В государстве – как в бизнесе. Какие подходы из мира предпринимателей могут усилить кибербезопасность в Украине

Меня зовут Виталий Балашов, последние 10 лет я занимаюсь кибербезопасностью. С каждым годом эта тема все чаще появляется в новостных лентах и поднимается на мероприятиях: недавнее исследование USAID показало, что почти 70% украинских компаний за прошедшие 2 года сталкивались с проблемами в сфере кибербезопасности, а 33% становятся жертвами киберпреступников больше трех раз в месяц. Действительно, с пандемией и переходом значительной части процессов в онлайн ее актуальность растет в геометрической прогрессии. Реальность такова, что изворотливые кибер-преступники всегда на шаг впереди правоохранителей. Защитить себя, бизнес и государство от их атак – задача каждого. В этом материале я поделюсь своими наблюдениями и размышлениями о том, как можно это сделать.

Я начинал свою карьеру в роли судебного эксперта, возглавлял лабораторию цифровой криминалистики в Харьковском НИИ судебных экспертиз имени заслуженного профессора Н.С. Бокариуса, в сотрудничестве с ОБСЕ готовил новые кадры украинской киберполиции. Сейчас я сотрудничаю с ЕРАМ Украина в роли руководителя подразделения инженеров по кибербезопасности и регулярно принимаю участие в профильных круглых столах, конференциях и встречах на разном уровне. Как и многие коллеги по отрасли я осознаю, что Украине есть куда расти в плане защиты данных, реестров, объектов критической инфраструктуры и других вопросов. Однако мы делаем успехи! Усилить их – задача государства, бизнеса и каждого из нас.

Кстати, об объектах критической инфраструктуры. Их безопасности сейчас уделяют особенное внимание. К ним относятся предприятия и учреждения, которые стратегически важны для функционирования экономики и безопасности государства, общества и населения. Речь идет об аэропортах, узлах сообщения, системах водоснабжения и водоотведения, электростанциях, плотинах и прочих объектах. Несанкционированное влияние на них – будь то в физическом плане или в кибер-мире – несет серьезные риски и потенциальный ущерб для многих сфер и граждан.

Именно потому вопрос безопасности объектов критической инфраструктуры сейчас находится на контроле у разных ведомств и организаций. Например, USAID с компанией DAI реализует проект "Кибербезопасность критически важной инфраструктуры Украины". В рамках этой инициативы в октябре в Харькове проводили мероприятие "Региональный диалог по вопросам кибербезопасности", где я модерировал одну из дискуссий. Актуальные вопросы обсуждали представители IT-бизнеса, Kharkiv IT Cluster, облгосадминистрации и горсовета, Госспецсвязи, представители сферы образования и других вовлеченных организаций. Чуть позже по приглашению USAID я представлял ЕРАМ на крупной конференции Lviv IT Arena. В целом октябрь был богат тематическими событиями: ведь это международный месяц кибербезопасности.

Многочисленные беседы с экспертами из разных областей натолкнули меня на мысли о том, что многие подходы, к которым сейчас прибегает государство в вопросах кибербезопасности, схожи с теми, которые применяют ІТ-компании.

Распределение ресурсов

Этот вопрос как раз обсуждали на "Региональном диалоге по вопросам кибербезопасности". Сейчас в Украине работает одна правительственная команда реагирования на компьютерные чрезвычайные события CERT-UA, которая контролирует это направление. Однако Госспецсвязи и представители городских и областных властей поднимают вопрос о размещении таких подразделений в регионах. Это масштабный государственный проект, разработанный и предложенный Госспецсвязи. Государственная служба готова предоставить оборудование и поделиться знаниями, осуществлять координацию работы регионов как одной большой команды. Представители города и области (по крайней мере, на Харьковщине) – финансировать из местного бюджета.

Для местной критической инфраструктуры это гарант большей безопасности и максимально оперативного реагирования на возможные кибер-угрозы. А для профильных ВУЗов – отличная возможность (для выпускников появится больше рабочих мест в сфере кибербезопасности) и в то же время вызов (качеству подготовки молодых специалистов стоит уделить особое внимание). Для работы над безопасностью критической инфраструктуры требуются талантливые и квалифицированные специалисты. А их труд должен достойно оплачиваться – и это следующий вызов, над которым стоит думать на государственном и региональном уровне, чтобы избежать утечки кадров в коммерческие организации.

Мой личный взгляд – это правильный шаг с точки зрения архитектуры процессов. Если удастся реализовать его успешно, он может принести хорошие плоды и усилить кибербезопасность страны.

Уполномоченные эксперты

С недавних пор по инициативе Минцифры в городах и областях Украины появляются локальные CDTO (Chief Digital Transformation Officer). И, на мой взгляд, их роль напоминает несколько реформированную модель так называемых security champions. Такой подход применяют в бизнесе, когда проектов становится больше, чем инженеров по кибербезопасности, и поддерживать каждый профильным экспертом уже невозможно. В таком случае инженеры из команд разработки берут на себя обязанности из области кибербезопасности, взаимодействуют с экспертами из профильной группы, перенимают знания и узнают требования по безопасности, а после внедряют лучшие практики в своей зоне ответственности, используя центральную профильную группу как источник правил, стандартов, советов и рекомендаций, а также как точку верификации. По опыту ЕРАМ модель вполне рабочая. Минцифры несколько трансформировали ее, сделав ответственного человека руководителем "C-level", что в данной ситуации выглядит логично и обосновано. Посмотрим, насколько эффективной эта модель будет на уровне областей и государства.

Инвестиции в образование

Сегодня в Украине по сути три центра подготовки специалистов по кибербезопасности: Киевский политехнический университет, Харьковский университет радиоэлектроники и Львовская Политехника. При этом интерес абитуриентов к профессии растет. Чтобы увлеченные школьники через несколько лет стартовали свою карьеру уверенными молодыми специалистами, необходимо вкладывать в высшее образование немаленькие ресурсы. Тенденция такая же, как и в ІТ-сфере в общем: ВУЗам стоит объединять усилия с бизнесом, чтобы студенты получали оптимальный микс фундаментальных знаний и навыков в работе с современными технологиями.

Также радует поддержка профильного образования со стороны фондов с мировыми именами. Они предоставляют преподавателям гранты. И пусть получить их непросто, все же это хорошее подспорье для украинской высшей школы.

Напоследок — пару слов о вкладе каждого

Знаю, что многие не согласятся со мной, однако, имея 10 лет опыта в этой сфере я вижу серьезные перемены к лучшему. Конечно, нам есть куда расти и хотелось бы, чтобы перемены происходили быстрее. А еще лучше – чтобы вопросами кибербезопасности занималось выделенное ведомство, а гражданам и думать о них не надо было. Но, увы, так не работает в этой сфере. Относительно свежий пример – вирус Petya, который четыре года назад поразил множество систем и остановил на время целый ряд процессов. Бизнес стал лучше защищаться, однако, не всегда эффективно. В середине октября под удар попала крупная сеть аптек. Киберпреступники очень изобретательны, потому бдительность любого пользователя должна быть на должном уровне всегда. Не стоит оставлять лазейки для злоумышленников.

Конечно, до по-настоящему хорошего результата и полной безопасности нам еще далеко. Немаловажный фактор – доходы и культура менеджмента в государственных учреждениях. До тех пор, пока в стране не будет организации, в которой работать престижно и можно получать за это достойную компенсацию и социальный пакет, госструктуры будут проигрывать бизнесу в плане привлекательности для соискателя. Поймите правильно: вопрос не только в деньгах и социальных пакетах. В ответ сотрудники должны активно наращивать экспертизу, прокачивать навыки. Однако пока сфера кибербезопасности, которая совсем не терпит низкоквалифицированные кадры, на государственном уровне едва ли может предложить что-то интересное профессионалам.

Безопасность – это процесс, а не состояние. Ее усиление требует больших ресурсов, ведь иначе мы стремительно начнем терять положительную динамику. А еще важно помнить, что кибербезопасность – это ответственность каждого гражданина, и каждый гражданин должен повышать свою цифровую грамотность и гигиену.