[1]
Сьогодні ні в кого немає сумнівів, що питання інформаційної безпеки вимагає підвищеної уваги. Так, за результатами дослідження PWC, середні збитки великих організацій від кібератак становлять близько $5 млн. У зв’язку з цим забезпечення захисту інформації стає особливо пріоритетним завданням, у яке бізнес інвестує дедалі більше ресурсів. Згідно з прогнозами компанії Gartner, у 2014 році витрати корпорацій на IT-безпеку збільшаться на 7,9% і досягнуть $71,1 млрд. У 2015 році зростання складе ще 8,2% – до $76,9 млрд.
Віртуальна війна зачіпає не тільки корпоративні, а й державні інтереси. У 2014 році кібератаки широко застосовують проти України під час конфлікту на сході країни. Несанкціоноване прослуховування і злив переговорів, атаки на сайти державних інститутів, мобільний спам під час виборів, глушіння телевізійних сигналів, радіоперехоплення – усе це Україна встигла відчути цього року.
В Україні найбільше від кібератак страждають впливові медіа, фінансові інститути й державні установи. При цьому зараз зростає не тільки кількість атак на інформаційну інфраструктуру, але і їхня складність. Зловмисники використовують різні види атак: фізичні (атаки на телевізійні вежі, через які припинялася трансляція ТБ або радіо в зоні АТО), DDoS-атаки (на сайти Центрвиборчкому, Верховної Ради та ключових ЗМІ), зломи інформаційних ресурсів (сайту ЦВК під час президентських виборів, електронних скриньок політиків і журналістів), атаки на мобільні мережі (перехоплення переговорів по стільниковому зв’язку, поширення вірусів через SMS-повідомлення, повідомлення протестувальникам на вул. Грушевського під час Майдану).
Великі компанії й фінансові установи нашої країни готові інвестувати значні ресурси в захист даних. На державному рівні підготовлено кілька законопроектів, які змінять підходи до інформаційної безпеки України. Нам лише необхідно побудувати нову систему, яка зможе своєчасно виявляти ризики інформаційної безпеки й адекватно на них реагувати. Які проблеми потрібно вирішити передусім?
5 ключових проблем у сфері інформаційної безпеки:
- Відсутність єдиного державного органу, який у масштабах країни координував би питання, пов’язані з інформаційною безпекою й IT загалом. До чого це призводить? По-перше, немає єдиної державної стратегії розвитку у сфері інформаційної безпеки. Це не дозволяє вибудувати ефективну систему захисту інформації й стримує розвиток системи управління IT та електронного уряду. У результаті законопроекти й програми, ініційовані різними держорганами, як правило, не скоординовані. По-друге, гроші можуть витрачатися неефективно. По-третє, бракує відповідей на базові питання. Наприклад, чому немає єдиної концепції використання електронного підпису? Які стандарти для електронного підпису використовуватимуть в Україні – національні чи міжнародні?
- Система національних стандартів захисту інформації безнадійно застаріла. Вона відірвана від бізнес-практики, не гарантує фінансово обґрунтованих і надійних заходів захисту. В Україні для технічного захисту інформації застосовують так звану “Комплексну систему захисту інформації”, згідно з якою систему потрібно один раз побудувати, потім спеціальні організації перевіряють її та видають сертифікат про безпеку. Передбачається, що після цього система залишається незмінною. Однак на практиці це не працює. В інших країнах є спеціальні галузеві стандарти щодо захисту бізнесу у сфері інформаційної безпеки, зокрема для енергетичних підприємств, фінансових установ, ЗМІ. Інструкції щодо забезпечення безперервності мовлення ЗМІ під час надзвичайних ситуацій є стандартною світовою практикою. В Україні таких стандартів немає, виняток – банківський сектор, у якому ідеологію безпеки “спустив” Національний банк. У США, Канаді, Великобританії й низці інших країн є окремі інструкції для малого бізнесу, які визначають, як підприємцю правильно вибудувати кібербезпеку бізнесу.
- Відсутність обміну деталями кібератак на державні організації та приватний бізнес. У результаті – неможливість їх детального дослідження. У нас практично ніхто не обмінюється інформацією про атаки. Ніхто не говорить один одному: нас атакували з цього сервера, подивімося, що там відбувається, внесімо його в чорний список. Тільки в рамках міжнародних платіжних систем починається обмін інформацією про те, з якого сервера здійснювали атаку на інтернет-банкінг, звідки здійснюють DDoS-атаки. Нещодавно на базі Державної служби спеціального зв’язку та захисту інформації України було створено команду реагування на кіберзагрози (CERT). Було організовано координаційний центр для попередження випадків порушення інформаційної безпеки, однак цього недостатньо. Потрібні галузеві центри, які реагуватимуть на кібератаки, специфічні для різних галузей – медіа, енергетика, телекомунікації та ін. Потрібні CERT для армії й МВС.
- Використання неліцензійного програмного забезпечення. Висока кількість заражених вірусами й неправильно сконфігурованих систем, за допомогою яких здійснюються DDOS-атаки. За оцінками експертів, в Україні є тисячі заражених і неправильно сконфігурованих систем, які використовуються під час атак на інші компанії.
- Відсутність процесу ефективного публічного обговорення державних ініціатив у галузі інформаційної безпеки серед експертів галузі. Це проблема, тому що фахівці в державних органах не завжди мають достатньо компетенцій і знань для реалізації заходів щодо гарантування кібербезпеки.
Побудова ефективної системи управління інформаційною безпекою в масштабах країни – це не питання одного дня, тижня чи місяця. Утім, потрібно з чогось починати. Я б виокремив чотири першочергові завдання.
По-перше, необхідно створити єдиний координаційний орган у сфері інформаційної безпеки та ІТ. По-друге, потрібно створити нормативну базу, що відповідатиме вимогам світових стандартів. Швидкого ефекту можна досягти, використовуючи документи, які вже є українською мовою й готові для застосування – це стандарт гарантування інформаційної безпеки ISO-27001/ISO-27002, перекладений Національним Банком України, і стандарт IT-управління Cobit, розроблений міжнародною асоціацією IT-управління ISACA.
По-третє, слід створити галузеві центри реагування на загрози у сфері IT-безпеки. Ці центри реагування повинні обмінюватися деталями про атаки на корпоративні та державні ресурси, підтримувати “чорний список” серверів, з яких здійснюють атаки.
Нарешті, необхідно налагодити процес освіти й професійної підготовки фахівців у галузі управління ІТ та інформаційної безпеки, яких і досі бракує в Україні.
Нові підходи допоможуть бізнесу й державі ефективно реагувати на нові виклики сьогодення. У довгостроковій перспективі поліпшення інформаційної та IT-безпеки держави зробить її сильнішою також у геополітичних протистояннях.