В Україні створять кібервійська, гроші на це вже є в бюджеті, пообіцяв з трибуни Верховної Ради президент України Володимир Зеленський. Саму ідею експерти оцінюють схвально. Але в них є застереження щодо того, як саме розбудовуватимуть кіберпідрозділи, кого та на яку зарплату в них найматимуть і чим саме вони займатимуться.
Частина фахівців тим часом радить почати із запровадження західних стандартів кібербезпеки, а бізнесу і простим українцям – пропонує подбати про власну «цифрову гігієну».
Україна починає створення власних кібервійськ, а кібербезпека є важливим пріоритетом державної політики. На цьому наголосив президент України Володимир Зеленський під час свого недавнього щорічного послання у Верховній Раді.
Новий оборонний бюджет України сягнув рекордного рівня, і кошти на кібербезпеку в ньому теж закладені, запевнив Зеленський.
«Я пишаюсь тим, що вперше за 30 років у 2022 році фінансування сектору оборони і безпеки перевищить 320 мільярдів гривень... У 2018 році ця сума була 191,7 мільярда гривень. У межах цих коштів ми вперше запускаємо... створення кібервійськ в Україні», — анонсує президент України.
Your browser doesn’t support HTML5
Як саме держава має діяти в цій сфері? Про це Радіо Свобода розпитало експертів з кібербезпеки.
Створення українських кібервійськ: чому це важливо
Україні потрібні власні кібервійська, причому ця потреба стала критичною з 2014 року, від початку активної фази російської гібридної агресії. Цю думку висловлюють всі без винятку експерти, опитані Радіо Свобода.
Зараз затишшя в кібервійні, але воно — тимчасовеКостянтин Корсун
«Гаряча фаза кібервійни тривала з 2014 по 2018 рік. Зараз затишшя, але воно – тимчасове, – зауважує експерт з кібербезпеки Костянтин Корсун. – За цей час країна-агресор показала, як саме вона буде діяти напередодні справжньої повномасштабної війни».
З 2014 року Україна пережила одну з найпотужніших кібервійн у світовій історії; в цих умовах кібервійська – один з наріжних каменів захисту України від гібридної агресії, визнає Костянтин Корсун.
Кібервійська мають всі розвинені країни, зазначає експерт «Лабораторії цифрової безпеки» Вадим Гудима.
«Відповідні підрозділи має низка західних країн, є вони й в Ізраїлі. Створення таких військ в Україні також має сенс», – зауважує експерт.
Багато країн світу мають свої кібервійська, в Україні також було щонайменше дві спроби створити їх, зазначив у розмові Радіо Свобода Олег Науменко, керівник компанії «Хайдіз Девелопмент».
Створення кібервійськ потребує років роботи і фінансування, свідчить досвід США, Великої Британії, Ізраїлю та Китаю. Тому своєю заявою в парламенті Володимир Зеленський скоріше видає бажане за дійсне, вважає радник з кібербезпеки опозиційної партії «Демократична сокира» Шон Таунсенд.
З тим самим успіхом можна заявити про призов до космодесантуШон Таунсенд
«Поки що і «кібербезпека» і тим більше «кібервійська» в Україні носять скоріше декларативний характер, і з тим самим успіхом можна заявити про будівництво авіаносця або почати призов до космодесанту», – іронізує фахівець із цифрової безпеки.
Не лише оборонятися, але й атакувати
Зрештою, чим саме мають займатися такі спеціалізовані підрозділи?
- Захист критичної інфраструктури (об'єкти енергетики, трубопроводи, транспортні та телекомунікаційні системи)
- Захист військової інфраструктури. Ці два напрямки мають бути абсолютним пріоритетом в національній системі кібербезпеки, визнає більшість експертів.
- Захист державних цифрових ресурсів і баз даних. Вони в Україні стрімко розвиваються, при цьому їхню надійність фахівці вважають невисокою. Радіо Свобода вже розповідало про численні випадки витоків з державних баз.
- Захист фінансового сектору. Банки та інші фінансові установи є найпоширенішим об'єктом кібератак в Україні, це підтверджує, зокрема й Олег Науменко. Але, пояснює він, «про ці факти мало говорять».
Проте низка фахівців припускають, що за цей сектор мали б відповідати самі банки. А державі варто прописати вимоги і правила безпеки, та всіляко сприяти комерційним структурам у захисті їхніх даних.
- Розвідка.
«Кібервійська повинні займатися тим же, чим традиційна армія займається на суші та на морі: це і розвідка, і здатність вивести з ладу системи супротивника, і захист власних систем», – описує необхідний функціонал «цифрових військ» Шон Таунсенд.
- Наступальні кібероперації. В умовах гібридної війни недостатньо оборонятися, потрібно атакувати у відповідь, наголошує Костянтин Корсун. Відтак, на його думку, Україна повинна мати підрозділи супер-професіоналів, здатних дошкульно атакувати Росію у кіберсфері.
Але в державному секторі є проблеми як з професіоналізмом, так і з фінансуванням, визнає він.
«Я сумніваюся, що такі державні підрозділи зможуть діяти швидко, ефективно і якісно. Причини: корупція, надзвичайно низька ефективність держави у цій сфері, низький рівень підготовки спеціалістів. Найкращі фахівці – масово переходять у приватний сектор», – зазначає Костянтин Корсун.
Говорить він і про неготовність держави гідно платити за роботу цифрових професіоналів.
«Вони не повинні працювати на голому патріотизмі. Треба платити за роботу стільки, скільки вона коштує» – так Костянтин Корсун пропонує поліпшувати спроможність держави у сфері кібербезпеки.
Олег Науменко вважає, що минулі спроби створити кіберпідрозділи в Україні зазнали поразки саме через фінансове питання: фахівці з кібербезпеки «коштують дуже дорого», а держава виділяла недостатньо коштів на цю сферу, відтак на пропоновані зарплати фахівці високої кваліфікації не йшли.
Про це говорить і Вадим Гудима: «Пріоритетом має бути не так закупівля нової техніки, як пошук та підготовка кадрів».
Шон Таунсенд, зі свого боку, визнає, що український уряд лише декларує кібербезпеку як свій пріоритет, однак ефективної роботи в цьому напрямку він не бачить.
З 2014 року Росія провела в Україні сотні, якщо не тисячі успішних зламів. Жоден не був розслідуваний до кінцяШон Таунсенд
«Всі про це говорять, пишуть доктрини та закони, будуються чергові кіберцентри, тільки на безпеку державних установ це не впливає. З 2014 року лише Росія провела в Україні сотні, якщо не тисячі успішних зламів. Жоден з інцидентів не був розслідуваний до кінця. Часто й висновки ніякі не робилися, – розповідає експерт. – Навіть у тих випадках, коли державним службам вдалося виявити чи навіть припинити дії російських зломщиків, на загальну ситуацію це не вплинуло».
Експерт уточнює, що для розв'язання задачі недостатньо щедрого фінансування. Потрібен і час, і фаховий підхід, оскільки не існує «чарівної червоної кнопки», яку можна купити за гроші та одразу застосовувати проти країни-агресора.
Кібербезпека України: з чого почати
Є речі, які можна починати робити вже зараз, до створення першого підрозділу кібервійськ, пропонує Олег Науменко.
«Головне, що можна робити вже зараз – впроваджувати сучасні стандарти кібербезпеки. Бо в Україні вони досі відрізняються від решти світу, а рекомендовані та загальновживані технології – морально застаріли та не захищають від сучасних кіберзагроз».
Сучасні стандарти дадуть змогу протидіяти цифровим загрозам не лише державі, а й бізнесу та звичайним громадянам, аргументує Олег Науменко.
Створення системи кібербезпеки в державі – тривалий процес, навіть якщо все робити правильно, пояснює Шон Таунсенд. Він пропонує загальний алгоритм дій:
- Кожна служба по окремості підвищує свою готовність до кібервійни (це зовнішня розвідка, контррозвідка, війська зв'язку, державний спецзв'язок та інші підрозділи). Наприклад, для армії попервах може бути достатньо кількох десятків професіоналів з числа резервістів. Але вони мають бути інтегровані в структуру ЗСУ, а не діяти як ізольований підрозділ.
- Кожна служба навчається «захищати хоча б власні системи від іноземних шпигунів».
- Служби мають навчитися обмінюватися інформацією між собою.
- Лише після цього є сенс об'єднувати окремі підрозділи з кібербезпеки під єдиним командуванням і виконувати ширшу кількість задач.
Олег Науменко у цьому плані посилається на світову практику: зазвичай в інших країнах створюються окремі підрозділи для захисту кожного з основних напрямків кібератак, і вони не обов'язково мають бути єдиною службою.
«Є усталені стандарти, як це робиться. Україна не є першою, тож їй варто дивитися навсібіч і переймати досвід Європи, Північної Америки та Азії», – закликає фахівець.
Правильним підходом є державно-приватне партнерство, яке стоятиме «на трьох ногах»: уряд, бізнес і професійна спільнота, радить Костянтин Корсун.
Вони (посадовці) імітують співпрацю з приватним сектором, але насправді цікавляться лише державними контрактами з відкатамиКостянтин Корсун
Нині ж, на його думку, влада намагається «бути головною» в цьому партнерстві, монополізувати питання кібербезпеки й замикати все бюджетне та грантове фінансування на себе. Не маючи «достатньо фахівців, досвіду і знань», але маючи корупцію, держава лише завдає шкоди цим підходом, стверджує фахівець із кібербезпеки.
«Я кілька років намагаюся зробити бодай шпаринку в цій «броні», але не можу. Вони (посадовці) імітують співпрацю з приватним сектором, але насправді цікавляться лише державними контрактами з відкатами. Тому ситуація з кібербезпекою в Україні ненабагато покращилася порівняно з 2014 роком», – підсумовує Костянтин Корсун.
Експерти: про цифрову гігієну мають дбати і уряд, і бізнес, і прості українці
Кожен українець може зробити мінімально необхідні кроки, які би зменшили ризики і для нього самого, і для безпеки країни загалом.
Вадим Гудима, експерт і тренер «Лабораторії цифрової безпеки» сформулював їх на прохання Радіо Свобода.
- Унікальні та складні паролі в усіх акаунтах і на всіх пристроях. Не можна використовувати однаковий простий пароль для всього: саме це найчастіше дає змогу зловмисникам отримати доступ до даних та пристроїв, зазначає Вадим Гудима.
- Двофакторна автентифікація на всіх пристроях і в усіх сервісах.
- Використання саме ліцензійних програм. Вони можуть і не бути платними, але важливо, щоб були офіційними та не містили шкідливих програм, пояснює експерт.
- Повна відмова від російських програм та сервісів, російської електронної пошти.
- Регулярне оновлення програмного забезпечення. На думку фахівців, це зменшує вразливість операційної системи та конкретних додатків.
«Не лише державі, а й простим громадянам треба розуміти, що вони живуть в не дуже безпечному середовищі. І дбати про цифрову гігієну. Щоб з їхніх акаунтів та соцмереж ворог не поширював свої інформаційні атаки», – закликає експерт з цифрової безпеки.
14 травня 2021 року РНБО вирішила створити кібервійська України, а Кабмін отримав доручення розрахувати фінансові та інші потреби для цього та підготувати законопроєкт про новий підрозділ.
1 грудня, виступаючи у Верховній Раді, президент України Володимир Зеленський оголосив, що наступного року оборонний бюджет держави сягне 320 мільярдів гривень – тобто історичного максимуму. Зеленський запевнив, що у цій сумі передбачені й кошти на розбудову кібервійська.
За оцінками частини експертів, починаючи з 2014 року, Україна зазнала наймасованіших кібератак, порівняно з рештою країн світу. Росія використовує кібератаки як один з ключових інструментів ведення гібридної війни.
Розвідки та уряди низки західних держав, а також НАТО, стверджують, що значна кількість кібератак у світі походить з Росії та з Китаю.
ДИВІТЬСЯ ТАКОЖ: «Українська мрія»: чим похвалився і що пообіцяв Зеленський у парламенті? ДИВІТЬСЯ ТАКОЖ: «Росія почала нову фазу гібридної агресії проти Заходу та України»: аналітики про стримування Кремля