22.11.2022

(UK) Інтерв’ю з Наталією Ткачук, секретаркою НКЦК, керівницею служби з питань інформаційної безпеки Апарату РНБО України

(UK) Наталія Ткачук – секретарка Національного координаційного центру кібербезпеки (НКЦК), керівниця служби з питань інформаційної безпеки Апарату РНБО України

(UK) Інтерв’ю з Наталією Ткачук, секретаркою НКЦК, керівницею служби з питань інформаційної безпеки Апарату РНБО України

Кібербезпека – один із найбільш динамічних напрямків в системі національної безпеки, що стрімко розвивається у світі. В Україні ми маємо подвійну динамічну швидкість, в якій агресія росії проти України проявила неочевидні наші переваги і нетривіальні альянси. Які підвалини закладені в основу кібербезпеки України і що це означає в майбутньому для нашої держави?

Перший проєкт Стратегії кібербезпеки України з’явився ще у 2012 році та був представлений нашим міжнародним партнерам на форумі НАТО. Але тоді не було розуміння керівництва держави, що кібербезпека – це щось важливе, що це дійсно повноцінна незалежна складова національної безпеки. І таке ставлення в державі  тягнулося до початку війни у 2014-му році. Війна – це лихо, серйозне зло, але є така сентенція: «Те що нас не вбиває, робить нас сильнішими». І війна зробила нас сильнішими у плані кібербезпеки, керівництво держави на політичному рівні зрозуміло важливість цієї сфери.

Перші кібератаки на критичну інфраструктуру України, відбувалися разом із захопленням Криму. Вірус «Black Energy» атакував енергетичні об’єкти України, паралельно із військовим наступом на сході нашої держави. Так на наших очах розгорталася перша повноцінна кібервійна у світі.

У 2016 році була прийнята перша Стратегія кібербезпеки України, яка заклала модель та саму суть системи національної кібербезпеки. Головне, що стратегія визначила ролі та перші нариси зон відповідальності між основними гравцями та визначила, що у нас є шість ключових суб’єктів, які відповідають за кібербезпеку. Фактично цією стратегією було започатковано створення Національного координаційного центру кібербезпеки при РНБОУ. Стратегія розмежувала поняття «кібербезпека», «кіберзахист» та «кібероборона».

Для іноземних партнерів цей термінологічний ряд не дуже зрозумілий, бо всі три слова вони визначають як «cyber security». В Україні існує різна компетенція у різних органів: Міністерство оборони та Генеральний штаб ЗСУ  відповідають за кібероборону. Держспецзв’язок відповідає за формування вимог політик у сфері кіберзахисту. Тоді як кібербезпека – це певний стан, який передбачає захищеність життєво важливих інтересів людини та держави під час використання кіберпростору, та є більш ширшим поняттям, що охоплює і кіберрозвідку, і кібероборону, і кіберзахист, і контррозвідувальний захист інтересів держави у сфері кібербезпеки, і протидію кіберзлочинності, тобто функції всіх основних суб’єктів її забезпечення.

Надалі було створено Ситуаційний центр забезпечення кібербезпеки СБУ, почали розбудовувати потужності СЕRT-UA, розвинули спроможності Національного банку України, який є окремим незалежним суб’єктом Національної системи кібербезпеки. При підтримці трастового фонду «Україна – НАТО» та єсівських партнерів почали проводити тренінги з кібербезпеки для фахівців державних органів, знайшли фінансування щоб поступово закупити сучасне обладнання, програмне забезпечення, почали вибудовувати взаємодію з приватним сектором. І сьогодні, коли йде повномасштабна війна, Україна довела, що ми маємо найвищий рівень і тісну взаємодію у державно-приватному партнерстві у сфері кібербезпеки за змістом, а не формою.

Міжнародні партнери високо оцінили кіберспроможності української кіберспільноти. Вони відзначили, що Україна змогла дати гідну відсіч агресору в кіберпросторі. Тепер ми самі можемо навчати їх та ділитися своїм досвідом.

Тож, ми заклали серйозне підґрунтя для розвитку кібербезпеки на майбутнє і підійшли до формування нової візії.

Отже, перша стратегія кібербезпеки у 2016 році визначила коло ключових гравців і напрямки їх відповідальності.  У 2017-му році прийняли закон про основні засади забезпечення кібербезпеки, а у 2021 році була друга стратегія. В чому ключова відмінність стратегії ухваленої 2016 і 2021 року? Як Ви оцінюєте стрибок між концептуальними рівнями двох стратегій та втіленні рішень на практиці?

Перша стратегія була основоположною. Однак, процес планування і реалізації задач не був достатньо ефективним. Не всі державні органи були включені в процес і не було фінансування на виконання задач. Коли ми почали вивчати цю проблему глибше, побачили, що повинен бути цикл стратегічного планування.

У нас зараз близько десяти стратегій за напрямками національної безпеки, але більшість стратегій відірвані від реальності. Мають бути поставлені цілі стратегічного рівня в рамках довгострокового стратегічного планування: стратегія кібербезпеки, стратегії інформаційної безпеки, економічної безпеки та інше. Кожен державний орган має розуміти плани виконання стратегій, формувати бюджетний запит, який він подає. Але у нас державні органи, які повинні виконувати стратегії, це не пов’язують зі своїм бюджетним плануванням, запитами, щорічними планами. Тому в другій стратегії ми намагалися змінити структуру, щоб кіберсфера стала прикладом правильного стратегічного планування на рівні держави. Наприклад, щоб просити зараз допомогу у міжнародних партнерів, державний орган має знати, що йому треба, які ресурси, для чого і який результат від цього очікувати.

Сьогодні наша держава і весь світ переживають тектонічні зсуви, де потрібен не прогрес, а якісний стрибок. В чому він (цей стрибок) може полягати при розбудові візії та стратегії 3.0? Що потрібно зробити Україні?

Проаналізуємо проблемні питання виконання Стратегії 2021 року. В стратегії 2.0 понад 90 практичних завдань. Там є конкретні загрози, проблемні чинники. До розробки стратегії долучалися міжнародні партнери, аналітики та приватний сектор, експерти та науковці. В цілому, як документ, стратегія 2.0 відбулася на досить хорошому рівні. Але питання не лише у написанні, але й у якісному осмисленні контексту стратегії. Для якісного стрибка нам потрібна лідерська зрілість і спроможність діяти у швидкоплинному контексті, а не формальне виконання задач. А це потребує зовсім іншого типу мислення.

В чому полягає роль Національного координаційного центру кібербезпеки? В чому бачите сенс і що можна допрацьовувати у зв’язках із зовнішнім і внутрішнім середовищем?

Координація є тим, на чому тримається будь-яка національна система кібербезпеки. Це законодавство, організаційні та технічні спроможності, кадрові ресурси, взаємодія з міжнародними партнерами та приватним сектором. Якщо немає координації, то це призводить до дублювання функцій, неефективної співпраці та загострення нездорової конкуренції.

Тож, координація потрібна для бачення загальної картини. По-перше, ми можемо скерувати всіх разом на розв’язання конкретної проблеми, мінімізувати витрачання ресурсів. По-друге, роль НКЦК: координація і контроль. Це майданчик, на якому можна розв’язувати будь-які проблемні питання. Наприклад, нещодавно НКЦК затвердив порядок спільного реагування на кібератаки. Цей документ позитивно вплинув на реагування на інциденти на національному рівні.

НКЦК є робочим органом РНБО. Ми беремо участь у підготовці всіх рішень РНБО з питань кібербезпеки. Як приклад, на нашій платформі розроблявся проєкт рішення про створення кібервійськ.

Світ взаємопов’язаний. Кіберпростір має національні ознаки, але немає кордонів. Де ще знаходиться потенціал у взаємодії із зовнішнім і внутрішнім середовищем, який не залучили?

Моя особиста думка, у нас є проблема в міжнародному праві, яке фактично регулює кібернаступ. Є міжнародне гуманітарне право, право війни, яке визначає, що є воєнним злочином. Ми знаємо, що відповідно до цього права не можна під час війни застосовувати зброю проти цивільних об’єктів. Якщо ти це робиш, це є воєнний злочин. Але, наприклад, коли українців запитують «чи ви атакуєте рф, чи робите кібератаки?», ми розуміємо, що відповідно до трактувань міжнародного права, нас запитують чи завдає Україна кібератак по цивільних об’єктах. Адже це можна трактувати як воєнний злочин.

Але яка різниця між кінетичною зброєю та кіберзброю? На що направлена кінетична зброя? Вона фактично руйнує фізичні об’єкти та завдає шкоди живій силі, тобто направлена на вбивство і руйнування. З точки зору міжнародного права, направляти ракети на електростанцію, радіомовлення, журнали, інтернет-провайдера неприпустимо, бо це – цивільні об’єкти і там цивільні люди. Хоча рф це не заважає …

Щодо кіберзброї – вона не руйнує фізичну інфраструктуру і не вбиває людей. Розглянемо приклад атаки на медіа-компанію, яка транслює фейковий російський контент. Внаслідок цієї атаки відбудеться дефейс сторінки для того, щоб росіяни змогли побачити правду про те, що відбувається в Україні. Відповідно до сучасного трактування міжнародного гуманітарного права це можна розглядати як воєнний злочин, адже це атака на цивільний об’єкт. Але я з цим не згодна, адже ми не можемо порівнювати наслідки кінетичної зброї та кіберзброї.

Перша світова кібервійна, яка зараз відбувається в Україні, має аналізуватись, щоб ми могли правильно трактувати міжнародне право. Тому ми будемо направляти представника України в Об’єднаний центр передових технологій з кібероборони в НАТО. Щоб українець міг брати участь у формуванні тлумачення міжнародного права.

Прийшов час відкрити дискусію на міжнародній арені щодо правильного застосування міжнародного права до кібервійни. І Україна має стати лідером думок.

У нас є внутрішня взаємодія з об’єктами критичної інфраструктури – наприклад, критична інфраструктура приватного сектору і сфера енергетики. Зокрема, одним із рішень НКЦК передбачено побудову ситуаційного центру кібербезпеки саме у сфері енергетики. До цього долучені представники приватного сектору.

Другий напрямок – навчання. НКЦК організовує тренінги з кібербезпеки, як складової національної безпеки. Ми залучаємо і приватний сектор, як партнера у співпраці при досягненні більш зрілого рівня національної безпеки.

Чи можна працюючи із засобами кібербезпеки навчитися підходам кібернаступу? Як відбувається навчання тут і чи є потенціал розвитку?

Україна повинна розвивати не лише своє кінетичне озброєння, а й розбудовувати кіберзброю. Фактично це програмне забезпечення, яке дозволяє робити активні заходи в кіберпросторі. При цьому пам’ятаємо про відповідну законодавчу базу. Тому в серпні минулого року ми підняли питання про створення кібервійськ. І це не просто додавання рядка в закон «Про Збройні Сили України», що створюється окремий рід військ. Це про надання відповідних повноважень: створення кіберзброї, проведення кібернаступу в інтересах оборони, залучення фахівців приватного сектору тощо.

Який набір стратегічних рішень потрібен Україні сьогодні в кіберпросторі для того, щоб здобути перемогу?

Починати треба з людського капіталу, політичного усвідомлення керівників своєї відповідальності, законодавчої бази, технічних рішень, розвитку власних спроможностей та державно-приватного партнерства. Але з власного досвіду знаю, що ключовим є питання кадрів. Ця проблема існує не лише для нашої держави, а й для всього світу.

Ми маємо знайти рішення як зацікавити професіоналів працювати в державному секторі. Ми намагалися реалізувати цю ідею шляхом створення кіберрезерву. Щоб всі молоді хлопці та дівчата могли за бажанням пройти навчання. Вони стають резервістами, але працюють у приватному секторі. А у разі потреби держава може їх мобілізувати, причому не в інтересах лише ЗСУ, а в інтересах всіх суб’єктів системи безпеки і оборони нашої держави. Така ідея могла б розв’язувати питання «кадрового голоду» національної системи кібербезпеки нашої держави.

І як це можна зробити?

Рішення має бути Міністерства оборони України, адже від них залежить створення правових підстав.

Ви згадали, що управлінці в державній сфері змінюються, заходять люди з іншим баченням, підготовкою та відношенням до майбутнього країни. Які можливості це відкриває для системи кібербезпеки?

В національній системі кібербезпеки зараз багато молодих керівників, які прагнуть змін, які освічені, розумні та ініціативні. Вони не бояться нових підходів, не бояться помилитися, не бояться брати на себе відповідальність. Найгірше для управлінця – це страх зробити щось по-інакшому, по-новому через страх помилки, бо якщо ти боїшся брати не себе відповідальність, коли приймаєш управлінські рішення, то обираєш хибний шлях.

 

Інтерв’ю вели Володимир Павелко та Дар’я Пантьо