Після кібератаки на реєстри Мін’юсту почалося помітне ворушіння в колах київських кіберчиновників. Обізнані в темі джерела повідомляють, що на цей раз паперова хвиля з кіберолімпу докотилася аж до рівня сільської ради.
Формальною підставою для двіжу стало затвердження спільного наказу СБУ та Держспецзв’язку № 627/772 від 19 грудня 2024 року «Деякі питання розробки, затвердження та погодження планів захисту об’єктів критичної інфраструктури за проектною загрозою національного рівня «кібератака/кіберінцидент».
Кіберчиновники хочуть явним чином та якнайшвидше натягнути вимоги до кіберзахисту об’єктів критичної інфраструктури (постанова КМУ від 19.06.2019 № 518) на всі державні органи, органи місцевого самоврядування та їх структурні підрозділи.
Хитрість полягає в тому, що при написанні плану захисту від кіберзагроз всі без виключення державні органи повинні багато чого виконати, серед іншого:
- зазначити відповідальну за кіберзахист особу або структурний підрозділ, до цього моменту відповідальною особою за кіберзахист є перший керівник установи;
- провести інвентаризацію цифрових активів, які планується захищати;
- намалювати схему мережі, її активних компонентів, що де знаходиться;
- зробити опис роботи систем;
- налагодити взаємодію в рамках платформи MISP;
- розписати покроково що робити в разі кібератаки, яких спеціалістів залучати до реагування, куди повідомляти;
- ну й головна частина паперового тигру кіберзахисту – це заповнення таблиці з завданнями із кіберзахисту (мінімальний набір завдань, які в першу чергу (але не обмежуючись ними надалі в діяльності з підвищення рівня кіберзахисту критичної інформаційної інфраструктури) мають бути впроваджені або заплановані для впровадження).
Для посвяченого кола вузьких спеціалістів складання такого плану кіберзахисту не буде проблемою. Немає сумнівів у важливості політик безпеки, планів кіберзахисту, впровадженні стандартів NIST CS Framework, ISO/IEC 27005 та інше. І такі спеціалісти вже є в більшості центральних органах влади, великих держпідприємствах, тому тут великих проблем із задоволенням апетиту паперового тигру не буде.
А тепер уявіть як весь цей методологічний апарат намагаються накотити на рівень сільради. Спеціалістів немає навіть ІТ напрямку. Відповідальність за кіберзахист покладають на юриста, кадровика, завгоспа, прибиральницю тощо.
З цікавістю й острахом спостерігаємо, як кіберначальство буде усувати цей розрив довжиною з річку Ніл між тим як є, і як повинно бути. Втім, вже рекомендовано на місцях активніше залучати до роботи випускників університетів за спеціальністю «125 Кібербезпека». Чи хтось дослухається? Подивимось.