Директор Київського відділення Гліб Пахаренко зробив доповідь на коференції з АСУ ТП "Форум лідерів АСУ «Нова країна — Новий ландшафт» Київ, 19 лютого 2015 року". В свої презентації Гліб розповів про актуальні загрози промисловим ІТ системам, прокоментував стан сучастного законодавтсва в світі та Україні, і запропонував першочергові кроки із захисту АСУ ТП. Окремо він підкреслив переваги COBIT 5 for Information Security та інших продуктів ISACA.

Інтерв"ю Гліба Пахаренко: http://appau.org.ua/Glib-Paharenko-Spravgny-lideri-maut-chvidko-priymaty-svidomy-richennya-ta-brati-na%20sebe-vidpividalnyst-za-nikch

Про конференцію: http://forum-liderov-asutp.com.ua/ 

Кибербезопасность: миф или реальность?

11 февраля 2015 года ОО «ІТ Альянс» при поддержке профильного комитета Верховной Рады Украины по вопросам информатизации и связи и Государственной службы специальной связи и защиты информации Украины, провели круглый стол на тему: «Кибербезопасность: миф или реальность?». Соорганизаторами выступили Университет банковского дела Национального банка Украины (г. Киев), который предоставил конференц-зал, и Национальный аэрокосмический университет им. М.Е. Жуковского «ХАИ» (г. Харьков).

Генеральный партнер: Hewlett-Packard Company.

Официальный партнер: Group-fs.

Партнер:  ОО «ИСАКА Киев».

Генеральный медиа-партнер: ЛИГА БизнесИнформ.

К общественному интерактивному обсуждению присоединились более 80 человек: представители органов государственной власти (Юрий Шкиль - Администрация Президента Украины, Надежда Хван - ОБСЕ в Украине, Владимир Зверев - Государственная служба специальной связи и защиты информации Украины, Владимир Шеломенцев - МВД, Максим Рыбчук - МВД (Управление по борьбе с организованной преступностью), Сергей Шапочка - СНБО, Александр Любич - Академия финансового управления Министерства финансов Украины), представители учебных заведений (Тамара Смовженко - Университет банковского дела Национального банка Украины (г. Киев), Вячеслав Харченко - Национальный аэрокосмический университет им. Н.Е. Жуковского «ХАИ», и другие представители университетов).

Среди участников круглого стола, которые активно обсуждали вопросы кибербезопасности, были и представители банковского сектора (Приват Банк, Сбербанк России, Кредобанк, Укргазбанк, Банк Форвард, Фидобанк, Банк Пивденный, ВТБ), представители международных организаций (ISACA Kyiv Chapter, ACC, ЮСКУТУМ, GroupFS (forensic&security), DATAS Technology, Hewlett-Packard Company, ITbiz Solutions, ITCCEE, БКТ Сольюшнс, BMS-Consulting, САМБЕН, ATLANT-FINANCE, Monitor+, Лига противодействия кибертерроризму и информационным войнам, Международный фонд «Единый мир»), а также Первый секретарь Посольства Республики Казахстан в Украине и Республики Молдова.

Программа круглого стола была очень насыщена выступлениями и активным обсуждением тематики. Было заслушано 10 докладов от ведущих экспертов в области кибербезопасности и противодействия мошенничеству.

Участники мероприятия отметили высокий уровень дискуссии и эффективную организацию круглого стола, предложили соорганизаторам как можно чаще выносить на обсуждение вопрос по заданной тематике, а также выразили благодарность относительно возможности экспертного диалога парламентариев и государственных служащих, ученых, экспертов, дипломатического корпуса, представителей международных, региональных и субрегиональных правительственных и неправительственных организаций, коммерческого сектора, университетов и исследовательских центров.

Соорганизаторы благодарны всем участникам круглого стола за поданные предложения и острую дискуссию. По итогам мероприятия для дальнейшей комплексной проработки вопроса обеспечения кибербезопасности Украины и качественного выполнения задачи, самые актуальные вопросы будут переданы в рабочую группу по вопросам разработки и согласования итоговых документов по комплексному обеспечению кибербезопасности в Украине, а именно: проекта Закона Украины «Об основных положениях обеспечения кибербезопасности Украины», проекта Стратегии обеспечения кибернетической безопасности Украины.

Сегодня актуально согласование и принятие «базового» Закона Украины «Об основных положениях обеспечения кибербезопасности Украины»

Владимир Зверев, Глава Государственной службы специальной связи и защиты информации Украины, подчеркнул важность обсуждаемого вопроса для государства контексте обеспечения национальной безопасности. «К сожалению, нет утвержденной Стратегии и нет «базового» Закона», - сказал он и добавил, что на Службу поручением Кабмина возложено задание консолидировать усилия, чтобы общественность и госструктуры могли подготовить документ по кибербезопасности. За последний год вопрос много обсуждается на уровне госапарата. «Важно добавить общественную составляющую, которая отсутствовала. Возможно, важно привлечь банковскую сферу. Ведь пионерами электронной подписи выступали банки. Защищаться нужно. Считаем, что у нас есть этот потенциал», - отметил Зверев.

Тамара Смовженко, ректор Университета банковского дела НБУ, отметила особую важность вопросов кибербезопасности для банкиров. «Мошенничество, фишинг, DDoS-атаки, социнженерия приводят к утечке информации, ухудшения репутации и потери доверия населения к банкам», - считает она. В связи с необходимостью поиска адекватных решений технических и правовых вопросов для обеспечения бизнес процессов надлежащего уровня в банковской сфере и в сфере киберпространства делового оборота, профильный университет НБУ выступил платформой для такого обсуждения и наработки последующих конструктивных итоговых документов – меморандумов и/или декларации по кибербезопасности, а также проектов нормативно-правовых актов для национального законодательства Украины.

Андрей Бирюков, президент ОО «ІТ Альянс», для решения этой проблемы предложил участникам круглого стола создать меморандум или иной документ, который бы отображал уровень реального развития кибербезопасности, и лег бы в основу законодательных инициатив.

Ретроспектива вопроса

Павел Смолянинов из Госспецсвязи провел небольшой экскурс в историю с законодательными инициативами в сфере кибербезопасности. Он рассказал, что первые законопроекты регистрировались в Верховной Раде Украины в 2012 и в 2013 году. Но в 2014 году были отозваны. Позже Кабинет Министров Украины поручил Госспецсвязи разработать проект Закона Украины и Стратегию кибербезопасности. Разработка ведется при участии СБУ, СНБО, Миноброны, Генштаба, Минюста, Минфина, Минэкономразвития. Созданы рабочие и межведомственные группы. Привлекаются Интернет ассоциация, УАПП, Институт стратегических исследований Украины, ОО «ИСАКА Киев».

Служба разработала Стратегию, но ее не подписал Президент Украины, и ее вернули на доработку. После Стратегии рабочая группа при Госспецсвязи разработала проект Закона, который также после рассмотрения в Кабмине отправили на доработку международным экспертам. Рабочее название – «Про основні засади забезпечення кібербезпеки України». Также разрабатывается «Порядок віднесення об’єктів до критичної інфраструктури». Как отметили в Госспецсвязи, пока проект Закона и Стратегия в разработке, защита от киберугроз осуществляется в соответствии с Планом мероприятий о защите государственных информационных ресурсов, принятым в соответствии с распоряжением Кабинета Министров Украины от 5 ноября 2014 года № 1135-р, и действующим до 2016 года. В Госпецсвязи подчеркивают, что экспертных мнений уже собрано достаточно много, чтобы сделать хорошие итоговые нормативно-правовые документы.

Иностранный опыт – чего не хватает украинским законам?

Алексей Янковский, президент Киевского отделения международной организации по разработке методологий и стандартов в сфере ИТ-управления, аудита и кибербезопасности ISACA, которая выступила партнером мероприятия, рассказал о существующих в мире моделях управления кибербезопасностью. Алексей представил модель управления кибербезопасностью США, и предложил участникам круглого стола обсудить применение элементов данной модели в Украине. Алексей Янковский отметил, что проект Закона Украины «Об основных положениях обеспечения кибербезопасности Украины» (далее - законопроект) содержит важные базовые определения и предлагает централизованную модель управления кибербезопасностью, при которой государству, в лице Госспецсвязи, выделяется основная роль по определению требований к кибербезопасности и контролю по их выполнению. При этом вряд ли удастся разработать единый стандарт кибербезопасности, который бы учитывал все особенности таких разных отраслей как, например, атомная энергетика, химическая промышленность и финансовый сектор. Внедрение единой системы контролей для всех отраслей будет дорого и неэффективно.

Янковский также отметил, что в законопроекте объекты киберзащиты определяются достаточно узко - как объекты критической инфраструктуры и государственные информационные ресурсы. В отличие от киберстратегий других стран, определение не включает объекты среднего и малого бизнеса и устройства конечных пользователей. В частности, Янковский предложил обсудить следующие направления изменений:

1. внедрить децентрализованную модель управления кибербезопасностью, при которой функции по созданию отраслевых стандартов киберзащиты, контролю их выполнения и обмену информацией об атаках делегируются отраслевым регуляторам либо профессиональным ассоциациям. Янковский привел пример ассоциации NERC (North American Electric Reliability Corporation), которая разработала набор стандартов CIP (Critical Infrastructure Protection), которые обязательны к применению для энергетических компаний в США;
2. делегировать вопросы оценки киберзащищенности независимым аудиторам и экспертам, которые должны проверять критические объекты и отчитываться отраслевым ассоциациям и Госспецсвязи. Создать функции внутреннего ИТ аудита в государственных организациях, которые должны осуществлять проверки системы контролей в сфере кибербезопасности и ИТ;
3. обязать Госспецсвязь взаимодействовать с отраслевыми ассоциациями в части обмена информацией об атаках и угрозах, обеспечения методологической поддержки, и помощи в расследованиях кибератак и восстановлении после инцидентов. При этом Янковский предложил создать в Госспецсвязи компетенции по расследованию киберинцидентов в сфере автоматизации управления производством и промышленной автоматики, как это сделано в Department of Homeland Security в США;
4. зафиксировать в «базовом» Законе критичные отрасли, а также разработать модель определения объектов, которые необходимо отнести к критической инфраструктуре государства, на основе стандартов ENISA;
5. урегулировать вопросы киберзащиты предприятий малого, среднего бизнеса и устройств конечного пользователя. Во многих странах государство предоставляет различные виды поддержки малому и среднему бизнесу, начиная от «чеклистов» по внедрению кибербезопасности, и заканчивая поддержкой в реагировании на атаки;
6. активно вовлекать волонтеров и независимых экспертов в работу государственных органов в части киберзащиты. Подобная программа привлечения экспертов существовала в США, и включала содействие в ускоренном получении экспертом необходимых разрешений и доступа к государственной тайне и ее охране;
7. обязать Госспецсвязь проводить регулярную независимую оценку эффективности своей работы и ежегодно отчитываться перед Верховной Радой Украины о состоянии кибербезопасности в стране;
8. переориентироваться на международные стандарты сфере управления кибербезопасностью, включая, документы, разработанные NIST и ENISA, вместо устаревших отечественных стандартов защиты информации.

Янковский выразил обеспокоенность нормами, обязующими операторов связи хранить историю трафика за определенный период времени и предоставлять эту по запросу в контролирующие органы. Если мы внедряем подобные подходы, должны быть выстроены контроли, которые воспрепятствуют злоупотреблению, например, такие как «принцип пропорциональности», и обязательное уведомление абонента о том, что его информация «перехватывалась» или передавалась третьим лицам на соответствующих законных основаниях.

В заключение Янковский отметил, что внедрение кибербезопасности требует комплексного подхода, и не ограничивается вопросами организации и контроля защиты. Реформирования также требует система образования, подготовки кадров, и профессиональной сертификации в сфере кибербезопасности, требуется создание киберобороны и организация борьбы с киберпреступностью. Поэтому нужно говорить не об отдельном Законе о кибербезопасности, а о необходимости системного подхода к реформированию правоотношений в данной сфере, который потребует внесения изменений во многие существующие и создание нескольких новых, а также создания национальной программы внедрения кибербезопасности.

Чалый Александр Александрович, Чрезвычайный и Полномочный Посол, Чрезвычайный и Полномочный Посланник 1-го класса, Член Правления Международного фонда «Единый мир», одним из направлений деятельности которого является информационная политика, создание условий для интеграции Украины в мировое информационное пространство согласно современных тенденций информационной геополитики, а также развитие информационного поля Украины с целью обеспечения информационной безопасности государства, планировал сфокусировать внимание на проблематике геополитических вызовов для Украины в информационной сфере и кибербезопасности в современных условиях глобального развития, и поддержал направление совместной деятельности участников круглого стола о необходимости создания и принятия декларация по кибербезопасности. Более подробно Александр Чалый прокомментировал итоги Мюнхенской конференции по безопасности и Минские соглашения – 2 17.02.2015 – переход на ссылку

Что делать с кибер-волонтерами?

Дмитрий Гадомский, адвокат и партнер практики IT и медиа-права АО «Юскутум» "Этот круглый стол был весьма показательным с точки зрения демонстрации методов и целей государства в построении системы кибербезопасности. Причем, и метод, и цель, слились воедино: необходимо разработать стратегию, всеобъемлющую и идеальную. И начало уже положено: два года назад над стратегией начали работать; до сегодняшнего дня темп работы не ускорился. И пожалуй даже замедлился.

Мне очень печально осознавать, что иностранные компании Apple, Elance, Google более ответственно подошли к вопросу чистоты своих клиентов и отключили часть пользователей в Российской Федерации, и полностью – в аннексированном Крыму. Украинские же чиновники не видят проблемы в том, что на большинстве компьютеров в государственном аппарате установлен антивирус Касперского. Даже Китай запретил чиновникам использовать Касперского после сбитого Боинга. Тем не менее, мне нечего возразить сотрудникам Госспецсвязи, поскольку понимаю, что мои возражения они отправят своим коллегам с помощью сервиса mail.ru, а фотографии с сегодняшнего круглого стола выложат на Одноклассниках и ВКонтакте.

Немного добавляют оптимизма сотрудники недавно заработавшего СЕРТ-UA. Правда, сотрудников всего 10 на всю Украину – это всего немного меньше, чем нужно для противостояния армиям троллей, работающих на страну-агрессора. И если сарказм не удалось передать предыдущей фразой, то количество независимых от государство волонтеров-айтишников, которые молча делают то, что должны – 2-3 тысячи.

В итоге, вывод такой же, как и всегда: кибербезопасность также ложится на плечи волонтеров.

Правильно среагировать и отразить угрозу

Ярослав Левков из Hewlett-Packard Company (инновационные решения для самых ключевых рынков, основное внимание уделено облачным технологиям, безопасности и большим данным), которая выступила генеральным партнером круглого стола, рассказал, как можно предотвратить и оперативно отразить существующие кибератаки.

На сегодняшний день, существует несколько проблем, которые усложняют работу службам, которые отвечают за кибербезопасность предприятий: уровень атак взрослеет, растет число проплаченных атак, часть данных уходят в «облака». Проводя аудит в компаниях, эксперты понимают, что большинство компаний не имеют представления об уровне своей кибербезопасности. Соответственно не знают, как предотвратить нападение, сколько людей необходимо, чтобы отразить атаку, распределить ответственность, кто и с кем должен взаимодействовать. По мнению Левкова, каждое предприятие должно иметь конкретную «дорожную карту», чтобы быть защищенными.

Кто должен контролировать?

Юрий Когут, президент «Лиги противодействия кибертерроризму и информационным войнам», считает, что война показала неготовность Украины эффективно отражать кибератаки. Предотвратить и успешно бороться с нашествием киберпротивника возможно, считает он. Но для этого необходимо создать независимый орган по кибертерроризму, который разработает нормативную базу. Как это было сделано в 1992 году, когда при Президенте Украины был создан координационный орган с широкими полномочиями. Когут предложил создать специальное министерство, регулярно проводить учения. «Эффективность Госспецсвязи проверил господин Мельниченко. Не нужно ждать, когда проверят хакеры», - считает он.

Вячеслав Харченко,  доктор технических наук, профессор, заслуженный изобретатель Украины, из НТЦ исследования и анализа безопасности инфраструктур, Национального аэрокосмического университета им. Н.Е. Жуковского «ХАИ», также предложил создать Центр по кибербезопасности. Кроме того, по его мнению, нужно развивать внутренний рынок разработок, а не ориентироваться на аутсорсинг. Поскольку разработка одной технологии эквивалентна армии программистов. «Мы имеем опыт разработки систем информационной безопасности», - сказал Харченко. И добавил, что НТЦ разработал 5 беспилотников, которые используются в зоне ведения боевых действий.

«Хак» по-украински

Глеб Бойченко из ведущей украинской компании в сфере исследования и предотвращения киберугроз Group-fs (официальный партнер мероприятия) рассказал о том, как плохо защищены украинские сайты. Хакерам даже самого низкого уровня, чтобы нанести урон, могут получить всю необходимую информацию об украинских сайтах даже без DDoS-атаки. Ранее компания проводила тесты на «слив» данных банков, сейчас решила проверить госсектор. Из 150 проверенных доменов, удалось получить информацию о 80 доменах. В качестве вопиющего примера беззаботности госструктур приводят сайт Днепропетровской ОДА (ftp.dp.gov.ua). «Они долго воевали с «Киберберкутом» и в этот раз они могут позволить себе логин и пароль «ftp». Они не подготовлены к тому, что целеустремленные хакеры будут их ломать», - сетует Бойченко.

Безопасность, основанная на доверии

Александр Потий, доктор технических наук, профессор, Институт информационных технологий, Национальный аэрокосмический университет им. Н.Е. Жуковского «ХАИ» предложил Национальную стратегию электронной идентификации в Украине, которая базируется на электронной идентификации и кибербезопасности украинцев. Он привел пример Эстонии, в которой достигнуто 100%-ого проникновения технологий для народа. В Эстонии с помощью электронных систем государством предоставляется более 300 услуг для населения. Чтобы создать подобное в Украине, нужно ускорить внедрение государственных электронных услуг для населения и бизнеса, информировать граждан и бизнес об угрозах в киберпространстве, построить национальную el-инфраструктуру, создавать доверительную среду и мотивировать граждан к использованию электронных услуг. Профессор считает, что для построения такой системы в Украине в будущем, в рамочном законопроекте по кибербезопасности необходимо уделить больше внимания малому и среднему бизнесу.

Михаил Нещерет, ведущий специалист DATAS Technology из Силиконовой долины, представил решение, которое позволяет противодействовать кибершпионажу на предприятиях. Решение Trustifier KSE.DATAS Technology дает возможность предотвратить утечку информации, уверяет он. Принцип работы заключается в том, что на мобильное устройство сотрудников устанавливается приложение, которые при попадании в засекреченную зону блокирует доступ телефона к сервисам (фотокамерам, диктофону, связи, почте).

Владимир Шеломенцев, к.ю.н., заслуженный юрист Украины, заместитель начальника управления Департамента МВД Украины согласен с другими участниками круглого стола, что нормативную базу под кибербезопасность нужно подводить. И особое внимание нужно уделить стандартизации безопасности. Поскольку многие понятия воспринимаются на интуитивном уровне по-разному. Также необходимо составить перечень понятий и классификатор, используя международный опыт.

Итоги и перспективы

Участники круглого стола пришли к общему выводу, что проблемы с кибербезопасностью надо решать на законодательном уровне. Необходимо срочно сформировать базовый пакет итоговых документов по комплексному обеспечению кибербезопасности в Украине, а именно: проекта Закона Украины «Об основных положениях обеспечения кибербезопасности Украины», проекта Стратегии обеспечения кибернетической безопасности Украины и, возможно, нового основополагающего документа - Киевской Декларации по кибербезопасности, поскольку Украина, фактически, находится в состоянии государства, которое подвергается военной агрессии, как в территориальном, так и в информационном плане.

По вопросам участия и организации мероприятий просьба обращаться по тел.: +38 (067) 375 76 37, +38 (095) 356 99 69

Оксана Гагина Ця електронна адреса захищена від спам-ботів. вам потрібно увімкнути JavaScript, щоб побачити її.

Marina Medinskaya Ця електронна адреса захищена від спам-ботів. вам потрібно увімкнути JavaScript, щоб побачити її.

Отзывы и комментарии: https://www.facebook.com/pages/%D0%86%D0%A2-%D0%90%D0%BB%D1%8C%D1%8F%D0%BD%D1%81/1557562977788746?sk=timeline

11 февраля 2015г будет проходить круглый стол на тему: «Кибербезопасность: миф или реальность?»

Организатор мероприятия - ІT Альянс, в партнерстве с Киевским отделением ISACA.

Место проведения: г. Киев, ул. Андреевская, 1 (УБД НБУ)

Начало регистрации в 9.30 Если у Вас есть желание принять участие в мероприятии, просьба заранее зарегистрироваться.

Повестка дня и более подробная информации во вложении. 

ISACA International опубликовала на своем сайте http://www.isaca.org/  статью с анализом изменений по кибербезопасности, предложенными Президентом США Бараком Обамой. Предлагаем Вам ознакомиться с кратким обзором статьи:

В связи с участившимися случаями крупных инцидентов информационной безопасности, президент Барак Обама призвал Конгресс США принять поданный администрацией президента закон о кибер-безопасности. Ключевыми моментами предлагаемого закона являются:

1. Personal Data Notification and Protection Act создает национальный стандарт об информировании об успешных кибер-атаках. Согласно данному стандарту компании в большинстве случаев обязаны будут в течение 30 дней с момента обнаружения уведомить своих клиентов об инциденте. В отдельных случаях потребуется уведомлять и Министерство Внутренней Безопасности.

Под данное положение попадают компании, так или иначе взаимодействующие с персональными данными (PII) 10000 или более человек за любой период 12 месяцев.

Исключение составляют случаи, когда независимый анализ рисков выдаст заключение, что инцидент не нанес (и не нанесет в будущем) ущерба тем людям, чьи данные были затронуты. Подобный анализ рисков должен быть проведен в соответствии со стандартами и лучшими практиками ИБ, и учитывать данные журналирования как минимум за шесть месяцев до анализа. Кроме того, компания обязана будет уведомить о данном анализе рисков Федеральную Торговую Комиссию.

2. Станет возможным криминальное преследование за кражу и продажу номеров американских кредитных карточек даже в тех случаях, когда атаки произошли за пределами США.

3. Предусмотрены инициативы по улучшению обмена информацией по вопросам кибербезопасности между частным сектором и государством. Участие в программе добровольное. Для стимулирования сотрудничества предлагается защита от криминального или административного преследования в случаях, когда предоставление информации не требуется по закону.

4. Предлагается принятие Student Digital Privacy Act, обеспечивающий использование данных, собранных ВУЗ-ами о студентах, только в учебных целях. С запретом на предоставление данных третьим лицам для маркетинговых и рекламных целей.

5. Белый Дом также предлагает закон с рядом мер по усилению расследований и ответственности за кибер-преступления.

6. Разработан Consumer Privacy Bill of Rights, устанавливающий базовые принципы защиты персональных данных в онлайне, при этом обеспечивая возможности инноваций в индустрии. Для дискуссий по вопросам кибер-безопасности 12 февраля 2015г. Белый дом планирует организовать Саммит Кибер-безопасности и Защиты Клиентов в Стэнфордовском Университете.