений и доступа к государственной тайне и ее охране;

7.  обязать Госспецсвязь проводить регулярную независимую оценку эффективности своей работы и ежегодно отчитываться перед Верховной Радой Украины о состоянии кибербезопасности в стране;

8.     переориентироваться на международные стандарты сфере управления кибербезопасностью, включая, документы, разработанные NIST и ENISA, вместо устаревших отечественных стандартов защиты информации.

Янковский выразил обеспокоенность нормами, обязующими операторов связи хранить историю трафика за определенный период времени  и предоставлять эту по запросу в контролирующие органы. Если мы внедряем подобные подходы, должны быть выстроены контроли, которые воспрепятствуют злоупотреблению, например, такие как «принцип пропорциональности», и обязательное уведомление абонента о том, что его информация «перехватывалась» или передавалась третьим лицам на соответствующих законных основаниях.

В заключение Алексей отметил, что внедрение кибербезопасности требует комплексного подхода, и не ограничивается вопросами организации и контроля защиты. Реформирования также требует система образования, подготовки кадров, и профессиональной сертификации в сфере кибербезопасности, требуется создание киберобороны и организация борьбы с киберпреступностью. Поэтому нужно говорить не об отдельном Законе о кибербезопасности, а о необходимости системного подхода к реформированию правоотношений в данной сфере, который потребует внесения изменений во многие существующие и создание нескольких новых, а также создания национальной программы внедрения кибербезопасности. 

Что делать с кибер-волонтерами?

Дмитрий Гадомский, адвокат и партнер практики IT и медиа-права АО «Юскутум» "Этот круглый стол был весьма показательным с точки зрения демонстрации методов и целей государства в построении системы кибербезопасности. Причем, и метод, и цель, слились воедино: необходимо разработать стратегию, всеобъемлющую и идеальную. И начало уже положено: два года назад над стратегией начали работать; до сегодняшнего дня темп работы не ускорился. И пожалуй даже замедлился.

Мне очень печально осознавать, что иностранные компании Apple, Elance, Google более ответственно подошли к вопросу чистоты своих клиентов и отключили часть пользователей в Российской Федерации, и полностью – в аннексированном Крыму. Украинские же чиновники не видят проблемы в том, что на большинстве компьютеров в госаппарате установлен антивирус Касперского. Даже Китай запретил чиновникам использовать Касперского после сбитого Боинга. Тем не менее, мне нечего возразить сотрудникам Госспецсвязи, поскольку понимаю, что мои возражения они отправят своим коллегам с помощью сервиса mail.ru, а фотографии с сегодняшнего круглого стола выложат на Одноклассниках и ВКонтакте.

Немного добавляют оптимизма сотрудники недавно заработавшего СЕРТ-UA. Правда, сотрудников всего 10 на всю Украину – это всего немного меньше, чем нужно для противостояния армиям троллей, работающих на страну-агрессора. И если сарказм не удалось передать предыдущей фразой, то количество независимых от государство волонтеров-айтишников, которые молча делают то, что должны – 2-3 тысячи.

В итоге, вывод такой же, как и всегда: кибербезопасность также ложится на плечи волонтеров.

Правильно среагировать и отразить угрозу

Ярослав Левков из Hewlett-Packard Company (инновационные решения для самых ключевых рынков, основное внимание уделено облачным технологиям, безопасности и большим данным), которая выступила генеральным партнером круглого стола, рассказал, как можно предотвратить и оперативно отразить существующие кибератаки.

На сегодняшний день, существует несколько проблем, которые усложняют работу службам, которые отвечают за кибербезопасность предприятий: уровень атак взрослеет, растет число проплаченных атак, часть данных уходят в «облака». Проводя аудит в компаниях, эксперты понимают, что большинство компаний не имеют представления об уровне своей кибербезопасности. Соответственно не знают, как предотвратить нападение, сколько людей необходимо, чтобы отразить атаку, распределить ответственность, кто и с кем должен взаимодействовать. По мнению Левкова, каждое предприятие должно иметь конкретную «дорожную карту», чтобы быть защищенными.

Кто должен контролировать?

Юрий Когут, президент «Лиги противодействия кибертерроризму и информационным войнам», считает, что война показала неготовность Украины эффективно отражать кибератаки. Предотвратить и успешно бороться с нашествием кибер-противника возможно, считает он. Но для этого необходимо создать независимый орган по кибертероризму, который разработает нормативную базу. Как это было сделано в 1992 году, когда при президенте Украины был создан координационный орган с широкими полномочиями. Когут предложил создать специальное министерство, регулярно проводить учения. «Эффективность Госспецсвязи проверил господин Мельниченко. Не нужно ждать, когда проверят хакеры», - считает он.

Вячеслав Харченко,  доктор технических наук, профессор, заслуженный изобретатель Украины, из НТЦ исследования и анализа безопасности инфраструктур, Национального аэрокосмического университета им. Н.Е. Жуковского «ХАИ», также предложил создать Центр по кибербезопасности. Кроме того, по его мнению, нужно развивать внутренний рынок разработок, а не ориентироваться на аутсорсинг. Поскольку разработка одной технологии эквивалентна армии программистов. «Мы имеем опыт разработки систем информационной безопасности», - сказал Харченко. И добавил, что НТЦ разработал 5 беспилотников, которые используются в зоне ведения боевых действий.

«Хак» по-украински  

Глеб Бойченко из ведущей украинской компании в сфере исследования и предотвращения киберугроз Group-fs (официальный партнер мероприятия) рассказал о том, как плохо защищены украинские сайты. Хакерам даже самого низкого уровня, чтобы нанести урон, могут получить всю необходимую информацию об украинских сайтах даже без DDoS-атаки. Ранее компания проводила тесты на слив данных банков, сейчас решила проверить госсектор. Из 150 проверенных доменов, удалось получить информацию о 80 доменах. В качестве вопиющего примера беззаботности госструктур приводят сайт Днепропетровской ОДА (ftp.dp.gov.ua). «Они долго воевали с «Киберберкутом» и в этот раз они могут позволить себе логин и пароль ftp. Они не подготовлены к тому, что целеустремленные хакеры будут их ломать», - сетует Бойченко.

Безопасность, основанная на доверии

Александр Потий, доктор технических наук, профессор, Институт информационных технологий, Национальный аэрокосмический университет им. Н.Е. Жуковского «ХАИ» предложил Национальную стратегию электронной идентификации в Украине, которая базируется на электронной идентификации и кибербезопасности украинцев. Он привел пример Эстонии, в которой достигнуто 100%-ого проникновения технологий для народа. В Эстонии с помощью электронных систем государством предоставляется более 300 услуг для населения. Чтобы создать подобное в Украине, нужно ускорить внедрение государственных электронных услуг для населения и бизнеса, информировать граждан и бизнес об угрозах в киберпространстве, построить национальную el-инфраструктуру, создавать доверительную среду и мотивирование граждан к использованию электронных услуг. Профессор считает, что для построения такой системы в Украине в будущем, в рамочном законопроекте по кибербезопасности необходимо уделить больше внимания малому и среднему бизнесу.

Михаил Нещерет, ведущий специалист DATAS Technology из Силиконовой долины, представил решение, которое позволяет противодействовать кибершпионажу на предприятиях. Решение Trustifier KSE.DATAS Technology дает возможность предотвратить утечку информации, уверяет он. Принцип работы заключается в том, что на мобильное устройство сотрудников устанавливается приложение, которые при попадании в засекреченную зону блокирует доступ телефона к сервисам (фотокамерам, диктофону, связи, почте).

Владимир Шеломенцев, к.ю.н., заслуженный юрист Украины, заместитель начальника управления Департамента МВД Украины согласен с другими участниками круглого стола, что нормативную базу под кибербезопасность нужно подводить. И особое внимание нужно уделить стандартизации безопасности. Поскольку многие понятия воспринимаются на интуитивном уровне по-разному. Также необходимо составить перечень понятий и классификатор, используя международный опыт.

Итог

Участники круглого стола  пришли к общему выводу, что проблемы с кибербезопасностью надо решать на законодательном уровне. Необходимо срочно сформировать базовый пакет документов, поскольку Украина находится в состоянии физической и информационной войны. 

Организатор: ОО "ИТ Альянс"
тел.: +38 (067) 375 76 37, +38 (095) 356 99 69