Скоро вибори. Хто відповідатиме за безпеку інформації України

09:56
Скоро вибори. Хто відповідатиме за безпеку інформації України

Напередодні виборів спливає дуже важливе питання: хто відповідає за інформаційну безпеку країни? У нас є Міністерство інформаційної політики. І багато людей переконані, що саме цей орган головний в цій сфері. Але при ближчому знайомстві з повноваженнями відомства виявляється, що воно відповідає не стільки за зберігання і безпеку інформації, скільки за її поширення. А також за формування інформаційної політики.

Безпосередньо за безпеку інформації відповідають інші органи. І в зв'язку з тим, що така подія, як вибори президента, зазвичай притягує хакерів і недоброзичливців з усіх куточків світу, редакція LIGA.net вирішила детальніше розповісти, хто і чим займається.

Спочатку відокремимо мух від котлет

Говорячи про інформаційну безпеку, слід звернути увагу на початкову термінологію. Є інформаційна безпека, а є кібербезпека.

Експерт з інформаційної безпеки і засновник компанії Октава Кіберзахіст Олександр Кардаков розділяє ці два поняття наступним чином.

Інформаційна безпека (ІБ) — захист інформаційних ресурсів, фізичних і цифрових даних від несанкціонованого доступу, використання, розкриття, порушення, модифікації або знищення. Основне завдання ІБ — забезпечення доступності, конфіденційності та цілісності інформації. У деяких трактуваннях ІБ включає в себе захист прав особистості і сферу медіа.

Кібербезпека (КБ) — це забезпечення захисту цифрових даних, інформаційних систем та інфраструктури від атак з використанням ІТС (інформаційно-телекомунікаційних систем). КБ — частина ІБ.

Тепер розберемося з тим, які органи відповідають за інформаційну безпеку. І важлива ремарка — за що саме вони відповідають.

Як говорить Кардаков, єдиного органу відповідальності за КБ немає — це система. Основні суб'єкти системи в Україні: РНБО, Держспецзв'язку, СБУ, Міноборони, МВС, НБУ. Вони формують правила «гри» в держсекторі.

Система ІБ в держсекторі сформована для інформації, що є власністю держави, а не всієї існуючої інформації громадян і бізнесу. Головні суб'єкти — СБУ і Держспецзв'язку. (Основні нормативні документи — закони «Про інформацію», «Про захист інформації в ІТС»).Повноваження у цих органів частково перетинаються.

Тепер спробуємо розібратися, який з цих органів за що саме у відповіді.

Держспецзв'язку. Цей орган піклується про технічний захист інформації та криптозахисті даних, які є власністю держави, і персональних даних. Він ліцензує компанії, які мають право надавати послуги криптографічного захисту й технічного захисту інформації. Видає атестати відповідності на засоби і комплексні системи захисту інформації. Наприклад, на софт і на систему в цілому, яка забезпечує роботу реєстру електронного декларування.

При Держспецзв'язку є центр реагування на кіберзагрози для ресурсів держави — CERT.UA (підрозділ, струкртурно відноситься до Госцентрукіберзащіти і протидії). На нього покладено функції попередження і ліквідації наслідків кібератак. Наприклад, якщо в ході виборів хакери атакують реєстри ЦВК або сайт президента, фахівці цього центру повинні будуть відреагувати на цей кіберінцідент, в разі необхідності зв'язатися з міжнародними центрами реагування і відстежити джерело загрози. При Держспецзв'язку також працює Центр антивірусного захисту інформації. Він відповідає за захист інформаційних ресурсів держави.

СБУ відповідає за захист інтересів держави і прав громадян в інформаційному середовищі. В СБУ не так давно відкрився Ситуаційний центр забезпечення кібернетичної безпеки. Його створили на базі департаменту контррозвідувального захисту інтересів держави у сфері інформаційної безпеки цього відомства.

Завдання центру — запобігання хакерського втручання в роботу об'єктів критичної інфраструктури і державних служб. У центру є власна лабораторія комп'ютерної криміналістики та реагування на кіберінціденти. Устаткування та комплектуючі, ПЗ для роботи центру СБУ придбала на кошти, отримані від трастового фонду Україна-НАТО.

У Міністерства внутрішніх справ є кіберполіції. Вона займається розслідуваннями в сфері розміщення протиправного контенту в інтернеті, злому платіжних систем і майданчиків e-commerce. Цей підрозділ також зобов'язана інформувати громадян про нові загрози і протидіяти їх поширенню.

У Міноборони теж є свої підрозділи, що відповідають за ІБ. Наприклад, війська радіоелектронної боротьби (РЕБ). Вони відповідають за захист систем управління ЗСУ та порушення роботи Інформсистему управління противника. Спеціальними заходами щодо забезпечення національних інтересів в інформаційній сфері займається також Головне управління розвідки України. У 2017 році Міністр оборони Степан Полторак також повідомляв, що відомство працює над створенням спеціальних «кібервійськ» для відображення кіберударов. Подробиці поки не повідомлялися.

Не так давно був створений Центр кіберзахисту при Національному банку. Його завдання — реагування на інциденти кібербезпеки в банківській системі України. Обговорюється, що аналогічний центр буде створений і при Міністерстві інфраструктури.

Захист потопаючих — справа рук самих потопаючих

Найважливіше, що повинен знати пересічний українець: центри реагування та захисту інформації дбають про те, щоб забезпечити ІБ тільки державних структур.

«За свою безпеку кожен особисто відповідає сам навіть на побутовому рівні. Держоргани можуть давати рекомендації. Але вони в першу чергу повинні захищати державні ресурси. В іншому підприємство захищає сама себе, громадянин — сам себе », — підкреслює Олександр Кардаков.

Те ж саме стосується і бізнесу. Їх власна ІБ і КБ — це їх відповідальність. Як підкреслює Кардаков, всі підприємства, де важлива інформація, повинні мати людину, відповідальну за це — Chief Information Security Officer. Це світова практика.

Рівень цього відповідального обов'язково повинен бути N-1 — тобто він повинен підпорядковуватися безпосередньо або першій особі компанії, або акціонерам. Він повинен мати вплив на критичні бізнес-процеси. Так само як ІТ-директор не повинен обмежуватися функціями «начальника над серверами», так і CISO не повинен бути обмежений суто прикладними завданнями на рівні захисту ІТ-інфраструктури. Вся діяльність CISO спрямована на забезпечення безперервності бізнесу, створення умов для його безпечного зростання. CISO зобов'язаний мислити категоріями рішення бізнес-задач, зрозуміло, в розрізі кібер і інформаційної безпеки.

Як розповідає Олександр Кардаков, таких людей в Україні дуже мало, але їх можна навчити. Це можуть бути переучені айтішники, безпечники. Доучуються вони розуміння, яку інформацію і які процеси підприємства треба захищати. Головне для CISO — розуміння, яка інформація підприємства — важлива, як повинні працювати інформаційні системи, що критично і що робити в разі виникнення проблеми.

Де зупинка інформаційної системи чревата великими збитками, повинні бути такі виділені люди. Підприємства критичної інфраструктури — обов'язково. А таких підприємств сотні.

Хто вже обзавівся CISO?

«Сьогодні позиція CISO є в багатьох українських корпораціях, що мають розвинені філіальні мережі і потужну ІТ-інфраструктуру, величезні масиви конфіденційних даних, які потребують грамотної захисту», — розповідає голова наглядової ради компанії ІТ-Інтегратор Андрій Верба.

Наприклад, така посада є в багатьох фінансових установах: в ТАСкомбанк і групі TAS, Креді Агріколь Банку. Є вона і у мобільних операторів. Наприклад, у lifecell.

У деяких українських бізнесах є така посада, але вона називається інакше. Наприклад, у групи EVO (e-commerce) це Head of Information Security. Він підпорядковується безпосередньо бізнес-девелоперу B2B-напрямки. «У підпорядкуванні у нього два адміністратора безпеки», — уточнюють в компанії.

Head of Information Security and Privacy — так називається ця посада в Ciklum, великої української IT-компанії.

Є вже приклади, коли така людина призначається і у відносно невеликих фірмах. Наприклад, як розповідає засновник Zeleni.Agency Артем Зелений, такий фахівець знаходиться безпосередньо в його підпорядкуванні. Його функція — кібербезпека, а саме виключення несанкціонованого доступу до мереж компанії. «Завдяки цьому, нас оминули віруси типу Petya.A, які розірвали IТ-системи клієнтів» — уточнює Зелений.

Комментарии 0

Предпросмотр
Завантаження...
Будьте первым, кто оставит комментарий.