1 лютого Президент України Володимир Зеленський підписав указ про введення в дію рішення РНБО про «Про План реалізації Стратегії кібербезпеки України», яку було затверджено ще в серпні 2021 року. Це вже другий документ такого роду, й важливість його в часи навислої російської агресії важко переоцінити. Про те, чим нова стратегія відрізняється від попередньої, досягнення яких цілей передбачає, а також як співвідноситься зі Стратегією на цифрове десятиліття ЄС, – читайте в цьому матеріалі.

Засвоївши урок

Першу Стратегію кібербезпеки України було затверджено у 2016 році. Документ містив низку прогалин, які позначились на ефективності реалізації поставлених цілей, прогрес у досягненні яких становив лише 40%. По-перше, у ній не було достатньо чітко окреслено пріоритети державної політики в кіберсекторі. По-друге, увага акцентувалась на діяльності органів безпеки та оборони, не пропонуючи моделі державно-приватної співпраці та мінімально висвітлюючи питання залучення академічних кіл і громадськості. По-третє, не було розроблено систему індикаторів виконання стратегії як оцінки стану кібербезпеки.

Утім, варто зазначити, що за цей час відбулась низка позитивних зрушень у розбудові системи кібербезпеки України:

  1. У 2017 році прийнято Закон України «Про основні засади забезпечення кібербезпеки України», яким серед іншого визначили повноваження державних органів, підприємств та осіб у секторі;
  2. У 2020 Постановою КМУ №943 затверджено порядок формування переліку об’єктів критичної інформаційної інфраструктури, однак відповідний список так і не було сформовано;
  3. У низці структур, зокрема в Нацбанку, Міністерстві інфраструктури, Державній службі спецзв’язку, СБУ, було утворено спеціалізовані підрозділи, а також робочий орган РНБО – Національний координаційний центр кібербезпеки – покликаний координувати та узгоджувати діяльність різних суб’єктів державного кіберсектору;
  4. Налагоджено галузеве партнерство на міжнародному рівні, зокрема започатковано кібердіалог зі Сполученими Штатами.

Стратегія 2021 року визначає три пріоритети: безпечний кіберпростір, захист прав громадян у цифровому просторі та європейську і євроатлантичну інтеграції, а також передбачає досягнення важливих цілей, як-то:

  1. Дієва кібероборона. Для цього в структурі Міноборони заплановане створення кібервійська в першому півріччі 2023 року;
  2. Протидія розвідувально-підривній діяльності та кібертероризму;
  3. Протидія кіберзлочинності шляхом завершення імплементації в українське законодавство положень Конвенції про кіберзлочинність та залучення відповідних практик США;
  4. Розвиток асиметричних інструментів стримування;
  5. Національна кіберготовність та надійний кіберзахист (таким чином документ обіцяє створення національної системи управління інцидентами);
  6. Професійне вдосконалення, кіберобізнане суспільство та науково-технічне забезпечення кібербезпеки;
  7. Безпечні цифрові послуги;
  8. Зміцнення системи координації;
  9. Формування нової моделі відносин у сфері кібербезпеки, де за державою закріплюватиметься роль партнера;
  10. Прагматичне міжнародне співробітництво.

Про роботу над помилками попереднього документа свідчить План реалізації Стратегії, який чітко визначає терміни та відповідальні установи для досягнення кожної з поставлених цілей. Приміром, розробку системи індикаторів стану кібербезпеки заплановано на друге півріччя 2022 року. А про залучення академічних кіл до розбудови безпечного та перспективного кіберпростору свідчить, наприклад, покладене на Національний інститут стратегічних досліджень завдання щорічного проведення соціологічних досліджень щодо кіберзагроз для населення.

Стратегія кібербезпеки України та Стратегія кібербезпеки Міністерства оборони Грузії: однаковий шлях до спільної мети?

 Гібридна війна Росії проти України, що з 2014 року активно супроводжується кібернападами на сайти урядових установ та навіть на об’єкти забезпечення життєдіяльності населення (атаки на «Прикарпаттяобленерго»), – не перша апробація кремлівської методички гібридної агресії. У серпні 2008 року, у переддень гарячої фази війни Кремля проти Грузії, російські гакери атакували відомчі сайти та ЗМІ, спричинивши відмову в обслуговуванні, а згодом здійснили DoS-атаки на приватні структури.

Інша схожість полягає в тому, що Грузія, як і Україна, входить до Асоційованого тріо, тобто також орієнтована на приведення внутрішнього законодавства у відповідність із нормами Європейського Союзу. Відтак, цікаво порівняти стратегічні документи щодо кібербезпеки обох держав.

Стратегія кібербезпеки Міністерства оборони Грузії розрахована на 2021-2024 роки (українська – 2021-2025 рр.) та передбачає всього три цілі:

  1. Розвиток людського капіталу. Аналіз кіберінцидентів Міністерством оборони вказав на людський фактор як на один із найбільш вразливих елементів у забезпеченні кібербезпеки держави. Тобто перша ціль орієнтована на професійний ріст кіберфахівців завдяки участі у відповідних освітніх проєктах;
  2. Інституціоналізація процесів та підвищення ефективності управління. Передбачається оптимізація адміністрування за допомогою планування, орієнтованого на ризик, оскільки причиною низької ефективності реалізації мети спеціалісти Міноборони називають фрагментарність планування;
  3. Забезпечення технологічної стійкості через нарощення кіберможливостей за допомогою високого рівня технічної підтримки.

Засобами досягнення стратегічних цілей, які, зокрема, сприятимуть «наближенню до західних стандартів», визначено три рівні співробітництва: внутрішньовідомче, національне та міжнародне. Щодо національного співробітництва, то в документі описана потреба взаємодії спеціалізованих державних структур, таких як Рада національної безпеки, Бюро кібербезпеки Міністерства оборони, відділ кіберзлочинності МВС та ін., й одним реченням прописано залучення бізнесу, наукових кіл та громадськості. У рамках останнього передбачається партнерство з НАТО та ЄС задля залучення кіберфахівців до програм, семінарів та тренінгів, що, знову ж таки, сприятиме узгодженості норм роботи міністерства з західними стандартами. Примітно, що грузинська стратегія не визначає джерел загроз, на відміну від українського кейсу, де таким визнана Російська Федерація.

А проте обидві стратегії передбачають приведення внутрішньої кіберполітики у відповідність із нормами ЄС. В українській Стратегії зазначається, що «враховано положення Стратегії кібербезпеки ЄС на цифрове десятиліття, стратегій кібербезпеки окремих держав-членів ЄС та держав-членів НАТО». Однак документ не містить переліку чи окремого додатку, які саме положення будуть враховані, за винятком одного з пунктів Плану реалізації, що передбачає імплементацію Директиви Європейського парламенту і Ради ЄС 2016/1148 від 6 липня 2016 року про заходи для високого спільного рівня безпеки мережевих та інформаційних систем на території Союзу як елементу євроінтеграції України. У той самий час у грузинському варіанті не має чіткого визначення, яким стандартам буде приділена увага.

Висновок

Зважаючи на низку прогалин, які містила Стратегія з кібербезпеки 2016 року та лише 40% реалізованих цілей, стратегія 2021 року намагалася врахувати всі недоліки попередньої. Так, наприклад, План реалізації Стратегії визначає терміни, а також відповідальні установи для досягнення кожної з поставлених цілей. Український та європейський профільні документи визначають три пріоритетні напрями роботи. Для України такими є безпечний кіберпростір, захист прав громадян у кіберпросторі та європейська і євроатлантична інтеграція. І Київ, і Тбілісі відчули на собі російську гібридну агресію. Нова Стратегія кібербезпеки України врахувала цей фактор, тому документ вийшов більш детальним і широким, ніж Стратегія кібербезпеки Міністерства оборони Грузії. Також українська Кіберстратегія перегукується зі Стратегією на цифрове десятиліття ЄС. Ми маємо спільну мету, а саме: забезпечення надійно захищеного глобального та відкритого кіберпростору. Однак, незважаючи на весь позитив, а також, здавалося б, намагання врахувати всі минулі помилки, варто пам’ятати, що навіть хороша стратегія не є запорукою успіху без її належного виконання.

Анастасія Гаценко та Богдана Садомська, експертки з інформаційної та кібернетичної безпеки Аналітичного центру ADASTRA

Всі Новини ›