Використання стандартів NIST. Як захистити від хакерів об'єкти критичної інфраструктури України
Навіщо Держспецзв'язку впроваджує нові стандарти кіберзахисту критичної інформаційної інфраструктури України?
Протягом останніх п'яти років кібератаки стали причиною багатьох масштабних аварій у світі. 2016 — відключення електроенергії в Україні, 2021 — атака на систему охорони здоров'я в Ірландії, 2021 — злам системи очищення води в США, 2021 — атака на систему постачання нафти в США — і багато інших прикладів атак на критичні для суспільства системи.
Україна — частина глобального простору, і наші об'єкти критичної інфраструктури також є метою для кіберзлочинців. Фахівці з кіберзахисту Держспецзв'язку постійно фіксують зростання кількості кібератак на державний та комерційний сектор — на 10-12% щомісяця.
В Україні кіберзловмисники спрямовують атаки насамперед на органи державної влади (зокрема, часто атакують офіційні інтернет-представництва президента України, сайти СБУ, ДБР та НАБУ, а також ДСПП та МВС), об'єкти критичної інформаційної інфраструктури, банківський сектор та електронні поштові скриньки держслужбовців.
Це можуть бути DDoS-атаки на вебресурси, розсилання шкідливого програмного забезпечення або посилань на шкідливі сайти. Під час атак хакери часто використовують методи фішингу та шпигунства. Після проникнення в мережу можуть збирати чутливі дані.
Зловмисники роблять це як для наживи (адже за власні дані та можливість працювати далі компанії готові платити колосальні суми), так і для завдання економічної шкоди державі.
Як регулятор, який розробляє та впроваджує в Україні стандарти захисту інформації, ми усвідомлюємо необхідність постійно вдосконалювати вимоги до кіберзахисту, щоб громадяни мали змогу отримувати будь-які послуги від держави та бізнесу вчасно, зручно та безпечно. Щоб пенсіонери отримували пенсії, працювали державні послуги у Дії, у будинках було світло, вода та опалення, щоб ходив транспорт.
Адже всі ці послуги — частина критичної інфраструктури, яка містить інформаційні системи, які мають бути захищені.
Захист інформаційних систем — це постійна безперервна робота
Цьогоріч наша команда планує представити нові стандарти захисту інформації, що базуються на стандартах NIST (Національний інститут стандартів і технологій США — провідний орган у галузі стандартів захисту інформації). З боку українського бізнесу є великий запит на такі зміни.
Також у жовтні цього року ми надали нові рекомендації щодо захисту об'єктів критичної інформаційної інфраструктури (ОКІІ). Адже захист критичної інформаційної інфраструктури — один із головних викликів країн усього світу сьогодні. В основу цього документа також було покладено напрацювання NIST. Зокрема, гайдлайн із протистояння ризикам кібербезпеки Cybersecurity Framework.
Це найкращі стандарти, що існують у світі. Тепер український бізнес і державний сектор, які мають об'єкти критичної інформаційної інфраструктури, також отримають можливість використовувати їх для кіберзахисту. У США дотримання вимог NIST Cybersecurity Framework є обов'язковим у процесі побудови інформаційних систем для багатьох організацій, зокрема, ОКІІ.
Рекомендації передбачають інструментарій, а також стандарти, розроблені NIST (Національний інститут стандартів і технології США), ISACA (Асоціація аудиту та контролю інформаційних систем), IEC (Міжнародна електротехнічна комісія).
Ми плануємо постійно оновлювати цей документ, як це робить і NIST, адже, як ми постійно нагадуємо, кіберзахист — це не стан, а процес.
Неможливо побудувати систему захисту та заспокоїтися. Захист потребує постійних удосконалень, поліпшень, змін, бо технології зловмисників не стоять на місці.
Рекомендації передбачають загальний підхід до гарантування кібербезпеки, що дозволяє:
- здійснити аналіз і дати характеристику поточного стану гарантування кібербезпеки ОКІІ;
- описати цільовий стан кібербезпеки ОКІІ;
- ідентифікувати та визначити пріоритети, рівень впровадження заходів кіберзахисту в контексті безперервного та повторюваного процесу управління ризиками у сфері кібербезпеки ОКІІ;
- оцінити прогрес у досягненні цільового стану кібербезпеки ОКІІ;
- оцінити наявність та ефективність комунікації як між суб'єктами, безпосередньо розташованими на ОКІІ, так й із суб'єктами, які є партнерами організації з управління ризиками у сфері кібербезпеки.
Рекомендації — поки що — не будуть обов'язковими для впровадження на об'єктах критичної інформаційної інфраструктури. Згодом вони мають стати невід'ємною частиною побудови систем безпеки, принаймні для об'єктів критичної інформаційної інфраструктури вищого ступеня критичності.
Однак я рекомендую керівникам усіх підприємств, які можуть бути причетні до критичної інфраструктури, серйозно поставитися до нових стандартів захисту критичної інформаційної інфраструктури та можливостей, які надають ці стандарти.
Незалежно від того, чи стануть рекомендації обов'язковими для вашого бізнесу, я вважаю, що починати працювати над впровадженням нового підходу варто всім і вже зараз. Адже ви — так само, як і держава, як і звичайні громадяни — зацікавлені в тому, щоб захистити свої інформаційні системи від втручання ззовні. І тепер у вас для цього є найкращий світовий стандарт.