Уряд серйозно стурбований станом справ із кібербезпекою на держпідприємствах та у владних кабінетах. Підлатати «диряві» мережі пропонують вельми радикально. Днями Держслужба спеціального зв'язку та захисту інформації оприлюднила проект постанови Кабміну, який прописує правила доступу в інтернет для чиновників та держкомпаній, - інформує UBR.
Свої ініціативи кіберзахисники пояснюють президентським указом та рішенням РНБО. І пропонують ввести такі вимоги:
- Державні абоненти повинні використовувати тільки сервери, розташовані на підконтрольній території;
- Державні абоненти повинні працювати тільки з тими провайдерами, які мають захищені вузли доступу до глобальних мереж та атестати відповідності до них;
- Державні органи реєструють свій домен в зоні gov.ua виключно з використанням протоколу НТТРS, а інші абоненти - на нижніх рівнях домену ua;
- Не можна підключати до глобальних мереж передачі даних інформацію, яка становить державну таємницю.
Усі ці вимоги пояснюються необхідністю забезпечити захист інформаційних ресурсів держави від кіберзагроз. З усього переліку найбільш значущим є другий пункт - про роботу з провайдерами тільки через захищені вузли.
«Будь-які зусилля, які робляться для підвищення захищеності, гарні. Ідея зрозуміла. Кілька тисяч підприємств підключаються через відомі точки обміну трафіком. У цих точках можна поставити якісь сенсори, які будуть технічно моніторити трафік та виявляти загрози. В цілому ініціатива не найгірша. Вона повинна підштовхнути провайдерів до того, щоб дотримувалася «цифрова гігієна» у власних мережах, особливо якщо вони хочуть працювати з держсектором», - розповів UBR.ua директор Лабораторії комп'ютерної криміналістики CyberLab Сергій Прокопенко.
Дозволені провайдери
Як з'ясовується, з 6 тис. провайдерів, новим вимогам відповідають одиниці. 30 липня Держспецзв'язку затвердила список провайдерів, що мають атестати відповідності системи захисту. До таких відносяться Державний центр кіберзахисту Держспецзв'язку, «Укртелеком», «Датагруп», «Адамант», «Оріон» та ін. - всього 15 провайдерів. Очевидно, що саме вони й стануть першими в черзі на отримання права надавати послуги доступу до інтернету для держсектору.
Є ще ряд провайдерів, які мають захищені вузли доступу (наприклад, велика трійка мобільників - Київстар, Vodafone, life), але вони в перелік Держспецзв'язку чомусь не включені. Можливо, тому що у них немає «правильних» атестатів.
Тобто, ініціативи чиновників автоматично відсіюють тисячі провайдерів від роботи з державними органами та підприємствами.
Скільки коштує
Під дію постанови підпадають 3 554 великих та середніх державних абонентів. Саме їх і передбачається перевести на роботу з провайдерами, що мають захищені вузли безпеки доступу. Автори проекту визнають, що на імплементацію норм будуть потрібні фінансові витрати, і навіть називають якісь цифри. Так, тільки на переукладання договорів піде не менше 600 тис. грн - цифра, яка в процесі може збільшитися в рази.
Але це, зрозуміло, не всі витрати бюджету. З 17 квітня в Україні діють граничні тарифи на надання послуг інтернету через захищений доступ. Підключення абонента обмежена максимум в 1500 грн, а щомісячна плата за послуги провайдера з захищеним вузлом безпеки не повинна перевищувати 11,5 тисячі гривень.
Зрозуміло, мова йде про граничні тарифи. Але в умовах вкрай мізерної конкуренції гарантувати, що оператори не стануть задирати вартість послуг до допустимого максимуму, ніхто не візьметься.
«На мій погляд, тут два моменти. Перше - обмеження числа операторів, які можуть надавати послуги доступу держструктурам. Друге - за рахунок коштів платників податків платити доведеться набагато більше, ніж ця послуга фактично коштує, при цьому ціна буде регулюватися», - переконаний глава Інтернет-асоціації Олександр Федієнко.
Експерт підкреслив, що наявність подібних «вузлів безпеки» аж ніяк не гарантує безпеку доступу. Але пов'язано з безглуздою бюрократичною процедурою.
«Щоб надавати послуги державному сегменту, необхідно отримати відповідну декларацію, довівши, що в оператора є т.зв. захищений вузол. Це має на увазі під собою два поверхи макулатури у вигляді паперу і якийсь дійсний елемент захисту, але, як показує практика, він неефективний проти реальних загроз», - додає експерт.
Зароблять свої
Не виключено, що гарні на перший погляд наміри чиновників мають під собою куди більш просте пояснення. А «захищати» держоргани від кіберзагроз стане жменька обраних провайдерів.
«Може йтися про нав'язування «своїх» постачальників послуг. Якщо припустити, що все буде прозоро - сама по собі ця норма хороша, причому вона раніше вже діяла в Україні. Але ж в нашій країні часто трапляється інакше. А коли справа доходить до реалізації, з'являються нові вимоги та список претендентів різко скорочується. Мені здається, що це робиться під цілком конкретні компанії. Потім, коли будуть прописуватися технічні вимоги, з'ясується, що їм відповідає лише кілька провайдерів», - повідомив UBR.ua чиновник, який побажав залишитися невідомим.
Крім того, кажуть експерти, наявність граничних тарифів в наших умовах часто зовсім не рівносильно спробі захистити споживача від цінового свавілля. Тим більше, коли рамки задерті до небес. Швидше за все обрані провайдери будуть використовувати їх як орієнтир, до якого слід прагнути, вибудовуючи відносини з держкомпаніями. Заплатить ж за все звичайний платник податків.
Це, втім, не означає, що держкомпанії не потрібно захищати. Питання лише в тому, наскільки прозорою зможуть вибудувати процедуру Держспецзв'язку та Кабмін, і скільки компаній в результаті зможуть пройти відбір кіберзахисників.
Олексій Ермоленко
