$38 млн на кібербезпеку. Куди підуть гроші - інтерв'ю із заступником глави Мінцифри

Новина про те, що USAID виділить Україні $38 млн технічної допомоги для створення сучасної системи кібербезпеки, сколихнула місцеве IT-співтовариство. Деякі представники індустрії кібербезпеки звинуватили Міністерство цифрової трансформації в некомпетентності. Вони створили петицію, в якій закликали USAID не співпрацювати з Мінцифри.

Редакція UBR.ua звернулася за коментарями до Олексія Вискубу, заступника міністра цифрової трансформації. В інтерв’ю він розповів, на які цілі підуть виділені Україні кошти, а також про сьогоднішній стан кібербезпеки в нашій країні.

Розкажіть докладніше, що це за проект і на що саме будуть виділятися гроші?

Це проект міжнародно-технічної допомоги, яких дуже багато в Україні. Вельми поширена практика, коли та чи інша держава виділяє міжнародну допомогу на підтримку пріоритетних реформ.

В даному випадку проект був ініційований ще рік тому. Він готувався силами самого USAID із залученням різних експертів з кібербезпеки світового рівня. В тому числі, там були фахівці з NATO, кіберцентру Естонії, ті, хто будує кібербезпеку США.

Фактично, USAID оцінювала реальний стан справ в Україні, залучаючи для цього міжнародних і місцевих фахівців. Десь рік велася робота по ініціації проекту. Це звичайний етап для будь-якого міжнародного проекту – коли організація спочатку вивчає екосистему і готовність інституцій. Визначає найбільш слабкі місця, де міжнародна експертна та фінансова допомога може дати найбільший ефект.

В результаті USAID підготувала концепцію, під яку вона готова виділити гроші. Тобто це вирішувати не Мінцифри, не СБУ, не Держспецзв’язку. Це спільна праця багатьох міжнародних і українських експертів.

Цей проект отримав назву “Підтримка кіберзахисту критичної інфраструктури України”. USAID запропонувала свою підтримку у становленні законодавчих, організаційних і технічних підходів щодо захисту критичної інфраструктури.

Концепція поділяється на три напрямки. Перше – становлення екосистеми щодо захисту критичної інфраструктури.

Друге – навчання держслужбовців та простих громадян кібергігієні. Мається на увазі також підготовка професійних кадрів у сфері кіберзахисту. Йдеться про роботу з ключовими технічними вузами, які готують таких фахівців.

Третій напрям – максимальне залучення бізнесу до розвитку кібербезпеки держави. У США ця практика дуже поширена, в тому числі і на умовах державно-приватного партнерства.

Те, що Мінцифри визначено бенефіціаром – поряд з Радою нацбезпеки і оборони – відповідає українському законодавству. У будь-якого проекту міжнародної допомоги повинен бути бенефіціар – це держорган, який формує політику у відповідній сфері.

Які саме слабкі місця в кібербезпеці уряд має намір ліквідувати в першу чергу?

Як ви знаєте, Міністерство цифрової трансформації було створено у вересні 2019 року. Його мета – об’єднати і зосередити всі цифрові функції в одній структурі, щоб можна було планувати і координувати єдину цифрову політику в державі.

Раніше за електронний підпис відповідало Міністерство юстиції. За кібербезпеку – Держспецзв’язку, за цифрові послуги – Мінекономіки. Керувати таким “зоопарком” дуже складно.

Спочатку ми зосередилися на впровадженні базових систем е-уряду. Зокрема, впровадження системи “Трембіта” як основи для функціонування держреєстрів. Запустили мобільний додаток і інтернет-портал “Дія”. Реалізуючи ці проекти, ми особливу увагу приділяли кіберзахисту. Ясна річ, що ці критичні системи піддаються атакам нон-стоп і побудова їх захисту – це постійний процес.

Запускаючи такі складні і масштабні проекти, ми, як ніхто інший, вивчили на практиці реальний стан справ з кіберзахисту в державі. Ми точно розуміємо стан кожного реєстру, що треба в першу чергу міняти в нормативній базі, але найбільшим негативним сюрпризом, звичайно, став стан справ в Держспецзв’язку. Орган вимагає термінової реформи. Інакше говорити про побудову ефективної системи кіберзахисту в державі немає сенсу.

За багато років в кіберзахист держава вклала дуже великі кошти, але по факту, все побудоване дуже мало пов’язано з реальним захистом. І мало може бути застосовано для практичного досягнення тих цілей, заради яких створювалося.

І що має в результаті вийти?

Наприклад, тільки в штаті Держспецзв’язку працює понад 6 тис. співробітників. Це – армія, яка повинна давати неймовірний результат. Щороку вона “з’їдає” 2-3 млрд бюджетних грошей.

Середній вік співробітників цієї організації наближається до 50-ти. Здебільшого вони слабо уявляють реалії кіберзахисту.

Необхідна стратегічна реформа Держспецзв’язку, але потрібні і швидкі результати. Одним з яких стане створення сучасного кіберцентру. Згідно з попередньою домовленістю, його очолить людина, що займається кіберзахистом у великій міжнародній організації.

Ми хочемо реалізувати сценарій держпідприємства “Дія”, куди ми змогли залучити топ-фахівців з EPAM, SoftServe та інших великих IT-компаній на ринкові зарплати.

Яким повинен бути штат кіберцентра?

Зараз там 120 чоловік, але їх рівень кваліфікації і зарплат низький. Поки рано говорити про кількість.

Першочергові завдання – це створення до жовтня цього року потужного кіберцентру. Який не буде за компетенціями поступатися естонському або західноєвропейським.

Які джерела фінансування кіберцентру?

На початковому етапі – з держбюджету. Але в концепції реформування передбачена і модель монетизації.

Якщо цей кіберцентр заявить про себе як про центр компетенцій, багато приватних SOC (Security Operation Center) захочуть з ним співпрацювати.

У Держспецзв’язку є понад 2 млрд з держбюджету, це достатнє фінансування. У структурі тільки штатних співробітників – 6 тис., а всього в екосистемі Держспецзв’язку – 12 тис. чоловік і 42 юридичні особи.

Одне з найголовніших питань, над яким вже почала працювати нова команда, це реорганізація. У сьогоднішньому вигляді Держспецзв’язку не може існувати. Це монстр, а ми хочемо створити сучасну гнучку організацію. Щоб це був орган, який би захищав: а) державну інфраструктуру і б) будував ефективні взаємини з бізнесом щодо захисту приватної критичної інфраструктури.

Коли такий орган може з’явитися і повноцінно запрацювати?

У нас жорсткий дедлайн від віце-прем’єр-міністра (Михайла Федорова – ред.) – в жовтні цього року представити вже працюючий державний кіберцентр. З новим штатом, з новими функціями, в новому приміщенні.

Наскільки уряд готовий прислухатися до думки представників індустрії при реформуванні цього держоргану?

Реальні кіберспеціалісти будуть об’єднані протягом місяця в експертну раду при Держспецзв’язку. Ми звернемося як до українських експертів, так і до представників зарубіжних вендорів. Таких як IBM, Cisco та інших. Ми плануємо залучати топ-експертизу.

Джерело: ubr.ua