Скоро выборы. Кто в ответе за безопасность информации Украины

ВЫБОРЫПрезидентские (2019)
На:
FavoriteLoading_Добавить публикацию в закладки

За государственными IT-ресурсами следят «толпы» чиновников и спецов. За безопасность бизнеса в ответе только его владельцы

В преддверии выборов всплывает очень важный вопрос: кто отвечает за информационную безопасность страны? У нас есть Министерство информационной политики. И многие люди убеждены, что именно этот орган главный в этой сфере. Но при более близком знакомстве с полномочиями ведомства оказывается, что оно отвечает не столько за хранение и безопасность информации, сколько за ее распространение. А также за формирование информационной политики.

Непосредственно за безопасность информации отвечают другие органы. И в связи с тем, что такое событие, как выборы президента, обычно притягивает хакеров и недоброжелателей изо всех уголков мира, редакция LIGA.net решила поподробнее рассказать, кто и чем занимается.     

Сначала отделим мух от котлет

Говоря об информационной безопасности, следует обратить внимание на начальную терминологию. Есть информационная безопасность, а есть кибербезопасность.

Эксперт по информационной безопасности и основатель компании Октава Киберзахист Александр Кардаков разделяет эти два понятия следующим образом.

Информационная безопасность (ИБ) – защита информационных ресурсов, физических и цифровых данных от несанкционированного доступа, использования, раскрытия, нарушения, модификации или уничтожения. Основная задача ИБ – обеспечение доступности, конфиденциальности и целостности информации. В некоторых трактовках ИБ включает в себя защиту прав личности и сферу медиа.

Кибербезопасность (КБ) – это обеспечение защиты цифровых данных, информационных систем и инфраструктуры от атак с использованием ИТС (информационно-телекоммуникационных систем). КБ – часть ИБ.

Теперь разберемся с тем, какие органы отвечают за информационную безопасность. И немаловажная ремарка — за что именно они отвечают.

Как говорит Кардаков, единого органа ответственности по КБ нет – это система. Основные субъекты системы в Украине: СНБО, Госспецсвязь, СБУ, Минобороны, МВД, НБУ. Они формируют правила «игры» в госсекторе.

Система ИБ в госсекторе сформирована для информации, являющейся собственностью государства, а не всей существующей информации граждан и бизнеса. Главные субъекты – СБУ и Госспецсвязь. (Основополагающие нормативные документы — законы «Про информацию», «Про защиту информации в ИТС»). 

DOSSIER →   Глава ЦИК заявил, что проведение даже послевоенных выборов может быть проблематичным

Полномочия у этих органов частично пересекаются.

Теперь попробуем разобраться, какой из этих органов за что именно в ответе.

Госспецсвязи. Этот орган заботится о технической защите информации и криптозащите данных, являющихся собственностью государства, и персональных данных. Он лицензирует компании, которые имеют право оказывать услуги криптозащиты и технической защиты информации. Выдает аттестаты соответствия на средства и комплексные системы защиты информации. Например, на софт и на систему в целом, которая обеспечивает работу реестра электронного декларирования.

При Госспецсвязи есть центр реагирования на киберугрозы для ресурсов государства  — CERT.UA (подразделение, струкртурно относящееся к Госцентрукиберзащиты и противодействия). На него возложены функции предупреждения и ликвидации последствий кибератак. Например, если в ходе выборов хакеры атакуют реестры ЦИК или сайт президента, специалисты этого центра должны будут отреагировать на этот киберинцидент, в случае необходимости связаться с международными центрами реагирования и отследить источник угрозы. При Госспецсвязи также работает Центр антивирусной защиты информации. Он отвечает за защиту информационных ресурсов государства.

СБУ отвечает за защиту интересов государства и прав граждан в информационной среде. В СБУ не так давно открылся Ситуационный центр обеспечения кибернетической безопасности. Его создали на базе департамента контрразведывательной защиты интересов государства в сфере информационной безопасности этого ведомства.

Задача центра — предотвращение хакерского вмешательства в работу объектов критической инфраструктуры и государственных служб. У центра есть собственная лаборатория компьютерной криминалистики и реагирования на киберинциденты. Оборудование и ПО для работы центра СБУ приобрела на средства, полученные от трастового фонда Украина-НАТО.

У Министерства внутренних дел есть Киберполиция. Она занимается расследованиями в сфере размещения противоправного контента в интернете, взлома платежных систем и площадок e-commerce. Это подразделение также обязано информировать граждан о новых угрозах и противодействовать их распространению.

В Минобороны тоже есть свои подразделения, отвечающие за ИБ. Например, войска радиоэлектронной борьбы (РЭБ). Они отвечают за защиту систем управления ВСУ и нарушение работы информсистем управления противника. Специальными мероприятиями по обеспечению национальных интересов в информационной сфере занимается также Главное управление разведки Украины. В 2017 году Министр обороны Степан Полторак также сообщал, что ведомство работает над созданием специальных “кибервойск” для отражения киберударов. Подробности пока не сообщались.  

DOSSIER →   Глава ЦИК заявил, что проведение даже послевоенных выборов может быть проблематичным

Не так давно был создан Центр киберзащиты при Национальном банке. Его задача — реагирование на инциденты кибербезопасности в банковской системе Украины. Обсуждается, что аналогичный центр будет создан и при Министерстве инфраструктуры.

Защита утопающих — дело рук самих утопающих

Самое важное, что должен знать обычный украинец: центры реагирования и защиты информации заботятся о том, чтобы обеспечить ИБ только государственных структур.

“За свою безопасность каждый лично отвечает сам даже на бытовом уровне. Госорганы могут давать рекомендации. Но они в первую очередь должны защищать государственные ресурсы. В остальном предприятие защищает само себя, гражданин — сам себя”, — подчеркивает Александр Кардаков.

То же самое касается и бизнеса. Их собственная ИБ и КБ — это их ответственность. Как подчеркивает Кардаков, все предприятия, где важна информация, должны иметь человека, ответственного за это — Chief Information Security Officer. Это мировая практика.

Уровень этого ответственного обязательно должен быть N-1 — то есть он должен подчиняться напрямую либо первому лицу компании, либо акционерам. Он должен иметь влияние на критические бизнес-процессы. Так же как ИТ-директор не должен ограничиваться функциями «начальника над серверами», так и CISO не должен быть ограничен сугубо прикладными задачами на уровне защиты ИТ-инфраструктуры. Вся деятельность CISO направлена ​​на обеспечение непрерывности бизнеса, создание условий для его безопасного роста. CISO обязан мыслить категориями решения бизнес-задач, разумеется, в разрезе кибер- и информационной безопасности.

Как рассказывает Александр Кардаков, таких людей в Украине очень мало, но их можно обучить. Это могут быть переученные айтишники, безопасники. Доучиваются они пониманию, какую информацию и какие процессы предприятия надо защищать. Главное для  CISO — понимание, какая информация предприятия — важная, как должны работать информационные системы, что критично и что делать в случае возникновения проблемы.

“Курсов по этим вещам нет, люди пока что обучаются сами. Но этот вопрос уже обсуждается, в массовом порядке к этому идет и государство”, — резюмирует Кардаков.  

Где остановка информационной системы чревата большими убытками, должны быть такие выделенные люди. Предприятия критической инфраструктуры — обязательно. А таких предприятий сотни.

DOSSIER →   Глава ЦИК заявил, что проведение даже послевоенных выборов может быть проблематичным

Кто уже обзавелся CISO?

“Сегодня позиция CISO есть во многих украинских корпорациях, имеющих развитые филиальные сети и мощную ИТ-инфраструктуру, огромные массивы конфиденциальных данных, требующих грамотной защиты”, — рассказывает глава наблюдательного совета компании ИТ-Интегратор Андрей Верба .

Например, такая должность есть во многих финансовых учреждениях:  в Таскомбанке и группе TAS, Креді Агріколь Банке. Есть она и у мобильных операторов. Например, у lifecell.

В некоторых украинских бизнесах есть такая должность, но она называется иначе. Например, у группы EVO (e-commerce) это Head of Information Security. Он подчиняется напрямую бизнес-девелоперу B2B-направления. “В подчинении у него два администратора безопасности”, — уточняют в компании.

Head of Information Security and Privacy — так называется эта должность в Ciklum, крупной украинской IT-компании.

Есть уже примеры, когда такой человек назначается и в относительно небольших фирмах. Например, как рассказывает основатель Zeleni.Agency Артем Зеленый, такой специалист находится непосредственно в его подчинении. Его функция — кибербезопасность, а именно исключение несанкционированного доступа к сетям компании. “Благодаря этому, нас обошли вирусы типа Petya.A, которые разорвали IТ-системы клиентов” — уточняет Зеленый.

Публикации по теме:

  1. Украина ожидает корабли НАТО в Черном море, — Президент
  2. Выборы в Украине не будут отменены, — Луценко
  3. В деле Шеремета нашли белорусский след
  4. Выборы в Украине: ЦИК потратит 2,5 миллиона гривен на систему защиты информации
  5. Скоро выборы: известный педиатр Комаровский примкнул к команде Зеленского?
  6. Скоро выборы? Тимошенко поделилась интригующим политическим прогнозом
  7. Центр противодействия дезинформации должен стать международным хабом сбора и анализа информации для обеспечения безопасности Украины и помощи партнерам — Ермак