$38 млн на кибербезопасность. Куда пойдут деньги – интервью с замглавы Минцифры

Новость о том, что USAID выделит Украине $38 млн технической помощи для создания современной системы кибербезопасности, всколыхнула местное IT-сообщество. Некоторые представители индустрии кибербезопасности обвинили Министерство цифровой трансформации в некомпетентности. Они создали петицию, в которой призвали USAID не сотрудничать с Минцифры.

Редакция UBR.ua обратилась за комментариями к Алексею Выскубу, заместителю министра цифровой трансформации. В интервью он рассказал, на какие цели пойдут выделенные Украине средства, а также о сегодняшнем состоянии кибербезопасности в нашей стране.

Расскажите поподробней, что это за проект и на что именно будут выделяться деньги?

Это проект международно-технической помощи, которых очень много в Украине. Весьма распространенная практика, когда то или иное государство выделяет международную помощь на поддержку приоритетных реформ.

В данном случае проект был инициирован еще год назад. Он готовился силами самого USAID с привлечением различных экспертов по кибербезопасности мирового уровня. В том числе, там были специалисты из NATO, киберцентра Эстонии, те, кто строит кибербезопасность США.

Фактически, USAID оценивала реальное состояния дел в Украине, привлекая для этого международных и местных специалистов. Где-то год велась работа по инициации проекта. Это обычный этап для любого международного проекта – когда организация сначала изучает экосистему и готовность институций. Определяет наиболее слабые места, где международная экспертная и финансовая помощь может дать наибольший эффект.

В результате USAID подготовила концепцию, под которую она готова выделить деньги. То есть это решали не Минцифры, не СБУ, не Госспецсвязи. Это совместный труд многих международных и украинских экспертов.

Этот проект получил название «Поддержка киберзащиты критической инфраструктуры Украины». USAID предложила свою поддержку в становлении законодательных, организационных и технических подходов по защите критической инфраструктуры.

Концепция делится на три направления. Первое – становление экосистемы по защите критической инфраструктуры.

Второе – обучение госслужащих и простых граждан кибергигиене. Подразумевается также подготовка профессиональных кадров в сфере киберзащиты. Речь идет о работе с ключевыми техническими вузами, которые готовят таких специалистов.

Третье направление – максимальное привлечение бизнеса к развитию кибербезопасности государства. В США эта практика очень распространена, в том числе и на условиях государственно-частного партнерства.

То, что Минцифры определено бенефициаром – наряду с Советом нацбезопасности и обороны – соответствует украинскому законодательству. У любого проекта международной помощи должен быть бенефициар – это госорган, который формирует политику в соответствующей сфере.

Какие именно слабые места в кибербезопасности правительство намерено ликвидировать в первую очередь?

Как вы знаете, Министерство цифровой трансформации было создано в сентябре 2019 года. Его цель – объединить и сосредоточить все цифровые функции в одной структуре, чтобы можно было планировать и координировать единую цифровую политику в государстве.

Раньше за электронную подпись отвечало Министерство юстиции. За кибербезопасность – Госспецсвязи, за цифровые услуги – Минэкономики. Управлять таким «зоопарком» очень сложно.

Вначале мы сосредоточились на внедрении базовых систем э-правительства. В частности, внедрение системы «Трембита» как основы для функционирования госреестров. Запустили мобильное приложение и интернет-портал «Дія». Реализуя эти проекты, мы особое внимание уделяли киберзащите. Понятное дело, что эти критические системы подвергаются атакам нон-стоп и построение их защиты – это постоянный процесс.

Запуская такие сложные и масштабные проекты, мы, как никто другой, изучили на практике реальное состояние дел с киберзащитой в государстве. Мы точно понимаем состояние каждого реестра, что надо в первую очередь менять в нормативной базе, но наибольшим негативным сюрпризом, конечно, стало состояние дел в Госспецсвязи. Орган требует срочной реформы. Иначе говорить о построении эффективной системы киберзащиты в государстве нет смысла.

За многие годы в киберзащиту государство вложило очень большие средства, но по факту, все построенное очень мало связано с реальной защитой. И мало применимо для практического достижения тех целей, ради которых создавалось.

И что должно в результате получиться?

Например, только в штате Госспецсвязи работает свыше 6 тыс. сотрудников. Это – армия, которая должна давать невообразимый результат. Каждый год она «съедает» 2-3 млрд бюджетных денег.

Средний возраст сотрудников этой организации близится к 50-ти. В большинстве своем они слабо представляют реалии киберзащиты.

Необходима стратегическая реформа Госспецсвязи, но нужны и быстрые результаты. Одним из которых станет создание современного киберцентра. Согласно предварительной договоренности, его возглавит человек, занимающийся киберзащитой в большой международной организации.

Мы хотим реализовать сценарий госпредприятия «Дія», куда мы смогли привлечь топ-специалистов из EPAM, SoftServe и других крупных IT-компаний на рыночные зарплаты.

Каким должен быть штат киберцентра?

Сейчас там 120 человек, но их уровень квалификации и зарплат низкий. Пока рано говорить о количестве.

Первоочередные задачи – это создание к октябрю этого года мощного киберцентра. Который не будет по компетенциям уступать эстонскому или западноевропейским.

Какие источники финансирования киберцентра?

На начальном этапе – из госбюджета. Но в концепции реформирования предусмотрена и модель монетизации.

Если этот киберцентр заявит о себе как о центре компетенций, многие частные SOC (Security Operation Center) захотят с ним сотрудничать.

У Госспецсвязи есть более 2 млрд из госбюджета, это достаточное финансирование. В структуре только штатных сотрудников – 6 тыс., а всего в экосистеме Госспецсвязи – 12 тыс. человек и 42 юридических лица.

Один из самых главных вопросов, над которым уже начала работать новая команда, это реорганизация. В сегодняшнем виде Госспецсвязи не может существовать. Это монстр, а мы хотим создать современную гибкую организацию. Чтобы это был орган, который бы защищал: а) государственную инфраструктуру и б) строил эффективные взаимоотношения с бизнесом по защите частной критической инфраструктуры.

Когда такой орган может появиться и полноценно заработать?

У нас жесткий дедлайн от вице-премьер-министра (Михаила Федорова – ред.) – в октябре этого года представить уже работающий государственный киберцентр. С новым штатом, с новыми функциями, в новом помещении.

Насколько правительство готово прислушиваться к мнению представителей индустрии при реформировании этого госоргана?

Реальные киберспециалисты будут объединены в течение месяца в экспертный совет при Госспецсвязи. Мы обратимся как к украинским экспертам, так и к представителям зарубежных вендоров. Таких как IBM, Cisco и других. Мы планируем привлекать топ-экспертизу.

Источник: ubr.ua