«Потери для Украины от вируса Petya составили 10 млрд долларов»
Соня Кошкина: По оценкам международных экспертов, в 2020 году убытки от деятельности киберпреступников в мире составили около 5,5 триллионов евро. Это больше, чем объемы глобальной наркоторговли. Насколько страдает от киберпреступности украинская экономика?
В Украины никогда не было системы оценки рисков от информационных атак, от кибератак. На данный момент они только начинают разрабатываться. И это не дело одного-двух месяцев. При помощи и поддержке кибернаправления USAID мы приступили к этому процессу.
Если взять для примера самую большую атаку в истории Украины – вирус Petya, то по приблизительным оценкам рынка, потери для Украины составили 10 млрд долларов. Это экспертная оценка независимой коммерческой организации. Государство подсчитать убытки пока не может – нет грамотной системы оценки. Но если за неделю страна теряет 10 млрд долларов, это, наверное, много.
Олег Базар: Судя по вашей статистике интенсивность атак возрастает.
Большинство из них имеют локальный характер. То есть они несут угрозу для определенной системы.
С.К.: Для какой чаще и почему?
За всем стоят либо хакеры, либо определенные страны. Если атака большая, это требует внушительных финансов, и она должна как-то окупаться. Окупается она либо материально, либо потерей имиджа. Вирус Petya – это была спланированная, долгоиграющая атака на коммерческий сектор. Более 90% атак и проблем в сфере кибера прилетают на частный сектор. Поэтому, когда говорят, что «государство ничего не делает» – да, конечно, не делает. И не делалось годами. Мы только начинаем строить эту систему.
С.К.: Что чаще всего атакуют в Украине?
Сфера энергетики, воровство персональных данных. На данный момент основная ценность в государстве – персональные данные людей. Это то, что представляет интерес для хакерских группировок. Помимо этого, это имиджевые потери. Атака на энергосектор с целью какого-то влияния.
Источник атак? Основные атаки, которые сейчас происходят, припадают на страну-агрессор. Мы находимся в состоянии войны, а киберсфера становится еще одним полем битвы, как море, суша, воздух. Нанести здесь ущерб можно незаметнее для страны, но гораздо более значительный.
С.К.: Какие структуры в РФ этим занимаются?
О.Б.: Есть группы хакеров – Sandworm, FacnyBear, VoodooBear – но они ведь просто часть государственных структур РФ?
В основном, за российским хакерским сообществом стоят разведорганы и силовые структуры, поскольку нужна масштабная финансовая поддержка. Это ж не один и не десять человек.
О.Б.: Каждую неделю Госспецсвязи публикует статистику по атакам и угрозам в сфере кибербезопасности. Есть ли корреляция между активностью в киберпространстве с тем, что происходит на Донбассе?
Да, зависимость прямая. Как только происходят какие-то события на Донбассе, страна откликается на это, и на решение одних проблем тут же прилетают другие. Но делать привязку исключительно к ситуации на востоке нельзя. Атаки происходят каждый день, уровень преступности и противников растет, соответственно мы точно так же должны соответствовать этому уровню в сфере противодействия.
С.К.: Какие выводы вы сделали после вируса Petya, который спровоцировал масштабные проблемы в системе жизнеобеспечения всей страны? Что кардинально поменялось в вашей сфере после этой истории?
Поменялась система подхода к решению таких проблем. Раньше на них смотрели сквозь пальцы – есть какая-то сфера и есть себе. А когда прилетела реальная атака, в стране задумались, что, наверное, надо что-то менять. Тогда был создан Национальный координационный центр кибербезопасности при СНБО. Это структура, которая координирует деятельность всех органов в кибербезопасности, куда входят все силовики. Но параллельно проснулся и бизнес, который понял, что они теряют тоже много и надо создавать какие-то свои структуры. Если специалистов в какой-то сфере собрать в одном месте, они хотя бы начнут общаться между собой - это даст возможность решать проблемы.
С.К.: Как вы взаимодействуете с киберполицией?
У каждого из органов, которые отвечают за кибербезопасность в стране, есть свой четкий функционал. Мы отвечаем за киберзащиту. Это разработка систем, каких-то правил игры. Мы, например, больше по нормативам и технической защите. Они противодействуют тем же хакерским группировкам, противодействуют мошенничеству, поскольку объединяют разные структуры единым видением.
О.Б.: В прошлом году взломали три сайта областных управлений Нацполиции, чья это была ответственность? Не защитили ведь.
Людей, которые отвечают за безопасность администрирования этих сайтов. При этом мы принимали непосредственное участие в ликвидации этих происшествий, точно также, как Нацполиция и СБУ. Все делается сообща. Нельзя сказать, что мы занимаемся чем-то своим, не обращая внимания на остальных. Все системы развиваются параллельно и в сотрудничестве, поскольку одна система без другой не работает.
О.Б.: Профильные эксперты, в частности, Константин Корсун (специалист по информационной безопасности, организатор ежегодной конференции по кибербезопасности UISGCON, срооснователь компании BerezhaSecurity, – LB.ua), утверждают, что после 2014 год, в частности, атаки NotPetya в системе государственной кибербезопасности ничего особо не поменялось.
Спор экспертов – явление вечное. Кто-то считает одно, кто-то – другое. Говорить, что ничего не поменялось, некорректно. Потому что созданы Национальный координационный центр, Государственный центр киберзащиты в нашей структуре с функционалом защиты органов государственной власти и национальных систем. Насколько качественно это делается? Конечно, требуется постоянное развитие. Но все понимают, что без единого государственного координационного центра развитие киберзащиты невозможно. Мы дискутируем о результатах, и это правильно. Но не об необходимости.
О.Б.: Есть какая-то дублирующая система, благодаря которой критичная инфраструктура не ложилась бы наподобие тому, как это было в 2014 году?
Вопрос настолько актуальный, что пятого февраля была принята постанова о создании национального центра резервирования государственных информационных ресурсов.
О.Б.: Это не совсем то.
Для того, чтобы переложить все реестры или информационные системы с одного места в другое, для этого нужна инфраструктура, которая стоит достаточно большое количество денег. Государство не может обеспечить это в один день. Но мы должны создать систему, которая позволит быстрое восстановление и устранение ущерба. Вот национальный центр резервирования государственных информационных ресурсов и позволит... При любой критической проблеме мы просто берем все это и кладем в надежное место.
С.К.: Насколько защищено это «надежное место»?
Оно только будет строиться. И строиться в соответствии с национальными стандартами.
О.Б.: Во сколько это обойдется государству?
На данный момент разрабатывается ТЗ. Порядка 100 млн гривен.
С.К.: В какие сроки оно будет построено?
Первый этап – до конца этого года.
О.Б.: Кто передаст туда свои данные?
На первом этапе любые государственные органы, например: Государственная миграционная служба, Налоговая.
О.Б.: МВД и СБУ?
Нет, конечно. В постановлении прописано: кроме субъектов, которые занимаются оперативно-розыскной и контрразведывательной деятельностью.
О.Б.: Государственная судебная администрация, судебные реестры?
Система резервирования, конечно, будет. Это не произойдет в один день. Работа по резервированию данных будет проведена в течение года-полтора. Это не значит, что они просто берут и нам в открытом виде все перекладывают. Они строят свою систему защиты, а мы их архивы у себя храним. И когда они просят у нас доступ для возобновления, мы передаем данные на возобновление.
Это не значит, что у нас будет прямой доступ. Мы не будем видеть, что находится внутри. Просто будем защищать то, что они передадут. А чтобы они ответственно отнеслись к передаче этих данных, нужно создать нормативную базу.
О.Б.: Вопрос еще в том, насколько ответственно вы отнесетесь к хранению.
Ну конечно. Для этого создана профессиональная команда.
«Одно дело учиться по картинкам и видео с ютуба, совсем другое – у людей, работающих в госсекторе»
О.Б.: Три года назад Украинский киберальянс запустил акцию «F*ckresponsibledisclosure», чтобы помочь украинским госорганам позакрывать «дырки» в информационной безопасности, которые были найдены в минимум половине министерств и ведомств, в том числе, и возглавляемом сегодня вами. Как вы оцениваете состояние кибербезопасности украинской власти сейчас?
По сравнению с тем, что было до, оно, конечно, улучшилось. Большинство людей, которые отвечают за ИБ в каждом ведомстве – это профессиональные айтишники.
Давайте вернемся немного в историю. Создание Министерства цифровой трансформации и должности «СиДиТиО» (Chief Digital Transformation Officer, – LB.ua) в каждом органе центральной исполнительной власти дало толчок к тому, что каждый орган обратил внимание на защиту информации. Туда пришел профессионал, который сказал: ребята, давайте что-то менять в этой системе, реестры смотрят в открытый доступ – это неправильно. Поэтому сотрудничество с такими профессионалами в каждом органе и является фактором того, что есть конкретный человек, который отвечает за защиту информации.
О.Б.: Вы этих людей как-то тестируете/сертифицируете?
У них есть свои квалификационные требования. Нельзя стать CDTO без спецобразования и опыта работы. Этим занимается каждый орган и Министерство цифровой трансформации.
С.К.: Спецпроверку СБУ они проходят?
Конечно. И СБУ, и МВД и много других.
С.К.: Говоря о том, какие объекты хакеры атакуют чаще всего, вы назвали объекты энергетической безопасности. Одно дело, когда подвис компьютер...
О.Б.: В Минсоцполитики.
С.К.: Да. И если он неделю не будет работать, это можно пережить. Но если идет атака на объекты критический инфраструктуры – атомную станцию, гидроэлектростанцию – что делать в такой ситуации? Какие уроки вы извлекли после вируса Petya?
Вопрос быстро не решился. И только через полтора года он начал решаться как-то комплексно, когда начали развиваться системы цифровизации и системы защиты. Когда все поняли, что развиваться надо совместно, а не одни строят одно, другие другое, и все это утекает. Встал вообще вопрос с классификацией объектов критической инфраструктуры. Потому что все это общие слова. Никаких критериев ранее не было. И только с осени разработаны критерии отнесения объектов к объектам критической инфраструктуры. То есть определены какие-то параметры.
С.К.: Я дам совершенно обывательский пример. У нас есть каскад гидроэлектростанций, который строился в сталинские времена по такому принципу, чтобы при необходимости все обрушить – на случай прихода врага. Рухнет первая ГЭС, рухнут остальные. Понятно, что это апокалиптический сценарий. Но какие предохранители есть для того, чтобы не допустить подобного сценария?
С целью избежания коллапса на ГЭС и в «Укрэнерго» создана система безопасности, которая сертифицирована нами в соответствии с действующими стандартами. Насколько они соответствуют времени и КСЗИ (Комплексные стандарты защиты информации, – LB.ua), конечно, не соответствуют, потому что в течении определенного времени внимание этому не уделялось. Но это национальная система безопасности, национальная система стандартизации, которая действует. Мы ее меняем, дорабатываем. Оно работает и действительно защищено. Насколько качественно – вопрос спорный...
В кибербезопасности нельзя так, что система построена и все – она идеальная и безопасная. Это постоянное развитие, постоянный процесс. Постоянная модернизация, которая требует вложения денег. Но здесь больше вопрос в том, кто и сколько готов вложить. Частный сектор вкладывает больше и быстрее, понимая, что может развиваться быстрее. А если завтра мы захотим купить себе какие-то международные, мировые решения, то особенности украинского законодательства не позволят нам это сделать быстро.
О.Б.: Почему?
Процедуры, в том числе тендеры, закупки...
Поэтому частный бизнес всегда на шаг впереди. И по оплате труда, в том числе. За каждым внедрением какой-то системы безопасности стоят люди. И они должны быть профессиональным с соответствующей оплатой труда.
О.Б.: В ближайшее время вы открываете обновленный киберцентр.
Трансформированный, да.
О.Б.: Что это будет? Каковы его функции? Чем он будет отличаться от киберцентра Нацполиции, который занимается по сути тем же самым – быстрым реагированием на угрозы.
Не тем же самым. Функционал разный. Клиентами нашего киберцентра на данный момент являются органы госвласти. Это если говорить о разнице. Никто не делает одну и ту же работу. У Нацполиции это защита от мошенничества и воровства данных, у нас – непосредственно защита этих данных, нормативная работа, структурирование и построение самой системы.
Что касается обновления киберцентра, во-первых, была заменена команда. Пришли достойные профессионалы с опытом больше 20 лет в сфере ИБ, которые знают, как строить систему.
К тому же, будет функционировать тренинговый центр. Одно дело учиться по картинкам и видео с ютуба, совсем другое – у людей, работающих в госсекторе. Надо же не просто знать, как реагировать на угрозу, но и как быстро это делать. Есть определенные сценарии, которые нужно знать и которые должны выполняться. Все должно быть доведено до автоматизма. Это одна из функций тренингового центра и обновленного центра кибербезопасности, который полностью переформатирован.
Второе – это комфортные условия работы людей. Мы все пришли не с улицы, понимали, как это работает. Но когда ты смотришь на зону своей ответственности и на те, скажем так, некомфортные условия, в которых приходится работать, возникает диссонанс. Ну, и оплата труда. С этого года непосредственно у сотрудников Центра кибербезопасности она выросла на порядка 30-35 процентов и составляет около 30 тысяч гривен. Это не рыночные условия.
О.Б.: Для хорошего специалиста по кибербезопасности, наверное, не очень много.
Зарплата невысока, но у людей есть возможность реализовать свой потенциал. В основном, мы «готовим» людей для рынка. Это еще один вызов в рамках улучшения нашей эффективности и развития команды.
О.Б.: То есть, человек приходит к вам, учится за счет государства, получает навыки, сертификаты, после чего идет работать в частный сектор?
Нельзя сказать, что они просто идут. В нашей структуре есть профильный вуз – Институт защиты информации при КПИ. Выпускники этого вуза составляют основную часть сотрудников.
О.Б.: Они же могут сразу идти на рынок труда по окончанию.
Не могут. Они военные, у них контракт на пять лет.
О.Б.: Существуют ли планы по разделению вашей структуры на две организации – ту, которая будет заниматься непосредственно спецсвязью, и направленную на кибербезопасность и защиту информации? Это активно обсуждают в экспертной среде.
Госспецсвязи на данный момент, в соответствии с законом, выполняет 92 функции.
О.Б.: Ого.
Да. Больше прямых функций, наверное, только у Минэкономики. При этом наши функции очень разноплановые и были в свое время объединены в этой структуре немного искусственно.
У нас есть специальная связь для высших должностных лиц государства. Есть кибербезопасность. Есть гражданская связь, мы – администраторы связи. Часть функций ликвидированного Министерства связи передана нам. Насколько это эффективно? Ну, наверное, нет, если эта система не работала до этого, то нет.
Вопрос разделения? Да, он обсуждается. Но это не просто разделение, мол, это отодвинем сюда, а вот этим будем заниматься мы. Это системный подход, который должен быть в государстве. Есть специальная связь, ее должны обеспечивать люди в погонах, ответственные за это. И есть кибербезопасность, которой, по большому счету, должны заниматься профессионалы гражданские. Часть военных функций должна быть демилитаризована. Это разные функции и объединять их в одном органе не совсем правильно. И неэффективно.
Отделение гражданской связи, радиочастотного ресурса, который вообще не имеет отношения ни к одной, ни ко второй, ни к третьей функции, тоже рассматривается. Связь – это основа всего на данный момент. Мы жить без мобильного телефона не можем. Это отдельный пул и направление работы. Поэтому разделение назрело. Но это не готовый проект, который опубликовали. У нас немного другое видение, оно дорабатывается.
«Украина, как бы это ни звучало, – одна из немногих стран в мире, у которой есть закрытый цикл разработки средств криптографической защиты информации»
О.Б.: С конца 2020 года ведется работа над Стратегией кибербезопасности. Какую роль в этом принимает ваша структура?
Координирует написание Стратегии кибербезопасностит СНБО. Каждый из органов, который входит в систему кибербезопасности, пишет свою структуру, под организационной ролью СНБО. Создана рабочая группа из представителей общественности, профессионалов, экспертов и научной среды. Наша роль – киберзащита. Нельзя сказать, что мы что-то пишем для СБУ. СБУ пишет свое видение, которое потом согласовывается с нашим видением по системе киберзащиты, которая реализуется.
О.Б.: В той части, которую вы пишете, какие основные угрозы видите?
Основные угрозы – это развитие системы защиты информации, создание новых национальных стандартов. Система КСЗИ, о которой мы говорим, Комплексная система защиты информации, создана в 90-х годах. Нормативно она немного менялась, но как общая система функционирует и на данный момент. Создание новых национальных стандартов занимает какое-то время. Поэтому стратегии пишутся не на один-два года, а на порядка 50 лет. У нас должна быть создана Национальная система стандартизации в сфере защиты информации с имплементацией американских и европейских стандартов и с применением того, что у нас уже есть.
О.Б.: Почему просто не взять стандарты, которые существуют в США или ЕС и механически не имплементировать здесь? Как с сертификацией лекарств, например?
Национальная система стандартов любого государства соответствует уровню развития этого государства и национальной безопасности.
О.Б.: Уровень технического развития приблизительно у всех одинаковый.
Приведу практический пример. Одной из составляющих системы национальных стандартов есть криптографическая защита информации. Это шифры, которые разрабатываются в государстве. Это собственность государства, которые нельзя у кого-то взять, и никто их, собственно, не даст. И Украина, как бы это ни звучало, – одна из немногих стран в мире, у которой есть закрытый цикл разработки средств криптографической защиты информации. И одна из самых мощных в мире математических школ.
О.Б.: Пытаюсь вспомнить украинских миллиардеров, которые заработали на продаже продуктов по криптографии, и не могу их вспомнить.
Это государственная защита информации в сфере криптографической защиты. Это не монетизируемая штука.
О.Б.: В этом мире почти все монетизируется.
Национальную безопасность монетизировать нельзя.
С.К.: Европейские государства пытаются внедрять какие-то законодательные изменение, которые обяжут глобальные сети работать с оглядкой на национальные интересы. Насколько это для нас актуально?
Начнем с того, что у нас нет таких правил. И если их введение ограничит права и свободы граждан, то однозначно этого делать нельзя. С точки зрения влияния на ИБ, что является составляющей нацбезопасности, то да, такие правила игры нужны.
С.К.: Условно говоря, на законодательном уровне обязать администрацию фейсбука или твиттера не/передавать данные.
Партнерское взаимодействие однозначно нужно.
О.Б.: В Польше дискутируют о необходимости принятия закона, который бы запретил соцсетям блокировать польских пользователей без согласия или санкций польского правительства. Это попытка регулировать глобальные сети на своей территории. Это тоже элемент кибербезопасности?
Вопрос регулирования всегда воспринимается в гражданском обществе очень остро. Я же говорю: если это касается прав и свобод законопослушных граждан, этого однозначно делать нельзя. Если это касается сферы преступлений или противоправной деятельности, то да, должны быть созданы правила.
С.К.: То есть работа по подготовке подобных законопроектов у нас пока не ведется?
Вопрос стоит адресовать Министерству цифровой трансформации и Комитету цифровой трансформации в Верховной Раде. Насколько мне известно, ведутся дискуссии о некоем регулировании, но по поводу блокировки юзеров не готов говорить – это точно не наш мандат.
С.К.: Вы каким-то образом участвуете в этом?
Да, наши эксперты принимают непосредственное участие.
«Мы не регулятор с палкой, который куда-то кого-то загоняет»
О.Б.: С какими частными компаниями ваша структура сотрудничает в плане безопасности? В Украине и в мире? Про Huawei все слышали.
Если вы слышали про Huawei, значит, слышали и про Cisco. Это один из мировых лидеров в сфере защиты информации, производства техники защиты информации и преподавания. Со всем гражданским обществом есть взаимодействие. Одной из задач, с которой мы сюда пришли, было создание комфортных условий для сотрудничества. Мы не регулятор с палкой, который куда-то кого-то загоняет.
По нашей инициативе, СНБО, Минцифры и других госорганов был создан Экспертный совет по кибербезопасности, руководят которым гражданские люди. В него вошли компании с международным именем, украинские эксперты, украинские специалисты в сфере защиты информации, в сфере кибербезопасности. Это рекомендательный орган. Простым языком: мы хотим что-то сделать и спрашиваем мнения Совета, и когда это обсуждается экспертами, имеет совсем другой вес. Однозначно всем это нравиться не будет. Есть те, кто в этот Совет не вошел. Это право каждого. Но большинство украинских IT-компаний и компаний в сфере кибербезопасности входят.
О.Б.: История с Huawei откровенно странная. Появляется меморандум о сотрудничестве. Идет ответная реакция, в том числе от украинского МИДа. Меморандум с вашего сайта пропадает. Но при этом в интервью «Укринформу» вы говорите, что сотрудничество с компанией продолжается. И как вы собираетесь в будущем сотрудничать с американскими структурами, если продолжаете сотрудничать с компанией, против которой США ввели санкции?
Меморандум был подписан с украинским представительством. Я расскажу о целях и о нарушении законодательства. Во-первых, украинская компания не пребывает под санкциями.
Во-вторых, перед тем, как подписать меморандум было принято постановление про объекты критической инфраструктуры. У всех операторов отечественной мобильной связи стоит оборудование Huawei. Для того, чтобы понимать, как оно функционирует, нужно получить предмет для изучения. Вот это и была цель подписания меморандума и цель сотрудничества.
О.Б.: Операторы, получая оборудование, не получают техническую документацию к нему?
Сертификацией оборудования занимается Госспецсвязи. Документация есть. Но для того, чтобы изучить оборудование, сказать, можно его использовать или нельзя, нам как органу, который отвечает за защиту информации на объектах критической инфраструктуры, нужен исходный код. Раньше это изучение не проводилось.
О.Б.: Расскажите подробнее о сотрудничестве с USAID. Большой проект, рассчитанный на четыре года. 38 млн долларов технической помощи. При этом ряд украинских экспертов в сфере безопасности обратились к агентству с призывом не сотрудничать с Минцифры, называя ведомство некомпетентным. Что вообще происходит?
USAID – это большая международная компания, которая реализует свои проекты не только в Украине. USAID помогает построить, в том числе, систему кибербезопасности. Это не значит, что они приходят и говорят, что и как делать. Нет, они слушают, помогают с привлечением экспертов, с реализацией каких-то определенных проектов.
Саму петицию я читал. В ней есть хорошие вещи. Например, о том, что без объединения ученых, общественности трудно что-то реализовать. Но когда это звучит в ультимативной форме, то это нехорошо.
Проект USAID – это однозначно плюс, за ним стоит как минимум имя и имидж. Он не будет ввязываться в какие-то непонятные игры. Однозначно, всем мил не будешь. Но реализация этого проекта продолжается, и результатом является функционирование этого же Совета (кибербезопасности – LB.ua), где помогают развиваться и реализовывать IT-проекты. Трансформация киберцентра тоже проходит с их участием – с их советами, определенными идеями.
«Связывать утечку данных и проект цифровизации как минимум неправильно»
С.К.: Поговорим о массовой цифровизации. Этим направлением занимается вице-премьер Михаил Федоров. Это одно из предвыборных обещаний президента Зеленского. «Государство в смартфоне», проект «Дія» и все, что с этим связано. Это удобно, когда все документы под рукой. Но это и массовый сбор личных данных, которые, по вашим же словам, главная из мишеней для киберпреступников. А уровень киберзащиты у нас не на самом высоком уровне.
Если мы говорим о конкретном проекте «Дія», то он не собирает персональные данные и не хранит их. За хранение этих данных как отвечала миграционная служба МВД, так и продолжает отвечать. Это шлюз, который предоставляет возможность им пользоваться. На данный момент этот шлюз сертифицирован по украинскому законодательству и, судя по результатам международных экспертиз, надежен. Работа над ним постоянно продолжается.
С.К.: Прецедент уже есть. В прошлом году в одом из чат-ботов можно было купить личные данные 26 млн украинцев. Расследование провели, но без каких-либо результатов. При этом мы все равно переходим на «государство в смартфоне».
Утечка этих данных произошла до начала реализации проекта, связанного с цифровизацией. Это было технически определено экспертизами. Поэтому связывать утечку данных и проект цифровизации как минимум неправильно. По поводу защищенности передачи, ну это есть техническая защита информации, которую мы развиваем, совместно, в том числе, с Министерством цифровой трансформации.
За короткий промежуток времени мы реализовали историческое событие - создали цифровую трансформацию. Параллельно развивается система защиты информации. Нельзя строить
что-то одно и не строить что-то другое.
О.Б.: Государство вначале «построило» «Дію» и продолжает строить «государство в смартфоне», а только потом начинает думать о безопасности.
Это параллельные процессы.
С.К.: В январе был принят законопроект о референдуме, где прописано введение в перспективе электронного голосования. В интервью вице-спикер Верховной Рады Руслан Стефанчук, автор документа, эту норму последовательно защищает. В то время как другие более развитые европейские страны – после истории с американскими выборами – с голосованием в смартфонах решили повременить. Например, Нидерланды, Норвегия, Германия.
В конце концов, у нас есть опыт вмешательства в исход выборов 2004 года с транзитным сервером.
О.Б.: Попытки взлома сайта ЦВК в 2014 году.
С.К.: А технологии с тех пор значительно шагнули вперед. Оправдано ли введение электронного голосования в нынешних условиях?
Никто не говорит о введении электронного голосования в этом или даже в следующем году. Для начала нужно построить надежную систему защиты. И нормативно это не делается за один день.
С.К.: Понятно, что это планы и наработки. Но это правильный путь для Украины?
Это классная идея, к которой нужно идти.
С.К.: Но в мире от нее отказываются.
В то же время, много где развивают, например, в Эстонии.
О.Б.: Эстония – маленькая мирная страна, защищенная НАТО. А мы седьмой год находимся в состоянии войны. С другой стороны, вы сами говорили о том, что уровень кибербезопасности в стране на недостаточно высоком уровне, а тут давайте вводить электронное голосование, которое боятся у себя делать американцы, французы, немцы.
Я не сказал, что это нужно вводить. Я сказал, что к этому нужно идти с соответствующей возможностью защиты. Реализовывать как идею. Инфраструктура защиты информации, которую планируют построить, может быть применима и для реализации других задач по кибербезопасности.
С.К.: Простите, но зачем, если от этого отказываются более развитые страны?
Если говорить конкретно о Нидерландах, они не отказывались. Они отложили. Как раз из-за недостаточного уровня защиты.
О.Б.: При том, что страна меньше, а финансовые возможности и ресурсы значительно превышают наши.
Конечно, на данный момент мы не готовы к реализации этого проекта.
О.Б.: У нас около 300 реестров в госорганах, не синхронизированных между собой – у них вообще нет никаких точек соприкосновения. Может, для начала попытаться навести порядок с этим, прежде чем организовывать голосование в смартфоне?
Как орган, ответственный за защиту непосредственно этих реестров...
О.Б.: Точки сборки нет?
Нет точки сбора. И на данный момент она даже не настолько технически, сколько защищенно, не реализована. Одной из точек объединения этих реестров должна быть нацплатформа. Реестры написаны на разных языках, созданы по разным принципам. Лежат на разной инфраструктуре. И вот для того, чтобы их как-то синхронизировать, и нужна платформа. Не может в стране быть 300 реестров, которые дублируют одну и ту же информацию. Это нелогично и говорит о незащищенности. Защитить что-то одно вместе гораздо проще, чем каждый защищает свое маленькое, а оно все равно куда-то утекает.
О.Б.: Если реестры написаны на разных языках, их нужно все переписать?
Их нужно интегрировать друг в друга. Любой реестр – это набор цифр, символов и каких-то данных. Для того, чтобы их сконструировать, должен быть конструктор. Например, для этого можно создать защищенную платформу ведения электронных реестров.
Затем они загоняются в одну защищенную среду.
О.Б.: Это какую?
Национальный центр резервирования. Это как один из элементов этой системы.
О.Б.: Вы всю страну загоняете на одну кнопку?
У каждого своя сфера ответственности. Это не значит, что Госспецсвязи будет отвечать за все и только выдавать доступ. У каждого свой модуль в этой большой системе. Но они интегрированы между собой. И каждый отвечает за свой сектор защиты.
О.Б.: Тут еще возникает вопрос допуска, например, СБУ и МВД к этим данным. Не дадите ли вы товарищу майору решать судьбу человека одним нажатием кнопочки?
Все правоохранительные органы должны получать доступ в установленном законом порядке.
О.Б.: В Китае цифровизация проходит активными темпами. И уже дошла до социальных индексов. Это очень опасная история.
Конечно, опасная. Но мы же не идем в сторону Китая. Мы строим систему, исходя из американских, канадских и европейских стандартов. Поэтому пример Китая мы не берем. Только то, что реализовано и качественно работает. Самое основное – построить систему доверия населения к государству.
«Наши сотрудники востребованы на рынке»
О.Б.: Вы сказали, что зарплаты в киберцентре выросли до 30 тысяч гривен в месяц. Ранее в интервью «Укринформу» упоминали, что средний оклад молодых специалистов в ведомстве – 13-15 тысяч гривен. Какая мотивация образованным и техническим грамотным специалистам работать у вас за такую зарплату, учитывая, что в частном секторе совсем другие цифры?
Комфортные условия, интересная работа. Повышение зарплат – это один из этапов, который мы проходим. Наша команда работает чуть больше полугода.
О.Б.: Вряд ли эти условия комфортнее, чем в даже маленькой IT-фирме.
За месяц или за полгода невозможно все создать. Но это одна из целей, которую мы пытаемся реализовать. А поднятие зарплат – один из элементов этого. Большой, маленький, но этот элемент реализовывается…
О.Б.: Честно, не понимаю, что людей, кроме обязательства отслужить пять лет, может держать в госструктуре?
Эта госструктура позволяет развиться профессионально. Выпускник института, который придет на рынок, будет получать в it-компании приблизительно такую же зарплату.
О.Б.: Ну, год-два, затем она вырастет.
На 100-200 долларов. И он станет специалистом в какой-то узкой сфере. Структура госспецсвязи позволяет развиться профессионально гораздо шире. Наши сотрудники востребованы на рынке. Отсюда выходят подготовленные профессионалы и большинство экспертов.
О.Б.: То есть дольше пяти лет у вас никто не работает?
Работают. Есть патриотизм, есть интересное развитие проектов, которые реализуются в этом органе. Поэтому однозначно работают.
О.Б.: Приведу еще одну цитату Константина Корсуна: «В смысле кибербезопасности Госспецсвязи является убежищем низкоквалифицированных бюрократов, которые имеют наглость называть себя специалистами по кибербезопасности. Построена ГСССЗИ на фундаменте коррупции до сих пор держится кучи как отдельное ведомство исключительно за счет колоссального накопления различных нормативных документов».
Этот человек тоже выходец из Госспецсвязи.
О.Б.: Да, я знаю.
Значит, достаточно качественных экспертов выпускает Госспецсвязи? Это ответ на цитату.
О.Б.: У вас профильного образования нет. Финансовое образование, налоговая, потом академия СБУ.
Да. Академия СБУ и финансовое образование Успешность любого проекта – это достаточно квалифицированная команда.
Вернемся к функционалу. 92 функции. Если кто-то скажет, что он эксперт во всех, то он не эксперт ни в одном из этих направлений. Моя задача – организовать работу команды. За каждую сферу деятельности отвечает достаточно квалифицированный заместитель. Можем пройтись по ним конкретно.
О.Б.: Вы набрали новых заместителей?
Да. Вся команда руководителей полностью новая.
О.Б.: Почему?
Потому что мы подбирали профессионалов в соответствии с задачами, которые перед нами стоят. И если мы говорим о сфере защиты информации, криптографической защиты информации, у нас ее курирует доктор наук, профессор, международный преподаватель. Человек глубоко в этой теме. Сам строил системы защиты информации и преподавал это на международном уровне.
За сферу кибербезопасности отвечает человек, который 17 лет строил системы киберзащиты. Пришел из успешного бизнеса. Для него это личный вызов. Многое потерял, но пришел реализовать что-то для государства.
Человек, отвечающий за юридическое и хозяйственное направление, – доктор юридических наук, профессор, больше 20 лет адвокатского стажа.
Первый заместитель имеет больше 10 лет опыта в госуправлении. Качественный государственный управленец. Профессионал.
Ну не может каждый быть экспертом в кибербезопасности.
О.Б.: Так или иначе, вам принимать важные решения в сфере кибербезопасности.
В кибербезопасности, в том числе. Поэтому есть заместители, которые помогают принять решение. И это решение командное. Я несу ответственность за конечный результат. Кроме того, моя задача обеспечить комфортные условия работы и качественный менеджмент.
С.К.: Что за история была в 2015 году со взяткой?
О.Б.: Говорят, что вас задерживала внутренняя безопасность СБУ за взятку.
Нет. История ко мне имеет отношение только в том, что я в этот период служил в Днепропетровском управлении. На этом как бы она закончена.
С.К.: Расскажите тогда, откуда «ноги» растут.
Без понятия. Есть много критиков, есть недоброжелатели.
С.К.: То есть факта задержания не было?
Не было. Из того, что я знаю об этой истории: это было в Днепре и происходило в Днепропетровском управлении. Но ко мне лично отношения не имеет. Это следует из материалов дела, оно сейчас, по-моему, на рассмотрении.
О.Б.: Тогда объясните, почему, когда гуглишь ваше имя, сразу же всплывает эта история.
Меня допрашивали в качестве свидетеля, вот и все отношение, которое я к этой истории имел. Меня не задерживали.
О.Б.: Украинский киберальянс жалуется на то, что ваше ведомство отказалось от сотрудничества с украинскими активистами.
За мою каденцию обращений и предложений о сотрудничестве от Украинского киберальянса не было.
О.Б.: Но и вы инициативу не проявляли.
Насколько я знаю, они отказались от проектов с органами госвласти.
О.Б.: Государство начало преследовать их в начале прошлого года. Почему?
Это вопрос, наверное, к правоохранительным структурам.
О.Б.: То есть из проекта USAID и других масштабных проектов они вычеркнуты?
Их никто не вычеркивал. Они сами не пришли. Когда создавался Совет кибербезопасности, звали всех. Была открытая публичная презентация. Присутствовали я, Сергей Васильевич Демидюк (бывший начальник Департамента кибербезопасности Нацполиции, сейчас – заместитель секретаря СНБО, – LB.ua), представители Министерства цифровой трансформации. Приглашали: ребята, придите, подскажите, как лучше, вместо нас не нужно работать, просто подскажите, а мы прислушаемся или сделаем вместе. У кого было желание что-то реализовать, те пришли и вошли в Совет.
О.Б.: Последний вопрос. Западные эксперты говорят, что искусственный интеллект – потенциально одна из самых больших угроз кибербезопасности. Для нас это угроза?
Для Украины? Украина находится в настолько разных весовых категориях с ИИ, что для нас обычный телефон является угрозой. Чтобы ИИ чем-то нам угрожал, его хотя бы создать нужно.