За останнє десятиліття кіберпростір став п’ятою окремою, специфічною та важливою сферою ведення збройної боротьби, поряд із чотирма традиційними — «Земля», «Море», «Повітря» та «Космос». Нині вже буденним сприймається застосування державами кібервійськ та кіберзброї, здійснення кібероборони, кібероперацій та кібератак.
Україна змушена з 2014 р. надавати відсіч гібридній російській збройній агресії, в тому числі у кіберпросторі. Але визнання кібероборони новим важливим складником її оборони відбулося лише у березні 2016 р. в Стратегії кібербезпеки України [1] (далі — Стратегія). При цьому у ній, зокрема зазначається, що «Основу національної системи кібербезпеки становитимуть Міністерство оборони України, Державна служба спеціального зв’язку та захисту інформації України, Служба безпеки України, Національна поліція України, Національний банк України» (частина третя розділу 3).
У Стратегії також вперше для Міністерства оборони України (Міноборони) та Генерального штабу Збройних Сил України (Генштаб ЗСУ) визначено додаткові нові основні завдання, а саме:
здійснення заходів з підготовки держави до відбиття воєнної агресії у кіберпросторі (кібероборони);
здійснення військової співпраці з НАТО, пов’язаної з безпекою кіберпростору та сумісним захистом від кіберзагроз;
забезпечення у взаємодії з Державною службою спеціального зв’язку та захисту інформації України і Службою безпеки України кіберзахисту власної інформаційної інфраструктури (абзац другий частини третьої розділу 3).
Передбачено також створення єдиного підрозділу із забезпечення кібербезпеки та кіберзахисту ЗСУ на стратегічному, оперативному та тактичному рівнях (абзац восьмий пункту 4.4).
Тоді ж, у березні 2016 р. було утворено Національний координаційний центр кібербезпеки як робочий орган Ради національної безпеки і оборони України (РНБОУ). Серед основних його завдань є, зокрема розроблення і внесення РНБОУ та її Голові пропозицій щодо (підпункти «и», «і» та «ї» пункту 9 статті 3 Положення про цей Центр [2]):
здійснення заходів державної підтримки стратегічно важливих для кібероборони держави наукових установ і організацій … ;
підвищення ефективності реалізації військово-технічної політики й політики військово-технічного співробітництва у сфері кібероборони;
доцільності нарощування кібероборонних можливостей держави … .
У жовтні 2017 р. набрав чинності Закон України «Про основні засади забезпечення кібербезпеки України» [3] (далі – Закон про кібербезпеку). У ньому вперше законодавчо визначено такі терміни:
кібербезпека — захищеність життєво важливих інтересів людини і громадянина, суспільства та держави під час використання кіберпростору, за якої забезпечуються сталий розвиток інформаційного суспільства та цифрового комунікативного середовища, своєчасне виявлення, запобігання і нейтралізація реальних і потенційних загроз національній безпеці України у кіберпросторі (пункт 5 статті 1);
кіберзахист — сукупність організаційних, правових, інженерно-технічних заходів, а також заходів криптографічного та технічного захисту інформації, спрямованих на запобігання кіберінцидентам, виявлення та захист від кібератак, ліквідацію їх наслідків, відновлення сталості і надійності функціонування комунікаційних, технологічних систем (пункт 7 статті 1);
кібероборона — сукупність політичних, економічних, соціальних, військових, наукових, науково-технічних, інформаційних, правових, організаційних та інших заходів, які здійснюються в кіберпросторі та спрямовані на забезпечення захисту суверенітету та обороноздатності держави, запобігання виникненню збройного конфлікту та відсіч збройній агресії (пункт 10 статті 1).
При цьому у Законі про кібербезпеку визначено дещо інший за пріоритетністю та складом, ніж у Стратегії, перелік основних суб’єктів національної системи кібербезпеки. Це, насамперед Державна служба спеціального зв’язку та захисту інформації України (Держспецзв’язку), Національна поліція України (Нацполіція), Служба безпеки України (СБУ) і не лише Міноборони, але й Генштаб ЗСУ, а також розвідувальні органи та Національний банк України (частина друга статті 8).
Закон про кібербезпеку чітко розподілів завдання між цими суб’єктами.
Зокрема, Держспецзв’язку має забезпечувати формування та реалізацію державної політики щодо захисту у кіберпросторі державних інформаційних ресурсів та інформації, … , кіберзахисту об’єктів критичної інформаційної інфраструктури, здійснює державний контроль у цих сферах; координує діяльність інших суб’єктів забезпечення кібербезпеки щодо кіберзахисту; … здійснює організаційно-технічні заходи із запобігання, виявлення та реагування на кіберінциденти і кібератаки та усунення їх наслідків … (пункт 1 частини другої статті 8).
Нацполіція забезпечує захист прав і свобод людини та громадянина, інтересів суспільства і держави від злочинних посягань у кіберпросторі; здійснює заходи із запобігання, виявлення, припинення та розкриття кіберзлочинів, … (пункт 2 частини другої статті 8). СБУ, у свою чергу, здійснює запобігання, виявлення, припинення та розкриття злочинів проти миру і безпеки людства, які вчиняються у кіберпросторі; здійснює контррозвідувальні та оперативно-розшукові заходи, спрямовані на боротьбу з кібертероризмом та кібершпигунством, … ; протидіє кіберзлочинності, наслідки якої можуть створити загрозу життєво важливим інтересам держави; … забезпечує реагування на кіберінциденти у сфері державної безпеки (пункт 3 частини другої статті 8).
Варто звернути увагу на те, у Законі про кібербезпеку для Міноборони та Генштабу ЗСУ (пункт 4 частини другої статті 8) визначено без змін наведені у Стратегії два перші основні їх завдання, а саме:
«здійснення заходів з підготовки держави до відбиття воєнної агресії у кіберпросторі (кібероборони);
здійснення військової співпраці з НАТО та іншими суб’єктами оборонної сфери щодо забезпечення безпеки кіберпростору та спільного захисту від кіберзагроз».
Трете ж завдання цих органів визначено по-іншому, ніж у Стратегії, і передбачає «впровадження заходів із забезпечення кіберзахисту критичної інформаційної інфраструктури в умовах надзвичайного і воєнного стану».
Також у жовтні 2017 р. до Закону України «Про оборону України» [4] було внесено зміни, якими встановлено, що підготовка держави до оборони в мирний час крім іншого включає «здійснення заходів з кібероборони (активного кіберзахисту) для захисту суверенітету держави та забезпечення її обороноздатності, запобігання збройному конфлікту та відсічі збройній агресії;» (передостанній абзац статті 3).
І лише майже через півтора року після цього, на початку січня 2019 р. Кабінет Міністрів України вніс підготовлені Міноборони зміни до Положення про це Міністерство [5], які зокрема визначають, що Міноборони «1171) відповідно до компетенції вживає заходів до забезпечення інформаційної безпеки, кібербезпеки та кіберзахисту, а також підготовки держави до відбиття воєнної агресії у кіберпросторі (кібероборони)» (пункт 21 статті 3).
Пізніше, наприкінці січня 2019 р. було затверджено Положення про Генштаб ЗСУ [6]. У ньому зокрема передбачено, що цей головний орган військового управління з планування оборони держави:
організовує розгортання, здійснює управління і забезпечує функціонування єдиної системи захисту інформації та кіберзахисту в інформаційно-телекомунікаційних системах Міноборони і ЗСУ (пункт 71 статті 4);
бере участь у створенні національної системи кібербезпеки та проведенні її періодичного огляду (пункт 73 статті 4);
організовує планування та виконання в межах компетенції заходів з підготовки держави до відбиття воєнної агресії в кіберпросторі (кібероборони), координує виконання завдань з підготовки до кібероборони органами виконавчої влади, органами місцевого самоврядування та іншими складовими сил оборони (пункт 74 статті 4);
здійснює забезпечення інформаційної безпеки у ЗСУ та протидію системним і масштабним діям проти інтересів України в кіберпросторі іноземними державами (групами держав), зокрема із залученням кіберпідрозділів збройних сил іноземних держав, шляхом використання спеціальних засобів (кіберозброєнь) (пункт 77 статті 4).
Слід констатувати, що у 2016 — 2019 рр. наведені вище законодавчо визначені завдання щодо здійснення Міноборони та Генштабом ЗСУ заходів із кібероборони держави, нарощування її кібероборонних спроможностей та ін. не були належним чином імплементовані у документи оборонного планування.
Так, наприклад, у чинній поки Воєнній доктрині України йдеться лише про «… поглиблення кооперації та співробітництва з НАТО і ЄС у сфері розвідки щодо … боротьби з кіберзлочинністю …» [7].
В свою чергу у Стратегічному оборонному бюлетені України [8] відмічається «… неспроможність ефективно реагувати на зростаючу кількість та потужність кібератак та протистояти кіберзлочинності;». Тому передбачається «… забезпечити розвиток системи кібернетичного захисту та стратегічних комунікацій», а також завдяки реалізації оперативної цілі 1.5 «Удосконалення системи кібербезпеки та захисту інформації» оборонної реформи створити в Міноборони «… підрозділи з кіберзахисту, протидії технічним розвідкам, впровадження заходів із захисту інформації відповідно до вимог нормативно-правових актів України та з урахуванням стандартів НАТО і ISO/IEC».
Заходи із забезпечення кібероборони та нарощування кібероборонних спроможностей держави наразі відсутні у відповідних державних програмах з розвитку ЗСУ та їх озброєння і військової техніки.
До того ж, затверджені у зазначений період Кабінетом Міністрів України щорічні плани заходів з реалізації Стратегії кібербезпеки України [9] не містили заходів щодо забезпечення Міноборони та Генштабом ЗСУ кібероборони держави. А на 2019 та 2020 рр. такі плани Урядом взагалі не було затверджено.
Позитивно, що у 2019 р. до Військового стандарту ВСТ 01.004.002-2019(02) [10] нарешті було внесено поняття «кібероборона». Однак, оскільки у цьому Стандарті досі не визначено інше пов’язане з ним важливе поняття «кібероборонні спроможності», останнє не застосовується у Міноборони, ЗСУ та інших складових сил оборони під час здійснення стратегічного та оборонного планування.
Стан справ у царині кібероборони став покращуватися після призначення Міністром оборони України А.Тарана та Головнокомандувачем ЗСУ Р.Хомчака.
Зокрема, на початку лютого 2020 р. у ЗСУ створено чотири нові командування та призначено їхніх командувачів [11]. Одним із таких командувань стало Командування Військ зв’язку та кібернетичної безпеки ЗСУ. Однак, така його назва в частині, що стосується «кібернетичної безпеки» не відповідає, на наш погляд, наведеним вище нормам законодавства, перш за все визначеним у ньому одним із основних завдань Міноборони та Генштабу ЗСУ — забезпечення кібероборони України, а не кібернетичної безпеки держави або кібернетичної безпеки лише ЗСУ.
Наприкінці березня 2020 р. внесено низку змін до положення про Генштаб ЗСУ [12], відповідно до яких цей орган додатково:
«75) організовує планування операцій Збройних Сил та інших складових сил оборони у кіберпросторі» (абзац сьомий пункту 4);
«76) організовує у взаємодії з Державною службою спеціального зв’язку та захисту інформації України та Службою безпеки України кіберзахист інформаційної інфраструктури Міністерства оборони і Збройних Сил;» (останній абзац пункту 4).
За результатами такого стислого аналізу положень законодавства, стану справ та наявних проблем у царині кібероборони держави доцільно зробити наступні висновки.
Кібероборона, кібербезпека та кіберзахист є значною мірою самостійними і різними за змістом, суб’єктами та об’єктами складовими діяльності у кіберпросторі України. На сьогодні залишаються невизначеними у відповідних нормативно-правових актах структура системи кібероборони держави, склад, функції та завдання суб’єктів її забезпечення, а також об’єкти кібероборони. Виконання основних завдань із забезпечення кібероборони держави згідно із законодавством покладено на Міноборони та Генштаб ЗСУ, які повинні спільно уживати заходів з кібероборони (активного кіберзахисту) для захисту суверенітету держави та забезпечення її обороноздатності, запобігання збройному конфлікту і відсічі збройній агресії.
Кібероборона є також важливим складником сучасної оборони держави. Відтак, формування та реалізація державної політики України у сфері оборони (насамперед воєнної та військово-технічної політики і політики військово-технічного співробітництв з іншими державами) мають здійснюватися з урахуванням пріоритетів, напрямів та заходів у царині кібероборони.
Оскільки виконання завдань з оборони України покладено перш за все на її сили оборони, то до них, на нашу думку, мають входити об’єднані сили/війська кібероборони. З урахуванням цього, до їхнього складу слід залучати, крім відповідних підрозділів ЗСУ, сили та засоби Держспецзв’язку, СБУ, Держприкордослужби, Нацгвардії, Нацполіції та розвідувальних органів, на які покладено завдання із забезпечення оборони держави. Управління застосуванням таких сил здійснюватиме Головнокомандувач ЗСУ через Командувача об’єднаних сил.
Важливо також, що документи оборонного планування та планування оборони України повинні визначати крім іншого цілі, завдання та заходи як з розвитку об’єднаних сил/військ кібероборони, так і з їх підготовки та застосування під час відсічі збройній агресії.
На підтвердження обґрунтованості цих висновків варто привести досвід дій НАТО у сфері кіберпростору. Зокрема, на саміті Альянсу у Варшаві в липні 2016 р. кіберпростір було визнано новою сферою проведення операцій [13]. Зазначалося, що це вимагатиме забезпечення більш ефективної організації кібероборони НАТО. У лютому 2017 р. були схвалені оновлений План кібероборони та дорожня карта з освоєння цієї нової сфери проведення операцій [14].
До того ж, Президент України В. Зеленський під час візиту до Брюсселя 31 жовтня 2019 р. домовився з Генсекретарем НАТО Є. Столтенбергом про надання Альянсом, серед іншого, понад 40 млн. євро для підтримки України в таких сферах як бойове командування та контроль, кібероборона та медична реабілітація [15].
Ураховуючи викладене, варто рекомендувати Міністерству оборони та Головнокомандувачу Збройних Сил України:
розробити та внести в установленому порядку на розгляд Ради національної безпеки і оборони України проєкт Стратегії кібероборони України, приділивши у ньому увагу не лише кібероборонним (кіберзахисним) діям об’єднаних сил/військ кібероборони, а й їхнім проактивним упереджувальним, кіберрозвідувальним та кібернаступальним діям;
визначити цілі, завдання та заходи щодо розвитку об’єднаних сил/військ кібероборони, їх підготовки та застосування під час відсічі збройній агресії у проєктах Стратегії воєнної безпеки України, Стратегічного оборонного бюлетеня України, держпрограм розвитку ЗСУ та їх озброєння і військової техніки, а також у проєкті плану оборони України, насамперед у проєкті Стратегічного плану застосування ЗСУ, інших складових сил оборони з відсічі збройній агресії, розроблення яких наразі триває;
визначити у відповідних нормативно-правових актах структуру системи кібероборони держави, склад, функції та завдання суб’єктів її забезпечення, а також об’єкти кібероборони;
навести у черговому щорічному плані Кабінету Міністрів України щодо реалізації Стратегії кібербезпеки України серед іншого заходи, що вживатимуться Міноборони та Генштабом ЗСУ для посилення кібероборони держави і підвищення кібероборонних спроможностей об’єднаних сил/військ кібероборони, насамперед, для виконання яких надаватиметься відповідна допомого з боку НАТО;
визначити у Військовому стандарті ВСТ 01.004.002-2019(02) поняття «кібероборонні спроможності», внести його до Єдиного переліку (каталогу) спроможностей Міноборони, ЗСУ та інших складових сил оборони і застосовувати під час здійснення оборонного планування та планування оборони держави;
передбачити, що Директорат політики у сфері оборони та Департамент військово-технічної політики, розвитку озброєння і військової техніки Міноборони мають здійснювати при забезпеченні формування і реалізації воєнної та військово-технічної політики і політики військово-технічного співробітництва з іншими державами визначення пріоритетів, напрямів та заходів у царині кібероборони України;
внести необхідні зміни до структури та штату Центрального управління зв’язку та інформаційних систем Генштабу ЗСУ для підвищення його спроможностей щодо планування кібероборони держави та забезпечення належної реалізації інших повноважень Генштабу ЗСУ, пов’язаних із діями ЗСУ у кіберпросторі;
скорегувати, частково, назву Командування Військ зв’язку та кібернетичної безпеки ЗСУ, замінивши у ній слова «кібернетичної безпеки» словом «кібероборони», а також передбачити у положенні про це Командування виконання ним завдань з підготовки об’єднаних сил/військ кібероборони, нарощування їхніх кібероборонних спроможностей тощо.
Вадим Тютюнник,
позаштатний радник ЦДАКР,
співробітник Апарату РНБО України (у 1992 – 2010 рр.).