«Втрати для України від вірусу Petya склали 10 млрд доларів»
Соня Кошкіна: За оцінкою міжнародних експертів, у 2020 році збитки від діяльності кіберзлочинців у світі склали близько 5,5 трильйонів євро. Це більше, ніж обсяги глобальної наркоторгівлі. Наскільки страждає від кіберзлочинності українська економіка?
В Україні ніколи не було системи оцінки ризиків від інформаційних атак, від кібератак. На цей час вони тільки починають розроблятися. І це не справа одного-двох місяців. За допомогою та підтримкою кібернапрямку USAID ми почали цей процес.
Якщо взяти, для прикладу, найбільшу атаку в історії України – вірус Petya, то за приблизними оцінками ринку, втрати для України склали 10 млрд доларів. Це експертна оцінка незалежної комерційної організації. Держава підрахувати збитки поки що не може – немає грамотної системи оцінювання. Але якщо за тиждень країна втрачає 10 млрд доларів, це, напевно, багато.
Олег Базар: Судячи з вашої статистики, інтенсивність атак зростає.
Більшість із них мають локальний характер. Тобто вони становлять загрозу для певної системи.
С.К.: Для якої частіше й чому?
За всім стоять або хакери, або певні країни. Якщо атака велика, це вимагає значних фінансів і вона має приносити дохід. Окупається вона або матеріально, або втратою іміджу. Вірус Petya – це була спланована, тривала атака на комерційний сектор. Понад 90% атак і проблем у сфері кібер прилітають на приватний сектор. Тому коли говорять, що «держава нічого не робить» – так, звичайно, не робить. І не робила роками. Ми тільки починаємо будувати цю систему.
С.К.: Що найчастіше стає об’єктом атаки в Україні?
Сфера енергетики, викрадення персональних даних. На цей момент основна цінність у державі – персональні дані людей. Це те, що становить інтерес для хакерських угруповань. Крім того, це іміджеві втрати. Атака на енергосектор із метою якогось впливу.
Джерело атак? Основні атаки, які зараз відбуваються, припадають на країну-агресорку. Ми перебуваємо в стані війни, а кіберсфера стає ще одним полем битви, як море, суша, повітря. Завдати тут збитку можна непомітніше для країни, але більш значуще.
С.К.: Які структури в РФ це роблять?
О.Б.: Є групи хакерів: Sandworm, FanсyBear, VoodooBear, – але ж вони просто частина державних структур РФ?
В основному за російською хакерською спільнотою стоять розвідоргани й силові структури, оскільки потрібна масштабна фінансова підтримка. Це ж не одна і не десять осіб.
О.Б.: Щотижня Держспецзв'язку публікує статистику атак і загроз у сфері кібербезпеки. Чи є кореляція активності в кіберпросторі з тим, що відбувається на Донбасі?
Так, залежність пряма. Тільки-но відбуваються якісь події на Донбасі, країна відгукується на це. І на розв'язання одних проблем прилітають інші. Але робити прив’язку виключно до ситуації на сході не можна. Атаки відбуваються щодня, рівень злочинності й супротивників зростає, відповідно, ми точно так само мусимо відповідати цьому рівню у сфері протидії.
С.К.: Які висновки ви зробили після вірусу Petya, який спровокував масштабні проблеми в системі життєзабезпечення всієї країни? Що кардинально змінилося у вашій сфері після цієї історії?
Змінилася система підходу до розв'язання таких проблем. Раніше на них дивилися крізь пальці – є якась сфера і є собі. А коли прилетіла реальна атака, у країні задумалися, що, напевно, треба щось міняти. Тоді був створений Національний координаційний центр кібербезпеки при РНБО. Це структура, яка координує діяльність усіх органів кібербезпеки, куди входять усі силовики. Але паралельно прокинувся й бізнес, який зрозумів, що вони втрачають теж і треба створювати якісь свої структури. Якщо фахівців у якійсь сфері зібрати в одному місці, вони хоча б почнуть спілкуватися між собою – це дасть можливість розв'язувати проблеми.
С.К.: Як ви взаємодієте з кіберполіцією?
У кожного з органів, які відповідають за кібербезпеку в країні, є свій чіткий функціонал. Ми відповідаємо за кіберзахист. Це розробка систем, певних правил гри. Ми, наприклад, більше над нормативами й технічним захистом працюємо. Вони протидіють тим самим хакерським угрупованням, протидіють шахрайству, оскільки об’єднують різні структури єдиним баченням.
О.Б.: Минулого року зламали три сайти обласних управлінь Нацполіції, чия це була відповідальність? Бо ж не захистили.
Людей, які відповідають за безпеку адміністрування цих сайтів. Водночас ми брали безпосередню участь у ліквідації цих подій, так само як Нацполіція і СБУ. Усе робиться спільно. Не можна сказати, що ми займаємося чимось своїм, не звертаючи уваги на інших. Усі системи розвиваються паралельно і в співробітництві, оскільки одна система без іншої не працює.
О.Б.: Профільні експерти, зокрема Костянтин Корсун (фахівець з інформаційної безпеки, організатор щорічної конференції з кібербезпеки UISGCON, співзасновник компанії Berezha Security, – LB.ua), стверджують, що після 2014 року, зокрема атаки NotPetya, в системі державної кібербезпеки нічого особливо не змінилося.
Суперечка експертів – явище вічне. Хтось вважає щось одне, хтось – інше. Говорити, що нічого не змінилося, некоректно. Тому що створено Національний координаційний центр, Державний центр кіберзахисту в нашій структурі з функціоналом захисту органів державної влади та національних систем. Наскільки якісно це робиться? Звичайно, потрібен постійний розвиток. Але всі розуміють, що без єдиного державного координаційного центру розвиток кіберзахисту неможливий. Ми дискутуємо про результати, і це правильно. Але не про необхідність.
О.Б.: Є якась система дублювання, завдяки якій критична інфраструктура не лягала б, як це було у 2014 році?
Питання настільки актуальне, що п’ятого лютого була прийнята постанова про створення Національного центру резервування державних інформаційних ресурсів.
О.Б.: Це не зовсім те.
Для того, щоб перевести всі реєстри або інформаційні системи з одного місця в інше, для цього потрібна інфраструктура, яка коштує досить багато грошей. Держава не може забезпечити це за один день. Але ми мусимо створити систему, яка дасть змогу швидко відновитися й усунути шкоду. Ось Національний центр резервування державних інформаційних ресурсів і дозволить... За будь-якої критичної проблеми ми просто беремо все це і кладемо в надійне місце.
С.К.: Наскільки захищене це «надійне місце»?
Воно тільки буде будуватися. І будуватися відповідно до національних стандартів.
О.Б.: Скільки це коштуватиме державі?
На цей час розробляється ТЗ. Приблизно 100 млн гривень.
С.К.: У які терміни воно буде побудовано?
Перший етап – до кінця цього року.
О.Б.: Хто передасть туди свої дані?
На першому етапі – будь-які державні органи, наприклад: Державна міграційна служба, податкова.
О.Б.: МВС і СБУ?
Ні, звичайно. У постанові прописано: крім суб’єктів, які займаються оперативно-розшуковою та контррозвідувальною діяльністю.
О.Б.: Державна судова адміністрація, судові реєстри?
Система резервування, звичайно, буде. Це не відбудеться за один день. Робота над резервуванням даних буде проведена упродовж року-півтора. Це не означає, що вони просто беруть і нам у відкритому вигляді все передають. Вони будують свою систему захисту, а ми їхні архіви в себе зберігаємо. І коли вони просять у нас доступ для відновлення, ми передаємо дані на відновлення.
Це не означає, що в нас буде прямий доступ. Ми не будемо бачити, що розміщено всередині. Просто будемо захищати те, що вони передадуть. А щоб вони відповідально поставилися до передачі цих даних, потрібно створити нормативну базу.
О.Б.: Питання ще в тому, наскільки відповідально ви поставитеся до зберігання.
Ну звичайно. Для цього створена професійна команда.
«Одна річ учитися за картинками і відео з ютубу, зовсім інша – у людей, які працюють у державному секторі»
О.Б.: Три роки тому Український кіберальянс запустив акцію «F*ck responsible disclosure», щоб допомогти українським держорганам позакривати «дірки» в інформаційній безпеці, які знайшли в мінімум половині міністерств і відомств, у тому числі й очолюваному сьогодні вами. Як ви оцінюєте стан кібербезпеки української влади зараз?
Порівняно з тим, що було до, звичайно, покращився. Більшість людей, які відповідають за ІБ у кожному відомстві – це професійні айтішники.
Повернімося трохи в історію. Створення Міністерства цифрової трансформації й посади «СіДіТіО» (Chief Digital Transformation Officer, – LB.ua) у кожному органі центральної виконавчої влади дало поштовх до того, що кожен орган звернув увагу на захист інформації. Туди прийшов професіонал, який сказав: люди, давайте щось змінювати в цій системі, реєстри дивляться у відкритий доступ – це неправильно. Тому співпраця з такими професіоналами в кожному органі є фактором того, що є конкретна людина, яка відповідає за захист інформації.
О.Б.: Ви цих людей якось тестуєте/сертифікуєте?
У них є свої кваліфікаційні вимоги. Не можна стати CDTO без спецосвіти й досвіду роботи. Цим займається кожен орган і Міністерство цифрової трансформації.
С.К.: Спецперевірки СБУ вони проходять?
Звісно. І СБУ, і МВС, і багато інших.
С.К.: Говорячи про те, які об’єкти хакери атакують найчастіше, ви назвали об’єкти енергетичної безпеки. Одна річ, коли завис комп’ютер…
О.Б.: У Мінсоцполітики.
С.К.: Так. І якщо він тиждень не працюватиме, це можна пережити. Але якщо йде атака на об’єкти критичної інфраструктури: атомну станцію, гідроелектростанцію – що робити в такій ситуації? Які уроки ви винесли після вірусу Petya?
Питання швидко не вирішиться. І тільки через півтора року воно почало вирішуватися якось комплексно, коли почали розвиватися системи цифровізації й системи захисту. Коли всі зрозуміли, що розвиватися треба спільно, а не одні будують одне, інші – інше, і все це витікає. Взагалі виникло питання з класифікацією об’єктів критичної інфраструктури. Тому що все це загальні слова. Ніяких критеріїв раніше не було. І тільки восени розроблено критерії віднесення об’єктів до об’єктів критичної інфраструктури. Тобто визначено якісь параметри.
С.К.: Я дам абсолютно обивательський приклад. У нас є каскад гідроелектростанцій, який будувався в сталінські часи за таким принципом, щоб за потреби все обвалити – на випадок приходу ворога. Впаде перша ГЕС, впадуть інші. Зрозуміло, що це апокаліптичний сценарій. Але які запобіжники є для того, щоб не допустити такого сценарію?
З метою уникнення колапсу на ГЕС і в «Укренерго» створено систему безпеки, яка сертифікована нами відповідно до чинних стандартів. Наскільки вони відповідають часу і КСЗІ (Комплексні стандарти захисту інформації, – LB.ua) – звичайно, не відповідають, тому що впродовж певного часу уваги цьому не приділяли. Але це національна система безпеки, чинна національна система стандартизації. Ми її міняємо, допрацьовуємо. Це працює й дійсно захищене. Наскільки якісно – питання спірне…
У кібербезпеці не можна так, що система побудована – і все, вона ідеальна й безпечна. Це постійний розвиток, постійний процес. Постійна модернізація, яка вимагає вкладення грошей. Але тут більше питання в тому, хто і скільки готовий вкласти. Приватний сектор вкладає більше і швидше, розуміючи, що може розвиватися швидше. А якщо завтра ми захочемо купити собі якісь міжнародні, світові рішення, то особливості українського законодавства не дозволять нам це зробити швидко.
О.Б.: Чому?
Процедури, у тому числі тендери, закупівлі.
Тому приватний бізнес завжди на крок попереду. І в оплаті праці в тому числі. За кожним впровадженням якоїсь системи безпеки стоять люди. І вони мусять бути професійним із відповідною оплатою праці.
О.Б.: Найближчим часом ви відкриваєте оновлений кіберцентр.
Трансформований, так.
О.Б.: Що це буде? Які його функції? Чим він відрізнятиметься від кіберцентру Нацполіції, який займається, по суті, тим самим – швидким реагуванням на загрози.
Не тим самим. Функціонал різний. Клієнтами нашого кіберцентру на цей момент є органи держвлади. Це якщо говорити про різницю. Ніхто не робить одну й ту саму роботу. У Нацполіції це захист від шахрайства і злодійства даних, у нас – безпосередньо захист цих даних, нормативна робота, структурування й побудова самої системи.
Щодо оновлення кіберцентру, по-перше, була замінена команда. Прийшли гідні професіонали з досвідом понад 20 років у сфері ІБ, які знають, як будувати систему.
До того ж буде функціонувати тренінговий центр. Одна річ - учитися за картинками і відео з ютубу, зовсім інша – у людей, які працюють у державному секторі. Треба ж не просто знати, як реагувати на загрозу, а й як робити це швидко. Є певні сценарії, які потрібно знати і які мусять виконуватися. Усе повинно бути доведено до автоматизму. Це одна з функцій тренінгового центру та оновленого центру кібербезпеки, який повністю переформатовано.
Друге – це комфортні умови роботи людей. Ми всі прийшли не з вулиці, розуміли, як це працює. Але коли ти дивишся на зону своєї відповідальності й на ті, скажімо так, некомфортні умови, у яких доводиться працювати, виникає дисонанс. Ну, й оплата праці. З цього року безпосередньо в співробітників центру кібербезпеки вона виросла на 30–35 відсотків і становить приблизно 30 тисяч гривень. Це не ринкові умови.
О.Б.: Для хорошого фахівця з кібербезпеки, напевно, не дуже багато.
Зарплата невисока, але в людей є можливість реалізувати свій потенціал. В основному ми готуємо людей для ринку. Це ще один виклик у рамках покращення нашої ефективності і розвитку команди.
О.Б.: Тобто людина приходить до вас, вчиться за рахунок держави, здобуває навички, сертифікати, після чого йде працювати в приватний сектор?
Не можна сказати, що вони просто йдуть. У нашій структурі є профільний виш – Інститут захисту інформації при КПІ. Випускники цього вишу становлять основну частину співробітників.
О.Б.: Вони ж можуть відразу йти на ринок праці після закінчення.
Не можуть. Вони військові, у них контракт на п’ять років.
О.Б.: Чи існують плани поділу вашої структури на дві організації – ту, яка буде займатися безпосередньо спецзв’язком, і спрямовану на кібербезпеку й захист інформації? Це активно обговорюють в експертному середовищі.
Держспецзв’язку на цей момент, відповідно до закону, виконує 92 функції.
О.Б.: Ого.
Так. Більше прямих функцій, напевно, тільки в Мінекономіки. Водночас наші функції дуже різнопланові й були свого часу об’єднані в цій структурі трохи штучно.
У нас є спеціальний зв’язок для вищих посадових осіб держави. Є кібербезпека. Є громадянський зв'язок, ми – адміністратори зв’язку. Частина функцій ліквідованого Міністерства зв’язку передана нам. Наскільки це ефективно? Ну, напевно, якщо ця система не працювала досі, то неефективно.
Питання поділу? Так, воно обговорюється. Але це не просто поділ, мовляв, це відсунемо сюди, а оцим будемо займатися ми. Це системний підхід, який мусить бути в державі. Є спеціальний зв’язок, його мусять забезпечувати люди в погонах, відповідальні за це. І є кібербезпека, якою, за великим рахунком, повинні займатися професіонали цивільні. Частина військових функцій мусить бути демілітаризована. Це різні функції, й об’єднувати їх в одному органі не зовсім правильно. І неефективно.
Відокремлення громадянського зв'язку, радіочастотного ресурсу, який взагалі не має стосунку ні до однієї, ні до другої, ні до третьої функції, теж розглядається. Мобільний зв’язок – це основа всього на цей момент. Ми жити без мобільного телефону не можемо. Це окремий пул і напрямок роботи. Тому поділ назрів. Але це не готовий проєкт, який опублікували. У нас трохи інше бачення, воно допрацьовується.
«Україна – одна з небагатьох країн у світі, яка має закритий цикл розробки засобів криптографічного захисту інформації»
О.Б.: З кінця 2020 року ведеться робота над Стратегією кібербезпеки. Яку роль у цьому бере ваша структура?
Координує написання Стратегії кібербезпеки РНБО. Кожен орган, який входить у систему кібербезпеки, пише свою структуру, під організаційною роллю РНБО. Створено робочу групу з представників громадськості, професіоналів, експертів і наукового середовища. Наша роль – кіберзахист. Не можна сказати, що ми щось пишемо для СБУ. СБУ пише своє бачення, яке потім узгоджується з нашим баченням системи кіберзахисту, яка реалізується.
О.Б.: У тій частині, яку ви пишете, які основні загрози бачите?
Основні загрози – це розвиток системи захисту інформації, створення нових національних стандартів. Система КСЗІ, про яку ми говоримо, Комплексна система захисту інформації, створена в 90-х роках. Нормативно вона трохи змінювалася, але як загальна система функціонує й на цей момент. Створення нових національних стандартів займає якийсь час. Стратегії пишуться не на один-два роки, а на 50 років. У нас мусить бути створена Національна система стандартизації у сфері захисту інформації з імплементацією американських і європейських стандартів і з застосуванням того, що в нас уже є.
О.Б.: Чому просто не взяти стандарти, які існують у США або ЄС, і механічно не імплементувати тут? Як із сертифікацією ліків, наприклад?
Національна система стандартів будь-якої держави відповідає рівню розвитку цієї держави й національної безпеки.
О.Б.: Рівень технічного розвитку приблизно в усіх однаковий.
Наведу практичний приклад. Однією зі складових системи національних стандартів є криптографічний захист інформації. Це шифри, які розробляються в державі. Це власність держави, яку не можна в когось взяти, і ніхто їх, власне, не дасть. Як би це не звучало, Україна – одна з небагатьох держав світу, яка має закритий цикл розробки засобів криптографічного захисту інформації. Й одна з найпотужніших у світі математичних шкіл.
О.Б.: Намагаюся згадати українських мільярдерів, які заробили на продажу продуктів криптографії, і не можу.
Це державний захист інформації у сфері криптографічного захисту. Це не монетизована штука.
О.Б.: У цьому світі майже все монетизується.
Національну безпеку монетизувати не можна.
С.К.: Європейські держави намагаються впроваджувати якісь законодавчі зміни, які зобов’яжуть глобальні мережі працювати, зважаючи на національні інтереси. Наскільки це для нас актуально?
Почнемо з того, що в нас немає таких правил. І якщо їх введення обмежить права і свободи громадян, то однозначно цього робити не можна. З погляду впливу на ІБ, що є складовою нацбезпеки, то так, такі правила гри потрібні.
С.К.: Умовно кажучи, на законодавчому рівні зобов’язати адміністрацію Фейсбуку або Твіттеру не/передавати дані.
Партнерська взаємодія однозначно потрібна.
О.Б.: У Польщі дискутують про необхідність прийняття закону, який заборонив би соцмережам блокувати польських користувачів без згоди або санкцій польського уряду. Це спроба регулювати глобальні мережі на своїй території. Це теж елемент кібербезпеки?
Питання регулювання завжди сприймається в громадянському суспільстві дуже гостро. Я ж кажу: якщо це стосується прав і свобод законослухняних громадян, цього однозначно робити не можна. Якщо це стосується сфери злочинів або протиправної діяльності, то так, мусять бути створені правила.
С.К.: Тобто робота з підготовки таких законопроєктів у нас не ведеться?
Питання варто адресувати Міністерству цифрової трансформації й Комітету цифрової трансформації у Верховній Раді. Наскільки мені відомо, ведуться дискусії про деяке регулювання, але з приводу блокування юзерів не готовий говорити – це точно не наш мандат.
С.К.: Ви якимось чином берете участь у цьому?
Так, наші експерти беруть безпосередню участь.
«Ми не регулятор із палицею, який кудись когось заганяє»
О.Б.: З якими приватними компаніями ваша структура співпрацює в плані безпеки? В Україні й у світі? Про Huawei всі чули.
Якщо ви чули про Huawei, значить, чули й про Cisco. Це один зі світових лідерів у сфері захисту інформації, виробництва техніки захисту інформації й викладання. З усім громадянським суспільством є взаємодія. Одним із завдань, з яким ми сюди прийшли, було створення комфортних умов для співпраці. Ми не регулятор із палицею, який кудись когось заганяє.
З нашої ініціативи, РНБО, Мінцифри та інших держорганів було створено Експертну раду з кібербезпеки, керують якою цивільні. До неї увійшли компанії з міжнародним ім’ям, українські експерти, українські фахівці у сфері захисту інформації, у сфері кібербезпеки. Це дорадчий орган. Простою мовою: ми хочемо щось зробити й питаємо думки Ради, і коли це обговорюється експертами, має зовсім інше значення. Однозначно всім це подобатися не буде. Є ті, хто в цю Раду не увійшов. Це право кожного. Але більшість українських IT-компаній і компаній у сфері кібербезпеки входять.
О.Б.: Історія з Huawei відверто дивна. З’являється меморандум про співпрацю. Йде відповідна реакція, у тому числі від українського МЗС. Меморандум із вашого сайту пропадає. Але водночас в інтерв’ю Укрінформу ви говорите, що співпраця з компанією триває. І як ви збираєтеся в майбутньому співпрацювати з американськими структурами, якщо продовжуєте співпрацювати з компанією, проти якої США ввели санкції?
Меморандум був підписаний з українським представництвом. Я розповім про цілі і про порушення законодавства. По-перше, українська компанія не перебуває під санкціями.
По-друге, перед тим, як підписати меморандум, було прийнято постанову про об’єкти критичної інфраструктури. У всіх операторів вітчизняного мобільного зв’язку стоїть обладнання Huawei. Для того, щоб розуміти, як воно функціонує, потрібно отримати предмет для вивчення. Оце й була мета підписання меморандуму й мета співпраці.
О.Б.: Оператори, отримуючи обладнання, не отримують технічну документацію до нього?
Сертифікацією обладнання займається Держспецзв’язку. Документація є. Але для того, щоб вивчити обладнання, сказати, можна його використовувати чи ні, нам як органу, який відповідає за захист інформації на об’єктах критичної інфраструктури, потрібен вихідний код. Раніше це вивчення не проводилося.
О.Б.: Розкажіть докладніше про співпрацю з USAID. Великий проєкт, розрахований на чотири роки. 38 млн доларів технічної допомоги. При цьому ряд українських експертів зі сфери безпеки звернулися до агентства з закликом не співпрацювати з Мінцифри, називаючи відомство некомпетентним. Що взагалі відбувається?
USAID – це велика міжнародна компанія, яка реалізує свої проєкти не тільки в Україні. USAID допомагає побудувати в тому числі систему кібербезпеки. Це не означає, що вони приходять і кажуть, що і як робити. Ні, вони слухають, допомагають із залученням експертів, з реалізацією якихось певних проєктів.
Петицію я читав. У ній є хороші речі. Наприклад, про те, що без об’єднання вчених, громадськості важко щось реалізувати. Але коли це звучить в ультимативній формі, то це недобре.
Проєкт USAID – це однозначно плюс, за ним стоїть як мінімум ім’я й імідж. Він не буде вплутуватися в якісь незрозумілі ігри. Однозначно, усім не догодиш. Але реалізація цього проєкту триває, і результатом є функціонування цієї ж Ради (кібербезпеки, – LB.ua), де допомагають розвиватися й реалізовувати IT-проєкти. Трансформація кіберцентру теж проходить із їхньою участю – з їхніми порадами, певними ідеями.
«Пов’язувати витік даних і проєкт цифровізації як мінімум неправильно»
С.К.: Поговорімо про масову цифровізацію. Цим напрямком займається віцепрем'єр Михайло Федоров. Це одна з передвиборних обіцянок Президента Зеленського. «Держава в смартфоні», проєкт «Дія» та все, що з цим пов’язано. Це зручно, коли всі документи під рукою. Але це й масовий збір особистих даних, які, за вашими ж словами, – головна мішень для кіберзлочинців. А рівень кіберзахисту в нас не на найвищому рівні.
Якщо ми говоримо про конкретний проєкт «Дія», то він не збирає персональні дані й не зберігає їх. За зберігання цих даних відповідала і далі відповідає міграційна служба МВС. Це шлюз, який дає можливість ним користуватися. На цей час цей шлюз сертифікований за українським законодавством і, судячи з результатів міжнародних експертиз, надійний. Робота над ним постійно триває.
С.К.: Прецедент уже є. Минулого року в одному із чат-ботів можна було купити особисті дані 26 млн українців. Розслідування провели, але без будь-яких результатів. При цьому ми все одно переходимо на «Державу в смартфоні».
Витік цих даних стався до початку реалізації проєкту, пов’язаного з цифровізацією. Це було технічно визначено експертизами. Тому пов’язувати витік даних і проєкт цифровізації як мінімум неправильно. Щодо захищеності передачі, ну, це технічний захист інформації, який ми розвиваємо спільно, зокрема, з Міністерством цифрової трансформації.
За короткий проміжок часу ми реалізували історичну подію – цифрову трансформацію. Паралельно розвивається система захисту інформації. Не можна будувати щось одне й не будувати чогось іншого.
О.Б.: Держава спочатку «побудувала» «Дію» і продовжує будувати «Державу в смартфоні», а тільки потім починає думати про безпеку.
Це паралельні процеси.
С.К.: У січні був прийнятий законопроєкт про референдум, де прописано введення в перспективі електронного голосування. В інтерв’ю віцеспікер Верховної Ради Руслан Стефанчук, автор документа, цю норму послідовно захищає. Тоді як більш розвинені європейські країни – після історії з американськими виборами – з голосуванням у смартфонах вирішили почекати. Наприклад, Нідерланди, Норвегія, Німеччина.
Зрештою, у нас є досвід втручання в результат виборів 2004 року з транзитним сервером.
О.Б.: Спроби злому сайту ЦВК у 2014 році.
С.К.: А технології відтоді значно зробили крок уперед. Чи виправдано вводити електронне голосування в нинішніх умовах?
Ніхто не говорить про введення електронного голосування цього чи навіть наступного року. Для початку потрібно побудувати надійну систему захисту. І нормативно це не робиться за день.
С.К.: Зрозуміло, що це плани й напрацювання. Але це правильний шлях для України?
Це класна ідея, до якої потрібно йти.
С.К.: Але у світі від неї відмовляються.
У той самий час багато де розвивають, наприклад в Естонії.
О.Б.: Естонія – маленька мирна країна, яка захищена НАТО. А ми сьомий рік перебуваємо в стані війни. З іншого боку, ви самі говорили про те, що рівень кібербезпеки в країні на недостатньо високому рівні, а тут вводять електронне голосування, яке бояться в себе робити американці, французи, німці.
Я не сказав, що це потрібно вводити. Я сказав, що до цього потрібно йти з відповідною можливістю захисту. Реалізовувати як ідею. Інфраструктура захисту інформації, яку планують побудувати, може бути застосована для реалізації інших завдань кібербезпеки.
С.К.: Вибачте, але навіщо, якщо від цього відмовляються більш розвинені країни?
Якщо говорити конкретно про Нідерланди, вони не відмовлялися. Вони відклали. Якраз через недостатній рівень захисту.
О.Б.: При тому, що країна менша, а фінансові можливості й ресурси значно перевищують наші.
Звичайно, зараз ми не готові до реалізації цього проєкту.
О.Б.: У нас орієнтовно 300 реєстрів у держорганах, що не синхронізовані між собою – у них взагалі немає ніяких точок дотику. Може, спробувати навести лад із цим, перш ніж організовувати голосування в смартфоні?
Як орган, відповідальний за захист безпосередньо цих реєстрів…
О.Б.: Точки збірки немає?
Немає. І зараз вона навіть не так технічно, як захищено не реалізована. Однією з точок об’єднання цих реєстрів повинна бути національна платформа. Реєстри написані різними мовами, створені за різними принципами. Лежать на різній інфраструктурі. Й ось для того, щоб їх якось синхронізувати, і потрібна платформа. Не може в країні бути 300 реєстрів, які дублюють одну й ту саму інформацію. Це нелогічно й свідчить про незахищеність. Захистити щось одне набагато простіше, ніж коли кожен захищає окремо свою частину, а воно однаково кудись витікає.
О.Б.: Якщо реєстри написані різними мовами, їх потрібно всі переписати?
Їх потрібно інтегрувати один в одного. Будь-який реєстр – це набір цифр, символів і якихось даних. Для того, щоб їх сконструювати, мусить бути конструктор. Наприклад, для цього можна створити захищену платформу ведення реєстрів.
Потім вони заганяються в одне захищене середовище.
О.Б.: Це яке?
Національний центр резервування. Це як один з елементів цієї системи.
О.Б.: Ви всю країну заганяєте на одну кнопку?
У кожного своя сфера відповідальності. Це не означає, що Держспецзв’язок буде відповідати за все й тільки видавати доступ. У кожного свій модуль у цій великій системі. Але вони інтегровані між собою. І кожен відповідає за свій сектор захисту.
О.Б.: Тут ще виникає питання допуску, наприклад, СБУ і МВС до цих даних. Чи не дасте ви товаришеві майору вирішувати долю людини одним натисканням кнопки?
Усі правоохоронні органи повинні отримувати доступ згідно зі встановленим законом порядком.
О.Б.: У Китаї цифровізація проходить активними темпами. І вже дійшла до соціальних індексів. Це дуже небезпечна історія.
Звичайно, небезпечна. Але ми ж не йдемо в бік Китаю. Ми будуємо систему, виходячи з американських, канадських і європейських стандартів. Тому приклад Китаю ми не беремо. Тільки те, що реалізовано і якісно працює. Найголовніше – побудувати систему довіри населення до держави.
«Наші співробітники затребувані на ринку»
О.Б.: Ви сказали, що зарплати в кібцентрі виросли до 30 тисяч гривень на місяць. Раніше в інтерв’ю Укрінформу згадували, що середній оклад молодих фахівців у відомстві – 13-15 тисяч гривень. Яка мотивація освіченим і технічно грамотним спеціалістам працювати у вас за таку зарплату, враховуючи, що в приватному секторі зовсім інші цифри?
Комфортні умови, цікава робота. Підвищення зарплат – це один з етапів, який ми проходимо. Наша команда працює трохи більше ніж пів року.
О.Б.: Навряд чи ці умови комфортніші, ніж у навіть маленькій IT-фірмі.
За місяць або за пів року неможливо все створити. Але це одна з цілей, яку ми намагаємося реалізувати. А підняття зарплат – один з елементів цього. Великий, маленький, але цей елемент реалізовується…
О.Б.: Чесно, не розумію, що людей, крім зобов’язання відслужити п’ять років, може тримати в держструктурі?
Ця державна структура дає змогу розвинутися професійно. Випускник інституту, який прийде на ринок, буде отримувати в IT-компанії приблизно таку саму зарплату.
О.Б.: Ну, рік-два, потім вона виросте.
На 100–200 доларів. І він стане фахівцем у якійсь вузькій сфері. Структура Держспецзв’язку дозволяє розвинутися професійно набагато ширше. Наші співробітники потрібні на ринку. Звідси виходять підготовлені професіонали й більшість експертів.
О.Б.: Тобто понад п’ять років у вас ніхто не працює?
Працює. Є патріотизм, є робота над цікавими проєктами, які реалізуються в Держспецзв’язку. Тому однозначно працюють.
О.Б.: Наведу ще одну цитату Костянтина Корсуна: «У сенсі кібербезпеки Держспецзв’язку є притулком низькокваліфікованих бюрократів, які мають нахабство називати себе фахівцями з кібербезпеки. Побудована ДССЗЗІ на фундаменті корупції досі тримається купи як окреме відомство виключно шляхом колосального накопичення різних нормативних документів».
Ця людина теж виходець із Держспецзв’язку.
О.Б.: Так, я знаю.
Значить, досить якісних експертів випускає Держспецзв’язку? Це відповідь на цитату.
О.Б.: У вас профільної освіти немає. Фінансова освіта, податкова, потім академія СБУ.
Так. Академія СБУ і фінансова освіта. Успішність будь-якого проєкту – це достатньо кваліфікована команда.
Повернімося до функціоналу. 92 функції. Якщо хтось скаже, що він експерт у всіх, то він не є експертом у жодному з цих напрямків. Моє завдання – організувати роботу команди. За кожну сферу діяльності відповідає досить кваліфікований заступник. Можемо пройтися по кожному конкретно.
О.Б.: Ви набрали нових заступників?
Так. Уся команда керівників повністю нова.
О.Б.: Чому?
Тому що ми підбирали професіоналів відповідно до завдань, які перед нами стоять. І якщо ми говоримо про сферу захисту інформації, криптографічного захисту інформації, у нас її курує доктор наук, професор, міжнародний викладач. Людина глибоко в цій темі. Сам будував системи захисту інформації та викладав це на міжнародному рівні.
За сферу кібербезпеки відповідає людина, яка 17 років будувала системи кіберзахисту. Чоловік прийшов з успішного бізнесу. Для нього це особистий виклик. Багато що втратив, але прийшов реалізувати щось для держави.
Людина, що відповідає за юридичний та господарський напрямок, – доктор юридичних наук, професор,понад 20 років адвокатського стажу.
Перший заступник має понад 10 років досвіду в держуправлінні. Якісний державний управлінець. Професіонал.
Ну, не може кожен бути експертом з кібербезпеки.
О.Б.: Так чи інакше, вам ухвалювати важливі рішення у сфері кібербезпеки.
У кібербезпеці в тому числі. Тому є заступники, які допомагають прийняти рішення. І це рішення командне. Я несу відповідальність за кінцевий результат. Крім того, моє завдання – забезпечити комфортні умови роботи і якісний менеджмент.
С.К.: Що за історія була у 2015 році з хабарем?
О.Б.: Кажуть, що вас затримувала внутрішня безпека СБУ за хабар.
Ні. Історія мене стосується тільки в тому, що я в цей період служив у Дніпровському управлінні. На цьому вона ніби закінчена.
С.К.: Розкажіть тоді, звідки ноги ростуть.
Не уявляю. Є багато критиків, є недоброзичливці.
С.К.: Тобто факту затримання не було?
Не було. З того, що я знаю про цю історію: це було в Дніпрі і відбувалося в Дніпровському управлінні. Але мене особисто не стосується. Це випливає з матеріалів справи, вона зараз, по-моєму, на розгляді.
О.Б.: Тоді поясніть, чому, коли гуглять ваше ім’я, відразу ж спливає ця історія.
Мене допитували як свідка, ось і вся причетність до цієї історії. Мене не затримували.
О.Б.: Український кіберальянс скаржиться на те, що ваше відомство відмовилося від співпраці з українськими активістами.
За мою каденцію звернень і пропозицій про співпрацю від Українського кіберальянсу не було.
О.Б.: Але і ви ініціативи не виявляли.
Наскільки я знаю, вони відмовилися від проєктів з органами держвлади.
О.Б.: Держава почала переслідувати їх на початку минулого року. Чому?
Це питання, напевно, до правоохоронних структур.
О.Б.: Тобто з проєкту USAID та інших масштабних проєктів вони викреслені?
Їх ніхто не викреслював. Вони самі не прийшли. Коли створювали Раду кібербезпеки, кликали всіх. Була відкрита публічна презентація. Були я, Сергій Васильович Демидюк (колишній начальник Департаменту кібербезпеки Нацполіції, зараз – заступник секретаря РНБО, – LB.ua), представники Міністерства цифрової трансформації. Запрошували: люди, прийдіть, підкажіть, як краще, замість нас не потрібно працювати, просто підкажіть, а ми прислухаємося або зробимо разом. У кого було бажання щось реалізувати, той прийшов і вступив у Раду.
О.Б.: Останнє запитання. Західні експерти кажуть, що штучний інтелект – потенційно одна з найбільших загроз для кібербезпеки. Для нас це загроза?
Для України? Україна перебуває в настільки різних вагових категоріях з ШI, що для нас звичайний телефон є загрозою. Щоб штучний інтелект чимось нам загрожував, його хоча б створити потрібно.