2. “Учасники Робочої групи з питань безпеки та довіри в цифровому
середовищі (Secure and Trustful Digital Environment Task Force)
об'єднали свої зусилля, аби за допомогою інструментів публічної
експертизи забезпечити один з найбільш важливих аспектів
цифровізації і як суспільного процесу, і як державної політики.
В даному контексті публічна експертиза трактується як
регулярне та професійне дослідження певної проблематики,
підготовка та оприлюднення відповідних рекомендацій, виходячи
з інтересів суспільства“
- З УСТАНОВЧИХ ДОКУМЕНТІВ РОБОЧОЇ ГРУПИ
3. "…виведення з ладу або порушення функціонування
яких може негативно вплинути на стан національної
безпеки і оборони України, навколишнього природного
середовища, заподіяти майнову шкоду та становити
загрозу для життя і здоров'я людей…"
ЗУ «ПРО ОСНОВНІ ЗАСАДИ ЗАБЕЗПЕЧЕННЯ КІБЕРБЕЗПЕКИ
УКРАЇНИ»
4. Загрози для
«фізиків»
Захоплення фінансових номерів мобільного
звязку, суцільна компрометація відповідних
схем ідентифікації
Неадекватний захист персональної
медичної інформації в ЕСОЗ
Недоступність медичної допомоги через
непрацездатність ЕСОЗ
Компрометація довірчих послуг (нотаріат,
КЕП та інш.)
Найпоширеніші загрози в
цифровому середовищі
5. "…The Clean Network program is the Trump
Administration’s comprehensive approach to safeguarding
the nation’s assets including citizens’ privacy and
companies’ most sensitive information from aggressive
intrusions by malign actors, such as the Chinese
Communist Party.…"
THE CLEAN NETWORK
10. "…Якщо є проблема з вразливістю
SMS-OTP паролів, їх можна зробити
довшими…"
НАЦІОНАЛЬНА КОМІСІЯ З РЕГУЛЮВАННЯ ЗВ'ЯЗКУ ТА
ІНФОРМАТИЗАЦІЇ
11. "…Якщо ви оформили кредитний
договір онлайн, використавши
одноразовий пароль, то такий договір
рівноцінний звичайному паперовому.
За законом одноразовий пароль має
таку саму юридичну силу, як і
власноручний підпис чи
кваліфікований електронний підпис..."
НАЦІОНАЛЬНИЙ БАНК УКРАЇНИ
13. "…5G-мережа це сукупність відповідних елементів
інфраструктури для мобільного та бездротового
зв’язку, який використовується для з’єднання та
додаткових видів обслуговування (...) Така мережа
може включати елементи мобільного та бездротового
зв’язку попередніх поколінь телекомунікаційних
технологій, таких як 4G або 3G.
5G мережа повинна розумітися як така, що включає
усі елементи, які забезпечують її існування…"
РЕКОМЕНДАЦІЯ ЄВРОКОМІСІЇ №2019/534 ЩОДО УЗГОДЖЕНОГО
ПІДХОДУ ДО БЕЗПЕКИ МЕРЕЖ 5G
Робоча група з питань безпеки та довіри у цифровому середовищі виникла влітку 2019 року як відповідь на грандіозні плани команди нового президента щодо цифрового транзиту країни. Її метою є публічна експертиза цієї сфери, включно із підготовкою відповідних рекомендацій.
Група зосереджена на проблематиці захисту прав та законних інтересів саме фізичних осіб - громадян та резидентів України. На сьогоднішній день учасниками групи виконано значний обсяг роботи, яка не має аналогів у сегменті НКО/ГО. З цього ракурсу ми й поговоримо про безпеку критичної інфраструктури та мереж п'ятого покоління.
Всі без винятку розмови про безпеку об'єктів критичної інфраструктури, які відбуваються останнім часом (наш захід не виняток), відзначені характерною особливістю. Вони зосереджені, по-перше, на ситуаціях т.зв. кібератак як цілеспрямованого порушення функціональності певних об'єктів, результатом чого стають загрози національній безпеці. По суті йдеться про диверсії, результатом яких стає більш-менш явна шкода функціонуванню деяких виробничих чи організаційних систем. Менеджмент в істериці, влада та громадськість хвилюються, галузевий регулятор вимагає негайно вжити заходів – так виглядає типова загроза в рамках цього підходу.
По-друге, у центрі уваги дискусій знаходяться інтереси бізнесу та органів влади, їхнє природне бажання стабільності та передбачуваності процесів своєї діяльності, управління ризиками тощо. Інтереси фізичних осіб, включаючи майнові збитки і навіть загрози життю та здоров'ю громадян згадуються, але не отримують належної уваги.
Як результат у сліпій плямі професійної спільноти хронічно перебувають надзвичайно поширені ситуації, коли все працює штатним чином з точки зору менеджменту та регуляторів, між тим громадяни масово зазнають ось цих самих майнових збитків і навіть загрози для життя. Іншими словами, технічно та з погляду регламентів все більш-менш нормально, нічого особливого. А ось з погляду користувачів, їхніх законних інтересів – повна катастрофа.
Загальновідомим прикладом є проблема шахрайських дій, які ґрунтуються на протиправному заволодінні так званими фінансовими номерами мобільного зв'язку. Мобільний зв'язок де-факто є найпоширенішим засобом віддаленої ідентифікації в Україні. Показники проникнення перевищують 50% населення. Дефекти цієї схеми ідентифікації загальновідомі. Щороку фіксуються десятки тисяч інцидентів та сотні мільйонів гривень збитків. Я хочу окремо наголосити, що для фізичної особи втрата своїх заощаджень, тим більше зіткнення із протиправно оформленим на неї кредитом це геть не те саме, що най навіть величезні збитки для особи юридичної. Часто-густо це реальний екзістенційний виклик. Люди накладають на себе руки. Такі факти, на жаль, не поодинокі. Чому, власне, традиційна проблематика кібербезпеки організацій та установ не тотожна питанням захисту фізичних осіб.
При цьому жоден із чотирьох органів виконавчої влади, так чи інакше пов'язаних із цією проблематикою - НБУ, НКРЗІ, Мінцифра, ДСТЗІ, - не займається нею належним чином. Власне, не займається взагалі. Поки що лише парламент відзначився, але і його ініціативи мають характер невдалих імпровізації.
Нещодавно вчергове стався збій ЕСОЗ, протягом кількох годин вона була непрацездатною. Архітектура ЕСОЗ надмірно централізована, що призводить до неможливості вести прийом хворих за відсутності доступу до центральної компоненти. Причому до неможливості у всіх лікувальних закладах, які одержують фінансування з державного бюджету, а це понад 90%.
Про ще одну загальновідому проблему з електронними довірчими послугами годі й говорити. Досить сказати, що скомпрометовано національну систему обігу майнових прав. Чи можна вважати це загрозою національній безпеці – питання, як кажуть, риторичне.
Питання про регулювання 5G виросло з проблематики безпеки. Спочатку в центрі уваги знаходилися звинувачення на адресу китайських компаній і, ширше, КНР у шпигунстві та інших деструктивних діях у кіберпросторі. США, які виступили рушійною силою глобальної кампанії проти китайських виробників, зробили ставку на ідеологізацію цього питання, використовуючи інструменти пропаганди там, де їм не вистачало більш вагомих аргументів.
За три роки питання щодо безпеки мереж п'ятого покоління змінилося до невпізнанності. У керівних документах ЄС запропонований радикально інший ландшафт загроз, фігурують принципово інші інструменту управління ризиками. Для порівняння, проблематика ризиків, пов'язаних з так званими недовіреними постачальниками і втручанням третіх країн розглядається як елемент лише однієї з п'яти категорій загроз.
Європейські підходи, втілені у керівних документах, стверджують марність розмови про безпеку "взагалі". Завжди і всюди необхідно враховувати локальний контекст. Дозволю собі запропонувати кілька тез щодо безпеки саме фізичних осіб в цифровому середовищі у конкретно-історичних умовах України.
В Україні розквіт бізнес кримінальних колл-центрів, які спеціалізуються на шахрайських діях, націлених на громадян ЄС та пострадянського простору. У публікаціях ЗМІ йдеться про сотні таких підприємств, які діють відкрито, не приховуючись.
В Україні реалізується російський сценарій розвитку цифрової злочинності, включно з характерними організаційними формами, типовими атаками, реакцією органів влади. У двох словах цей сценарій полягає у появі свого роду "оброку" на користь злочинності, яка тісно сплелася із менеджментом корпорацій та силовиками. Не маючи у своєму розпорядженні ефективних інструментів управління відповідними ризиками, громадяни змушені платити злочинцям "десятину", сподіваючись хіба що на "авось".
Подібно до того, як з середини 90-х Україна є європейським "резервуаром" туберкульозної палички та ВІЛ, ми перетворюємося на розсадник цифрової злочинності.
На сьогоднішній день в Україні немає жодного органу влади, який би системно займався проблемою загроз, з якими стикаються фізичні особи у цифровому середовищі. Займатися системно означає:
• У регулярний професійний спосіб нагромаджувати емпіричні дані;
• Здійснювати первинний аналіз – систематизацію, верифікацію, додаткові дослідження;
• Здійснювати моделювання та інші форми теоретичного осмислення;
• Розробляти та пропонувати стратегії протидії.
Я вкрай скептично ставлюся до зусиль російського бізнесу та держави в цьому напрямку, проте не можу не відзначити наявність у РФ професійних аналітичних матеріалів з даної проблематики та змістовної публічної дискусії.
Фундаментальна проблема державної політики в сфері ІКТ це стосунки в трикутнику Держава - Бізнес - Споживачі/Суспільство. В сфері мобільного зв'язку, в царині безпеки в цифровому середовищі інтереси споживачів не те що не відображені, вони навіть не описані у більш-менш прийнятний спосіб. Тобто проблема не те що із представництвом інтересів, а навіть з їх усвідомленням. Є лічені публічні експерти, є поодинокі прикладі професійної діяльності, є певна кількість структур, які займаються імітацією діяльності і це все.
Внаслідок цього спроби держави запропонувати порядок денний в цій царині як передумову формування адекватної політики не мають успіху.
Якщо ми обговорюємо проблему безпеки громадян в цифровому середовищі, треба визнати, що державні інститути неспроможні.
Приклади неадекватності:
НКРЗІ - "якщо є проблема з вразливістю СМС-OTP паролів, їх можна зробити довшими";
НБУ - "Якщо ви оформили кредитний договір онлайн, використавши одноразовий пароль, то такий договір є рівноцінним звичайному паперовому. За законом однотипний пароль має таку саму юридичну силу, як і власноручний підпис чи кваліфікований електронний підпис...“. Докладно про цей сюжет.
Мінцифри - "при верифікації е-документів в Дії персональні дані не передаються".
Фактично єдиним стейкхолдером, який має потенціал протидії епідемії злочинності це бізнес. В нього є і організаційні ресурси, і компетенції, оскільки саме він знаходиться на передньому краї протидії цифровій злочинності. Однак протидія злочинності передбачає ряд заходів, які входять в протиріччя із законними інтересами бізнесу. Має місце конфлікт інтересів, який не може бути розв'язаний в рамках комерційної діяльності. Необхідне зовнішнє регулювання, політична воля.
Як наслідок, в цілому бізнес не може запропонувати суспільству та державі ані адекватного бачення цієї проблематики, ані дієвої стратегії протидії викликам.
Завершуючи свій виступ, хочу звернути увагу на важливу тезу з рекомендацій ЄС щодо безпеки 5G-мереж. У Рекомендації 2019/534 визначено 5G мережу як сукупність відповідних елементів інфраструктури для мобільного та бездротового зв’язку, який використовується для з’єднання та додаткових видів обслуговування (...) Така мережа може включати елементи мобільного та бездротового зв’язку попередніх поколінь телекомунікаційних технологій, таких як 4G або 3G. 5G мережа повинна розумітися як така, що включає усі елементи, які забезпечують її існування.
Іншими словами, нема сенсу розмірковувати над якоюсь безпекою мереж п'ятого покоління окремо від всієї наявної інфраструктури.
На сьогоднішній день питання щодо безпеки найбільш чисельної групи користувачів та стейкхолдерів, а саме фізичних осіб-резидентів України потребує хоча б публічного проголошення.
Потім треба зрозуміти, хто конкретно має потенціал повноцінно приймати участь в пошуках відповіді на нього. Організувати цей пошук, маючи на меті появу а) аналітики б) рекомендацій для органів влади та бізнесу.
Доти, доки ці кроки не будуть зроблені, доведеться констатувати інституційну неспроможність, свого роду тупик, в якому знаходиться проблема безпеки мільйонів фізичних осіб, громадян та резидентів України.
Через це неможливо розв'язати ряд нагальних проблем, пов'язаних із деякими критичними інфраструктурами, які взаємодіють саме із фізичними особами.