Голова парламентського підкомітету з питань кібербезпеки Федієнко: Кібервійна з Росією почалася ще до 2014 року. Ворог запроваджував у наших держустановах свої програми й мав до них віддалений доступ
В інтерв'ю виданню "ГОРДОН" народний депутат від партії "Слуга народу", голова підкомітету з питань безпеки в кіберпросторі, урядового зв'язку, криптографічного захисту інформації комітету Верховної Ради України з питань національної безпеки, оборони та розвідки Олександр Федієнко розповів про особливості кібервійни Росії проти України, як українські фахівці захищають державні органи й об'єкти критичної інфраструктури від атак росіян, що потрібно для подальшої інтеграції України в західну систему кібербезпеки, що заважає ухваленню сучасного законодавства в цифровій сфері й коли буде розглянуто законопроєкт №8087 про посилення кіберзахисту.
Росіяни намагаються зламати й наші інформаційні об’єкти, об’єкти критичної інфраструктури, енергооб’єкти, енергетичні компанії
– Сучасна війна ведеться не лише на полі бою, але й в інформаційному, і в кіберпросторі. Як для вас виглядає кібервійна?
– Інформаційна безпека – загальний термін. Я пропоную розділити – інформаційна війна відбувається в медійному просторі. На жаль, наше суспільство постійно перебуває під тиском цієї інформаційної війни. Узагалі мережа інтернет, будь-які соціальні мережі, Telegram, Facebook – це майданчики впливу на суспільство. Вони вже стали інформаційною зброєю. Ці майданчики дозволяють маніпулювати суспільною думкою – і це доведений факт.
Кібервійну мало хто помічає. Поки працюють інформаційні реєстри, критична інфраструктура, користувач цього не помічає й не відчуває, хоча кібератаки відбуваються постійно. Парламент IX скликання ухвалив закон про критичну інфраструктуру. Держава слідкує, щоб не відбувалося витоків інформації з державних інформаційних ресурсів, і, на мій погляд, успішно із цим справляється.
Далі, понад 90% об’єктів критичної інфраструктури (десь 20 тис.) належать бізнесу. Ті ж енергетичні компанії, оператори енергетики, енергогенерувальні компанії – належать бізнесу. Саме тому парламент свого часу ухвалив закон про об’єкти критичної інфраструктури, який накладає зобов’язання на власників і користувачів цих об’єктів інфраструктури – вони повинні їх захищати.
Держава суто може в рамках приватно-державного партнерства допомагати. Як приклад, наприкінці минулого року росіяни руйнували трансформатори, які належать приватній компанії. Їх можна захищати з повітря. Закуповували за рахунок бізнесу засоби радіоелектронної боротьби, передавали їх у користування нашим військовим, ППО, установлювали їх на цих об’єктах.
Те ж стосується й кіберпростору. Створення команд реагування на кіберінциденти з боку власника такого об'єкта і, наприклад, CERT-UA. Власники повинні розуміти, що, коли відбуваються атаки на їхні системи, які керують розподілом електричної енергії, вони повинні будувати периметр безпеки. Так, це приватний бізнес, але він впливає на суспільство й обороноздатність країни. Тож держава має право на контроль процесів, які бізнес проводить у рамках чинного законодавства.
– Які саме агресивні дії реалізує ворог у кіберсфері та як це впливає на суспільство?
– Росіяни намагаються зламати наші інформаційні об’єкти (реєстри), об’єкти критичної інфраструктури, енергооб’єкти, енергетичні компанії, щоб відбулися якісь наслідки. Останній випадок, який усі ще пам’ятають, – це вірус Petya. Реально це всі відчули на собі. Після того наші державні органи зробили колосальну роботу. І жодних таких атак, які б мали наслідки для нашого суспільства, державних установ уже не було. Це гарна робота.
Якщо ворог буде атакувати об'єкти інформаційної критичної інфраструктури, громадяни не зможуть отримати послуги від держави, ворог може атакувати енергетичні об'єкти і може статися блекаут. У нас були приклади у 2015 році – дуже швидко відреагували енергетики й відновили постачання. Де-факто це було. Але вони тоді тільки тренувалися.
Коли відключається електроживлення, настає блекаут, страждають від цього всі. Як приклад можна навести реальний кейс однієї з європейських країн. Через кібератаку відбулося відключення розподільчої електромережі, і лікарі в лікарнях почали визначати, кого рятувати. Тих, кого ще можна врятувати, рятували, а тим, кого не можуть, – робили евтаназію. На фермах, де була величезна кількість худоби, не могли обслуговувати тварин, корови в муках вмирали, і фермери були вимушені вбити їх. Тобто тут чіткий причинно-наслідковий зв’язок: ударили по енергетичній інфраструктурі, але, оскільки багато чого в сучасному суспільстві базується на енергетичній інфраструктурі, це вплинуло на все – медицину, фермерство, оповіщення, мобільний зв’язок тощо. Усе це було зроблено з однією метою, щоб, коли відбулося перезавантаження системи, до енергетичних систем потрапив шкідливий вірус. Тому й іде мова про законодавчу ініціативу, щоб посилити контроль за виконанням механізмів захисту об’єктів критичної інфраструктури в частині кібербезпеки.
– Під час повномасштабного вторгнення що саме робив ворог?
– Кібервійна почалася набагато раніше, ніж воєнне вторгнення Росії, ще до 2014 року. Це треба визнати. Ворог протягом довгих років системно запроваджував на території нашої країни, у державних установах, на об’єктах критичної інфраструктури свої програмні застосунки, апаратні прилади й мав до них віддалений доступ. До 2014 року ми не вважали це проблемою. Узагалі не вважали, що Росія може на нас напасти. Навіть після 2014 року, на жаль, більша частина суспільства вважала, що повномасштабної війни не буде. Хоча вже тоді розвідувальні органи проводили моніторинг цих програмних застосунків у державних органах. Їх намагалися замінити. Але, розумієте, це технологічний процес, неможливо просто взяти й замінити. Наша цифрова система об'єктів критичної інфраструктури в державних органах була наповнена цим російським обладнанням, пристроями і програмами, через які вони намагалися нами маніпулювати. Глобальна репетиція нападу відбулася під час атаки вірусу Petya. Це призвело до того, що ми зробили всі необхідні дії, щоб максимально прибрати з державних установ усі програмні застосунки й більшу частину російських апаратних девайсів і замінити на європейські чи американські, вибудували відповідний периметр безпеки.
Я можу наголосити: захищені всі державні об'єкти й об’єкти критичної інфраструктури, принаймні якими я опікуюся. Але я не скажу, що ми захищені на 100%. Росіяни продовжують втручатися в наші системи. Зараз відбулося ось що цікаве: російські ракетні атаки комбінуються з кібератаками й інформаційними атаками. Вони починають координувати дії, це може бути інформаційний вкид через Telegram-канали щодо цілей, які будуть обстріляні ракетами, далі починається атака на інфраструктуру операторів зв'язку, щоб паралізувати і роботу операторів зв’язку, і завдати ракетного удару.
Що таке кібервійна? Там узагалі немає військ, ми перебуваємо всі в одному кібердомені, там немає ані зброї, ані людей, кордонів, день, ніч тощо. У кібердомені війну можна вести постійно
– Загалом кількість кібератак зросла?
– Я для себе сам часто не можу визначити, чи це атака. Коли ми бачимо, що відбувається атака, то далі два варіанти: звісно, ми захищаємося, але не робимо цю історію публічною. Це інцидент. Можна захиститися, а можна взяти атаку під контроль і контролювати атакуючого, щоб він не розумів. Це закладено в одному із законопроєктів – не робити інформації про атаки публічними. За що нас багато хто атакує.
Можу навести такий приклад: ми заборонили публікацію інформації скрізь про ракетні атаки. Ворог збирає інформацію з публічних ресурсів. Є така наука OSINT – публічна розвідка. Я як фахівець з OSINT змоделював би таким чином: запускають ракету, мені не потрібно всередині країни тримати агентуру, яка казала б, куди прилетіла ракета, я б підписався на канали в Telegram, Facebook і в реальному часі відслідкував би все. Маємо, що маємо. На жаль, люди все викладають, і це допомагає ворогові коригувати атаки.
Ось нещодавно був удар по Запоріжжю, де загинули люди. Для мене була шокова історія, коли батько знімав на відео влучання ракети й узагалі не звертав уваги на свою дитину. Потрапити в соціальну мережу йому було важливіше, ніж захистити свою дитину.
Схожа історія і з кібератаками. Якщо ми зробимо їх публічними, ворог може від цього виграти, міняти тактику й завдавати вразливості в кіберпросторі. Тому ми проти того, щоб інформація про кібератаки була публічною. Обмін, звісно, буде, але суто у профільних закритих групах, громадським діячам там немає чого робити. На секторальному рівні створюються групи, які між собою обмінюються даними про кібератаки. Це нормальна історія. Коли на якусь державну інституцію відбувається атака, усі інші мають про це вже знати й вибудовувати захист. Казати про це публічно ми не будемо, принаймні під час військової агресії й воєнного стану.
Пам’ятаєте, був такий історичний факт, коли британці розкрили шифр "Енігми" під час Другої світової війни й урятували понад 2 млн людей, як зараз кажуть, і зменшили час війни приблизно на два роки. При цьому німці не знали, що їхній шифр зламано. Британці жертвували деякими кораблями заради збереження цієї таємниці.
Ми все бачимо й контролюємо, але робити щось публічно ми не будемо. Усі громадські діячі, які хочуть долучитися до цієї історії, можуть піти працювати на державу. У нас немає кібервійськ, але активісти до цього можуть долучитися, добровільно мобілізуватися й піти працювати до того ж Держспецзв’язку, СБУ, ГУР і приносити реальну користь, а не просто писати пости у Facebook. Ті, хто постійно закидає, що держава робить щось не те, – для мене люди, які працюють на ворога. Після війни знімемо всі обмеження. Але й тоді я буду проти.
Класична війна – це територія, де є якась зброя, людський ресурс, економіка. Чия економіка буде краще працювати, у кого більше ресурсу, розвиток технологій – той переможе. Упевнений у нашій перемозі. Але що таке кібервійна? Там узагалі немає військ, ми перебуваємо всі в одному кібердомені, там немає ані зброї, ані людей, кордонів, день, ніч тощо. У кібердомені війну можна вести постійно. 24/7 365 днів на рік. Якщо війна у класичному розумінні передбачає якісь перемовини, перемир’я тощо, то кібервійна ніколи не буде зупинена, вона буде йти постійно, там не завжди можливо класифікувати ворога, там просто є атака.
При цьому ми будемо захищатися, а може, і десь нападати непомітно, але на нас будуть постійно нападати.
Сьогодні всі визнають, що Україна зараз – єдина країна світу, яка виступає величезним полігоном і витримує навалу всього економічного ресурсу Росії, яка залучає кіберугруповання (Turla, Sandworm, APT28, Vermin, Gamaredon, Ghostwriter), щоб нас атакувати, атакувати нашу інфраструктуру. І коли до мене приходять і кажуть: "А в Європі ось так", "а давайте зробимо як у Європі" – я кажу: "Так, давайте". Я поважаю Європу й розумію, але самі європейські колеги мені кажуть: "Ми вчимося у вас, бо нас так ніколи не атакували, у нас немає стільки знань, нам немає що вам порадити". На всіх зустрічах, де ми обговорюємо це, вони говорять: "Ми знаємо, що вас атакували таким чином, а як ви захищалися?" І ми розказуємо – ось так. І це відповідний досвід. Ми можемо ухвалити документи, як у Європі, але враховуючи, що ми вже самодостатня країна, маємо величезний досвід із кіберзахисту, давайте трохи і Європі радити змінити те або інше законодавство. Мене за це критикують, але я кажу, як є.
Держава хоче себе захищати – і це нормально. Не розумію, чому всі критикують те, що робить державна інституція, але при цьому не пропонують нічого іншого
– Є якісь критерії або стандарти у країнах НАТО і ЄС, яким Україна має відповідати у сфері кіберзахисту?
– Мова йде про NIS2 директиву, а також про RMF – модель управління ризиками на базі стандартів NIST США. Ми взяли кращий досвід, так ми повинні імплементувати директиву, враховуючи, що ми рухаємося до Європи. Ми її виписали в законопроєкті №8087, який зараз усі критикують. У цій директиві вказано, що законодавство країни має відповідати критеріям, але все базується на національних інтересах. Враховуючи, що в нас війна, а це не тільки активна фаза війни на полі бою, де хлопці нас захищають зі зброєю, а й постійні кібератаки на державний інформаційний сегмент, ми повинні тут побудувати кіберзахист, повинні ухвалити цю директиву, законопроєкт №8087, який виписаний з урахуванням нашого національного досвіду й наших інтересів.
Коли ми ухвалювали закон про електронні комунікації, ми взяли кодекс ЄС про електронні комунікації, визначили наші національні інтереси й імплементували це в нашій країні. До речі, це було прописано в додатку до Угоди про асоціацію з ЄС. Ми таким чином виконали рекомендації додатків. Таких прикладів багато. Скажімо, коли ухвалювали закони щодо цифровізації. Маємо й негативний досвід, коли парламент провалив ухвалення в першому читанні законопроєкт про GDPR.
Так, ще не всі додатки виконано, але ми рухаємося в цьому напрямку. І в питанні кібербезпеки також є відповідні додатки, які ми маємо імплементувати й виконати. Ще раз хочу підкреслити: у всіх цих додатках прописано, що вони мають виконуватися відповідно до національних інтересів.
– У якому стані зараз цей законопроєкт?
– Зараз він на стадії обговорення. Просування цього законопроєкту зупинило Міністерство оборони. Я можу їх зрозуміти. Міноборони хоче, щоб ми рухалися в НАТО, хоче запроваджувати й користуватися деякими стандартами НАТО або обладнанням, яке надає НАТО. І це правильно, це нормально.
Саме тому в законопроєкті №8087 ми виписали те, що не відбувається централізації кібербезпеки скрізь, а запроваджуються секторальні відповідальні суб’єкти, які в нас, до речі, передбачені в законі "Про основні засади забезпечення кібербезпеки", які працюють так: загальна кібербезпека країни запроваджується чинним законодавством, і за це відповідає Держспецзв’язку, а секторально – відповідальні суб’єкти.
Скажімо, треба Міністерству оборони запровадити стандарти НАТО, якими будуть користуватися Міноборони й Генштаб. Цими стандартами точно не буде користуватися Міністерство енергетики. Так Міноборони запроваджує стандарти НАТО й вони надалі несуть відповідальність з урахуванням нашого законодавства, але в рамках нашої загальної концепції з кібербезпеки. Потрібно Міністерству енергетики запровадити якісь європейські стандарти – вони мають змогу це зробити на секторальному рівні й також будуть нести за це надалі відповідальність.
– А що пішло не так, що рух законопроєкту зупинився?
– Можливо, у Міноборони не так трактують норми законопроєкту. Також деякі громадські діячі критикують, що хтось до когось буде приходити з обшуком. Це повна маячня. У законі такого немає.
Кібератака або раз – і відбулася, або довго відбувається в часі, коли ми про неї не знаємо, але діяти треба дуже швидко. І в законопроєкті передбачено, що суб’єкти утворюють координаційні групи в рамках чинного Національного координаційного центру кібербезпеки при РНБО. Тобто нічого нового ніхто не створює, ніяких повноважень не надає. Коли відбувається кібератака, повинна бути координаційна група. Якщо потрібно на державному рівні кудись потрапити, щоб зняти відбиток цієї кібератаки, фахівці повинні мати на це право. Це все стосується суто державних органів. Якщо є приватний суб’єкт, який обслуговує об’єкти критичної інфраструктури, це теж нормально, якщо він буде співпрацювати із цією координаційною групою.
Держава хоче себе захищати – і це нормально. Не розумію, чому всі критикують те, що робить державна інституція, але при цьому не пропонують нічого іншого. Перепрошую, так на кого ви працюєте, на ворога?
Хто такі фахівці з кібербезпеки? Я серед усіх коментаторів у Facebook не знаю жодного, окрім, може, двох, які й ті працюють, один – у Держспецзв’язку, інший – в апараті головкома. Усі, хто є фахівцями з кібербезпеки, – не публічні. Ми збираємося, спілкуємося, обговорюємо рішення (вони розповідають щодо технічної складової, я намагаюся це перенести на рівень закону), хтось не підтримує – це нормально. Але чи може айтішник коментувати кіберзахист? Ні. Це не його сфера.
Звісно, можна маніпулювати суспільною думкою. Суспільство одразу рефлексує, оскільки більша частина людей має негатив до влади, неважливо якої – попередньої чи майбутньої. І деякі люди використовують цю тематику як драйвер для власного просування. Деякі діячі використовують наративи Росії, ну типу "ні рашиzму" або "госСОПКАфсб", далі набір тексту й вуаля – думка готова. Суспільство навіть не розуміє, чи фахівець цей чоловік, чи ні. Я, коли бачу критика, як фахівець з OSINT починаю про нього шукати інформацію: хто це, який у нього експертний бекграунд. Багато цікавого вилазить.
Наше суспільство повинно мати критичне мислення. У нас рівень довіри до Telegram-каналів – понад 80%. А рівень довіри до державних інформаційних ресурсів – менше за 10%. А хто ці люди, що пишуть у Telegram-каналах, суспільство навіть не питає.
Я категорично проти будь-якого технічного блокування в мережі інтернет. Нам потрібно створювати свої інформаційні майданчики й таким чином вести війну й пропаганду
– Що саме з європейських стандартів ми хочемо взяти для себе?
– Загальні критерії для формування захисту будь-якого об’єкта критичної інфраструктури, інформаційної інфраструктури, державної інституції, а також секторальні окремо для кожної сфери. Тобто рамкові умови, щоб ми імплементували в межах угоди відповідні директиви, а саме NIS2, якщо ми кажемо про кібербезпеку. Ми виконаємо в тій частині, що стосується рамкових речей, для поєднання нашого кіберзахисту з європейським.
– Чи будуть ці зміни стосуватися свободи інформації, бізнесу, прав людини або її персональних даних?
– Законопроєкт №8087 узагалі не впливає на стан інформації, це не питання блокування чогось або втручання. Дивіться, є мережа, яка за щось відповідає (скажімо, обмін інформації), нам потрібно в першу чергу захистити мережу й інформацію, не втручаючись усередину інформації. 100-відсотково не йде мова про блокування інформації або обмеження доступу. Цей проєкт узагалі не належить до сфери регулювання інформації. Я категорично проти будь-якого технічного блокування в мережі інтернет. Нам потрібно створювати свої інформаційні майданчики й таким чином вести війну й пропаганду. Приватного сектора, який не надає послуги державним установам і об’єктам критичної інфраструктури першої та другої групи, цей законопроєкт не стосується взагалі.
– Що нам обов'язково треба зробити і як швидко?
– Хоча б ухвалити дієве законодавство. Зараз у нас немає законодавства, яке ефективно працює в частині кібербезпеки. Є єдиний рамковий закон, який називається "Про основні засади забезпечення кібербезпеки", але він жодним чином не регулює й не впливає на це питання. Якщо ми не будемо мати ефективного, дієвого законодавства... Кібербезпека – украй важливе питання, там повинна бути і відповідальність, і покарання, і контроль держави, якщо ми кажемо про державні об’єкти або об’єкти критичної інфраструктури. Нам потрібно ухвалити таке законодавство.
Ті командно-штабні навчання, на яких я бував і модерував, свідчать поки про вкрай низький рівень наших установ щодо готовності до взаємодії між собою.
Інколи мені кажуть, що це буде впливати на бізнес. Я категорично проти регулювання бізнесу, тому що бізнес – ризикова історія, якщо вони будуть вразливими з погляду кіберзахисту, до них не прийде клієнт і в них не буде контрактів – вони будуть ризиковані, будуть втрачати. Вони самі вкладають гроші, щоб побудувати свої системи кібербезпеки.
Держава – трошки інша історія. Тут треба ухвалити закони, які мають відповідати європейській директиві й де буде відповідальність посадовців. Нам потрібно ухвалити №8087. У першому читанні його вже ухвалено. Були зауваження від НАЗК, ми зібрали нараду, прибрали всі моменти й отримали від них лист, що вони не мають зауважень. Конструктивні пропозиції ми приймаємо. Але деякі речі ми не можемо врахувати, бо в інтересах нашого суспільства й нашої країни – ухвалити дієве фундаментальне законодавство, яке буде працювати десятиліття.
Законопроєкт готовий до другого читання, усі пропозиції враховані. Коли завершаться перемовини з Міноборони (ми, до речі, повністю на боці військових), винесемо законопроєкт на голосування.