Про кібератаки на критичну інфраструктуру, Німеччина vs Україна

Про кібератаки на критичну інфраструктуру, Німеччина vs Україна

Про кібератаки на критичну інфраструктуру, Німеччина vs Україна.

В Україні ось-ось очікується черговий сплеск кібервійни, і головною мішенню має стати критична інфраструктура.
І це не обов’язково буде ЦВК чи АПУ, чи НБУ чи Верховна Рада.
У цих цитаделях вже давно готові до атаки: викопані рви, все обнесено колючкою, у вікнах мішки з піском, на кожному розі вартовий, сигналізація, тривожні кнопки, усе таке. Звісно, у кібер-сенсі.
Супротивник також це знає і тому не полізе у лобову атаку, а знайде інше болюче, але найменш захищене місце. Називати можливі напрямки не буду, щоб не полегшувати ворогові завдання.
Але повірте: незахищених об’єктів критичної інфраструктури набагато більше, ніж більш-менш захищених. Тому їх неодмінно атакуватимуть, буду радий якщо помилюся.

Але не сьогодні не зовсім про це.

Федеральне відомство з безпеки в сфері інформаційних технологій (BSI) фіксує збільшення кібератак на критичну інфраструктуру.
У цьому році – 157 випадків, у минулому – 145, роком раніше – взагалі 34 атаки.
Переважно атакують об’єкти забезпечення електрикою та водою, а також спрямовані на пошкодження комунікаційних систем.
До речі, останній напрямок в Україні державні кіберзахисники в упор не бачать і захищати не хочуть, хоча провайдери волають про цю небезпечну загрозу чи не щодня, збирають наради за участю правоохоронців, проводять прес-конференції, виступають на конференціях. Системно боротися з проблемою захисту комунікаційних систем держава Україна не хоче. Про це якось окремо напишу.

Чим привернула увагу стаття?
Двома речами.

Перше: фокус на критичну інфраструктуру: вони там, далеко від війни, таки вивчили уроки україно-російської кібервійни.

Друге: «ФРН має намір створити Агентство кібербезпеки для посилення захисту від інтернет-атак.»
А ось тут обережно. Не поспішаймо з закликами «А давайте і у нас так зробимо».
Поясню.
В Україні де-юре більшість функцій з кіберзахисту, у тому числі критичної інфраструктури, покладено на Держспецзв’язку, відомство з річним бюджетом у 120 млн. доларів.
Щоб зрозуміти що таке Держспецзв’язку, коротенька історична ремарка: це відомство свого часу створювалося як Департамент спеціальних телекомунікаційних систем та захисту інформації (ДСТСЗІ) СБУ, а ще раніше – Головне управління урядового зв’язку КДБ УРСР.
Відчуваєте спрямованість?
Захист урядового зв’язку. Щоб переговори чиновників не могли підслухати як «вороги держави», так суспільство нічого не знало про їх діяльність.
У 2007 ДСТСЗІ відокремили від СБУ.
Причина проста: не може одна й та сама організація (СБУ) і надавати урядовий зв’язок, і сама ж його прослуховувати (як спецслужба).
А урядовий зв’язок – це не тільки Президент, Кабмін чи міністерства. Це також Верховна Рада, місцева влада, суддівський корпус, військові, дипломати.
І тому різні гілки влади геть не хотіли монопольного та безконтрольного хазяйнування СБУ на урядових лініях зв’язку.

Але ж тепер вже окреме відомство, яке виросло з урядового зв’язку КДБ, продовжувало займатися давно знайомою справою. І тими ж методами, які дісталися ще від СРСР.
З часом добавлялися якісь нові функції, урядовий зв’язок втрачав актуальність, Інтернет ставив нові виклики з усіма його ризиками та безконтрольністю, з’явилися завдання із захисту мереж передачі даних.
Але загальний принцип роботи залишався КДБ-шним: усе контролювати, усіх нагибати, ні за що не відповідати. І боже збав звітувати перед громадськістю, для того усьому підряд надається гриф секретності. «Ми тут головні і найрозумніші, не умнічайте нам тут»

Ось така коротенька історична ретроспектива.

Що зараз?
Формально залишаючись головною організацією з кібербезпеки в України, де-факто Держспецзв’язку нездатне виконувати цю функцію. Про причини я вже неодноразово писав, не хочу повторюватися (хоча, можливо, і треба було б). Просто нездатне – і все, і цього вже не виправиш, завелике гниле коріння не дозволить перетворити старезний граб на гнучку лозу.
Потужна імітаційна робота відбувається, навіть пишеться щось, що здалека нагадує кібер-законодавство. Подаються звіти, рапортується про 100500 відбитих та упереджених кібератак, освоюються величезні бюджети, у тому числі надані західними донорами.
Але для української кібер-спільноти (це ті фахівці, хто займається кібербезпекою професійно) давно очевидно, що це не більше, ніж невдала імітація, до того ж зі значною корупційною складовою (як же ж без цього в Україні).

Дехто може зопалу вигукнути: «Так а давайте заберемо у Держспецзв’язку усю кібербезпеку і віддамо її окремому відомству.»
Ні. Це буде ще один Держспецзв’язку, але меншого масштабу.
Ще одне збіговисько чиновників-корупціонерів, які ні за що не нестимуть відповідальності, але відчайдушно імітуватимуть «тяжку боротьбу» і так само завзято пилятимуть державні та міжнародні кошти.

«У Німеччині до об’єктів критичної інфраструктури зараховують організації та установи в сферах енергетики, інформації та телекомунікації, транспорту, медицини, водопостачання, харчування, фінансів і страхування, державного та місцевого управління, ЗМІ та культури.»

В Україні майже те саме, крім ЗМІ та культури.
Хоча, наскільки мені відомо, Держспезв’язку досі не розробило, а КМУ не затвердило перелік об’єктів критичної інфраструктури та, відповідно, об’єктів критичної інформаційної інфраструктури. Тому поки що хтозна – що у нас вважається критичною інфраструктурою.

Але у Німеччині люди не вважають чиновників малограмотними крадіями-корупціонерами, недайбоже якась тінь натяку на ліві гроші, у країні бізнес не вважає владу ворогом, не розкрадається кабельна інфраструктура, поліція дійсно розкриває злочини, а не повертає за бакшиш вирвані без законних підстав з м’ясом сервери, урядові структури тісно співпрацюють з професійною спільнотою, дослухаються до порад, враховують зауваження. Тому що усвідомлюють, що «фахівці» та «експерти» працюють у бізнесі, а чиновники та державні службовці повинні принаймні не заважати платникам податків здобувати гроші на ці самі податки. А краще ще й допомагати.

Тому у Німеччині ідея Агентства кібербезпеки може спрацювати. А може і не спрацювати. Шанс є.
В Україні – шансів нема. Тобто нема шансів на успіх для ще одного державного агентства, з кібербезпеки. Жодних.

Без докорінного реформування правоохоронної системи, системи правосуддя, відносин чиновник-громадянин-платник податків, без якісного росту довіри до влади як такої, – будь-які спроби державного регулювання кібербезпеки приречені на провал.
Не буде ніякого державно-приватного партнерства, а буде лише корупція.
Не буде ніякої взаємодії, не буде обміну даними, світ реальний і світ чиновницький так і залишаться існувати окремо один від одного.
Об’єкти критичної інфраструктури так і залишаться віч-на-віч з концентрованою силою ворога, об’єднаного магічними закляттями Злобного Недомірка. А ворожі «тигри» розчавлять «паперових тигрів», навіть їх не помітивши.

Систему кібербезпеки країни треба будувати на інших принципах, ніж будувалася «вертикаль влади» протягом усієї нашої недавньої історії, за різних політиків, урядів та президентів.
Кібербезпека та потреба в ній будуть існувати з ними чи без них. Без них – краще)
Але система кібербезпеки сама не побудується, тут без участі державних інституцій та горезвісної «політичної волі» – нічого не вийде. Вже пробували.

А поки що маємо те, що маємо.
Чекаємо на нові атаки проти критичної інфраструктури і сподіваємося на криворукість ворожих кіберзлочиніців, корупцію в їх рядах, а як наслідок – потужні «удари в штангу». А ще серйозно розраховуємо на традиційне російське нехлюйство.

Бережімося.

Стаття за посиланням: https://www.dw.com/uk/%D1%83-%D1%84%D1%80%D0%BD-%D1%84%D1%96%D0%BA%D1%81%D1%83%D1%8E%D1%82%D1%8C-%D0%B1%D1%96%D0%BB%D1%8C%D1%88%D0%B5-%D0%BA%D1%96%D0%B1%D0%B5%D1%80%D0%B0%D1%82%D0%B0%D0%BA-%D0%BD%D0%B0-%D0%BA%D1%80%D0%B8%D1%82%D0%B8%D1%87%D0%BD%D1%83-%D1%96%D0%BD%D1%84%D1%80%D0%B0%D1%81%D1%82%D1%80%D1%83%D0%BA%D1%82%D1%83%D1%80%D1%83/a-47553888?fbclid=IwAR304v3w-E6-MlYfA2wa7hMJm8V-KatURx67lZwhm00eETCWG8oeytBWyi8

Костянтин Корсун

Голова Ради Громадської організації Українська група інформаційної безпеки, директор компанії з кібербезпеки Berezha Security.