Соответствовать новым требованиям смогут полтора десятка провайдеров

Правительство всерьез обеспокоено состоянием дел с кибербезопасностью на госпредприятиях и во властных кабинетах. Подлатать «дырявые» сети предлагают весьма радикально. На днях Госслужба специальной связи и защиты информации обнародовала проект постановления Кабмина, который прописывает правила доступа в интернет для чиновников и госкомпаний.

Свои инициативы киберзащитники объясняют президентским указом и решением СНБО. И предлагают ввести следующие требования:

-Государственные абоненты должны использовать только серверы, расположенные на подконтрольной территории;
-Государственные абоненты должны работать только с теми провайдерами, которые имеют защищенные узлы доступа к глобальным сетям и аттестаты соответствия к ним;
-Государственные органы регистрируют свой домен в зоне gov.ua исключительно с использованием протокола НТТРS, а другие абоненты – на нижних уровнях домена ua.
-Запрещается подключать к глобальным сетям передачи данных информацию, которая составляет государственную тайну.

Все эти требования объясняются необходимостью обеспечить защиту информационных ресурсов государства от киберугроз. Из всего перечня самым значимым является второй пункт — о работе с провайдерами только через защищенные узлы.

«Любые усилия, которые делаются для повышения защищенности, хороши. Идея понятна. Несколько тысяч предприятий подключаются через известные точки обмена трафиком. В этих точках можно поставить какие-то сенсоры, которые будут технически мониторить трафик и выявлять угрозы. В целом инициатива не самая плохая. Она должна подстегнуть провайдеров к тому, чтобы соблюдать "цифровую гигиену" в собственных сетях, особенно если они хотят работать с госсектором», — рассказал UBR.ua директор Лаборатории компьютерной криминалистики CyberLab Сергей Прокопенко.

Разрешенные провайдеры

Как выясняется, из 6 тыс. провайдеров, новым требованиям соответствуют единицы. 30 июля Госспецсвязи утвердила список провайдеров, имеющих аттестаты соответствия системы защиты. К таким относятся Государственный центр киберзащиты Госспецсвязи, «Укртелеком», «Датагруп», «Адамант», «Орион» и др. – всего 15 провайдеров. Очевидно, что именно они и станут первыми в очереди на получение права предоставлять услуги доступа к интернет для госсектора.

Есть еще ряд провайдеров, которые имеют защищенные узлы доступа (например, большая тройка мобильщиков — Киевстар, Vodafone, life), но они в перечень Госспецсвязи почему-то не включены. Возможно, потому что у них нет «правильных» аттестатов.

То есть инициативы чиновников автоматически отсеют тысячи провайдеров от работы с государственными органами и предприятиями.

Сколько стоит

Под действие постановления подпадают 3 554 крупных и средних государственных абонентов. Именно их и предполагается перевести на работу с провайдерами, имеющими защищенные узлы безопасности доступа. Авторы проекта признают, что на имплементацию норм потребуются финансовые затраты, и даже называют некие опорные цифры. Так, только на перезаключение договоров уйдет не менее 600 тыс. грн. – цифра, которая в процессе может увеличиться в разы.

Но это, разумеется, не все затраты бюджета. С 17 апреля в Украине действуют предельные тарифы на предоставление услуг интернета через защищенный доступ. Подключение абонента ограничено максимумом в 1500 грн., а ежемесячная плата за услуги провайдера с защищенным узлом безопасности не должна превышать 11,5 тысяч гривен.

Разумеется, речь идет о граничных тарифах. Но в условиях крайне скудной конкуренции гарантировать, что операторы не станут задирать стоимость услуг к допустимому максимуму, никто не возьмется.

«На мой взгляд, здесь два момента. Первое – ограничение числа операторов, которые могут оказывать услуги доступа госструктурам. Второе – за счет налогоплательщиков платить придется гораздо больше, чем эта услуга фактически стоит, причем цена будет регулироваться», – убежден глава Интернет-ассоциации Александр Федиенко.

Эксперт подчеркнул, что наличие подобных «узлов безопасности» отнюдь не гарантирует безопасность доступа. Но связано с бессмысленной бюрократической процедурой.

«Чтобы предоставлять услуги государственному сегменту, необходимо получить соответствующую декларацию, доказав, что у оператора есть т.н. защищенный узел. Это подразумевает под собой два этажа макулатуры в виде бумаги и какой-то действительный элемент защиты, но, как показывает практика, он неэффективен против реальных угроз», — добавляет эксперт.

Заработают свои

Не исключено, что благие на первый взгляд помыслы чиновников имеют под собой куда более простое объяснение. А «защищать» госорганы от киберугроз станет горстка избранных провайдеров.

«Речь может идти о навязывании «своих» поставщиков услуг. Если предположить, что все будет прозрачно — сама по себе эта норма хороша, причем она ранее уже действовала в Украине. Но ведь в нашей стране часто случается иначе. А когда дело доходит до реализации, появляются новые требования и список претендентов резко сокращается. Мне кажется, что это делается под вполне конкретные компании. Потом, когда будут прописываться технические требования, выяснится, что им соответствует всего пара провайдеров», — сообщил UBR.ua чиновник, пожелавший остаться неизвестным.

Кроме того, говорят эксперты, наличие граничных тарифов в наших условиях зачастую вовсе не равносильно попытке защитить потребителя от ценового произвола. Тем более, когда рамки задраны до небес. Скорее всего избранные провайдеры будут использовать их как ориентир, к которому следует стремиться, выстраивая отношения с госкомпаниями. Заплатит же за все обыкновенный налогоплательщик.

Это, впрочем, не означает, что госкомпании не нужно защищать. Вопрос лишь в том, насколько прозрачной смогут выстроить процедуру Госспецсвязи и Кабмин, и сколько компаний в итоге смогут пройти отбор киберзащитников.

Источник: ubr.ua