Усі лекції ОІБ в одному файлі. Усі лекції оіб в одному файлі Найпоширеніші загрози. Основні визначення і класифікація загроз Загроза
 Скачать 273.05 Kb.
|
|
постановляю: 1. Увести в дію рішення Ради національної безпеки і оборони України від 14 травня 2021 року "Про Стратегію кібербезпеки України" (додається). 2. Затвердити Стратегію кібербезпеки України (додається). 3. Визнати такою, що втратила чинність, статтю 2 Указу Президента України від 15 березня 2016 року № 96 "Про рішення Ради національної безпеки і оборони України від 27 січня 2016 року "Про Стратегію кібербезпеки України". 4. Контроль за виконанням рішення Ради національної безпеки і оборони України, введеного в дію цим Указом, покласти на Секретаря Ради національної безпеки і оборони України. 5. Цей Указ набирає чинності з дня його опублікування. Президент України В.ЗЕЛЕНСЬКИЙ 26 серпня 2021 року Введено в дію Указом Президента України від 26 серпня 2021 року № 447/2021 РІШЕННЯ Ради національної безпеки і оборони України від 14 травня 2021 року Про Стратегію кібербезпеки України Розглянувши проект Стратегії кібербезпеки України, внесений Національним координаційним центром кібербезпеки, Рада національної безпеки і оборони України вирішила: 1. Схвалити проект Стратегії кібербезпеки України і запропонувати її Президентові України для затвердження. 2. Національному координаційному центру кібербезпеки у двомісячний строк розробити та подати на розгляд Ради національної безпеки і оборони України План реалізації Стратегії кібербезпеки України. 3. Кабінету Міністрів України разом зі Службою безпеки України та Службою зовнішньої розвідки України: 1) забезпечити виконання затвердженого згідно з пунктом 2 цього рішення Плану реалізації Стратегії кібербезпеки України, передбачивши затвердження щороку, не пізніше початку відповідного планового року, комплексу заходів, узгоджених із плановими видатками державного бюджету; 2) забезпечити інформування Ради національної безпеки і оборони України кожні півроку про стан реалізації Стратегії кібербезпеки України. 4. Національному інституту стратегічних досліджень здійснювати наукове супроводження реалізації Стратегії кібербезпеки України. Секретар Ради національної безпеки і оборони України О.ДАНІЛОВ ЗАТВЕРДЖЕНО Указом Президента України від 26 серпня 2021 року № 447/2021 СТРАТЕГІЯ КІБЕРБЕЗПЕКИ УКРАЇНИ БЕЗПЕЧНИЙ КІБЕРПРОСТІР – ЗАПОРУКА УСПІШНОГО РОЗВИТКУ КРАЇНИ 1. Кібербезпека: глобальний контекст Забезпечення кібербезпеки є одним із пріоритетів у системі національної безпеки України. Реалізація зазначеного пріоритету буде здійснюватися шляхом посилення спроможностей національної системи кібербезпеки для протидії кіберзагрозам у сучасному безпековому середовищі. ХХІ століття знаменується активним формуванням шостого технологічного укладу та ризиками, з якими стикається цивілізація внаслідок упровадження новітніх технологій. Питома вага кіберзагроз зростає і ця тенденція в міру розвитку інформаційних технологій та їх конвергенції з технологіями штучного інтелекту в найближче десятиліття посилюватиметься. Зростання такого впливу на функціонування структур управління як національних, так і транснаціональних формує нову безпекову ситуацію. Між світовими центрами сили відбувається поділ сфер впливу у кіберпросторі, посилюється їх прагнення за рахунок такого поділу забезпечити реалізацію власних геополітичних інтересів. Кіберпростір разом з іншими фізичними просторами визнано одним з можливих театрів воєнних дій. Набирає сили тенденція зі створення кібервійськ, до завдань яких належить не лише забезпечення захисту критичної інформаційної інфраструктури від кібератак, а й проведення превентивних наступальних операцій у кіберпросторі, що включає виведення з ладу критично важливих об'єктів інфраструктури противника шляхом руйнування інформаційних систем, які управляють такими об'єктами. Російська Федерація залишається одним з основних джерел загроз національній та міжнародній кібербезпеці, активно реалізує концепцію інформаційного протиборства, базовану на поєднанні деструктивних дій у кіберпросторі та інформаційно-психологі-чних операцій, механізми якої активно застосовуються у гібридній війні проти України. Така деструктивна активність створює реальну загрозу вчинення актів кібертероризму та кібердиверсій стосовно національної інформаційної інфраструктури. Прогнозується зростання інтенсивності міждержавного протиборства і розвідувально-підривної діяльності у кіберпросторі. Розширюється коло держав, які намагаються сформувати власну кіберрозвідку, оволодіти сучасними технологіями розвідувально-підривної діяльності у кіберпросторі, посилюють державний контроль за національними сегментами мережі Інтернет. При цьому поширюється інструмен-тарій, що передбачає накопичення великих масивів інформації щодо поведінки людини, соціальних груп та використання сучасних досягнень у сфері штучного інте-лекту. Посилюється тенденція здійснення розвідувально-підривної діяльності у кібер-просторі шляхом залучення спецслужбами окремих держав, насамперед Російської Федерації, міжнародних хакерських угруповань для реалізації кібервпливу. Зростає технічний рівень реалізації кіберзагроз, постійно вдосконалюються та розробляються нові інструменти і механізми кібератак. Посилюється тенденція щодо використання кібератак як інструменту спеціальних інформаційних операцій, маніпулювання суспільною думкою, впливу на виборчі процеси. Глобального масштабу набуває використання кіберпростору терористичними організаціями. Пріоритетними цілями кібертероризму залишаються об'єкти атомної енергетики, електро- та водопостачання, сфери електронних комунікацій, фінансової та банківської сфери, авіа- та залізничного транспорту, сховищ стратегічних видів сировини, хімічні й біологічні об'єкти тощо. Нові виклики несе з собою перехід на 5G-мережі, функціонування яких кардинальним чином залежить від коректної роботи програмного забезпечення, що за рахунок новизни технології може мати нові, не передбачені загрози. Пандемія COVID-19 матиме довготривалий вплив на світовий порядок, посилюючи роль електронних комунікацій у повсякденному спілкуванні та роботі, що підвищує ступінь вразливості процесів обробки інформації, зокрема персональних даних. Це вимагає забезпечення належного рівня їх захищеності та змушує державу і бізнес впроваджувати додаткові механізми і заходи щодо належного функціонування і захисту всіх необхідних для життєдіяльності інформаційних ресурсів і систем. Поширення кіберзагроз на усі сфери життєдіяльності та вдосконалення інструментарію їх реалізації зумовлює необхідність зміни стратегії і тактики протидії ним. Набуває значимості максимально швидке виявлення вразливостей і кібератак, реагування та поширення інформації про них для мінімізації можливої шкоди. Швидко змінюваний цифровий світ потребує формування більш збалансованої та ефективної національної системи кібербезпеки, яка зможе гнучко адаптуватися до змін безпекового середовища, гарантуючи громадянам України безпечне функціонування національного сегмента кіберпростору, передбачивши нові можливості для цифровізації всіх сфер суспільного життя. Україна має бути здатною забезпечити свій соціально-економічний розвиток у цифровому світі, що вимагає набуття спроможності ефективно стримувати деструктивні дії в кіберпросторі, досягнення кіберстійкості на всіх рівнях та взаємодії всіх суб'єктів забезпечення кібербезпеки, яка ґрунтується на довірі. У такій ситуації актуальним є затвердження нової Стратегії кібербезпеки України, яка визначає пріоритети національних інтересів у сфері кібербезпеки, наявні та потенційно можливі кіберзагрози, цілі та завдання забезпечення кібербезпеки України з метою створення умов для безпечного функціонування кіберпростору, його використання в інтересах особи, суспільства і держави. Стратегія ґрунтується на положеннях Конституції України, законів України "Про національну безпеку України" та "Про основні засади забезпечення кібербезпеки України", Конвенції про захист прав людини і основоположних свобод, Конвенції про кіберзлочинність, Стратегії національної безпеки України, затвердженої Указом Президента України від 14 вересня 2020 року № 392, Концепції боротьби з тероризмом в Україні, затвердженої Указом Президента України від 5 березня 2019 року № 53, інших нормативно-правових актів. 2. Стан реалізації Стратегії кібербезпеки України, затвердженої Указом Президента України від 15 березня 2016 року № 96 Затвердження у 2016 році Стратегії кібербезпеки України стало важливим кроком у запровадженні підходів довгострокового планування в цій сфері. За роки реалізації Стратегії кібербезпеки України, затвердженої Указом Президента України від 15 березня 2016 року № 96, було докладено зусиль до становлення та розвитку національної системи кібербезпеки. Важливим етапом її інституалізації стало прийняття Закону України "Про основні засади забезпечення кібербезпеки України", який визначив правові та організаційні основи забезпечення захисту життєво важливих інтересів людини і громадянина, суспільства та держави, національних інтересів України у кіберпросторі, основні цілі, напрями та принципи державної політики у сфері кібербезпеки, повноваження державних органів, підприємств, установ, організацій, осіб та громадян у цій сфері, основні засади координації їхньої діяльності із забезпечення кібербезпеки. Удосконалено нормативне забезпечення з питань кіберзахисту об'єктів критичної інформаційної інфраструктури, ухвалено порядок її визначення та загальні вимоги до її кіберзахисту. Утворено центри (підрозділи) забезпечення кібербезпеки або кіберзахисту в Державній службі спеціального зв'язку та захисту інформації України, Службі безпеки України, Національному банку України, Міністерстві інфраструктури України, Міністерстві оборони України, Збройних Силах України. Розбудовується Національна телекомунікаційна мережа, утворюється Національний центр резервування державних інформаційних ресурсів, забезпечується функціонування системи виявлення вразливостей і реагування на кіберінциденти та кібератаки, діє урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA. З метою покращення координації діяльності суб'єктів сектору безпеки і оборони, які забезпечують кібербезпеку, утворено робочий орган Ради національної безпеки і оборони України – Національний координаційний центр кібербезпеки, рішення якого сприяють вирішенню найбільш складних проблем у цій сфері. Активно розвивається співпраця у сфері кібербезпеки з іноземними партнерами (Сполученими Штатами Америки, Сполученим Королівством Великої Британії і Північної Ірландії, Федеративною Республікою Німеччина, Королівством Нідерланди, Японією тощо), поглиблюється співробітництво з ЄС та НАТО, проводяться кібернавчання за участю інших держав та міжнародних організацій. Започатковано проведення щорічного заходу – місяця кібербезпеки. Водночас діяльність суб'єктів національної системи кібербезпеки залишається недостатньо скоординованою і такою, що спрямована на виконання лише поточних завдань. За результатами експертних оцінок, стан реалізації Стратегії кібербезпеки України, затвердженої Указом Президента України від 15 березня 2016 року № 96, за визначеними показниками не перевищує 40 відсотків. Невирішеними залишилися питання оперативного обміну інформацією про кіберзагрози, ефективної системи підготовки кадрів та дієвої моделі державно-приватного партнерства. Недостатніми є організація і проведення наукових досліджень у сфері кібербезпеки. Отриманий досвід надав змогу виокремити низку системних проблем. Однією з виявлених проблем стала недостатня чіткість визначених пріоритетів та напрямів забезпечення кібербезпеки України, значна частина яких не мала зрозумілої кінцевої мети та була не конкретною. Незадовільним був рівень планування заходів з реалізації Стратегії кібербезпеки України, затвердженої Указом Президента України від 15 березня 2016 року № 96, заплановані заходи не завжди корелювалися із визначеними нею завданнями. Реалізація зазначеної Стратегії була ускладнена відсутністю цілісного бачення (програми) розвитку спроможностей основних суб'єктів національної системи кібербезпеки, обмеженістю ресурсного забезпечення функціонування цієї системи, відсутністю належної державної підтримки розвитку її інституційного забезпечення. Не були розроблені індикатори виконання Стратегії кібербезпеки України, затвердженої Указом Президента України від 15 березня 2016 року № 96, що ускладнило процес оцінки її результативності та виокремлення незавершених завдань. Участь у реалізації названої Стратегії переважно брали суб'єкти сектору безпеки і оборони, недостатньо залучалися інші державні органи, наукові установи, громадськість. До виконання завдань із розвитку наукового потенціалу та поширення кіберграмотності недостатньо залучалися заклади освіти та наукові установи. Надзвичайно важливі для розвитку національної системи кібербезпеки завдання Стратегії кібербезпеки України, затвердженої Указом Президента України від 15 березня 2016 року № 96, не були виконані, зокрема: не сформовано перелік об'єктів критичної інформаційної інфраструктури, не створено модель державно-приватного партнерства. Розвиток цифрової грамотності здійснювався без чіткої програми, кібернавчання проводились епізодично. Нова Стратегія кібербезпеки України враховує попередній досвід і проблеми, стан кібербезпекового середовища на національному та міжнародному рівні, а також положення Стратегії кібербезпеки ЄС на цифрове десятиліття, стратегій кібербезпеки окремих держав – членів ЄС та держав – членів НАТО. 3. Національний кіберпростір: виклики та кіберзагрози Викликами для України у сфері кібербезпеки є: активне використання кіберзасобів у міжнародній конкуренції; змагальний характер розвитку засобів кібербезпеки в умовах швидких прогресуючих змін інформаційно-комунікаційних технологій, зокрема хмарних та квантових обчислень, 5G-мереж, великих даних, Інтернету речей, штучного інтелекту тощо; мілітаризація кіберпростору та розвиток кіберзброї, що дає можливість приховано проводити кібератаки для підтримки бойових дій і розвідувально-підривної діяльності у кіберпросторі; вплив пандемії COVID-19 на економічну діяльність та соціальну поведінку, що спричинив стрімку трансформацію і організацію значного сегмента суспільних відносин у дистанційному режимі з широким використанням електронних сервісів та інформаційно-комунікаційних систем; упровадження нових технологій, цифрових послуг та механізмів електронної взаємодії громадян з державою, що здійснюється безсистемно в частині заходів з кібербезпеки та без належної оцінки ризиків. Загрозами кібербезпеці України є: гібридна агресія Російської Федерації проти України у кіберпросторі. Держава-агресор невпинно нарощує арсенал кіберзброї наступального призначення, застосування якої може викликати невиправні, незворотні руйнівні наслідки. Кібератаки Російської Федерації спрямовані, насамперед, на інформаційно-комунікаційні системи державних органів України та об'єкти критичної інформаційної інфраструктури з метою виведення їх з ладу (кібердиверсія), отримання прихованого доступу і контролю, здійснення розвідувальної та розвідувально-підривної діяльності. Кібератаки також активно використовуються державою-агресором як елемент спеціальних інформаційних операцій з метою маніпулятивного впливу на населення, втручання у виборчі процеси та дискредитації української державності; кіберзлочинність, що завдає шкоди інформаційним ресурсам, суспільним процесам, особисто громадянам, знижує довіру суспільства до інформаційних технологій та призводить до значних матеріальних втрат. Набуває поширення використання кіберпростору для вчинення злочинів проти основ національної безпеки України, а також кримінальних правопорушень, пов'язаних із легалізацією доходів, одержаних злочинним шляхом, торгівлею людьми, незаконним поводженням зі зброєю, бойовими припасами або вибуховими речовинами, незаконним обігом наркотичних засобів, психотропних речовин, їх аналогів або прекурсорів та інших предметів і речовин, які загрожують життю та здоров'ю людей тощо; організовані та спонсоровані урядами інших держав кібератаки, що пов'язані з викраденням у політичних, економічних або військових цілях чутливої інформації (кібершпигунство) та здійсненням розвідувально-підривної діяльності. Особливостями таких кібератак є їх тривалість, складність та прихований характер, що ускладнює їх попередження, виявлення та нейтралізацію; використання терористичними організаціями кіберпростору для вчинення актів кібертероризму, фінансової та іншої підтримки терористичної діяльності. Ураховуючи виклики та загрози, що постали перед Україною у кіберпросторі, критично зростає роль кібербезпеки в процесах цифрової трансформації держави. Передумови та чинники, які формують окреслені загрози: висока технологічна залежність України від іноземних виробників продукції інформаційно-комунікаційних технологій, відсутність системи оцінки відповідності такої продукції вимогам з безпеки, що підвищує ступінь уразливості інформаційної інфраструктури від незадекларованих функцій та звужує спроможності протидії кіберзагрозам; недосконалість нормативно-правової бази у сфері кібербезпеки, а також її застарілість у сфері захисту інформації, повільна імплементація положень європейського законодавства, недостатня врегульованість цифрової складової розслідування кримінальних правопорушень, а також низький рівень правової відповідальності за порушення вимог законодавства у цій сфері; відсутність у значної частини державних органів відповідних структурних підрозділів, необхідного кадрового забезпечення та належного контролю за кіберзахистом, здійснення фінансування робіт із кіберзахисту за залишковим принципом; відсутність системи незалежного аудиту інформаційної безпеки та механізмів розкриття інформації про вразливості в умовах динамічної цифровізації всіх сфер державного управління та життєдіяльності держави; невідповідність сучасним вимогам рівня підготовки та підвищення кваліфікації фахівців з питань кібербезпеки та кіберзахисту, зокрема неефективні механізми їх стимулювання до роботи в державному секторі; відсутність законодавчого акта про критичну інфраструктуру України та її захист, що значно ускладнює формування системи кіберзахисту такої інфраструктури; незавершеність заходів з упровадження організаційно-технічної моделі кіберзахисту, яка відповідатиме сучасним загрозам, викликам у кіберпросторі та глобальним тенденціям розвитку індустрії кібербезпеки; відсутність системи підвищення цифрової грамотності громадян та культури безпекового поводження в кіберпросторі, низький рівень обізнаності суспільства щодо кіберзагроз та кіберзахисту; відсутність дієвої системи інформаційно-аналітичного забезпечення кібербезпеки; недостатня захищеність від кібератак державних інформаційних ресурсів та об'єктів критичної інформаційної інфраструктури; невідповідність вимогам законодавства стану захисту інформаційно-комунікаційних систем державних органів та суб'єктів господарювання, в яких обробляється значна частина інформації з обмеженим доступом. |