Система публічного управління як об’єкт критичної інфраструктури за критерієм "кібербезпека та захист інформації"

Размещено на http://www.allbest.ru/

Система публічного управління як об'єкт критичної інфраструктури за критерієм "кібербезпека та захист інформації"

Дзяна Галина Олексіївна, кандидат наук з державного управління, доцент, доцент кафедри публічного врядування, Національний університет «Львівська політехніка»

У статті обґрунтовано особливості функціонування системи публічного управління, як об'єкту критичної інфраструктури, оскільки неузгодженість у функціонуванні даної системи може призвести до значних проблем у різних сферах, що матиме серйозні наслідки для життя, добробуту людей та розвитку суспільства загалом. Наголошено, що найбільш вразливими до різного роду загроз та кібератак є ключові компоненти системи публічного управління, зокрема: інформаційні системи органів публічної влади, системи електронного уряду, веб-сайти, портали державних послуг, бази даних, персональні дані громадян, фінансова інформація, антивірусне програмне забезпечення тощо.

Виокремлено ризики та виділено різні форми кібератак, що здійснюються на систему публічного управління і можуть негативно вплинути на її функціонування. Акцентовано увагу на кібератаках, що активізувалися на систему публічного управління під час війни.

На основі узагальнення результатів дослідження урядової команди реагування на комп'ютерні надзвичайні події CERT-UA та Служби безпеки України, встановлено, що сьогодні спостерігається неухильне зростання кібератак, спрямованих на міністерства та інші органи державної влади, на об'єкти критичної інфраструктури, а також на пошук несанкціонованого доступу до електронного документообігу держустанов і технологічних систем інфраструктури.

Обґрунтовано доцільність використання низки технічних, організацій - них, правових та інформаційних заходів для захисту системи публічного управління, як об'єкту критичної інфраструктури за критерієм «кібербезпека та захист інформації».

Запропоновано визначити критичну інфраструктуру як систему центрів прийняття управлінських рішень, об'єктів та комплексів, які відносяться до сфер публічного управління, енергетики, оборони, транспорту, телекомуні- кацій, банківської справи, промисловості, охорони здоров'я, видобутку, переробки та постачання енергоресурсів, хімічної та нафтохімічної промисло - вості, а також до інших сфер, перебій у функціонуванні яких може призвести до значних негативних наслідків для суспільства та держави.

Ключові слова: система публічного управління, об'єкти критичної інфраструктури, кібератаки, кібербезпека.

Dzyana Halyna Oleksiivna, Candidate of Public Administration, Associate Professor, Associate Professor at the Department of Public Administration, Lviv Polytechnic National University

Dzyanyy Rostyslav Borisovych, Candidate of Chemistry, Associate Professor, Associate Professor at the Department of Administrative and Financial Management, Lviv Polytechnic National University

Постановка проблеми

Враховуючи значну кількість чинників, від яких так чи інакше залежить життя сучасної людини, суспільства та держави, дуже важливо чітко окреслити коло тих систем, мереж та об'єктів, завдяки функціонуванню яких населенню, суспільству та державі надаються життєво важливі послуги та виконуються необхідні функції. Це завдання має відповідати визначенню «критична інфраструктура».

Система публічного управління відіграє основну роль у забезпеченні функціонування держави і суспільства та охоплює широкий спектр рішень і дій, від формування та реалізації державної політики до надання низки державних послуг та прийняття управлінських рішень. Неузгодженість у функціонуванні системи публічного управління може призвести до значних проблем у різних сферах, що матиме серйозні наслідки для життя, добробуту людей та розвитку суспільства загалом.

Найбільш вразливими до різного роду загроз та кібератак є ключові компоненти системи публічного управління. Насамперед, це інформаційні системи органів публічної влади, системи електронного уряду, веб-сайти, портали державних послуг, а також бази даних, персональні дані громадян, фінансова інформація, антивірусне програмне забезпечення тощо. Кібератакам також піддається і персонал, державні службовці та зовнішні користувачі шляхом несанкціонованого доступу до інформаційних систем, баз персональних даних, веб-сайтів та порталів державних послуг.

Використання в державних структурах застарілих систем та програмного забезпечення, обмежені ресурси для їх оновлення, недостатня підготовка персоналу, брак знань та навичок у сфері кібербезпеки у державних службовців та відсутність чіткої політики і процедур реагування на кіберінциденти - є тими чинниками, що дозволяють розглядати систему публічного управління як об'єкт критичної інфраструктури.

Аналіз останніх досліджень і публікацій

Питання управління безпекою критичної інфраструктури у своїх працях розглядали такі вітчизняні учені: В.Абрамов, Д.Бірюков, Д.Бобро, О.Батюк, І.Жукова, Г. Ситник, А.Семенченко, О.Суходоля, В.Лядовська, С.Кондратов, С.Кулінська, А.Пашков та ін. Крім того, проблеми захисту критичної інфраструктури та гарантування безпеки об'єктів критичної інфраструктури розглядалися С.Ф. Гончаром, Г.П. Леоненком, О.Ю. Юдіним, С.С. Телеником та іншими.

Аналіз останніх досліджень у даному напрямку свідчить про значну увагу наукової спільноти до проблеми захисту критичної інфраструктури. У зв'язку з новими викликами сьогодення, ці питання потребують подальшого глибокого вивчення. Оскільки загрози інформаційній та кібербезпеці системи публічного управління, як центру прийняття управлінських рішень, в сучасних умовах є динамічними та постійно змінюються, дана проблематика наукових досліджень не втрачає своєї актуальності.

Мета статті полягає у дослідженні особливостей функціонування системи публічного управління, як об'єкту критичної інфраструктури.

Виклад основного матеріалу

Закон України «Про критичну інфраструктуру» від 16.11.2021 року № 1882-IX визначає критичну інфраструктуру як систему об'єктів та комплексів, які відносяться до сфер енергетики, оборони, транспорту, телекомунікацій, банківської справи, промисловості, охорони здоров'я, видобутку, переробки та постачання енергоресурсів, хімічної та нафтохімічної промисловості, а також до інших сфер, перебій у функціону - ванні яких може призвести до значних негативних наслідків для суспільства та держави [1].

Оскільки, відповідно до цього закону, критична інфраструктура - це система, яка включає життєво важливі для функціонування суспільства об'єкти, мережі та сервіси, на нашу думку, систему публічного управління, як центр прийняття управлінських рішень, також можна віднести до переліку об'єктів критичної інфраструктури.

У роботі [2] нами виокремлено ризики, які можуть негативно вплинути на функціонування системи публічного управління, а саме:

- Кібератаки на комп'ютерні системи публічних органів, що можуть призвести до крадіжки даних, порушення роботи або навіть до повного відключення критичних систем.

- Терористичні атаки на публічні органи, що можуть призвести до людських жертв, руйнувань та порушення фізичної роботи систем управління.

- Стихійні лиха такі як повені, землетруси, урагани тощо, можуть призвести до руйнування інфраструктури та порушення роботи публічних органів.

- Політична нестабільність, що може призвести до зміни влади та негативно вплинути на роботу публічних органів.

- Зовнішні агресивні чинники (світова пандемія, війна в Україні), що можуть призвести до порушення роботи системи в кризових умовах.

- Невизначеність і невідповідність у прийнятті управлінських рішень функціональним засадам системи публічного управління [2].

Слід зазначити, що сучасна система публічного управління значною мірою покладається на інформаційно-комунікаційні технології, зокрема в частині зберігання даних, надання послуг та спілкування з громадянами. Кібератаки або інші збої в роботі ІКТ-систем можуть значно пошкодити систему публічного управління та її функціональність, якщо порушуються суб'єкт-об'єктні відносини.

Нами також виділено різні форми кібератак на систему публічного управління, зокрема:

1. Фішингові атаки, мета яких - викрасти особисті дані, фінансову інформацію чи отримати доступ до комп'ютерних систем органів публічної влади або заразити комп'ютер користувача шкідливим програмним забезпеченням.

2. DDoS-атаки, їх мета - зробити веб-сайти, онлайн-сервіси недоступними для громадян або вивести з ладу комп'ютерні системи органів публічної влади.

3. Атаки на веб-сайти, мета яких - зламати веб-сайти органів публічної влади, викрасти особисті дані, фінансову інформацію або поширити дезінфор - мацію.

4. Атаки на програмне забезпечення, які спрямовані на - викрадення даних або виведення з ладу комп'ютерних систем органів публічної влади, використовуючи вразливості в програмному забезпеченні, яке використовується органами публічної влади, щоб отримати доступ до їхніх комп'ютерних систем.

5. Шпигунство, мета таких атак - отримати конкурентну перевагу або отримати конфіденційну інформацію та зашкодити національній безпеці [2].

Під час повномасштабного вторгнення агресора на територію України активізувалися й кібератаки на систему публічного управління, серед яких були:

- DDoS-атаки на веб-сайти декількох державних органів України, включаючи сайт Президента України та сайт Кабінету Міністрів, що спричинили їх тимчасову недоступність;

- кібератаки на Міністерство енергетики України, які призвели до тимчасової недоступності веб-сайту та незначних перебоїв в роботі міністерства;

- кібератака на ПриватБанк з викраденням особистих даних клієнтів банку та перебоями в роботі онлайн-банкінгу;

- DDoS-атака на веб-сайт Укрпошти, що спричинила його тимчасову недоступність та перебої в роботі онлайн-сервісів;

- кібератака на українські ЗМІ з використанням ботнету. Як наслідок, розповсюдження дезінформації та перебої в роботі веб-сайтів ЗМІ [2].

У Державній службі спеціального зв'язку та захисту інформації України анонсували, що інтенсивність російських кібератак не зменшилася з початку повномасштабного вторгнення, але знижується їх якість.

За перші чотири місяці війни було здійснено 796 кібератак, зокрема, основними секторами, які атакували хакери, були:

- Уряд і місцеві органи влади - 179;

- Сектор безпеки та оборони - 104;

- Фінансовий сектор - 55;

- Комерційні організації - 54;

- Енергетичний сектор - 54;

- Інші - 350 [3].

І якщо на початку повномасштабного вторгнення атаки були спрямовані на військові об'єкти з метою порушити військовий зв'язок України, то з часом хакери все частіше почали атакувати портали з сервісами, якими люди користуються у повсякденному житті, та інформаційні ресурси.

Сьогодні спостерігається неухильне зростання кібератак, спрямованих проти України. Так, у 2023 році кількість кібератак зросла, порівняно з 2022 роком, на 15,9% до 2543 інцидентів. За даними урядової команди реагування на комп'ютерні надзвичайні події CERT-UA, 347 кібератак було зафіксовано на уряд та урядові організації, 276 - на місцеві органи влади, 175 - на організації у секторі безпеки та оборони, 127 - комерційні організації. Ще 92 рази було атаковано енергетичний сектор, 81 - телеком, 38 - освітні установи, 32 - транспортну галузь, 30 - фінансовий сектор, 25 - IT-сектор, 15 - ЗМІ, 12 - медичні установи. За другу половину 2023 року було зафіксовано та проведено розслідування 1,46 тисяч кіберінцидентів [4].

Цілеспрямовані атаки переважно були спрямовані на міністерства та інші органи державної влади, а також на об'єкти критичної інфраструктури.

За повідомленнями Служби безпеки України, з початку 2023 року кіберфахівцями СБУ нейтралізовано майже 4 тис. кібератак на електронні системи центральних органів влади та критичної інфраструктури України. Більшість ворожих кібератак спрямована на пошук несанкціонованого доступу до електронного документообігу держустанов і технологічних систем інфра - структури. Для посилення міжвідомчої взаємодії СБУ підключила електронні системи понад 1700 представників урядових структур і стратегічно важливих об'єктів до платформи обміну інформацією про виявлені кіберінциденти MISP-UA [5].

Вище приведені лише деякі з найпоширеніших кібератак, які сьогодні здійснюються на систему публічного управління. Варто пам'ятати, що зловмисники постійно розробляють нові способи та методи атак. Тому владі важливо постійно вдосконалювати свої заходи кібербезпеки.

Отже, сьогодні система публічного управління, як об'єкт критичної інфраструктури, зазнає тиску агресивних викликів зовнішнього середовища, породжених руйнуванням як соціально-економічних, так й інформаційно- комунікаційних зв'язків внаслідок війни.

З метою мінімізації та подолання викликів, з якими стикається система публічного управління в умовах війни, Указом Президента від 21 квітня 2022 р. № 266/2022 було утворено Національну раду з відновлення від наслідків війни. Експертами ради було підготовлено та презентовано в липні 2022 року проєкт масштабного Плану відновлення України [20]. В Проєкті, який оприлюднено на урядовому сайті для загального суспільного обговорення, враховано низку пропозицій міжнародних партнерів, бізнесу і громадськості. Проєктом перед - бачено для відбудови України реалізувати 850 проєктів вартістю 750 млрд. дол. протягом 10 років (2023-2032 роки). На першому етапі (2023-2025 роки) - передбачається реалізація 580 проєктів на суму 350 млрд. дол. На другому етапі (2026-2032 роки) - заплановано реалізацію 270 проєктів на суму 400 млрд. дол [6].

Зазначимо, що Проєктом передбачено 24 стратегічні напрями змін, серед яких напрям - «Цифрова держава», для забезпечення якого мають бути реалізовані проєкти, спрямовані, зокрема, на кіберзахист системи публічного управління, а саме:

- Впровадження комплексного захисту інформаційних ресурсів та технологічної інфраструктури «Дія» та послуг електронного урядування,

- Завершення створення Національного центру резервування державних інформаційних ресурсів,

- Розвиток системи активної кібербезпеки (системи оцінки вразливостей та тестування на проникнення, сервісів захисту веб-ресурсів,

- Створення державної хмарної сервісної платформи кібербезпеки,

- Створення національної системи моніторингу кіберзагроз на базі сенсорної інфраструктури,

- Створення реєстру забороненого програмного забезпечення,

- Створення реєстру об'єктів критичної інформаційної інфраструктури,

- Створення урядового центру очистки трафіку та протидії DDOS- атакам,

- Тренінги з реагування на інциденти та використання даних кібер - розвідки для органів державної влади та об'єктів критичної інфраструктури тощо.

Крім того, у 2023 році в Україні затверджено Національний план захисту та забезпечення безпеки та стійкості критичної інфраструктури (Розпоряд - ження Кабінету Міністрів України від 19 вересня 2023 р. № 825 -р.), основними стратегічними цілями якого визначено: правову регламентацію різних суб'єктів національної системи захисту КІ; встановлення вимог та забезпе- чення моніторингу рівня захисту об'єктів КІ; створення системи координації, взаємодії суб'єктів національної системи захисту КІ, налагодження функціонування системи обміну інформацією між різними суб'єктами публічного менеджменту (зокрема під час реагування на загрози та кризові стани); впровадження управління ризиками КІ; посилення стійкості національної системи захисту КІ [7].

З огляду на сказане, за критерієм «кібербезпека та захист інформації» для захисту системи публічного управління, як об'єкту критичної інфраструктури, можна запропонувати технічні, організаційні, правові та інформаційні заходи, описані нами в роботі [2].

Таким чином, технічні заходи передбачають:

- встановлення систем виявлення зловмисних вторгнень;

- шифрування даних для захисту їх від несанкціонованого доступу;

- встановлення та регулярне його оновлення антивірусного програмного забезпечення;

- резервне копіювання даних для відновлення інформації у разі кібератаки.

Організаційні заходи включають:

- розробку та системне впровадження політики кібербезпеки в організації;

- навчання персоналу з питань кібербезпеки з метою підвищення обізнаності про кіберзагрози та способи захисту від них;

- створення команди реагування на кіберінциденти для координації дій у разі реальної кібератаки.

Правові заходи, зокрема, повинні акцентувати увагу на:

- прийнятті законів та нормативних актів у сфері кібербезпеки для визначення відповідальності за кібератаки та встановлення вимог до захисту інформаційних систем;

- співпраці з правоохоронними органами для розслідування кібератак та притягнення винних до відповідальності.

Інформаційні заходи повинні бути спрямовані на:

- проведення інформаційних кампаній та підвищення обізнаності громадськості про кіберзагрози;

- впровадження культури кібербезпеки, відповідального використання Інтернету та соціальних мереж;

- співпрацю з різними секторами суспільства задля підвищення обізнаності про кібербезпеку, розповсюдження інформації про кіберзагрози;

- співпрацю з міжнародними організаціями з кібербезпеки для обміну інформацією та кращими практиками у сфері захисту від кібератак [2].

Важливо зазначити, що захист системи публічного управління від кібератак - це постійний процес, який потребує системного підходу, постійного вдосконалення та оновлення заходів захисту.

Висновки

Таким чином, відповідно до Методичних рекомендацій щодо категоризації об'єктів критичної інфраструктури, затверджених наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України у редакції від 26 вересня 2023 року № 857 [8] та приведених вище узагальнень, систему публічного управління за критерієм «кібербезпека та захист інформації» можна віднести до переліку об'єктів критичної інфраструктури, так як від функціонування даної системи залежить забезпечення громадян базовими потребами, створення сприятливих умов для ведення бізнесу та стимулювання економічного зростання, захист країни від зовнішніх та внутрішніх загроз.

Відповідно, використовуючи досвід функціонування системи публічного управління України в умовах війни, пропонуємо визначити критичну інфраструктуру як систему центрів прийняття управлінських рішень, об'єктів та комплексів, які відносяться до сфер публічного управління, енергетики, оборони, транспорту, телекомунікацій, банківської справи, промисловості, охорони здоров'я, видобутку, переробки та постачання енергоресурсів, хімічної та нафтохімічної промисловості, а також до інших сфер, перебій у функціонуванні яких може призвести до значних негативних наслідків для суспільства та держави.

Література:

1. Про критичну інфраструктуру: закон України від 16.11.2021 р. № 1882-IX (у редакції від 01.01.2024 р.). URL: https://zakon.rada.gov.Ua/laws/show/1882-20#Text

2. Дзяна Г.О., Дзяний Р.Б. Система публічного управління як об'єкт критичної інфраструктури. Європейська інтеграція та трансформація публічного врядування в Україні: матер. наук.-практ. конф. (19 квітня 2024 р., м. Львів) / Львів: НУ «Львівська політехніка», 2024. - С.111-114.

3. Шаталова І. Кібератаки як воєнні злочини: огляд моніторингу дотримання цифрових прав українців. 2024. URL: https://lb.ua/blog/koalitsiia_ua5am/565304_kiberataki_ yak_voienni_zlochini_oglyad.html

4. Жарикова А. Кількість кібератак у 2023 році зросла на 16%. Держспецзв'язку. 2024. URL: https://www.epravda.com.ua/news/2024/01/31/709355/

5. Цьогоріч нейтралізовано майже 4 тисячі кібератак на органи влади та критичну інфраструктуру України. URL: https://armyinform.com.ua/2023/10/03/z-pochatku-roku-sbu- nejtralizuvala-majzhe-4-tys-kiberatak-na-organy-vlady-ta-krytychnu-infrastrukturu-ukrayiny/

6. План відновлення України. (Липень 2022). Національна рада України з питань відновлення України. URL: https://recovery.gov.ua/

7. Про затвердження Національного плану захисту та забезпечення безпеки та стійкості критичної інфраструктури: розпорядження КМУ від 19 вересня 2023 р. № 825 -р. URL: https://zakon.rada.gov.ua/laws/show/825-2023-%D1%80#Text

8. Методичні рекомендації щодо категоризації об'єктів критичної інфраструктури:

затверджені наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 15.01.2021 р. № 23 (у редакції від 26.09.2023 р.). URL:

https://zakon.rada.gov.ua/rada/show/v0023519-21 #T ext

References:

1. Pro krytychnu infrastrukturu: zakon Ukrayiny vid 16.11.2021 r. № 1882-IX (u redaktsiyi vid 01.01.2024 r.1. [On critical infrastructure: Law of Ukraine dated November 16, 2021 № 1882-IX] (as amended on January 1, 2024). Retrieved from: https://zakon.rada.gov.ua/laws/show/1882- 20#Text [in Ukrainian].

2. Dzyana H.O. Dzyanyy R.B. (2024). Systema publichnoho upravlinnya yak ob"yekt krytychnoyi infrastruktury [The public management system as a critical infrastructure object]. Yevropeys'ka intehratsiya ta transformatsiya publichnoho vryaduvannya v Ukrayini: materialy naukovo-praktychnoyi konferentsiyi - European integration and transformation of public governance in Ukraine: materials of a scientific and practical conference. (pp. 111-114). L'viv : Lviv Polytechnic National University [in Ukranian].

3. Shatalova I. (2024). Kiberataky yak voyenni zlochyny: ohlyad monitorynhu dotrymannya tsyfrovykh prav ukrayintsiv. [Cyberattacks as war crimes: an overview of monitoring the observance of the digital rights of Ukrainians]. Retrieved from: https://lb.ua/blog/koalitsiia_ ua5am/565304_kiberataki_yak_voienni_zlochini_oglyad.html [in Ukrainian].

4. Zharikova A. (2024). Kil'kist' kiberatak u 2023 rotsi zrosla na 16%. Derzhspetszv"yazku. [The number of cyber attacks in 2023 increased by 16%. State Special Communications.] Retrieved from: https://www.epravda.com.ua/news/2024/01/31/709355/ [in Ukrainian].

5. Ts'ohorich neytralizovano mayzhe 4 tysyachi kiberatak na orhany vlady ta krytychnu infrastrukturu Ukrayiny. [This year, almost 4,000 cyberattacks on government bodies and critical infrastructure of Ukraine were neutralized]. Retrieved from: https://armyinform.com.ua/2023/10/ 03/z-pochatku-roku-sbu-nejtralizuvala-majzhe-4-tys-kiberatak-na-organy-vlady-ta-krytychnu- infrastrukturu-ukrayiny/ [in Ukrainian].

6. Plan vidnovlennya Ukrayiny. (Lypen' 2022). Natsional'na rada Ukrayiny z pytan' vidnovlennya Ukrayiny. [Ukraine recovery plan. (July 2022). National Council of Ukraine on Reconstruction of Ukraine]. Retrieved from: https://recovery.gov.ua/ [in Ukrainian].

7. Pro zatverdzhennya Natsional'noho planu zakhystu ta zabezpechennya bezpeky ta stiykosti krytychnoyi infrastruktury: rozporyadzhennya KMU vid 19 veresnya 2023 r. № 825 -r. [On the approval of the National Plan for the Protection and Ensuring the Safety and Stability of Critical Infrastructure: Decree of the CMU of September 19, 2023 №. 825-r.]. Retrieved from: https://zakon.rada.gov.ua/laws/show/825-2023-%D1%80#Text [in Ukrainian].

8. Metodychni rekomendatsiyi shchodo katehoryzatsiyi ob"yektiv krytychnoyi infrastruktury: zatverdzheni nakazom Administratsiyi Derzhavnoyi sluzhby spetsial'noho zv'yazku ta zakhystu informatsiyi Ukrayiny vid 15.01.2021 r. № 23 (u redaktsiyi vid 26.09.2023 r.). [Methodological recommendations for the categorization of critical infrastructure objects: approved by the order of the Administration of the State Service for Special Communications and Information Protection of Ukraine dated 15.01.2021 No. 23 (as amended from 26.09.2023)]. Retrieved from: https://zakon. rada.gov.ua/rada/show/v0023519-21#Text [in Ukrainian].

Размещено на Allbest.ru