Как известно, на прошлой неделе правительство Украины и Microsoft подписали Соглашение о сотрудничестве по вопросам безопасности (Government Security Program или GSP). На совместном брифинге представители службы Госспецсвязи и Microsoft пролили свет на некоторые любопытные детали этого соглашения.
Игорь Козаченко, Владимир Зверев, Надежда Васильева, Михаил Шмелев на совместном брифинге Госспецсвязи и Microsoft
Кратко напомним, какие основные пункты включает подписанное соглашение GSP. Во-первых, корпорация предоставит Госспецсвязи доступ к исходному коду и техническим данным о программном обеспечении, сервисах и службах Microsoft. Во-вторых, Украина получит возможность оценивать их безопасность путем тестирования в Центре прозрачности Microsoft. В-третьих, в рамках соглашения корпорация также будет предоставлять оперативную информацию о глобальных киберугрозах и источниках сетевых атак, что будет способствовать предупреждению и реагированию на инциденты в цифровом пространстве.
В-четвертых, GSP включает программу безопасности программного обеспечения (Security Cooperation Program, SCP), бесплатную инициативу, которая обеспечивает возможность правительству принимать участие в совместных мероприятиях с Microsoft, нацеленных на реагирование на компьютерные инциденты и предупреждения последствий кибератак. Цель SCP – помочь правительствам реагировать на угрозы национальной безопасности.
По словам Владимира Зверева, руководителя Госспецсвязи, к программе GSP от Microsoft присоединились 20 стран по всему миру, но только Украина и Польша имеют самый высокий уровень доверия по этой программе. С его точки зрения, подписанное соглашение о сотрудничестве – важный шаг на пути к построению киберзащищенной Украины, а также шанс для нашей страны стать лидером в области ИБ. Кстати, В. Зверев отметил, что помимо вышеуказанных пунктов с Microsoft было оговорено дополнительное устное соглашение, которое касалось помощи корпорации в доработке законодательства по кибербезопасности.
Следует отметить, что подписанное соглашение вызвало множество толков в украинской ИТ-среде. Например, существовало и такое мнение, что за счет GSP Microsoft будет лоббировать легализацию своего ПО, используемого в госорганах, а также упрочнять позиции платформы Windows/Office.
Принудительной легализации не будет
В рамках брифинга представители корпорации расставили все точки на “i”. Так, в Microsoft акцентировали, что подписание соглашения никак не связано с обязательствами по легализации программного обеспечения Windows и MS Office в государственных органах. В то же время Надежда Васильева, глава украинского офиса Microsoft, указала, что согласно исследованиям экспертов, именно пиратское ПО часто приводит к дырам в кибербезопасности. Ведь по статистике, до 95% ПК в госорганах использует именно ПО Microsoft, притом от 40% до 70% такого ПО является нелегальным. Это факт, с которым нельзя не считаться.
«Государство не брало никаких обязательств по легализации. В то же время, в украинском законодательстве четко сказано, что госорганы должны применять только легальное программное обеспечение. По статистике, 83% пиратского ПО (именно такой примерный уровень контрафактных программных продуктов в Украине) являются причиной множества уязвимостей ипровоцируют кибератаки. Все должны понять, если не будет легального ПО, то никаких светлых перспектив в кибербезопаности ожидать не приходиться».
Напомним, что процесс легализации ПО в госорганах начался в прошлом году, но так и не был завершен. По словам Надежды Васильевой, тому есть три причины. Прежде всего, это отсутствие в госорганах функции управления нелицензионными активами. Вторая причина – закрытость госорганов, из-за чего очень сложно провести переговоры касательно рассрочки оплаты, возможных скидок и т. д. Ведь, чтобы предложить какие-то конкретные условия, нужно получить исходные данные, а их никогда не предоставляли. И наконец, это отсутствие хотя бы какого-либо органа, который готов подписать это соглашение. Никто не хочет отвечать за ранее установленные пиратские копии.
Владимир Зверев отметил, что в случае перехода госорганов на облачные технологии, SaaS(Office 365 и т. д.) и тонкие клиенты, проблема с пиратскими программными продуктами может быть решена намного быстрее.
В чем выгода для софтверного гиганта?
Microsoft позиционирует программу GSP как возможность повысить кибербезопасность в глобальном масштабе. К сожалению, Украина по уровню информационной безопасности занимает одно из последних мест в мире. Поэтому можно сказать, что Microsoft рассматривает Украину фактически как огромный территориально-распределенный Honeypot. Из-за безвластия именно в «черной дыре» Донбасса появляется много новых киберугроз, которые ранее не детектировались. Поэтому для компании важно максимально оперативно получать информацию о новых угрозах.
«Благодаря облаку Azur мы можем в реальном времени отслеживать ситуацию в мире с точки зрения кибербезопасности. Мы собираем информацию о том, какие угрозы появляются в мировом масштабе. Если обнаружена новая киберугроза, то можно обратиться к Microsoft, и компания быстро выпустит патч», заявила Надежда Васильева.
Национальная защищенная ОС и Windowsбудут использоваться совместно
Проект разработки национальной защищенной ОС на базе Linux не сворачивается, подчеркнул Глава Укрспецсвязи Владимир Зверев. Разработка адаптированной Linux-системы будет продолжаться, но при наличии должного финансирования со стороны государства. Хотя Linux – условно бесплатная система, поддержка этой ОС далеко не бесплатна, ведь необходимо разрабатывать и развертывать обновления. То есть, использование как Windows, так и Linux стоит денег, и лишь конкуренция между этими системам определит дальнейшие перспективы ОС для госорганов и приватного бизнеса.
Как уже было указано выше, Microsoftпредоставит Госспецсвязи исходный код своих продуктов. По словам В. Зверева, это сделано для того, что можно было удостовериться, нет ли утечки информации при использовании Windows. Кстати, о возможности открыть исходные коды WindowsУкраина вела переговоры с Microsoftуже давно.
Построение G-Cloud и использование облака Azur
В своем выступлении Надежда Васильева упомянула, что в рамках соглашения GSP есть возможность задействовать датацентры, которые находятся в Европе. Игорь Козаченко, начальник Государственного центра защиты информационно-телекоммуникационных систем Госспецсвязи, пояснил, какие возможности это открывает для Украины. По его словам, вначале Microsoftпредложил размещать веб-ресурсы государственных органов непосредственно в облаке Azur, которое защищено на порядок лучше в сравнении с украинскими датацентрами. Однако по закону государственные организации не могут размещать информацию за рубежом. Поэтому сегодня ведется разговор с Microsoft о том, что бы разместить один из датацентров Azur в Украине. Это будет большой плюс как для бизнеса, так и государства.
Владимир Зверев отметил, что уникальная позиция Украины заключается в том, что территориально она находится посредине между Китаем и Европой. Ранее Microsoft планировал строить ЦОД Azur в России, но теперь от этих планов в корпорации отказались. В качестве возможных вариантов размещения рассматривается Польша или Украина, на февраль назначен второй раунд переговоров.
В любом случае, построение датацентра Azur займет длительное время. Но уже сейчас можно задействовать мощности Azur для построения защищенной системы и отражения возможных кибератак. Ведь в случае DDoS-атаки трафик атакующих можно будет перенаправить через европейские центры Azur, в то время как сами веб-ресурсы по прежнему останутся на украинских датацентрах.
Кроме того, Игорь Козаченко отметил, что ведутся работы по проектированию облака под кодовым названием G-Cloud (GovernmentCloud), которое будет объединять все государственные веб-ресурсы. Владимир Зверев добавил, что на первом этапе для этого планируется задействовать мощности приватных коммерческих датацентров. В целом для закупки защитного оборудования и перестройки сети в следующем году планируется потратить около 100 млн грн из бюджета.
Важно также акцентировать, что в следующем году в Украине скорее всего появится еще несколько команд реагирования на компьютерные чрезвычайные происшествия CERT (Computer Emergency Response Team of Ukraine). По всей видимости, своя киберкоманда будет создана при Министерстве обороны, при НБУ (в банковском сегменте), возможно оявление киберкоманд CERT и в приватных компаниях. Напомним, сегодня в Украине есть только одна киберкоманда CERT при Госспецсвязи.