У державі – як у бізнесі. Які підходи зі світу підприємців можуть посилити кібербезпеку в Україні

Мене звуть Віталій Балашов, останні 10 років я займаюся кібербезпекою. З кожним роком ця тема все частіше з'являється у стрічках новин і піднімається на заходах: нещодавнє дослідження USAID показало, що майже 70% українських компаній за минулі 2 роки зіштовхувались з проблемами у сфері кібербезпеки, а 33% стають жертвами кіберзлочинців понад три рази рази на місяць. Справді, з пандемією та переходом значної частини процесів в онлайн її актуальність зростає у геометричній прогресії . Реальність така, що спритні кіберзлочинці завжди на крок попереду від правоохоронців. Захистити себе, бізнес та державу від їхніх атак – завдання кожного. У цьому матеріалі я поділюся своїми спостереженнями та роздумами про те, як це можна зробити.

Я розпочинав свою кар'єру в ролі судового експерта, очолював лабораторію цифрової криміналістики у Харківському НДІ судових експертиз імені заслуженого професора М.С. Бокаріуса, у співпраці з ОБСЄ готував нові кадри української кіберполіції. Зараз я співпрацюю з ЕРАМ Україна в ролі керівника підрозділу інженерів з кібербезпеки та регулярно беру участь у профільних круглих столах, конференціях та зустрічах на різному рівні. Як і багато колег з галузі я усвідомлюю, що Україні є куди зростати в плані захисту даних, реєстрів, об'єктів критичної інфраструктури та інших питань. Проте ми робимо успіхи! Посилити їх – завдання держави, бізнесу та кожного з нас.

До речі, про об'єкти критичної інфраструктури. Їхній безпеці зараз приділяють особливу увагу. До них належать підприємства та установи, які стратегічно важливі для функціонування економіки та безпеки держави, суспільства та населення. Йдеться про аеропорти, вузли сполучення, системи водопостачання та водовідведення, електростанції, греблі та інші об'єкти. Несанкціонований вплив на них – чи то у фізичному плані чи в кібер-світі – несе серйозні ризики та потенційні збитки для багатьох сфер і громадян.

Саме тому питання безпеки об'єктів критичної інфраструктури зараз на контролі у різних відомств та організацій. Наприклад, USAID із компанією DAI реалізує проект "Кібербезпека критично важливої інфраструктури України". У рамках цієї ініціативи у жовтні у Харкові проводили захід "Регіональний діалог з питань кібербезпеки", де я модерував одну з дискусій. Актуальні питання обговорювали представники IT-бізнесу, Kharkiv IT Cluster, облдержадміністрації та міськради, Держспецзв'язку, представники сфери освіти та інших залучених організацій. Трохи згодом на запрошення USAID я представляв ЕРАМ на великій конференції Lviv IT Arena. Загалом жовтень був багатий на тематичні події, адже це міжнародний місяць кібербезпеки.

Численні розмови з експертами з різних областей наштовхнули мене на думки про те, що багато підходів, до яких зараз вдається держава у питаннях кібербезпеки, схожі на ті, що застосовують ІТ-компанії.

Розподіл ресурсів

Це питання якраз і обговорювали на "Регіональному діалозі з питань кібербезпеки". Наразі в Україні працює одна урядова команда реагування на комп'ютерні надзвичайні події CERT-UA, яка контролює цей напрямок. Проте Держспецзв'язку та представники міської та обласної влади порушують питання про розміщення таких підрозділів у регіонах. Це масштабний державний проект, розроблений та запропонований Держспецзв'язку. Державна служба готова надати обладнання та поділитися знаннями, здійснювати координацію роботи регіонів як однієї великої команди. Представники міста та області (принаймні на Харківщині) – фінансувати з місцевого бюджету.

Для місцевої критичної інфраструктури це гарант більшої безпеки та максимально оперативного реагування на можливі кібер-загрози. А для профільних ВНЗ – чудова можливість (для випускників з'явиться більше робочих місць у сфері кібербезпеки) та водночас виклик (якості підготовки молодих фахівців варто приділити особливу увагу). Для роботи над безпекою критичної інфраструктури потрібні талановиті та кваліфіковані фахівці. А їхня праця має гідно оплачуватись – і це наступний виклик, над яким варто думати на державному та регіональному рівні, щоб уникнути витоку кадрів у комерційні організації.

Мій особистий погляд – це правильний крок із погляду архітектури процесів. Якщо вдасться реалізувати його успішно, він може принести добрі плоди та посилити кібербезпеку країни.

Уповноважені експерти

Віднедавна з ініціативи Мінцифри у містах та областях України з'являються локальні CDTO (Chief Digital Transformation Officer). І, на мій погляд, їхня роль нагадує дещо реформовану модель так званих security champions. Такий підхід застосовують у бізнесі, коли проектів стає більше, ніж інженерів із кібербезпеки, і підтримувати кожен профільним експертом вже неможливо. У такому разі інженери з команд розробки беруть на себе обов'язки в галузі кібербезпеки, взаємодіють з експертами з профільної групи, переймають знання та дізнаються вимоги щодо безпеки, а потім впроваджують кращі практики у своїй зоні відповідальності, використовуючи центральну профільну групу як джерело правил, стандартів, порад та рекомендацій, а також як точку верифікації. За досвідом ЕРАМ модель цілком робоча. Мінцифри трохи трансформували її, зробивши відповідальну людину керівником "C-level", що в даній ситуації виглядає логічно та обґрунтовано. Подивимося, наскільки ефективною ця модель буде на рівні областей та держави.

Інвестиції в освіту

Сьогодні в Україні по суті три центри підготовки фахівців з кібербезпеки: Київський політехнічний університет, Харківський університет радіоелектроніки та Львівська політехніка. При цьому інтерес абітурієнтів до професії зростає. Щоб захоплені школярі за кілька років розпочали свою кар'єру впевненими молодими фахівцями, необхідно вкладати у вищу освіту чималі ресурси. Тенденція така ж, як і в ІТ-сфері загалом: ВНЗ варто поєднувати зусилля з бізнесом, щоб студенти отримували оптимальний мікс фундаментальних знань та навичок у роботі із сучасними технологіями.

Також радує підтримка профільної освіти з боку фондів зі світовими іменами. Вони надають викладачам гранти. І нехай отримати їх непросто, все ж це хороша підмога для української вищої школи.

Насамкінець — кілька слів про внесок кожного

Знаю, що багато хто не погодиться зі мною, однак, маючи 10 років досвіду в цій сфері, я бачу серйозні зміни на краще. Звичайно, нам є куди рости і хотілося б, щоб зміни відбувалися швидше. А ще краще – щоб питаннями кібербезпеки займалося виділене відомство, а громадянам і думати про ці проблеми не треба було. Але, на жаль, так не працює у цій сфері. Відносно свіжий приклад — вірус Petya, який чотири роки тому вразив безліч систем і зупинив на якийсь час цілу низку процесів. Бізнес став краще захищатись, проте не завжди ефективно. У середині жовтня під удар потрапила велика мережа аптек. Кіберзлочинці дуже винахідливі, тому пильність будь-якого користувача має бути на належному рівні завжди. Не варто залишати лазівки для зловмисників.

Звичайно, до справді хорошого результату та повної безпеки нам ще далеко. Важливим чинником є доходи та культура менеджменту в державних установах. Доки в країні не буде організації, в якій буде престижно працювати і можна буде отримувати за це гідну компенсацію та соціальний пакет, держструктури програватимуть бізнесу в плані привабливості для претендента. Зрозумійте правильно: питання не лише у грошах та соціальних пакетах. У відповідь працівники мають активно нарощувати експертизу, прокачувати навички. Однак поки що сфера кібербезпеки, яка зовсім не терпить низькокваліфікованих кадрів, на державному рівні навряд чи може запропонувати щось цікаве професіоналам.

Безпека – це процес, а не стан. Її посилення потребує великих ресурсів, адже інакше ми стрімко почнемо втрачати позитивну динаміку. А ще важливо пам'ятати, що кібербезпека – це відповідальність кожного громадянина, і кожен громадянин має підвищувати свою цифрову грамотність та гігієну.