Розроблений Державною службою спеціального зв’язку та захисту інформації проект постанови Кабінету Міністрів України, що встановлює вимоги до проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури, не відповідає міжнародним стандартам кібербезпеки і містить значні корупційні ризики.

До таких висновків прийшов експерт з кібербезпеки, Голова ГО «Українська група інформаційної безпеки» Костянтин Корсун, проаналізувавши проект авторства ДССЗІ.

Що це за проект

У ключовому для української кібербезпеки Законі, «Про основні засади забезпечення кібербезпеки України», поміж іншого, визначено поняття об’єкту критичної інфраструктури та закладено вимогу про регулярне (не рідше разу на рік) проведення незалежного аудиту інформаційної безпеки таких об’єктів. Обов’язок розробити вимоги щодо проведення такого аудиту законом були покладено на Державну службу спеціального зв’язку та захисту інформації.

– Одразу після прийняття того Закону кібер-громадськість саркастично та скептично оцінювала перспективи запровадження саме «незалежного» та якісного, справжнього аудиту, а не звичайних «паперових тигрів» типу КСЗІ (комплексна система захисту інформації від Держспецзв’язку), – згадує Корсун. – Аж ось Держспецзв’язку перевершила найскептичніші очікування наймізантропічніших песимістів своїм проектом Постанови КМУ «Вимоги щодо проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури».

Проблеми з термінологією

Як зазначає Костянтин Корсун, використана в проекті Вимог термінологія не відповідає ключовим міжнародним стандартам інформаційної безпеки ISO/IES 27000, попри те, що сам проект декларує відданість тим самим «міжнародним стандартам аудиту ІБ».

Мова йде про такі визначення, як «ризик», «вразливість» та ряд інших термінів проекту.

– У ISO 2700 термін «ризик» сформульовано як «effect of uncertainty on objectives», тобто «ефект невизначеності у відношенні об'єктів (цілей)». Держспецзв’язку ж визначає ризик як «функція імовірності реалізації певної загрози, виду і величини завданих збитків». Знайшли хоча б одне спільне слово? Чого варто лише чарівне «ризик є функцією». Подайте математикам відро валер’янки, – іронізує Корсун. – Згідно з ISO 2700, «вразливість» — це «weakness of an asset or control that can be exploited by one or more threats» (приблизний переклад: слабкість активу (ресурсу) або контролю, що може бути використана однією або кількома загрозами), але Держспецзв'язку вважає, що це «нездатність системи протистояти реалізації певної загрози або сукупності загроз». Знов не зовсім збігається з термінологією міжнародного стандарту. Скажу більше: зазначене визначення набагато краще описує саму систему ДСС33І – якраз уся система Держспецзв’язку не здатна протистояти реалізації ворожих кібератак, укупі з інформаційною війною проти України.

Корупційна складова

Однак набагато серйозніші проблеми у запропонованого проекту – з корупцією. Корсун звертає увагу на вимогу Держспецзв’язку до компаній, які матимуть право проводити аудити ОКІ: такі підприємства має очолювати лише «аудитор ІБ», а частка у статутному капіталі такої фірми має належати «аудиторам ІБ» не менш, ніж на 70%. Така норма, переконаний експерт, з’явилася завдяки корупційним зв’язкам між авторами документу та певними компаніями, які пролобіювали дивну вимогу в проекті постанови Кабміну:

– Тобто у якійсь фірмі, тісно пов’язаною з Держспецзв'язку, є директор-аудитор та засновники-аудитори, і саме у таких пропорціях: 70%. Інакше цю маячню ніяк пояснити не можна. Інакше вона поза межами здорового глузду, – наголошує Костянтин Корсун.

Виникають питання і до «титулу», що згадується в проекті, – «аудитор ІБ». Саме визначення такої особи сформульовано туманно: «аудитор інформаційної безпеки – фізична особа, яка підтвердила кваліфікаційну придатність до провадження аудиту інформаційної безпеки на об’єктах критичної інфраструктури та внесена до реєстру аудиторів інформаційної безпеки та аудиторських фірм в сфері інформаційної безпеки». Експерт зазначає: у документі не роз’яснюється, яким чином «аудитор ІБ» підтверджує кваліфікаційну придатність, хто, власне, буде визначати таку придатність і яким вимогам мають відповідати ці «судді».

Необізнаність

Здивувала експерта і необізнаність чиновників з ДССЗЗІ про те, що таке аудит інформаційної безпеки та тест на проникнення. За словами Голови «Української групи інформаційної безпеки», твердження про те, що під час аудиту ІБ обов’язково проводиться тестування на проникнення з використанням апаратно-програмних засобів пошуку та аналізу вразливостей, могла написати в проекті тільки «людина, яка ніколи не проводила тестування на проникнення, або ж проводила його дуже неякісно, формально, для папірця». Корсун пояснює: тестування на проникнення проводиться тоді, коли система кібербезпеки на об’єкті вже побудована, і необхідно перевірити її на міцність.

– У Держспецзв’язку вважають, що заправляти літак паливом необхідно одночасно з посадкою у аеропорті призначення, що викладати квантову фізику категорично потрібно одночасно з вивченням алфавіту і що вишеньку на торт просто безумовно треба класти одночасно з випіканням першого коржа, – іронізує експерт.

Колега Костянтина, лідер OWASP Kyiv і операційний директор Berezha Security Володимир Стиран, додає:

– Пентест об'єктів критичної інфраструктури – це нонсенс. Пентест з використанням загальнодоступних засобів автоматизації – це аморальний вчинок. Ця інфраструктура називається критичною не дарма. І вивчення її безпеки – це екзотичний процес пасивного спостереження всього, що відбувається в мережі. Автор проекту постанови, який запропонував використання терміну пентест в цьому контексті, м’яко кажучи, навіть не витратив час на вивчення практик аналізу захищеності ICS/SCADA, прийнятих у країнах, які це регулюють. Це дуже і дуже сумно.

Висновки і реакція

– Корупція та войовнича некомпетентність у сфері регулювання інформаційної галузі та кібербезпеки набувають в Україні критичних форм. Якщо це не зупинити, матимемо чергову порцію мертвонародженої регуляції, яка працюватиме виключно на кишені окремих чиновників та близьких до них компаній, але жодним чином не сприятиме підвищенню кібербезпеки об'єктів критичної інфраструктури та інших не менш важливих інформаційних ресурсів країни, – підсумовує Костянтин Корсун. – Держспецзв'язку продовжує розбудовувати власні правила у своєму вигаданому світі, де нібито існує якась там система кіберзахисту.

Щоб не допустити прийняття постанови в такому вигляді, експерт закликає написати пропозиції та зауваження до проекту і подати їх на розгляд у Держспецзв’язку:

– Ми вже маємо позитивний приклад впливу на некомпетентне, але нахабне чиновництво з їхнім диктаторським законопроектом #6688, тому я не маю нічого проти, якщо мої вищенаведені тези будуть взяті за основу колегами для «пропозицій та зауважень до проекту постанови».

Між іншим, сьогодні Інтернет Асоціація України отримала листа від Держспецзв’язку щодо розгляду пропозицій до проектів постанов КМУ стосовно забезпечення функціонування об'єктів критичної інформаційної інфраструктури. У відповіді ДССЗЗІ дякує за опрацювання відповідних документів та інформує, що пропозиції і зауваження частково враховані при складанні другої редакції проектів постанов КМУ.