«Система кіберзахисту в нас відсутня» — голова комітету з інформатизації та зв’язку

У понеділок Рада нацбезпеки і оборони заслухає перші висновки про шкоду, завдану кібератакою вірусу Petya минулого тижня.

Держава все ще підраховує збитки, однак, голова парламентського комітету з питань інформатизації та зв’язку Олександр Данченко («Самопоміч») уважає, що черговий кібернапад передусім показав повну незахищеність стратегічних ресурсів. Для вирішення питання депутат наполягає на терміновій зміні законодавства. Про це він розповів в інтерв’ю Громадському.

Чи можна вже зараз підрахувати втрати від вірусної атаки? Чи є інформація про витоки конфіденційних даних? Рівень проникнення зловмисників у вражені системи все ж був досить глибоким.

По-перше, мова йде про кібератаку, частиною якої було вірусне ураження. Підбивати якісь підсумки зарано, оскільки інформації мало, а та що є, — таємниця слідства. У понеділок до засідання Ради національної безпеки і оборони мають бути підготовані перші висновки.

Але вже зараз можна зробити висновки, що система кіберзахисту в нас відсутня, країна виявилася неготовою до нападу, при чому не готова вже втретє чи вчетверте. Координація між службами відсутня, приватний бізнес не долучений до системи захисту і ніяк не співпрацює державними органами.

Уже відомо, що постраждали як ресурси державних установ чи компаній так і приватних — наприклад, ДТЕК, «Нової пошти», великих комерційних банків. Наскільки їхня інформаційна безпека важлива на національному рівні і хто має її забезпечувати?

Для цього в усьому світі є поняття критичної інфраструктури держави. Вона складається на рівних умовах з державних і приватних мереж. До неї, наприклад, належить вся телекомунікаційна галузь, енергетика, банківська система. Чи ти державний, чи ти приватний гравець — немає різниці, ти стаєш критичною інфраструктурою і зобов’язаний виконувати те, що в тебе вимагає держава для її захисту.

Як це реалізувати на практиці?

Спочатку треба ухвалити закон, який визначить поняття критичної інфраструктури. Після того в державі створюється єдиний центр кіберзахисту, до якого всі об’єкти критичної інфраструктури підключаються. Державні — за державні кошти, приватні — за приватні. Але один такий центр на державному рівні коштуватиме менше, ніж якби кожен будував для себе. Приватний бізнес має бути зацікавлений у такому партнерстві.

ЧИТАЙТЕ ТАКОЖ: Цифровий апокаліпсис через недбалість: що треба знати про наймасштабнішу хакерську атаку в Україні

Другий момент — і приватні, і державні установи мають виконувати єдині правила щодо захисту критичної інфраструктури. Якщо апгрейд — то єдиний для всіх, якщо політики безпеки — то єдині, адаптовані для всіх. Бо те, що в нас зараз рекомендують, — взяти з сайту Міноборони чи Держдепу США політики безпеки та впровадити їх у нас — це просто безглуздя.

І третій момент — це відповідальність. Бо її зараз немає, кіберполіція сьогодні чітко сказала — ніхто в компаніях не буде нести відповідальність за те, що обвалились їхні мережі.

Україна виявилась абсолютно неготовою до кібератаки, постраждали як ресурси державних компаній, так і приватних (на фото - непрацюючий термінал у головному поштовому відділенні в Києві) Фото: EPA/STEPAN FRANKO

А хто нині відповідальний за кібербезпеку держави — Держслужба спецзв’язку, її команда реагування на комп’ютерні надзвичайні події, кіберполіція, СБУ, армія?

Згідно зі стратегією, підписаною Президентом, — служба Держспецзв’язку. Але все інше має бути вирішено на рівні законодавства. Законопроект про основні засади кібербезпеки вже лежить у Раді (законопроект поданий іще 2015 року групою депутатів з комітету інформатизації та зв’язку, у червні 2017 переданий на повторне друге читання — ред.).

Іще один розробляється в нас у комітеті — про кібезахист і подібні речі. Іще є ініціатива кіберполіції, яка, наскільки мені відомо, напрацьовує питання із блокуванням мереж чи окремих ресурсів.

Чи розширює цей законопроект повноваження правоохоронців у сфері доступу до даних?

Я його ще не бачив, тому не можу сказати.

Чи є в такому розширенні повноважень потреба, на вашу думку?

Не можна говорити про будь-яке розширення, оскільки на законодавчому рівні ще нічого ні за ким не закріплено. Практично ніхто не має ніяких повноважень. Це врешті непроста законодавча робота — набагато легше зробити технічну частину, написати правила чи регламенти, ніж вибудувати політику відповідальності всередині державі.

Чи можливе пришвидшення питання ухвалення закону про кібербезпеку, ураховуючи останню атаку? До кінця сесії лишився один пленарний тиждень.

У мене буде нарада з керівником секретаріату ВР щодо того, чи можемо ми провести повторне друге читання цього сесійного тижня. Якщо регламент дозволить, то я проведу нараду зі спікером, щоб врешті-решт винести законопроект на розгляд.

Навколо атаки вірусу Petya, а саме джерел її походження вже було багато заяв. Найчастіше говорять про російські спецслужби чи пов’язані із ними хакерські угрупування. Але ані кіберполіція, ані СБУ досі офіційно не оприлюднили результати розслідування попередніх атак, які відбулися у грудні 2016 та грудні 2015 року. На вашу думку, чи ми дізнаємось колись про справжніх організаторів?

Розслідування поки не закінчилося, тому ніхто не дає інформацію. Я думаю, рівень компетенції наших правоохоронців дозволяє їм розкрити ці злочини. Взагалі-то в державній системі захисту працюють досить компетентні фахівці, які отримують досвід фактично в умовах війни. Наприклад, ті, хто під час цієї атаки був за периметром захисту Держспецзвязку, не постраждали.

Усі відділення «Нової пошти» призупинили обслуговування клієнтів через атаку на їхній сервер вірусу Petya Фото: В'ячеслав Ратинський/УНІАН

Але ж ви самі кажете, що наші правоохоронні органи не здатні конкурувати на ринку праці за спеціалістів з кібербезпеки.

Так, і це взагалі має стати нагальною проблемою для держави. Різниці в зарплатах для таких спеціалістів між приватним та державним сектором — у 30-60 разів. І одна з проблем кіберполіції, кібервійськ у тому, що вони готують спеціалістів, які потім ідуть у приватний бізнес.

А як же підтримка в рамках трастового фонду НАТО на проекти з кібербезпеки? Угоду про створення трастового фонду підписали ще 2 роки тому.

І НАТО, й інші західні партнери готові підтримувати наші проекти з кібербезпеки, але ж для цього вони потребують зокрема й чіткого законодавчого визначення — хто за що в країні відповідальний, яка буде система взаємодії. Ніхто просто так тепер гроші не дає.

Після атак торік у грудні доводилось чути, зокрема й від представників державних установ, що їм простіше на кілька днів відключити системи, перевести все в ручний режим, ніж інвестувати в захист...

Це помилкова думка. Без інвестицій нічого не буде. Сполучені Штати втрачають 2 млрд доларів на рік на підтримку системи кібербезпеки. Росія, країна, яка з нами воює, — 300-400 млн євро бюджет. У нас — близько 100 мільйонів гривень на рік по всій країні.

Кібербезпека і захист інформаційних ресурсів — на ці потреби з держбюджету і в попередні часи витрачалося чимало грошей...

Десь 20 мільярдів гривень за весь час.

Після грудневої атаки Мінфін та Держказначейство отримали в екстреному порядку 80 мільйонів гривень на відновлення ІТ-інфраструктури. Але цього разу їхні системи знову зазнали атаки. Як так сталося?

Мене самого цікавить це питання, тому я відправив депутатський запит до Кабінету міністрів. Щойно отримаю відповідь, на що пішли ті кошти, відразу покажу вам.

Голова парламентського комітету з питань інформатизації та зв’язку Олександр Данченко Фото: В'ячеслав Ратинський/УНІАН

Урешті цього разу від атаки постраждав і Секретаріат Кабміну...

ЧИТАЙТЕ ТАКОЖ Комп'ютерний вірус-вимагач Petya.А: як захиститись

Нічого принципово не зміниться, доки не ухвалять закон, не буде проведена адмінреформа, не буде призначений віце-прем’єр або якийсь урядовий CIO (Chief information officer —директор з інформаційних технологій — ред.), який збере людей з Мінекономіки, Мінюсту, Держспецзв’язку, Агенції з питань електронного урядування і не створить одне відомство, відповідальне за цифрову інфраструктуру.

Є ж власне міністерство інфраструктури. Чому воно не відповідає за IT-інфраструктуру?

Тому що при владі Януковича спеціально сферу зв’язку вивели з підпорядкування міністерства інфраструктуру. Передали її Держспецзв’язку — напіввійськовій установі, щоб узяти під контроль. А от чому нова влада досі це не повернула, я не розумію.

Підписуйтесь на наш канал в Telegram