+16 Киев
Россияне пытаются взломать и наши информационные объекты или объекты критической инфраструктуры, энергообъекты, энергетические компании
– Современная война ведется не только на поле боя, но и в информационном, и в киберпространстве. Как для вас выглядит кибервойна?
– Информационная безопасность – общий термин. Я предлагаю разделить – информационная война проходит в медийном пространстве. К сожалению, наше общество постоянно находится под давлением этой информационной войны. Вообще, сеть интернет, любые социальные сети, Telegram, Facebook – это площадки влияния на общество. Они уже стали информационным оружием. Эти площадки позволяют манипулировать общественным мнением – и это доказанный факт.
Кибервойну мало кто замечает. Пока работают информационные реестры, критическая инфраструктура, пользователь этого не замечает и не чувствует, хотя кибератаки происходят постоянно. Парламент ІХ созыва принял закон о критической инфраструктуре. Государство следит, чтобы не происходило утечек информации из государственных информационных ресурсов, и, на мой взгляд, успешно с этим справляется.
Далее, более 90% объектов критической инфраструктуры (около 20 тыс.) принадлежат бизнесу. Те же энергетические компании, операторы энергетики, энергогенерирующие компании принадлежат бизнесу. Именно поэтому парламент в свое время принял закон об объектах критической инфраструктуры, накладывающий обязательства на владельцев и пользователей этих объектов инфраструктуры – они должны защищать их.
Государство может в рамках частно-государственного партнерства помогать. Как пример, в конце прошлого года россияне разрушали принадлежащие частной компании трансформаторы. Их можно защищать с воздуха. Закупали за счет бизнеса средства радиоэлектронной борьбы, передавали их в пользование нашим военным ПВО, устанавливали их на этих объектах.
То же самое касается и киберпространства. Создание команд реагирования на киберинциденты со стороны владельца такого объекта и, например, CERT-UA. Владельцы должны понимать, что, когда происходят атаки на их системы, которые управляют распределением электрической энергии, они должны строить периметр безопасности. Да, это частный бизнес, но он влияет на общество и обороноспособность страны. Поэтому государство имеет право на контроль процессов, проводимых бизнесом, в рамках действующего законодательства.
– Какие именно агрессивные действия реализует враг в киберсфере и как это влияет на общество?
– Россияне пытаются взломать наши информационные объекты (реестры), объекты критической инфраструктуры, энергообъекты, энергетические компании, чтобы произошли какие-то последствия. Самый крайний случай, который все еще помнят, – это вирус Petya. Реально это все ощутили на себе. После этого наши государственные органы проделали колоссальную работу. И никаких подобных атак, которые имели бы последствия для нашего общества, государственных учреждений, уже не было. Это хорошая работа.
Если враг будет атаковать объекты информационной критической инфраструктуры, граждане не смогут получить услуги от государства, враг может атаковать энергетические объекты и может произойти блэкаут. У нас были примеры в 2015 году – очень быстро отреагировали энергетики и восстановили снабжение. Де-факто это было. Но тогда они только тренировались.
Когда отключается электропитание, наступает блэкаут, страдают от этого все. В качестве примера можно привести реальный кейс одной из европейских стран. Из-за кибератаки произошло отключение распределительной сети, и врачи в больницах начали определять, кого спасать. Тех, кого еще можно спасти, спасали, а тем, кого не могут, делали эвтаназию. На фермах, где было множество скота, не могли обслуживать животных, коровы в муках умирали, и фермеры были вынуждены убить их. То есть здесь четкая причинно-следственная связь: ударили по энергетической инфраструктуре, но, поскольку многое в современном обществе базируется на энергетической инфраструктуре, это повлияло на все медицину, фермерство, оповещения, мобильную связь и так далее. Все это было сделано с одной целью, чтобы, когда произошла перезагрузка системы, в энергетические системы попал вредоносный вирус. Поэтому, чтобы усилить контроль за выполнением механизмов защиты объектов критической инфраструктуры в части кибербезопасности, идет речь о законодательной инициативе.
– Во время полномасштабного вторжения что делал враг?
– Кибервойна началась намного раньше военного вторжения России, еще до 2014 года. Это нужно признать. Враг в течение долгих лет системно внедрял на территории нашей страны, в государственных учреждениях, на объектах критической инфраструктуры свои программные приложения, аппаратные приборы и имел к ним удаленный доступ. До 2014 года мы не считали это проблемой. Вообще, не считали, что Россия может на нас напасть. Даже после 2014 года, к сожалению, большая часть общества полагала, что полномасштабной войны не будет. Хотя уже тогда разведывательные органы проводили мониторинг этих программных приложений в государственных органах. Их пытались заменить. Но понимаете, это технологический процесс, невозможно просто взять и заменить. Наша цифровая система объектов критической инфраструктуры в государственных органах была наполнена этим российским оборудованием, устройствами и приложениями, через которые они пытались нами манипулировать. Глобальная репетиция нападения прошла во время атаки вируса Petya. Это привело к тому, что мы предприняли все необходимые действия, чтобы максимально убрать из государственных учреждений все программные приложения и большую часть российских аппаратных девайсов и заменить европейскими или американскими, выстроили соответствующий периметр безопасности.
Я могу отметить: защищены все государственные объекты и объекты критической инфраструктуры, по крайней мере, которыми я занимаюсь. Но я не скажу, что мы защищены на 100%. Россияне продолжают вмешиваться в наши системы. Сейчас произошло вот что интересное: россияне ракетные атаки комбинируют с кибератаками и информационными атаками. Они начинают координировать действия: это может быть информационный вброс через Telegram-каналы в отношении целей, которые будут обстреляны ракетами, далее начинается атака на инфраструктуру операторов связи, чтоб парализовать и работу операторов связи, и нанести ракетный удар.
Что такое кибервойна? Там вообще нет войск, мы находимся все в одном кибердомене, там нет ни оружия, ни людей, границ, день-ночь и т.д. В кибердомене войну можно вести постоянно
– В общем количество кибератак выросло?
– Я для себя сам часто не могу определить, атака ли это. Когда мы видим, что происходит атака, то далее два варианта: конечно, мы защищаемся, но не делаем эту историю публичной. Это инцидент. Можно защититься, а можно взять атаку под контроль и контролировать атакующего, чтобы он не понимал. Это заложено в одном из законопроектов – не делать информации об атаках публичными. За что нас многие атакуют.
Могу привести такой пример: мы запретили публикацию информации о ракетных атаках. Враг собирает информацию из публичных ресурсов. Есть такая наука OSINT – публичная разведка. Я, как специалист по OSINT, смоделировал бы таким образом: запускают ракету, мне не нужно внутри страны держать агентуру, которая говорила бы, куда прилетела ракета, я бы подписался на каналы в Telegram, Facebook и в реальном времени отследил бы все. Имеем, что имеем. К сожалению, люди все выкладывают, и это помогает врагу корректировать атаки.
Вот недавно был удар по Запорожью, где погибли люди. Для меня была шоковая история, когда отец снимал на видео попадание ракеты и вообще не обращал внимания на своего ребенка. Попасть в социальную сеть ему было важнее, чем защитить своего ребенка.
Подобная история и с кибератаками. Если мы сделаем их публичными, враг может от этого выиграть, менять тактику и наносить уязвимости в киберпространстве. Поэтому мы против того, чтобы информация о кибератаках была публичной. Обмен, конечно, будет, но чисто в профильных закрытых группах, общественным деятелям там нечего делать. На секторальном уровне создаются группы, обменивающиеся между собой данными о кибератаках. Это обычная история. Когда на какой-то государственный институт происходит атака, все остальные должны об этом знать и выстраивать защиту. Говорить об этом публично мы не будем, по крайней мере во время военной агрессии и военного положения.
Помните, был такой исторический факт, когда британцы раскрыли шифр "Энигмы" во время Второй мировой войны и спасли более 2 млн человек, как сейчас говорят, и уменьшили время войны примерно на два года. При этом немцы не знали, что их шифр сломан. Британцы жертвовали некоторыми кораблями ради сохранения этой тайны.
Мы все видим и контролируем, но делать что-либо публичным мы не будем. Все общественные деятели, желающие приобщиться к этой истории, могут пойти работать на государство. У нас нет кибервойск, но активисты к этому могут приобщиться, добровольно мобилизоваться и пойти работать в ту же Госспецсвязи, СБУ, ГУР и приносить реальную пользу, а не просто писать посты в Facebook. Те, кто постоянно упрекаю, что государство делает что-то не то, – для меня люди, которые работают на врага. После войны снимем все ограничения. Но и тогда я буду против.
Классическая война – это территория, где есть какое-то оружие, человеческий ресурс, экономика. Чья экономика будет лучше работать, у кого больше ресурса, развитие технологий, тот победит. Уверен в нашей победе. Но что такое кибервойна? Там вообще нет войск, мы находимся все в одном кибердомене, там нет ни оружия, ни людей, границ, день-ночь и т.д. В кибердомене войну можно вести постоянно. 24/7 365 дней в году. Если война в классическом понимании предполагает какие-то переговоры, перемирия и т.д., то кибервойна никогда не будет остановлена, она будет идти постоянно, там не всегда возможно классифицировать врага, там просто есть атака.
При этом мы будем защищаться, а может, и где-то нападать незаметно, но на нас будут постоянно нападать.
Сегодня все признают, что Украина сейчас – единственная страна мира, выступающая огромным полигоном и выдерживающая нашествие всего экономического ресурса России, которая привлекает кибергруппировки (Turla, Sandworm, APT28, Vermin, Gamaredon, Ghostwriter), чтобы нас атаковать, атаковать нашу инфраструктуру. И когда ко мне приходят и говорят: "А в Европе вот так", "А давайте сделаем, как в Европе". Я говорю: да, давайте. Я уважаю Европу и понимаю, но сами европейские коллеги мне говорят: "Мы учимся у вас, потому что нас так никогда не атаковали, у нас нет столько знаний, нам нечего вам посоветовать". На всех встречах, где мы обсуждаем это, они говорят: "Мы знаем, что вас атаковали таким образом. Как вы защищались?" И мы рассказываем: вот так. И это опыт. Мы можем принять документы, как в Европе, но, учитывая, что мы уже самодостаточная страна, имеем огромный опыт по киберзащите, давайте немного и Европе советовать изменить то или иное законодательство. Меня за это критикуют, но я говорю как есть.
Государство хочет себя защищать, и это нормально. Не понимаю, почему все критикуют то, что делает государственный институт, но при этом не предлагают ничего другого
– Есть какие-то критерии или стандарты в странах НАТО и ЕС, которым Украина должна отвечать в сфере киберзащиты?
– Речь идет о директиве NIS2, а также о RMF-модели управления рисками на базе стандартов NIST США. Мы взяли лучший опыт, да, мы должны имплементировать директиву, учитывая, что мы двигаемся в Европу. Мы ее выписали в законопроекте №8087, который сейчас все критикуют. В этой директиве указано, что законодательство страны должно отвечать критериям, но все основывается на национальных интересах. Учитывая, что у нас война, а это не только активная фаза войны на поле боя, где ребята нас защищают с оружием, но и постоянные кибератаки на государственный информационный сегмент, мы должны здесь построить киберзащиту, должны принять эту директиву, законопроект №8087, который выписан с учетом нашего национального опыта и наших интересов.
Когда мы принимали закон об электронных коммуникациях, мы приняли кодекс ЕС об электронных коммуникациях, определили наши национальные интересы и имплементировали это в нашей стране. Кстати, это было прописано в приложении к Соглашению об ассоциации с ЕС. Мы таким образом выполнили рекомендации приложений. Таких примеров много. Скажем, когда принимали законы по цифровизации. Есть и негативный опыт, когда парламент провалил принятие в первом чтении законопроекта о GDPR.
Да, еще не все приложения выполнены, но мы двигаемся в этом направлении. И в вопросе кибербезопасности также есть соответствующие приложения, которые мы должны имплементировать и выполнить. Еще раз хочу подчеркнуть, что во всех этих приложениях прописано, что они должны выполняться в соответствии с национальными интересами.
– В каком состоянии сейчас этот законопроект?
– Сейчас он в стадии обсуждения. Продвижение этого законопроекта остановило Министерство обороны. Я могу понять их. Минобороны хочет, чтобы мы двигались в НАТО, хочет внедрять и пользоваться некоторыми стандартами НАТО или оборудованием, предоставляемым НАТО. И это правильно, это нормально.
Именно поэтому в законопроекте №8087 мы выписали то, что не происходит централизация кибербезопасности везде, а внедряются секторальные ответственные субъекты, которые у нас, кстати, предусмотрены в законе "Об основных принципах обеспечения кибербезопасности", которые работают следующим образом: общая кибербезопасность страны вводится действующим законодательством и за это отвечает Госспецсвязи, а секторально – ответственные субъекты.
Скажем, нужно Министерству обороны ввести стандарты НАТО, которыми будут пользоваться Минобороны и Генштаб. Этими стандартами точно не будет пользоваться Министерство энергетики. Так Минобороны вводит стандарты НАТО и в дальнейшем несет ответственность с учетом нашего законодательства, но в рамках нашей общей концепции по кибербезопасности. Нужно Министерству энергетики ввести какие-то европейские стандарты, оно может это сделать на секторальном уровне и также будет нести в дальнейшем ответственность.
– А что пошло не так, что движение законопроекта остановилось?
– Возможно, в Минобороны не так трактуют нормы законопроекта. Также некоторые общественные деятели критикуют, что кто-то к кому-то будет приходить с обыском. Это полный бред. В законе такого нет.
Кибератака либо раз – и свершилась, либо долго происходит во времени, когда мы о ней не знаем, но действовать надо очень быстро. И в законопроекте предусмотрено, что субъекты образуют координационные группы в рамках действующего Национального координационного центра кибербезопасности при СНБО. То есть ничего нового никто не создает, никаких полномочий не предоставляет. Когда происходит кибератака, должна быть координационная группа. Если нужно на государственном уровне куда-нибудь попасть, чтобы снять отпечаток этой кибератаки, специалисты должны иметь на это право. Это все касается чисто государственных органов. Если есть частный субъект, обслуживающий объекты критической инфраструктуры, это тоже нормально, если он будет сотрудничать с этой координационной группой.
Государство хочет себя защищать, и это нормально. Не понимаю, почему все критикуют то, что делает государственный институт, но при этом не предлагают ничего другого. Простите, так на кого вы работаете, на врага?
Кто такие специалисты по кибербезопасности? Я среди всех комментаторов в Facebook не знаю ни одного, кроме, может, двух, которые работают: один – в Госспецсвязи, другой – в аппарате главкома. Все, что есть, специалисты по кибербезопасности не публичные. Мы собираемся, общаемся, обсуждаем решения (они рассказывают по технической составляющей, я пытаюсь это перенести на уровень закона), кто-то не поддерживает – это нормально. Но может ли айтишник комментировать киберзащиту? Нет. Это не его область.
Конечно, можно манипулировать общественным мнением. Общество сразу рефлексирует, поскольку у большинства людей есть негатив к власти, неважно к какой – предыдущей или будущей. И некоторые люди используют эту тематику в качестве драйвера для собственного продвижения. Некоторые деятели используют нарративы России, ну типа "нет рашиzму" или "госСОПКА ФСБ", далее набор текста и вуаля – мысль готова. Общество даже не понимает, специалист этот человек или нет. Я, когда вижу критика, как специалист по OSINT, начинаю о нем искать информацию, кто это, какой у него экспертный бэкграунд. Много интересного вылезает.
Наше общество должно иметь критическое мышление. У нас уровень доверия к Telegram-каналам более 80%. А уровень доверия к государственным информационным ресурсам менее 10%. А кто эти люди, пишущие в Telegram-каналах, общество даже не спрашивает.
Я категорически против любой технической блокировки в сети интернет. Нам нужно создавать свои информационные площадки и таким образом вести войну и пропаганду
– Что именно из европейских стандартов мы хотим взять для себя?
– Общие критерии формирования защиты любого объекта критической инфраструктуры, информационной инфраструктуры, государственного института, а также секторальные отдельно для каждой сферы. То есть рамочные условия, чтобы мы имплементировали в рамках соглашения соответствующие директивы, а именно NIS2, если мы говорим о кибербезопасности. Мы выполним в той части, что касается рамочных вещей для сочетания нашей киберзащиты с европейской.
– Будут ли эти изменения касаться свободы информации, бизнеса, прав человека или его персональных данных?
– Законопроект №8087 вообще не влияет на состояние информации, это не вопрос блокировки чего-либо или вмешательства. Смотрите, есть сеть, которая за что-то отвечает (скажем, обмен информации), нам нужно в первую очередь защитить сеть и информацию, не вмешиваясь внутрь информации. Стопроцентно не идет речь о блокировке информации или ограничении доступа. Этот проект вообще не относится к сфере регулирования информации. Я категорически против любой технической блокировки в сети интернет. Нам нужно создавать свои информационные площадки и таким образом вести войну и пропаганду. Частного сектора, не предоставляющего услуги государственным учреждениям и объектам критической инфраструктуры первой и второй группы, этот законопроект не касается вообще.
– Что нам обязательно нужно сделать и как быстро?
– Хотя бы принять действующее законодательство. Сейчас у нас эффективно работающего законодательства в части кибербезопасности нет. Есть единственный рамочный закон, который называется "Об основах обеспечения кибербезопасности", но он никоим образом не регулирует и не влияет на этот вопрос. Если у нас не будет эффективного действующего законодательства... Кибербезопасность – крайне важный вопрос, там должна быть и ответственность, и наказание, и контроль государства, если мы говорим о государственных объектах или объектах критической инфраструктуры. Нам нужно принять такое законодательство.
Те командно-штабные учения, на которых я бывал и модерировал, пока свидетельствуют о крайне низком уровне наших учреждений относительно готовности к взаимодействию между собой.
Иногда мне говорят, что это повлияет на бизнес. Я категорически против регулирования бизнеса, потому что бизнес – рисковая история, если он будет уязвим с точки зрения киберзащиты, к нему не придет клиент и у него не будет контрактов – он будет рискованный, будет терять. Он сам вкладывает деньги, чтобы построить свои системы кибербезопасности.
Государство – немного другая история. Здесь нужно принимать законы, которые должны соответствовать европейской директиве и где будет ответственность должностных лиц. Нам нужно принять №8087. В первом чтении он уже принят. Были замечания от НАПК, мы собрали совещание и убрали все моменты и получили от них письмо, что у них нет замечаний. Конструктивные предложения мы принимаем. Но некоторые вещи мы не можем учесть, потому что в интересах нашего общества и нашей страны принимать действующее фундаментальное законодательство, которое будет работать десятилетия.
Законопроект готов ко второму чтению, все предложения учтены. Когда завершатся переговоры с Минобороны (мы, кстати, полностью на стороне военных), вынесем законопроект на голосование.
