Кіберзагроза чи кібербезпека: що насправді діється у вітчизняній енергетиці?

Кіберзагрози з кожним роком піднімаються у «рейтингу» важливості для світової економіки. Цю, надважливу для України тему, обговорювали під час форуму «Паливно-енергетичний комплекс України: сьогодення та майбутнє», що недавно відбувся у Києві.

Забігаючи наперед – запитання є і в учасників ринку, і в органів, які покликані забезпечити кібербезпеку на рівні держави. Але нічого такого, що не можна було б змінити.

 

Недосконалості українського законодавства 

Менеджер проекту IFES в Україні Юлія Шипілова, розповіла, що у сфері кібербезпеки немає жодного єдиного глобального документу, який би визначав, як держави мають діяти. У 2011 і 2015 роках Росія і Китай спробували пролобіювати певні документи на рівні ООН, але вони не були сприйняті, бо США має інший погляд на ці питання. 

Є Будапештська конвенція про кіберзлочини – Україна її ратифікувала у 2015 році, її положення є обов'язковими. Але щоб далі  впроваджувати положення міжнародного документу – вони мають бути імплементовані в національне законодавство. 

Будапештська конвенція складається з трьох компонентів: матеріальне право, процесуальне та співробітництво. Матеріальні норми Україна імплементувала, і більшість кібер-злочинів у кримінальному кодексі відображені. У нас проблеми щодо процесуального права: факт кібер-злочину ми встановити можемо, але ніхто не знає, що робити далі. 

«Коли починається співробітництво з іншими державами у сфері кіберзлочинів, збирання інформації та передачі доказів, то Україна не визначила – що таке електронний доказ, як їх збирати, зберігати, забезпечувати, щоб не було втручання. Тому таке співробітництво є проблематичним», – пояснила Шипілова.

Є також директива Європейського союзу щодо інформаційної та мережевої безпеки NIS. Вона не є обов'язковою для України, оскільки ми не є членом ЄС. Директива передбачає ухвалення стратегії кібербезпеки, в Україні така була прийнята у 2016 році. Вже створені групи по співробітництву та обміну інформацією. Відповідно до цього документу Україна має повідомляти, з дотриманням усіх протоколів,  про кіберінциденти відповідні структури. Зараз наші підприємства роблять це час від часу і у довільній формі. На думку експерта атака віруса «Петя» сталася саме через те, що не було систем інформування і рекомендацій, як діяти.

«Це важливо, бо створить систему знань, з якими загрозами стикалися інші компанії, і дозволить проаналізувати, хто і як атакував, та і вивчити, як діяти в тому чи іншому випадку», – пояснила Шипілова.

На основі Стратегії кібербезпеки України був прийнятий у 2017 році закон про основні засади кібербезпеки. Але він – рамковий. «Багато його положень мали б бути прописані на підзаконному рівні. Але Кабміном вони не прийняті», – зауважила експерт.

Стратегія кібербезпеки і її цілі – дуже гарні, добре, що це є. Але не прописано, хто їх має досягати і виконувати. 

«Створення національної системи кібербезпеки – дуже амбітна і гарна мета. Але не сказано, хто за неї відповідає, і коли її має бути досягнуто та як. І ніхто не відслідковує, як здійснюється діяльність, щоб цю систему побудувати», – відзначила експерт.

Серед інших прогалин законодавства – невідповідність певних норм міжнародним зобов'язанням України та непослідовність термінології. Законодавство приймалося в різний час, тож і  термінологію використовували різну. Через те компетентні органи стикаються з тим, що не можуть чинити певні дії, суд не визнає їх дії законними. 

Стосовно законодавства про критичну інфраструктуру – Мінекономіки розробило законопроект, довго обговорюваний, і внесений у ВР наприкінці каденції 8 скликання. Але він вважається відхиленим. І тепер цю роботу почали спочатку. Хоча він міг би стати непоганою базою, вважає Шипілова.

Одне з найголовніших проблем забезпечення кібербезпеки – підвідомчість. Багато установ мають схожі функції. В результаті – або ніхто не відповідає за певні питання, або, навпаки, органи починають конкурувати між собою. 

Серед інших проблем – відсутність стратегічного плану. Сама стратегія – добре. Але план – то  не лише те, чого ми хочемо досягти, а й засоби досягнення. 

Далі – бюджетні обмеження. Це велика проблема для агенцій, які забезпечують кібербезпеку, охоронних органів.  “Агенції наймають на роботу молодих, навчають їх, а вони потім йдуть у приватний сектор, бо треба годувати сім’ї, адже за гроші, які пропонує держава, неможливо вижити. Щоб створити систему кіберзахисту – потрібні нормальні зарплати для працівників», – відзначила Шипілова.

Підсумовуючи результати дискусії на форумі,  серед нагальних завдань можна назвати: 

- узгодження термінології;

- прийняття комплексного закону про кіберзахист;

- прийняття закону про критичну інфраструктуру;

- гармонізація  законодавства з європейським;

- створення внутрішньої системи інформування про кіберінциденти (з єдиною структурою, яка б бачила повну картину, нехай це буде не нова структура);

- оновлення законодавства про правоохоронні органи, прибрати дублювання функцій;

- прийняття закону про державно-приватне партнерство у сфері кібербезпеки.

 

Що розповіли енергопідприємства

Директор з інформаційних технологій ДП НАЕК «Енергоатом» Олександр Лісовий розказав, що в «Енергоатомі» критичними є інформаційно-керуючі системи. 

«На щастя, вони були спроектовані у 60-80-ті роки. Такі передумови дозволяють нам забезпечувати захист особливо критичних активів, внутрішні периметри, зовнішні інформаційні системи загального використання – як бар’єр для проникнення», – зауважив Лісовий.

Найбільші загрози, за його словами – внутрішні. «Ми мали кілька інцидентів, які широкого розголосу не набули. Всі вони на 100% пов’язані з діями внутрішнього працівника. Але навмисних дій для досягнення своєї якоїсь мети,щоб створити «дірку» в кібербезпеці, там не було. Тому для нас це робота з підвищення рівня знань нашого персоналу. Кібербезпека – це процес, який не повинен закінчуватися», – поділився представник «Енергоатому».

Директор департаменту інформаційних технологій «Укргідроенерго» Богдан Карбань запевнив, що у його компанії постійно аналізують поточну ситуацію і впроваджують найновіші технології забезпечення безпеки.

«Ми бачимо проблему – відсутні до теперішнього часу визначення об’єктів критичної інфраструктури. Існують проблеми з регулюванням технічних аспектів кібербезпеки. Ми бачимо не дуже гарну перспективу з точки зору покращення кібербезпеки після впровадження ринку електроенергії. Прецеденти були незначні, ми не зазнали жодних атак. Що було – це не навмисні дії працівників. Серйозних загроз не було», – розказав Карбань.

Начальник відділу ІТ безпеки ДП НЕК «Укренерго» Валерій Єрмошин засвідчив, що інтерес до їхніх інформаційних портів постійний. За його словами, зокрема, одним із недоступних широкому загалу сервісів цікавилися 69 разів, були спроби експлуатації того чи іншого порту. 

«Наші користувачі отримали 54 фішингові листи, які містили шкідливе забезпечення. Ми зафіксували 7 випадків появи шкідливого програмного забезпечення на різних носіях, ресурсах. Нам пощастило – ми продовжили роботу. Ми маємо постійний інтерес. В деяких випадках він успішний, в деяких – ні», – уточнив Єрмошин.

За його словами – саме персонал компанії і долає всі загрози. І з точки зору інформаційної безпеки і персоналу «Укренерго» у 2015 році і 2019-му – це різні організації. 

«Нам допомогли ті засоби захисту, які є у нас на озброєнні. Чогось такого, що б ми не знали в Україні, про що знали у світі – у нас немає», – сказав він.

Єрмошин зазначив, що потрібно виправляти  процедури закупки засобів захисту. На сьогодні фізичний захист об’єктів енергетики належить до звіту відомостей, що містять державну таємницю. Більш критичний і доступніший інформаційний захист – максимум для службового використання. Хтось повинен вийти з ініціативою, щоб Служба безпеки внесла коригування в звіт відомості. Інакше ті, хто постійно нами цікавляться, будуть досконало знати нашу інфраструктуру, починаючи з моделі і версій засобів захисту тощо.

Представник ДТЕК Сергій Дзюба запевнив, що його компанія прикладає максимум зусиль, щоб забезпечити безперебійне функціонування наших підприємств і надання послуг споживачам. 

«До «Пєті» жоден аудит не дивився на справжній захист від справжніх кіберзагроз. Практична робота має стояти на першому місці», – сказав Дзюба.

За його словами, законодавче врегулювання питання кібербезпеки дасть можливість адекватної розмови з державними органами і з регулятором.  Вихід постанови № 518 (КМУ, про затвердження Загальних вимог до кіберзахисту об'єктів критичної інфраструктури – ред.) поставив ряд питань, як ці вимоги імплементувати на об’єкти, які компанія вважає ланками критичної інфраструктури. 

«Наприклад, використання антивірусного захисту на таких об’єктах. А якщо автоматизована система управління технологічними процесами не передбачає використання системи антивірусного захисту, якщо вона стороння у цій системі? Це елемент дискусії з людьми, які розробляли цю постанову. Ми маємо можливість запросити до себе досвідчених фахівців. Але розуміємо, що фахівці, які працюють у державних, законодавчих органах, розробляють постанови – вони, мабуть, не дуже мотивовані за результати своєї роботи. Тому, такі документи мають виноситись на загал, доопрацьовуватися, обговорюватися у спільноті фахівців», – пояснив він.

 

Що думає і робить держава

Начальник Держцентру кіберзахисту Роман Боярчук погодився, що законодавство у сфері захисту критичної інфраструктури ще не сформоване. 

«Кожне міністерство кожного року створює план реалізації кібербезпеки України. Цей план затверджений Кабміном, формуються звіти. Але вони не доступні загалу. Крім уряду, ніхто не бачить, що і як було впроваджено», – зазначив Боярчук. 

Єдиний документ, що може вважатися стандартом захисту критичної інфраструктури, і на який можна спиратися – постанова Кабінету міністрів, зауважив він. Залишається сподіватися, що чинний парламент зможе прийняти необхідний закон.

Бюджетні обмеження щодо фінансування експертів, залучених до забезпечення кібербезпеки – дійсно, важливе питання, вважає Боярчук.

«Експерти в галузі кібербезпеки в приватному секторі мають навіть більшу зарплатню, ніж «звичайні» фахівці ІТ. Тому дуже важливе саме приватно-державне партнерство у питанні залучення фахівців у систему розбудови національної кібербезпеки», – сказав він. 

Але є лише один закон про державно-приватне партнерство, що стосується спільного використання державних ресурсів приватними і державними організаціями. А головна проблема державно-приватного партнерства – у довірі. Щоб її побудувати – потрібен час. 

Представник Ситуаційного центру з забезпечення кібербезпеки СБУ Андрій Гайдар розказав, що у сфері державно-приватного партнерства Служба вже започаткувала кілька проектів. 

«Один із них – це платформа обміну індикаторами компроментації, кіберзагрозами про кібератаки – MISP HYPERLINK . Вона була раніше відкрита, ми її допрацювали до наших стандартів. Постійно оновлюємо, додаємо туди індикатори компроментацї, технічну інформацію, яка може бути використана системами, щоб зреагувати на якусь кібератаку. На сьогодні біля 50 об’єктів критичної інфраструктури до неї підключені,  і порядку 10 – це об’єкти енергетичні. Вона гарна тим, що можна отримати актуальну технічну інформацію про кіберзагрози, для адміністраторів з кібербезпеки. Цей сервіс безкоштовний і добровільний», – розказав Гайдар. 

Ще один проект – координоване розкриття вразливості. На сайті СБУ є меморандум, який допомагати кіберспільноті допомогти державі захистити свої об'єкти. Є поштова скринька, на яку можна анонімно повідомити інформацію. Вона буде перевірена СБУ, і надана відповідна реакція.

«Так ми закликаємо «білих» хакерів не писати щось у Фейсбуці, а звертатися до Служби безпеки. Ми спільно з об'єктом будемо реагувати на загрози», – відзначив Гайдар.

У СБУ теж чекають на законопроект про критичну інфраструктуру. Зараз уряд вже створив робочу групу з цього питання. Бо загальні критерії визначення таких об'єктів – тільки початок спільної роботи.

Чого нам не вистачає: погляд з-за кордону

Експерт Cisco з інформаційної безпеки Володимир Ілібман зазначив, що теми, які озвучили попередні спікери – стандартні: законодавчі обмеження та трансерні. Ці проблеми є у всіх країнах. Але в України є ще свої  обмеження. Перша – проблема довіри, друга – цифрові комунікації, третя – обмеження ресурсу для навчання персоналу.

Як розповів Ілібман, компанія Cisco вже стикнулася з проблемою довіри, коли організовувала галузеве бізнес-ком’юніті: ніхто не хотів ділитися інформацією, особливо якщо на цій платформі є регулятор або електронні держоргани.  

У США цю проблему вирішили по-своєму: там є суспільний центр з кібербезпеки, який збирає інформацію «знизу», анонімізує її, і передає «нагору» вже знеособлені дані про загрози. А «згори» вже йде інформація з рекомендаціями. В Україні комунікація одностороння – постанова від міністерства  до “низу” і все, навіть без фідбеку. 

«Але навіть те, що є у постанові 518, хоч вона не ідеальна, треба використовувати. Там є багато корисних пунктів, щоб покращити стан безпеки в Україні», – зауважив експерт Cisco.

Стосовно навчання персоналу – є багато безкоштовних ресурсів, їх треба використовувати, зазначив Ілібман. Зокрема, Cisco запускає курси, на яких адміністратори інфраструктури зможуть підвищити свій рівень кваліфікації. 

«Бо цим і відрізняється український і американський досвід – там постійно навчаються», - підсумував експерт.

 




 

Теги: Кабмін, газ, ДТЕК, контракти, нафта, відновлювальні джерела енергії, АЕС, НАЕК "Енергоатом", законодавство, електроенергія, НКРЕКП, Євросоюз, мінекоенерго, США, енергоринок, міжнародні відносини

Читайте також

Гроші енергокомпаній: виручка, імпорт і експорт
Ринок газу для населення: як досягти балансу інтересів
Це все-таки ринок, а не регульована монополія: якою бачать українську електроенергетику в Європі