Державно-приватне партнерство: єдиний механізм для захисту критичної інфраструктури

Захист об’єктів критичної інфраструктури – одна з головних задач під час війни, й Україна намагається впоратися із цим завданням гідно. Звичайно, у цьому питанні неможливо обійтися без підтримки західних партнерів, але й від дій української влади багато чого залежить. Отже, не випадково саме тему захисту критичної інфраструктури обговорювали в рамках IForumu 2023, що відбувся в Києві. Одну з доповідей за цією темою зробив член Комітету ВР з питань національної безпеки, оборони та розвідки (напрямок критична інфраструктура, кібербезпека, кібероборона, кіберзахист, урядовий зв'язок, та криптографія) Олександр Федієнко. Mind занотував головні тези його виступу.

Читайте також: Рік незламності: як інтернет-провайдери загартували мережі під час масованих кібер- та артилерійських атак

Перед повномасштабним вторгненням з боку терористичної росії, у різні роки було зафіксовано кілька кібератаки на енергетичні об’єкти України. 

Проте після 24 лютого 2022 року кількість кібератак суттєво збільшилась, а також ворог почав комбінувати їх із ракетними та шахедними атаками. До того ж розширилася й географія таких дій ворога.

З огляду на постійні обстріли та фізичні атаки ворога такі об’єкти потребують всебічного захисту, зокрема фізичного. Забезпечення такого захисту регламентує закон «Про критичну інфраструктуру», який було ухвалено незадовго до початку війни та щодо якого українська влада не могла знайти консенсус понад10 років.

Як і кожен закон, це низка компромісів між державою і бізнесом, про які вдалося домовитися для суспільного блага, а в цьому разі ще й для національної безпеки. Сотні консультацій, багато перемовин і зустрічей – і ось ми маємо основу для розбудови системи захисту та стійкості критичної інфраструктури (КІ) за європейським зразком.

Обов’язки операторів КІ

Наша країна налічує понад 20 000 об’єктів критичної інфраструктури, різних секторів і галузей. При цьому приблизно 90% таких об’єктів – це приватна власність.

Відповідно до вищезазначеної місії і закону оператори КІ зобов’язані:

1. забезпечити захист об’єктів критичної інфраструктури;
2. невідкладно поінформувати секторальні та функціональні органи про інциденти, що сталися на об’єктах критичної інфраструктури;
3. інформувати уповноважений орган у сфері захисту критичної інфраструктури України про наміри змінити цільове призначення, режим функціонування чи намір передати права на об’єкт критичної інфраструктури тощо.

Отже, саме оператор критичної інфраструктури несе відповідальність за все, що відбувається на його об’єкті. Головна роль інших учасників системи  – не заважати, допомагати та забезпечувати стійкість критичної інфраструктури.

Читайте також: Поле на вагу ТЕЦ: деякі підприємства АПК віднесли до критичної інфраструктури. Як потрапити у «чарівний» список?

Основи державно-приватного партнерства

Кращими практиками на сьогодні для виконання таких завдань є механізми державно-приватного партнерства і мінімізація втручання в роботу КІ з боку держави.

Уповноваженим органом у сфері захисту критичної інфраструктури України визначено Державну службу спеціального зв’язку та захисту інформації. Останній розробляє життєво важливі функції,  критерії віднесення підприємств до ОКІ, принципи формування національної системи захисту КІ, визначає повноваження уповноваженого органу, секторальних та інших державних органів, які надалі затверджує КМУ.

Однак для того, щоб почати вибудовувати механізм ДПП, спочатку треба, згідно з чинним законодавством, визнати підприємство ОКІ важливим для країни. Наступний етап передбачає проведення паспортизації зазначених об’єктів, де будуть виписані критерії їх захисту

Перелік відповідних об’єктів, що потребують першочергового захисту й визначення та паспортизація таких об’єктів керується відповідними нормативно-правовими актами:  

• Постановою КМУ від 6 січня 2023 року №42 «Про схвалення Типових рішень з інженерного захисту будівель, споруд та дахів об'єктів критичної інфраструктури»;
• Постановою КМУ від 28 квітня 2023 року №415 «Про затвердження Порядку ведення Реєстру об'єктів критичної інфраструктури, включення таких об'єктів до Реєстру; доступу та надання інформації з нього»;
• Постановою КМУ від 4 серпня 2023 року №818 «Деякі питання паспортизації: об'єктів критичної інфраструктури»;
• Розпорядженням КМУ від 27 грудня 2022 року №1229-рс-оп «Про затвердження Переліку об'єктів критичної інфраструктури (1 категорії критичності), які потребують першочергового прикриття від повітряних ударів противника».

Реалізація кіберзахисту з використанням механізму ДПП

Одним із прикладів запровадження ДПП на об’єктах КІ є захист із повітря від БПЛА. Якщо в паспорті зазначено, що потрібен такий захист, то підприємство може власним коштом закупити систему РЕБ із дронами, встановити її у себе на об’єкті а далі передати в користування військовим.

Також приватні команди, які захищають ОКІ та державні команди з кібербезпеки працюють у єдиній системі обміну вразливостями, єдиній системі інформації щодо кіберінцидентів та кібератак. У такий спосіб вибудовується не тільки партнерство, а й довіра між бізнесом та державою.

Тобто атака може відбуватися як на державний сегмент, так і на приватний. Наприклад, цифрові реєстри, їх безпекою опікуються державна установа й держава, але доступ до них відбувається через приватні канали зв'язку. Саме тому є вкрай важливою така об'єднана робота.

Звичайно, з огляду на наш гіркий «совєцький» досвід і нинішній рівень довіри до державних інституцій це задача із «зірочкою».

Але я вірю, що в цей важкий для країни час і відкрите вікно можливостей для змін ми зможемо побудувати нові відносини з огляду на спільну зацікавленість у роботі бізнесу во благо суспільства. Мені здається, що бізнес (оператори потенційних об’єктів) можуть взяти на себе ініціативу й запропонувати державі варіанти спільного буття.

Тому пропонуйте варіанти, давайте пробувати будувати нову, стійку до викликів державу. Разом до Перемоги!