Загрози та рекомендації, розглянуті та запропоновані на зустрічі 23.04.14

23 квітня 2014 року Київським відділенням міжнародної професійної асоціації ІТ-управління

ISACA проведено відкриту робочу нараду на тему “Шляхи забезпечення кібербезпеки держави”.

Взяли участь представники державних органів, телекомунікаційних компаній та

представників бізнес-сектору галузі ІТ.

В рамках наради виділено низку сучасних загроз в галузі кібербезпеки, а також сформовано

рекомендації з підвищення кібербезпеки держави.

Загрози та приклади ризиків:

1. Фізичні атаки на елементи кіберпростору функціонування вітчизняної інфраструктури

(наприклад, фізичне захоплення об’єктів управління енергетичною інфраструктурою,

систем водопостачання тощо);

2. Кібератаки на елементі критичної інфраструктури країни (наприклад, об’єкти управління

газотранспортною системою, тощо) ;

3. Атаки на загальнодоступні інформаційні ресурси держави для унеможливлення

оперативного оприлюднення законів, що вступають в дію (наприклад, державні інтернет-

сайти побудовані без можливості масштабування, тому навіть від досить невеликого

зростання навантаження вони виходять з ладу) ;

4. Атаки на облікові та серверні системи приватних та державних установ (наприклад, атаки

на сервери, на яких зберігаються реєстри виборців, фізичне захоплення цих серверів);

5. Атаки з використанням мобільних стільникових технологій (перехоплення інформації,

розповсюдження неправдивої інформації) - наразі в Україні використовується 2G

технологія, яка не є достатньо захищеною;

6. Недосконалість нормативно-правової бази країни в галузі інформаційних технологій,

відсутність органу відповідального на координацію дій, пов’язаних з кібербезпекою.

Запропоновані рекомендації з підвищення кібербезпеки української

держави:

1. Організаційні заходи з управління кібербезпекою

1.1. Створити національний центр з кібербезпеки, який буде координувати діяльність

інших державних органів щодо захисту інформаційних систем та реагування на

кіберзагрози. Якщо відповідну структуру вже створено – наділити її достатніми

повноваженнями.

1.2. Створити сприятливі умови для розвитку галузевих центрів кібербезпеки (в

транспортній сфері, медичній, телекомунікаційній, тощо).

1.3. Розробити класифікацію секторів економіки за критичністю їх інформаційних систем,

та розробити (або адаптувати) вимоги щодо їх захисту. Особливу увагу треба звернути

на промислово-індустріальні системи, що керують автоматикою на заводах, транспорті,

електростанціях та ін. Провести розробку чи адаптацію відповідних галузевих профілів

інформаційної безпеки .

1.4. Створити раду ІТ директорів державних органів влади з метою координації, обміну

досвідом та обговорення стандартів управління інформаційними технологіями та

інформаційною безпекою.

1.5. Визначити в бюджетах кожного державного органу та державних програм витрати на

підтримку належного рівня кібербезпеки окремими статями.

1.6. Впровадити механізми залучення громадських організацій та професійних асоціацій до

проведення незалежної професійної експертизи державних проектів в сфері ІТ та

Інформаційної Безпеки.

1.7. Проводити регулярний незалежний аудит стану захисту інформації в державних

органах та інформувати суспільство про його результати.

2. Захист об’єктів критичної інфраструктури

2.1. Провести окреме обговорення ризиків притаманних критичним об’єктам

інфраструктури та розробити відповідні короткострокові рекомендації на основі

відповідного документу, розробленого в США

http://www.nist.gov/cyberframework/upload/cybersecurity-framework-021214-final.pdf

2.2. Забезпечити високий рівень доступності для державних сайтів, що цього потребують.

Наприклад, для сайтів, що публікують нормативні документи та закони.

2.3. Забезпечити обов’язкове шифрування інформації в системах державних органів влади,

для захисту від інтервентів та терористів.

2.4. Залучити до співпраці та протидії загрозам провайдерів Інтернет-послуг.

2.5. Запровадити можливість блокування провайдерами абонентів, що приймають участь у

кібератаках, на вимогу від національного та галузевих центрів кібер-безпеки. Рішення

по відключенню абонентів, для яких послуга Інтернет є критичною, повинен приймати

галузевий центр кібер-безпеки (якщо у абонента з ним є контракт).

2.6. Запровадити заходи щодо знешкодження неправильно сконфігурованих інтернет-

серверів, що постійно приймають участь у кібер-атаках.

2.7. Створити авторитетний список комп’ютерних мереж, які вважаються українськими,

для можливості своєчасного блокування.

3. Мобільний зв’язок

3.1. Забезпечити можливості розвитку 3G/4G технології мобільного зв’язку.

3.2. Надати звіт суспільству щодо захищеності мобільних операторів, та великих інтернет-

провайдерів від впливу іноземних спецслужб.

4. Доступ дослідників та громадських організацій до джерела атак

4.1. Запровадити можливість передачі спеціалізованим громадським організаціям

керування над серверами, що контролюють діяльність заражених вірусами комп’ютерів

(так звані центри команд та контролю) - для іх вивчення та розробки механізмів

протидії.

4.2. Забезпечити доступ приватних дослідників до певних деталей кібер-атак, що кояться

на державні органи та важливі для суспільства кібер-системи для їх вивчення та

розробки механізмів протидії.

5. Безпечне використання хмарних технологій

5.1. Забезпечити можливості безпечного розміщення серверів, веб-сайтів та ін. послуг

“хостінгу” в Україні, що може позитивно впливати на розвиток української економіки.

5.2. Запровадити можливості по захищеному використанню хмарних ІТ послуг для держави

- розміщення серверів та сайтів, захисту від кібер-атак.

5.3. Використання сторонніх послуг та ПЗ.

5.4. Створити мінімальні вимоги, яким повинні відповідати компанії, що надають послуги

державним органам у галузі ІТ.

5.5. Створити процеси контролю за ланцюгом поставок ІТ обладнання, програм та послуг,

щоб знизити вплив іноземних спецслужб.

5.6. Обмежити використання іноземних веб-додатків співробітниками українських

державних органів (поштових скриньок, соціальних мереж, використання лічильників,

банерів).

5.7. Забезпечити легалізацію програмного забезпечення у державних органах. Надати звіт

суспільству щодо програмного забезпечення що використовується в кожному

державному органі та ступеню його ліцензування.

6. Нормативна база

6.1. Проводити обов’язкове громадське обговорення для всіх нормативних документів у

галузі захисту інформації. Забезпечити безкоштовний доступ до їх вмісту документа.

6.2. Провести обговорення чернетки перекладу на українську мову стандарту ISO 27001,

який регулює керування інформаційною безпекою на підприємствах.

6.3. Провести перегляд існуючих стандартів у галузі захисту інформації держави (НД-ТЗІ),

адже вони застарілі на 10-15 років.

6.4. Розробити ризик-орієнтовану методику захисту інформації в державних органах.