Уже більше року Україна веде активну фазу неоголошеної гібридної війни з Російською Федерацією. Це протистояння -питання не року-двох, а, вочевидь, довшого періоду. При цьому саме найближчі роки можуть стати вирішальними.
Мусимо визнати, що, хоча Україна впродовж 2014 р. змогла з практично знищеної й деморалізованої армії створити боєздатну силу, в затяжному прямому протистоянні з істотно сильнішим противником перспективи "слабшого" видаються досить сумнівними. А Україна об'єктивно володіє меншими ресурсами (в т.ч. - фінансовими) і не готувалася роками, на відміну від нашого північного сусіда, до цієї війни.
В таких умовах Україна має застосовувати методи, які традиційно були тактикою слабших держав на випадок протидії агресивним діям потужніших країн: асиметричні відповіді, спрямовані на виснажування противника. При цьому ми мусимо продовжувати розбудовувати свою оборону на всіх можливих театрах військових дій.
Це підводить нас до проблеми, яка вже тривалий час залишається в загальному тренді обговорення, однак реальних практичних дій та цілісної державної політики тут або не спостерігається, або вони мають досить розмиті риси: кібербезпекова складова національної безпеки держави. Адже кіберпростір, хочемо ми того чи ні, вже став 5-м простором суперництва (в т.ч. - геополітичного) для всіх держав світу.
Кіберскладова сучасних конфліктів
Слід чітко розуміти, що чим далі тим більше кіберпростір як поле ведення протиборства двох або більше сторін набуватиме свого значення. Вже сьогодні бюджети безпекових відомств розвинених країн, що задіяні в системі кібербезпеки держави (а кількість структур, які в цих процесах задіяні, постійно збільшується), становлять мільярди доларів, і жодна з країн ще не зменшувала видатків за цими статтями.
Не слід обманюватися, що ці кошти вкладаються виключно в системи "оборони" та "захисту", - неформально майже всі держави займаються розробкою і наступальних кіберозброєнь.
Навіть станом на 2010 р. експерти відзначали, що понад 20 країн розробляють кіберозброєння, у 2012-му таких країн було, щонайменше, 25. І це дані за період, який умовно вважають початком глобального кіберпротистояння, що сьогодні перейшло у більш серйозну фазу, аж до спроб кібердиверсій проти об'єктів критичної інфраструктури (зокрема в Ірані). Про обсяги й масштаби підготовки розвинених держав до кіберпротистояння свідчать і дані викривальних заяв Е.Сноудена. І хоча більшість із того вже було відоме експертам або вони про це здогадувалися, однак підтвердження цих здогадок, а також масштаб програм, які реалізуються лише АНБ США, свідчать про реальну занепокоєність уряду США кібербезпековою проблематикою. При цьому слід мати на увазі, що АНБ - не єдина американська державна структура, яка реалізує кібербезпекові програми, а загалом країн, котрі мають фінансові, людські та інфраструктурні можливості реалізовувати такі програми, за даними експертів, у 2015 р. налічується близько 140.
Слід визнати, що більшість останніх активних збройних протистоянь так чи інакше супроводжувались і протистоянням у кіберпросторі. Це було характерно для недавньої війни в Лівії, частково - в Сирії, а кібершпигунство та кібердиверсії взагалі є постійним тлом міжнародних відносин. Робота вірусу Stuxnet, викриття шпигунських вірусів та мереж Duqu, Flame, Gauss, MiniDuke, Red October, Wiper - ось лише неповний перелік відомих кібершпигунских чи кібердиверсійних акцій, які було виявлено з
2011 р., і з кожним наступним роком їх стає дедалі більше. І це без урахування цілеспрямованих кібершпигунських дій проти конкретних державних чи промислових об'єктів, мета яких - отримання інформації про закриті розробки (в т.ч. - найновіші дослідження у сфері ВПК).
Важливо зазначити, що відомий вірус Stuxnet, метою якого була ядерна програма Ірану, його розробники позиціювали саме як асиметричну відповідь на цю програму. Тобто розвинені держави чітко усвідомлюють, що кіберзброя може виявитися реальним асиметричним інструментом протидії тим країнам, котрі ставлять під загрозу існуючий міжнародний безпековий порядок.
Важко говорити про конкретні пропорції витрат розвинених держав на "оборону" і "напад" у межах кібербезпекової тематики. Однак ставка на другу складову істотна вища, ніж про це зазвичай кажуть. Свого часу один із заступників міністра оборони США, У.Лінн, розмірковуючи про баланс між "обороною" та "нападом" у кіберпросторі, слушно зазначив, що "ви не знаєте, як побудувати надійний захист, ви не зможете відвернути масштабний наступ. І ви не зможете забезпечити необхідну відповідь, оскільки ефективне стримування надзвичайно складне. Таким чином, якщо ви хочете скористатися кіберпростором, ви робитимете ставку на наступальні операції заради власної оборони". Маємо визнати, що такий стан речей у кібербезпековій проблематиці - об'єктивна реальність, із якою й ми мусимо рахуватися.
Швидше за все, спроби виробити якісь міжнародні системи контролю над кіберозброєннями (що нині намагаються ініціювати окремі країни) чи заборонити їх використання в деструктивних цілях ще довгий час зазнаватимуть поразки (хоча це має залишатися дороговказом для всіх членів міжнародного співтовариства).
Це обумовлено низкою характеристик самої кіберзброї, яку часто навіть неможливо ідентифікувати як таку. Крім того, атака завжди виявляється дешевшою і більш згубною для противника, а захист - надзвичайно складним і вартісним.
Кіберскладова неоголошеної війни
Ще з моменту анексії Криму (а за деякими даними - з часів Євромайдану) Росія використовувала кібератаки як складову своєї гібридної війни проти нашої держави. Різноманітні "кіберберкути" з не до кінця зрозумілою "пропискою" та складом, а також спеціальні підрозділи безпекових структур нашого противника здійснювали атаки на державні інформаційні ресурси та на персональні дані окремих політиків і громадських діячів. Найбільш відомі випадки таких дій - DDoS-атаки на урядові ресурси (МЗС, сайт президента України, сайти органів сектора безпеки і оборони), цільові атаки на держоргани з допомогою шахрайських електронних листів, спроби порушення роботи системи ЦВК під час виборів президента і на парламентських виборах 2014 р., а також функціонування вірусу Uroboros, який, із високою часткою ймовірності, ідентифіковано як російський. Він мав усі ознаки використання проти України кібершпигунської акції, а під дію вірусу потрапили веб-ресурси органів державної влади (зокрема силових структур), засобів масової інформації, фінансових установ, великих промислових підприємств.
І це на тлі десятків інших спроб вплинути на безпеку нашої держави з допомогою кібератак. Наприклад, на думку дослідників компанії ESET, проти України (і частково - Польщі) цілеспрямовано було використано вірус BlackEnergy, мета якого - збирати дані з жорстких дисків уражених комп'ютерів, робити скріншоти екранів користувачів, перехоплювати введення даних та багато іншого. Орієнтовно, було уражено державні організації, бізнес структури та промисловий сектор. Крім того, проти українських установ було використано вірус CosmicDuke (модифікацію вірусу Miniduke, призначення якого - викрадення інформації). Є окремі дані про використання вірусу FireEye для шпигунства за українськими посадовцями. І це без урахування опосередкованих кібератак із допомогою соцмереж із їх тисячами "фейкових" аккаунтів для поширення неправдивої інформації про події в державі та провокування заворушень, а також більш традиційних атак із допомогою соціального інжинірингу.
Тож один із заступників голови Адміністрації президента України, Д.Шимків, цілком слушно зазначив у своєму недавньому інтерв'ю: "Ми зіштовхуємось із надзвичайно серйозними завданнями з кібербезпеки… Відбиватися від кібератак потрібно вміти".
Кібершпигунські чи кібердиверсійні акції вже сьогодні завдають шкоди нашій обороноздатності.
Не є таємницею, що російські спецслужби використовували потужності деяких із найбільших українських мобільних операторів для того, аби прослуховувати телефони українських абонентів, визначати місце їх знаходження, отримувати всі необхідні метадані користувачів. Ця інформація використовується найрізноманітнішим чином: від здійснення психологічного тиску і до використання отриманих даних для наведення артилерії агресора по позиціях українських військових у зоні АТО.
Тобто вже сьогодні маємо приклади використання агресором кіберпростору (телекомунікаційної складової) у деструктивних цілях проти України. Поки що це обмежується кібершпигунськими акціями чи DDoS-атаками. Однак чи є впевненість у тому, що кібератаки не стануть серйознішими й не спрямовуватимуться на об'єкти критичної інфраструктури, становлячи реальну загрозу життю та здоров'ю значної кількості українських громадян? Тим більше що 2015 р. не буде спокійнішим - уже зараз українські безпекові й експертні структури прогнозують можливість зростання кількості та якості кібератак проти України. Адже Росія послідовно використовує нашу державу як полігон не лише для випробовування кінетичних видів озброєнь та нових тактик ведення війни, а й для оптимізації власних кібернаступальних можливостей.
Відповідно, убезпеченість кіберпростору держави від атак, від використання його проти інтересів національної безпеки та оборони - одне з пріоритетних завдань для держави. Причому рішення мають бути віднайдені вже зараз, а увага держави до кіберпроблематики має перейти з площини теорії у практику.
Крім того, мусимо чітко зрозуміти, що кіберпростір має стати
інструментом нашої асиметричної відповіді на агресію. Свого часу екс-керівник національної розвідки США М.Макконнелл зазначав, що кіберстримування може слугувати цілям розбудови безпечного кіберпростору, а наявність могутніх кібернаступальних потенціалів може виконувати роль стримувального чинника в питанні застосування масштабних кібератак проти США.
Україна не просто може, а вимушена стати на аналогічну позицію й перестати концентруватися виключно на оборонних заходах. Маючи один із найкращих у світі людських потенціалів, фахівців з ІТ, здатність працювати швидко та ефективно, високу мотивацію до протистояння зовнішній агресії, держава повинна робити ставку не лише на оборонні технології, а й на наступальні, в т.ч. - кіберозброєння. Противник має знати, що, намагаючись використовувати кіберпростір на шкоду національним інтересам України, він може наразитися на масштабну кібервідповідь. Це, своєю чергою, призведе до зростання його видатків на оборонні витрати, що й може бути однією з цілей асиметричної відповіді. Зазначена пропозиція, вочевидь, суперечить усім миротворчим заходам, що здійснюються на глобальному рівні, з демілітаризації кіберпростору, однак ми не можемо більше вдавати, що не помічаємо реальності в цій царині, замінюючи її неефективними розмовами.
Акцент на розвиток кіберозброєнь важливий і ще з однієї причини. Ми постійно звертаємося до наших західних партнерів із проханням надати нам летальні озброєння для оборони від зовнішньої агресії. Однак при цьому не використовуємо навіть тих можливостей, які в нас є. Мусимо чесно визнати, що отримання озброєнь від Заходу - питання неоднозначне, і допомоги у створенні власних наступальних можливостей ми, швидше за все, не одержимо. Аналогічно і для кіберозброєнь. Однак останні ми справді можемо створювати самі, спираючись на власний потенціал і власні ж можливості. Це не відкидає нашої співпраці із західними союзниками у сфері розбудови саме кібероборонних можливостей, однак кібернаступ - зона відповідальності лише самої України.
Стан і перспективи кібербезпекового сектора України
До останнього часу розвиток кібербезпекового сектора в Україні був досить специфічним, а подекуди - фрагментарним. Безумовно, ці питання не залишалися цілком "у повітрі", - різною мірою до вирішення завдань у зазначеній сфері причетні чимало державних структур, ключовими з яких є Держспецзв'язок, СБУ, МВС, а також оборонні та розвідувальні структури у межах своїх завдань і повноважень.
Однак, попри все, системності в цих процесах усе ще небагато, а про ефективну координацію діяльності говорити важко. І для цього є низка об'єктивних та суб'єктивних передумов.
Передусім, досі незрозуміло, хто, власне, відповідає за кібербезпекову тематику в державі. З
2011 р. робилося чимало спроб вирішити це питання на законодавчому рівні, в тому числі - у межах профільного закону України. Завдання розробити такий закон регулярно з'являлося в рішеннях РНБО (востаннє - у травневому рішенні 2014 р., присвяченому питанням інформаційної безпеки), однак досі особливих зрушень у цьому питанні не було. Мусимо чесно визнати, що одна з причин цього - наявність міжвідомчих суперечностей і складність пошуку компромісу між держструктурами. Кожна з інституцій не бажає поступатися своїми інтересами та повноваженнями, вважаючи, що саме вона має стати "ключовою" структурою. Найчастіше ця дискусія зводиться до необхідності створити цілком нову державну структуру, що опікувалася б саме питаннями кібербезпеки. Назв для неї вже придумано вдосталь - від "Служби кіберзахисту" до "Агентства з кібербезпеки України".
Формально, "адвокати" зазначеної ідеї мають рацію: світовий досвід свідчить, що в більшості держав такі структури є, і в цих державах побудовано жорсткі моделі управління національною кібербезпековою сферою. Однак "світовий досвід" - річ цікава: у ньому, як у Біблії, можна знайти відповіді майже на будь-який смак і на всі випадки життя. Напевно, крім однієї - якою має бути система кібербезпеки для держави, що реально, а не теоретично перебуває у стані активної війни із завідомо потужнішим противником?
І постає запитання: чи справді в країні ситуація настільки стабільна, а в бюджеті - настільки багато коштів, що держава може дозволити собі таке масштабне реформування (причому з досить неоднозначним кінцевим результатом)? Адже йдеться не про "зміну вивісок", а про серйозний перерозподіл функцій та утворення нових структур.
У приватних розмовах функціонери НАТО, що опікуються кібербезпековою проблематикою, коли чують про необхідність "створити структуру" чи "ґрунтовно перерозподілити повноваження діючих суб'єктів", слушно запитують: "А у вас справді йде війна, що ви маєте час на такі речі?". Сьогодні західні партнери готові нам допомагати у розбудові кіберзахисту нашої держави, однак не у спонсоруванні імітації інституційних реформ, які лише зволікають час. Причому в такій допомозі те ж таки НАТО надзвичайно конкретне: з цією метою після Уельського саміту НАТО в 2014 р. було створено спеціальний трастовий фонд для вирішення питань кібербезпеки української держави.
Однак для цього нам потрібно визначитися, хто буде тією структурою, котра візьме на себе відповідальність за координацію кібербезпекового сектора. Об'єктивно, це не можуть бути безпосередні структури сектора безпеки і оборони, оскільки жодна з них не має достатніх повноважень та можливостей для охоплення всього спектра проблем. Напевно, доцільно було б покласти додаткові повноваження координації на РНБО України, тим більше що після останніх нормотворчих заходів її повноваження розширилися. Однак при цьому в межах Міністерства оборони створення кіберкомандування також видається доцільним, особливо зважаючи на те, що на сьогодні функції кіберзахисту та кібернападу в цій структурі розпорошені між кількома структурними підрозділами.
Інше критичне питання - стратегічне планування у сфері кібербезпеки. Досі немає навіть документів загального характеру щодо стратегічного бачення в державі кібербезпекової проблематики. Традиційного для всіх розвинених держав світу документа "Стратегія кібербезпеки" (під різними назвами в різних країнах) досі не прийнято, хоча такі спроби робилися принаймні з 2012-го по 2014 р. Завдання цієї Стратегії - дати відповідь на питання щодо ключових загроз національній безпеці в кіберпросторі, пріоритетів державної політики у цій сфері, а також основних кроків, які необхідно зробити задля нейтралізації загроз. Причому, як і в багатьох інших сферах державної безпекової політики, нам кричуще бракує координації навіть наявних ресурсів. Наприклад, маємо принаймні кілька державних програм, що опікуються питанням розвитку ІТ, однак їх взаємоузгодженість досить умовна.
Ще одна важлива проблема, про яку держава воліла довгий час не згадувати, - взаємодія між державними та недержавними структурами. Де-факто, більшість як чинних, так і проектних нормативно-правових ініціатив будуються на принципах виключної суб'єктності держави, тоді як приватному сектору залишають роль статистів і виконувачів усіх приписних документів. Фактично, приватний сектор, незважаючи на те, що переважна більшість об'єктів критичної інфраструктури (тим паче інформаційної) належать саме йому, не сприймається державою як рівноправний партнер, а тим більше - помічник у посиленні обороноздатності країни в кіберпросторі.
Важко сказати, наскільки ця ситуація змінилася впродовж останнього року. З одного боку, можна спостерігати зростання відкритості державних структур до співпраці. Принаймні окремі ініціативи в цьому напрямі демонструють і Держспецзв'зок (в т.ч. - в особі CERT-UA), і СБУ. Однак багато в чому механізми співпраці не налагоджено, зокрема - через наявні бюрократичні процедури, які не дозволяють повною мірою залучити цей потенціал. При цьому маємо визнати, що часто різноманітні "кіберополчення" можуть робити те, чого не в змозі (з різних причин) робити держава. Хоча при цьому "кіберополченці" (на кшталт "Українських кібервійськ") і самі розуміють усю "специфічність" власної діяльності з погляду Кримінального кодексу.
І, нарешті, держава має оптимізувати використання наявного науково-технічного та людського потенціалу для зазначеної сфери. Ключ до успішного захисту від кібератак і посилення своїх позицій у кіберпросторі - це люди. Високоосвічені фахівці, які розуміють усю складність поставлених перед ними завдань. В України цей ресурс є - щорічно випускаються кілька десятків тисяч ІТ-фахівців, рівень підготовки багатьох із яких відповідає світовому. Водночас, українські інженери й програмісти створюють цілком конкурентноздатні програмні та технічні продукти, які можуть бути використані, в тому числі, і для посилення кібербезпеки держави.
Однак чи справді держава використовує цей ресурс повною мірою? На жаль, у багатьох випадках "держава" і "наука" в зазначеній сфері в нас або не перетинаються, або перетинаються досить умовно. З одного боку, це пов'язано з об'єктивною неспроможністю держави забезпечити залучення багатьох висококласних фахівців на державну службу через брак відповідних коштів. Показово, що коли недавно CERT-UA оголосив про набір хакерів і повідомив, що очікувана заробітна платня становитиме близько 3,5-5 тис. грн, з'ясувалося - патріотизм багатьох фахівців не сягає так далеко, аби працювати за таку суму на державній службі. Це справді проблема, яку слід вирішувати. Можливо - шляхом утворення особливого підрозділу в структурі одного з державних органів із відповідним рівнем оплати фахівців. І не йдеться про те, що там має працювати одразу сотня спеціалістів, - хай це буде вкрай мала кількість молодих фахівців, які пройшли серію національних кіберзмагань (що в більшості розвинених держав і є одним із джерел пошуку таких фахівців) та довели свій високий рівень і фах.
Взагалі, варто поставитися серйозніше до різноманітних заходів, котрі сприяють зацікавленості молоді кібербезпековою проблематикою. Нам потрібні як уже згадані національні кіберзмагання, так і регулярні хакатони та інші види заходів, де безпекові відомства зможуть відбирати для себе молодих фахівців на реальній конкурентній основі.
При цьому мусимо віднайти ефективнішу форму використання вітчизняних програмних і технічних напрацювань у розвитку кібербезпекового потенціалу держави. Одразу кілька потужних ВНЗ України готують висококласних фахівців і вже мають відповідні технічні напрацювання, що можуть і повинні бути впроваджені у вітчизняний сектор кібербезпеки. Власне, йдеться про формування комплексного програмного та конструкторського забезпечення функціонування державної системи кібернетичної безпеки України.
Можна по-різному оцінювати нинішню готовність держави вести активну фазу збройного протистояння з агресором, однак кіберпростір - це те місце, де ми справді можемо й повинні дати гідну відсіч противнику. Кіберпростір має стати одним із елементів нашої асиметричної відповіді на агресію, дієвим фронтом нашого спротиву. Держава має для цього майже все необхідне, а чого не має держава - мають її громадяни. Тож наше завдання тут і тепер - використати цей ресурс, забезпечивши необхідні інституційні, нормативно-правові та практичні зміни підходу держави до кібербезпекової тематики.