За останні роки Україна отримала просто шалені об’єми допомоги в сфері кібербезпеки, починаючи від обладнання і цільової фінансової допомоги, закінчуючи навчанням та перепідготовкою фахівців.
Наразі ситуація в сфері захисту об’єктів критичної інфраструктури набагато краща, ніж декілька років тому. А саме:
- майже всі об’єкти мають осіб, відповідальних за кібербезпеку;
- майже повсюдно існують базові процеси та процедури: від політик безпеки до правил використання ресурсів інформаційних систем;
- закупівля та оновлення засобів захисту вже не є виключним випадком, а є стандартним процесом;
- фахівці постійно вдосконалюють свої знання та навички шляхом навчання та підготовки, в тому числі до складання сертифікаційних іспитів;
- і т.д.
Слід зазначити, що протягом певного періоду перепідготовка та навчання фахівців були основною метою допомоги донорів та міжнародних організацій. Завдяки OSCE, CRDF Global, IFES, USAID та іншим донорам, представники державних органів, відповідних силових структур, Національного банку України та об’єктів критичної інфраструктури брали участь у професійних змаганнях та хакатонах, лекціях та презентаціях, воркшопах та семінарах. Проте нескоординованість дій донорів призвела до того, що в різних активностях з часом починають брати участь одні й ті ж самі особи, бо все ж таки кількість фахівців обмежена. Тому одним з рішень даної ситуації вбачається координація, як з боку представників державних органів, так і з боку міжнародних донорів та суб’єктів допомоги. Перші кроки вже зроблено: на базі РНБО був створений Національний координаційний центр кібербезпеки, який як раз і займається контролем та координацією. А з протилежного боку поява такої платформи, як Національний кластер кібербезпеки дає змогу міжнародним організаціям обговорити та синхронізувати свої активності для досягнення максимального ефекту. Тобто можна резюмувати, що платформи для діалогу та координації зусиль вже існують, лишилось лише встановити довірчі відносини між суб’єктами, що найскладніше.
Але на що спрямовувати зусилля? Цілком зрозуміло, що перепідготовка фахівців державних органів та об’єктів критичної інфраструктури має здійснити перехід від епізодичної та унікальної активності до постійного та контрольованого процесу з встановленими метриками ефективності. Для досягнення цієї мети саме держава має сказати які компетентності їй потрібні, або яких навичок та знань не вистачає її фахівцям. Ці самі питання постають також при створенні програм з навчання та підготовки. Проміжком між переліком компетенцій, навичок і вмінь та вмістом навчальних програм є спеціальності та спеціалізації. В Україні наразі є лише одна відповідна спеціальність – 125 Кібербезпека. І саме за її стандартами вищі навчальні заклади готують фахівців. Проте галузь стрімко розвивається, в ній з’являються нові напрямки, спеціалізації тощо. Тому цілком органічно виглядає пропозиція щодо оновлення та перегляду як переліку спеціальностей, так і їх вмісту. І саме в цій активності допомога донорів залученням міжнародного досвіду може бути вкрай ефективною. Престижні університети, державні установи розвинутих країн, провідні професійні компанії є тим джерелом, з якого можна і треба взяти найкращі практики щодо формування спеціальностей та спеціалізацій в сфері кібербезпеки.
Як вже зазначалося, зрілість українського ринку кібербезпеки постійно підвищується, для багатьох органів державної влади, установ та відомств закупівля та оновлення засобів захисту та систем кібербезпеки – стандартний процес. Тобто, закупівлі бюджетуються, проводяться тендери, налагоджені поставки та відвантаження. Але об’єктом критики професійної спільноти іноді стають саме вибір рішення, обладнання або програмного продукту. Це пов’язано з одного боку з відсутністю аргументації та пояснення, а з іншого непрозорістю використання закуплених ресурсів. При чому другий фактор є чи не найкритикованішим. В свою чергу це знижує довіру до держави в цілому та до її спроможності захистити свої ресурси в кіберпросторі зокрема. Будь-яка недовіра до інституції може бути зменшена з одного боку прозорістю процесів, а з іншого об’єктивною оцінкою ефективності функціонування та використання ресурсів. Наразі в державному правовому полі відсутні стандарти та методології оцінки та самооцінки рівня кібербезпеки організацій або установ на кшталт Federal Information Security Management Act (FISMA) Сполучених Штатів Америки. Розробка подібного фреймворку є вкрай важливим та важким завданням, в якому допомогу міжнародної спільноти було б неможливо переоцінити. Доступ до міжнародних законодавчих практик, пояснення взаємозв’язку між нормативними актами та підходами щодо їх реалізації, методи та засоби контролю оцінки та ін. допомогли б побудувати ефективну структуру оцінки та керування кібербезпекою державних установ.
Таким чином можна зробити наступні висновки:
- допомога міжнародної спільноти грає вкрай важливу роль у підвищенні рівня захищеності державних інформаційних ресурсів, як за рахунок прямої фінансово-матеріальної допомоги, так і за рахунок підготовки та перепідготовки фахівців;
- рівень захищеності державних інформаційних систем та об’єктів критичної інфраструктури вже не можна назвати нульовим, проте він все ще незадовільний;
- як і будь-яка система на етапі розвитку, кібербезпека державних інституцій має здійснити перехід від початкового формування структури та набуття спроможностей, до ефективного керування та менеджменту, в чому досвід та знання міжнародних організацій неймовірно важливі;
- нестача кваліфікованих кадрів на ринку може бути забезпечена як підвищенням якості та відповідною спеціалізацією навчальних програм, так і розвитком сфери навчання в цілому.
Питання та проблеми захищеності національних інформаційних ресурсів в сфері кібербезпеки є вкрай актуальними, тому лише об’єднання зусиль держави, професійної спільноти та міжнародних організації може забезпечити сталий розвиток пост-індустріального інформаційного суспільства.
