Закінчується 12 рік війни. Національний центр оперативно-технічного управління електронними комунікаційними мережами України (НЦУ) починає збирати від мобільних операторів та інтернет-провайдерів координати всієї інфраструктури: основних і резервних центрів управління мережами, центрів комутації, технічних майданчиків, оптоволоконних та радіорелейних ліній тощо.
На телеком-ринку цю вимогу вважать украй небезпечною: потрапляння такої бази даних (по суті карти вузлів і ліній) до рук ворога може спричинити хвилю атак та диверсій, зокрема, загрожує і ударами по житлових багатоповерхових будинках.
Навіщо НЦУ конфіденційні дані гравців ринку? Чому ця база даних досить легко може опинитися у ворога? Які наслідки від витоку інформації? На ці та інші запитання шукав відповіді Mind.
НЦУ створено ще 2019 року – у структурі Держспецзв'язку. Офіційна мета – забезпечення сталого функціонування телеком-мереж та управління ними в разі надзвичайних ситуацій і під час кібератак. З початком повномасштабного вторгнення НЦУ додатково став видавати розпорядження провайдерам щодо забезпечення стійкості мереж, блокування ресурсів тощо.
Згодом – 2025 року – окрема постанова КМУ №75 докладніше врегулювала порядок створення та діяльності НЦУ. У цей документ додано обов’язок подавати інформацію про:
І от наразі на сайті Держспецзв’язку з’явилася вимога надати ці дані НЦУ до 1 березня 2026 року.
Система оперативно-технічного управління ЕКМ загального користування давно працює без цих даних. Що має змінити їхня наявність? Для чого саме НЦУ потрібен повний перелік координат усіх точок ЕКМ. Яка реальна користь для Сил оборони від наявності в НЦУ цих даних? На ці та інші запитання на запит Mind у Держспецзв’язку поки що не відповіли.
Відповіді на них не знають і на телеком-ринку. Ці «дрібниці» не обговорювалися з ринком ні під час розробки постанови КМУ, ні зараз. В Інтернет асоціації України (ІнАУ) Mind розповіли, що отримали шквал запитів від провайдерів зі схожими запитаннями та надіслали їх до Держспецзв’язку й НЦУ.
«У мене немає раціонального пояснення, для чого потрібно збирати таку інформацію – а в одному місці і поготів. Цих даних не достатньо для аналізу побудови мереж, виявлення й усунення слабких місць. Але їх цілком достатньо для знищення мереж – у разі потрапляння даних до ворога. Припускаю, що Держспецзв'язку хоче знати, у яких населених пунктах, з якими постачальниками можна зв'язатися для отримання послуг для спецкористувачів. Але дані з координатами вузлів аж ніяк не допоможуть у розв’язанні цього завдання», – вважає голова правління ІнАУ Олександр Савчук.
Та пояснює, що для отримання послуг спецкористувачами в телеком-регуляра вже є необхідні дані: кількість і контакти постачальників по населених пунктах.
«Цієї інформації повністю достатньо для того, щоб оперативно надати зв’язок. І це буде безпечно. Тоді як збір додаткової інформації, на мій погляд, нічого, окрім ризиків, не принесе», – вважає Савчук.
Голова підкомітету з питань безпеки у кіберпросторі, урядового зв’язку, криптографічного захисту інформації Комітету ВР з питань національної безпеки, оборони та розвідки, народний депутат Олександр Федієнко також наразі лише здогадується, чому Дерспецзв’язку створює базу даних ЕКМ: «Поки відверто не розумію, навіщо це робити. Можливо, за радянських часів це було б важливо».
Нардеп припускає, що ці дані могли б знадобитися НЦУ для оперативного відновлення після ударів; швидкого визначення, які вузли фізично пошкоджені та які резервні маршрути можна активувати; пріоритезації захисту; розуміння, які точки критичні для військового управління, енергетики, банківської системи; аналізу вразливостей; моделювання сценаріїв масованих атак; координації із Силами оборони, наприклад, для уникнення ураження об’єктів, що забезпечують військовий зв’язок.
«Це працювало б, якби в Україні була невелика чисельність операторів і мереж, як у ЄС. Але в нас зовсім інша історія. Україна – єдина країна у світі з такою чисельністю операторів усіх рівнів, фіксованого зв’язку, що жодна потреба в державі з погляду керування не потрібна. Наші гравці самі все швидко відновлюють. У нас інша проблема: не здатність національних операторів відновлювати мережі. Їх по факту відновлюють локальні гравці», – розповідає Олександр Федієнко.
Він нагадує, що централізований збір даних може бути виправданим лише за наявності чітко доведеної потреби держави у володінні цими даними.
За роки війні росії не вдавалося «покласти» зв’язок по всій країні – попри чисельні кібератаки та руйнування в зоні бойових дій.
«Одна з причин – в Україні працює величезна кількість операторів, а їхні дані про вузли та побудову ліній конфіденційні. Це один із важливих елементів стійкості. Завдяки тому що в нас десятки тисяч вузлів, дуже різнорідні типи мереж, і маємо цю стійкість. Ворогу для отримання повноцінної бази даних знадобилася б величезна мережа агентів, яка б довго здійснювала кропітку роботу зі збору інформації. І от зараз наша держава робить такий чудовий подарунок ворогу», – вважає голова правління ІнАУ.
Та пояснює проблему на прикладі: «Це аналогічно збору в одному екселівському файлі даних про всю агентуру спецслужб і передачі цього файлу незахищеною електронною поштою».
Наслідки потрапляння такої бази даних до ворога можуть бути більш руйнівними, ніж атаки на енергомережі.
«Ці об’єкти зазвичай розташовані далеко від житлової забудови. А у провайдерів часто-густо вузли зв'язку розташовані в багатоповерхових житлових будинках, школах тощо. І ці адреси можуть бути засвічені. Хто буде відповідати, якщо «шахед» туди прилетить?», – ставить риторичне запитання Олександр Савчук.
Докладно ІнАУ описала ризики в листі до уповноважених органів. В асоціації наголошують, що збір даних суперечить суті захисту ЕКМ і несе значну загрозу нацбезпеці України.
Ось основні загрози на думку ІнАУ:
1. Централізація та інтеграція в єдиному сховищі вичерпних даних про ресурси всіх ЕКМ, що забезпечують потреби держуправління, оборони та нацбезпеки, створює критичну вразливість.
Акумуляція такої чутливої інформації в одному місці підвищує ризики її витоку через людський фактор або цілеспрямовані кібератаки. Попередні інциденти з компрометацією державних баз даних підтверджують: підходи до збору та зберігання критичної інформації, сформовані до повномасштабного вторгнення, потребують негайного перегляду на користь децентралізованих моделей.
2. Спосіб, у який запропоновано збір інформації, створює прямі ризики перехоплення даних ворогом, їх витоку через людський фактор або несанкціонований доступ.
Відповідно до п. 63 постанови КМУ №75, для захисту інформації та безпеки інформаційно-аналітичної системи НЦУ й центрів управління мережами мають створюватися комплексні системи захисту інформації (КСЗІ) або системи управління інформаційною безпекою (СУІБ). Однак у листі НЦУ не зазначено відомостей про використання таких систем.
Враховуючи, що більшість операторів не мають КСЗІ (та об’єктивної потреби в її впровадженні), збір чутливих даних про ЕКМ здійснюється з порушенням порядку захисту й конфіденційності та змушує постачальників передавати критично важливі для нацбезпеки дані незахищеними каналами (електронною поштою). Ба більше, інформація про такий збір оприлюднена у відкритому доступі.
3. Відсутність дієвої відповідальності посадовців за порушення в роботі з централізованою базою даних про ЕКМ посилює ризики.
Під час громадського обговорення проєкту постанови КМУ №75 ІнАУ наголошувала на потребі посилення персональної відповідальності посадовців. Адміністрація Держспецзв’язку проігнорувала ці пропозиції. Як наслідок, у фінальній версії постанови норми про відповідальність мають формальний характер.
Олександр Федієнко додає: «Централізована база потенційно створює single point of failure (компонент системи, вихід з ладу якого призводить до зупинки всієї системи. – Mind). В умовах постійних кібератак із боку рф, централізований реєстр може стати пріоритетною ціллю. А компрометація бази – мати масштабні наслідки одночасно для всіх операторів звʼязку».
Нардеп наголошує, що в сучасній практиці кіберзахисту застосовується інший підхід: розподіленого зберігання, сегментації та принципу need-to-know, обмеження доступу за ролями: «Тому питання не лише в самій ідеї централізації, а в архітектурі безпеки, яка має бути публічно обґрунтована та обговорена».
Вищезгаданий лист ІнАУ надіслала 16 лютого до РНБО, СБУ, прем’єр-міністру, Комітету ВР з питань нацбезпеки, оборони та розвідки, Держспецзв’язку й НЦУ.
У зверненні асоціація пропонує:
Наразі відповідей від держорганів немає.
Про ризики та наслідки ІнАУ неодноразово інформувала Держспецзв’язку ще понад рік тому – під час розробки постанови. Тоді аргументи асоціації не почули.
Чи почують інші уповноважені органи зараз – питання відкрите.
Поки ж Олександр Федієнко з Комітету ВР з питань нацбезпеки уточнив Mind власну позицію: «Аргумент ІнАУ про ризик централізованої акумуляції даних варто врахувати. Повна карта всієї телеком-інфраструктури країни – це дійсно стратегічна вразливість».