Government of Ukraine states that system of cybersecurity is existent and works good enough. However, many Ukrainian community experts doubt in it. What Ukrainian authorities mean talking on System of Cybersecurity? What key elements of the System and how they cooperate? Does the System work well, and would it prevent next powerful cyber-attacks against Ukraine? What should be done to build effective System of Cybersecurity in Ukraine? All that questions will be outlined and discussed in the presentation.

1. System of Cybersecurity in Ukraine: reality
or myth?
Система кібербезпеки в Україні:
реальність чи міф?
Kostiantyn Korsun, NGO UISG, Ukraine, Berezha Security LLC
Костянтин Корсун, ГО Українська група інформаційної безпеки, ТОВ Бережа Сек’юріті

2. Sine 2014 Ukraine has been an epicenter of biggest
cyber war: main focus of world’s interest
 May 2015: WannaCry, пряма причетність спецслужб РФ
 December 2015: Прикарпаттяобленерго, блекаут, більше 220 000 користувачів без
електрики
 December 2016: підстанція «Північна» НАК «Укренерго», 6-годинний блекаут
 June 2017: NotPetya (M.E.Doc), компрометація серверів оновлення бухгалтерського
ПЗ та розповсюдження псевдо-здирницього ШПЗ, інфіковано понад 12 000 серверів
та робочих станцій
 October 2017: BadRabbit. Київський метрополітен, Одеський аеропорт

3. Topicality? highest
 Актуальність потужної системи кіберзахисту
 Захищати тільки державні ресурси?
 Фактично державні органи захищають лише самих себе
 Критична інфраструктура - бізнес – державні органи - кібер-
бізнес – громадськість – кібер-ком’юніті – громадяни
 Кібер-наука: на жаль…

4. In Fact
Фактично маємо таку
картину
GOV./LE
Business
Critical
infrastructure
Society
Public
Authorities
?
?
?
Parliament;
President;
Central
Election
Commission..

5. BUT some actions
have been made
Але.
Під тиском постраждалих від кібератак,
громадськості та колективного Заходу певні
заходи з побудови Національної Системи
кібербезпеки України вживалися
Які саме?
Давайте розглянемо.

6. National cybersecurity system: Strategy
 Стратегія кібербезпеки України
ЗАТВЕРДЖЕНО Указом Президента України від 15 березня 2016 року № 96/2016
(далі – Стратегія)
Базується на положеннях Конвенції про кіберзлочинність (ратифікована ВРУ 7
вересня 2005 року) та Стратегії національної безпеки, затвердженої Указом
Президента України від 26 травня 2015 року № 287,
http://zakon.rada.gov.ua/laws/show/96/2016#n11
Цитата:
Метою є створення умов для безпечного функціонування кіберпростору, його
використання в інтересах особи, суспільства і держави.

7. National cybersecurity system: Strategy
Цитата:
Основу національної системи кібербезпеки становитимуть
Міністерство оборони України, Державна служба спеціального
зв'язку та захисту інформації України, Служба безпеки України,
Національна поліція України, Національний банк України,
розвідувальні органи
Тобто ніякого кібер-бізнесу, громадських організацій,
кіберспільноти.
Ми будемо керувати, а ви будете виконувати.
Одним з пріоритетів забезпечення кібербезпеки України є
«розвиток та удосконалення системи державного контролю за
станом захисту інформації, а також системи незалежного
аудиту інформаційної безпеки»

8. National cybersecurity system: the Law
Більшість положень Стратегії знайшли відображення у Законі України «Про основні засади
забезпечення кібербезпеки України»
Ст. 8: Національна система кібербезпеки
Основними суб’єктами національної системи кібербезпеки є шість державних установ:
1. ДССЗЗІ (Держспецзв’язку)
2. Національна поліція (Кіберполіція)
3. СБУ
4. Міністерство оборони, ГШ ЗСУ
5. Розвідувальні органи
6. НБУ
5/6 відомств є силовими структурами
(ДССЗЗІ є складовою сектору безпеки і оборони України (закон про ДССЗЗІ).

9. National cybersecurity system: the Plan
План заходів на 2018 рік з реалізації Стратегії кібербезпеки
України
(Затверджено Розпорядженням КМУ від 11 липня 2018 р.
№ 481-р)
Планом передбачено 27 пунктів плану, з яких:
- ні про що: 2
- неефективні: 11
- тяжко виконати/шкідливі: 3
- корупційні: 3
- більш-менш корисні: 10
Positive Efficiency: ~ 37%

10. Main subjects of National Cybersecurity
System: RNBO
Тепер поглянемо на шість «основних суб’єктів» + координатора
Рада Національної безпеки України
Координаційний орган, до складу якого входять 15 найвищих посадовців України.
 Завдання: «Координація (та контроль? – Стратегія) діяльності у сфері кібербезпеки як складової
національної безпеки України здійснюється Президентом України через очолювану ним Раду
національної безпеки і оборони України.»
 Повноваження обмежені: «розробляє та розглядає», «координує виконання рішень», «залучає до
аналізу», «ініціює», «можуть утворюватися міжвідомчі комісії, робочі та консультативні органи».
 Рішення вводяться у дію через Укази Президента і обов’язкові до виконання лише органами
виконавчої влади.
 Важелі впливу?
 Професіонали з практичної сучасної кібербезпеки?
Національний координаційний центр кібербезпеки як робочий орган РНБО мав би бути «головою» та
«мізками» Системи.
Але…..

11. Main subjects of National Cybersecurity
System: SSSCIP
Державна служба спеціального зв’язку та захисту інформації України
 Рудимент пострадянської системи “нагляду та контролю”
 11 Департаментів, 3 Управління, 24 територіальних органи, 6 територіальних
підрозділів, 7 закладів та установ, 17 державних підприємств.
 Привіт з 90-х: “урядовий зв’язок”, “фельд’єгеря”, ТЗІ-КЗІ, ПДІТР, радіочастотний
ресурс.
 Актуальні завдання: «кіберзахист», «захист державних інформаційних ресурсів»,
«Національна система конфіденційного зв’язку».
 Усе інше – застаріле або непотрібне.
Рудиментарні функції: розподілити або відмовитися.

12. Main subjects of National
Cybersecurity System: SSSCIP
 Актуальні завдання або не виконуються, або
виконуються суто формально.
 Відповідальність за захист ресурсу та
інформації несе особисто керівник
міністерства, установи, фірми, організації,
вишу, школи, технікуму.
 Держспецзв’язку – не несе відповідальності.

13. Main subjects of National Cybersecurity
System: SSSCIP
 Найцінніший ресурс Держспецзв’язку – це CERT-UA, головна довірена точка
контакту в Україні для реагування на кібер-інциденти та взаємодії з іноземними та
міжнародними організаціями. Належним чином акредитована на міжнародному
рівні.
CERT-UA є частиною Державного центру кіберзахисту та протидії кіберзагрозам.
Найбільша цінність CERT-UA саме у слові «довірена».
Наразі знаходиться у перманентному занепаді. Через низку проблем, у тому числі
через кадрові.
 Не може захистити навіть власну електронну пошту.
 У розслідуваннях найгучніших інцидентів брали участь у якості статиста.
СБУ вже кілька років намагається забрати CERT-UA під свою юрисдикцію.

15. Main subjects of National Cybersecurity
System: SSSCIP
 Вичерпала себе як окреме відомство.
Функції можливо передати іншим держустановам.
 «Спинний мозок» системи кібербезпеки? Керувати та фінансувати?
Проблеми:
 брак кваліфікованих кадрів;
 відірваність від реалій кібер-простору;
 застарілий підхід до сучасних проблем;
 безвідповідальність;
 неувага до потреб суспільства та бізнесу;
 ігнорування існування кібер-спільноти;
 неготовність до обміну інформацією про інциденти

16. Main subjects of National Cybersecurity
System: CyberPolice
Кіберполіція
 Головним завданням є боротьба з кіберзлочинністю:
розслідувати, шукати винних, документувати, арештовувати, розслідувати, передавати справи в суд,
свідчити в суді.
 Кваліфікаційний рівень співробітників пристойний.
 Як елемент загальнонаціональної системи кібербезпеки є абсолютно необхідною складовою.
 Якість та спрямованість роботи Кіберполіції?
Кіберполіція – це «кулаки» системи. В цілому – ефективні.
Проблеми:
 маски-шоу, вилучення обладнання операторів;
 завеликий фокус на Child porno, онлайн-кінотеатри, Інтернет-піратство, звичайне шахрайство в
Інтернет, боротьба з майнінгом, тощо;
 недостатня готовність до обміну інформацією про інциденти

17. Main subjects of National Cybersecurity System:
Security Service of Ukraine (SBU)
Служба безпеки України
 Найбільш ефективний гравець системи кібербезпеки країни.
 Ситуаційний центр кібербезпеки. Залучається бізнес-сектор (50+ компаній).
 Відкриті до спілкування з кібер-спільнотою.
 Беруть участь у кібер-подіях.
 Непоганий рівень професійної підготовки.
Але.

18. Main subjects of National Cybersecurity System:
Security Service of Ukraine (SBU)
 СБУ – це спецслужба.
Контррозвідка, антитерор, боротьба з корупцією.
Скальпель
 Система кібербезпеки – набагато ширший спектр зони відповідальності.
У тому числі «швидка кібер-допомога», аудити, оцінки захищеності, семінари та
тренінги, регулярні огляди, попередження, звіти, аналітику –чи це завдання СБУ?
 Один приклад: для організації обміну інформацією про інциденти у масштабах
країни головний чинник – довіра.
Довіра до державної силової структури з каральними повноваженнями?

20. Main subjects of National Cybersecurity System:
Security Service of Ukraine (SBU)
 Добровільна передача інформації - Довіра - держоргани – правоохоронці – СБУ
 Маски-шоу – вилучення обладнання– його повернення за рік – негатив
 СБУ робить те, що мало б робити РНБО та Держспецзв’язку
 Повага. Але не може бути спецслужба або ж правоохоронний орган на чолі системи
кібербезпеки країни.
 Система потребує великого ступені відкритості, певної гнучкості та м’якості,
широкого погляду на проблеми. Бажання допомагати, а не карати.
 СБУ може такою бути, але чи повинна?

21. Main subjects of National Cybersecurity System:
Security Service of Ukraine (SBU)
 СБУ претендує на роль «спинного мозку» Системи кібербезпеки. І має певні успіхи.
 Але чи підходить ця роль? Скоріше «зуби» та «кігті».
Проблеми:
 недостатня відкритість
 неготовність до обміну інформацією про інциденти
 примусові функції
 вузьке коло завдань як спецслужби
 непридатність до ролі національного координатора

22. Main subjects of National Cybersecurity
System: MoD, Gen Staff
Міністерство оборони, ГШ ЗСУ
Про роль МО-ГШ у формуванні системи кібербезпеки взагалі відомо мало.
Що відомо:
 ГУЗІС (Головне управління зв’язку та інформаційних систем) ГШ ЗСУ;
 Управління захисту інформації в інформаційно-телекомунікаційних системах ГУЗІС;
 Головний об’єднаний центр захисту інформації ЗСУ (ЧБП ГУЗІС);
 За сприяння трастового фонду НАТО створюється кіберполігон;
Відповідальним за реалізацію проекту трастового фонду є СБУ
 УІТ (Управління інформаційних технологій) МО

23. Main subjects of National
Cybersecurity System:
MoD, Gen Staff
Скандальна історія від 25 вересня 2018
Офіцер ЗСУ Власюк неодноразово звертався
до усіх можливих інстанцій про відсутність
безпеки в автоматизованій системі
«Дніпро», було багато галасу і перевірок, але
досі не зовсім зрозуміло:
 що то за система
 чи вона важлива
 на яких принципах функціонує.

24. Main subjects of National Cybersecurity
System: MoD, Gen Staff
 Серпень 2016: зламано акаунти МО та НГУ у Twitter; також постраждав профіль
Міноборони в Instagram
 Жовтень 2016: проросійським угрупованням Sprut отримано доступ до е-пошти
спікера штабу АТО Олександра Мотузняка та Facebook-сторінки прес-центру штабу
АТО
 та Facebook-сторінки Грудень 2017: активісти проукраїнського Ukrainian Cyber
Alliance знайшли у відкритому доступі службові документи Міністерства оборони,
зокрема, Доповідь начальника Центрального бронетанкового управління ЗСУ
Озброєння Збройних Сил України про необхідність забезпечення сучасними
зразками лазерної техніки для танкових прицільних комплексів…”

25. Main subjects of National Cybersecurity
System: MoD, Gen Staff
 Загалом про кібербезпеку в МО-ГШ інформація практично відсутня, крім пари
скандалів.
Бойові дії - виправдання?
 Як складова Національної системи кібербезпеки – так;
 У Системі кібербезпеки інформація про інциденти повинна розповсюджуватися між
її учасниками, для недопущення їх повторення.
Проблеми:
 слабка активність,
 (можливо)слабка технічна база,
 (можливо)брак кваліфікованих фахівців,
 (можливо)недостатність фінансування,
 неготовність до обміну інформацією про інциденти

26. Main subjects of National Cybersecurity
System: Intelligence
Розвідувальні органи
Про діяльність Служби зовнішньої розвідки (СЗР) та Головного управління розвідки (ГУР
МО) у сфері кібербезпеки немає ніякої інформації.
Випадкові контакти - низькій рівень розуміння завдань розвідувальних органів для
забезпечення кібербезпеки держави.
Можливість оцінити кібер-кваліфікацію працівників - відсутня.
Що відомо: «Національна розвідувальна програма на 2016-2020 роки»; про що в ній
йдеться – невідомо.
Тому цінність розвідувальних органів для Системи кібербезпеки оцінити неможливо.
Секретність – не аргумент.
Проблеми: відсутність інформації про діяльність та можливості

27. Main subjects of National Cybersecurity
System: National Bank
НБУ
Національний банк України докладає великих зусиль до запровадження сучасних вимог до
кібербезпеки у банківській системі України.
Між банками запроваджується обмін інформацією про інциденти та створено відповідну команду
реагування.
Активно запроваджуються;
 електронний документообіг, електронні архіви;
 жорсткі правила обробки та розповсюдження інформації (Постанова НБУ № 95);
 проводяться міжбанківські конференції;
 організовуються семінари, тренінги;
 адаптуються та імплементуються міжнародні стандарти.
Все наче добре.

28. Main subjects of National Cybersecurity
System: National Bank
Але виключно всередині банківської системи. Банки – це гроші
НБУ є «річчю у собі»:
 практично незалежний від виконавчої влади;
 керується більше Законом про НБУ, ніж іншим законодавством;
 ніколи нічого не повідомляє про інциденти за межі банківської системи;
 має величезні важелі впливу на банки в України, примушує їх до виконання вимог з кібербезпеки, суворо
контролює усю їх діяльність, у тому числі з кібербезпеки.
Як відповідальний за кібербезпеку у банківському секторі – ефективний.
Як інтегрований елемент національної Системи кібербезпеки – ще треба працювати.
НБУ можна вважати «печінкою» Системи: ніхто не бачить як вона працює, але вона точно працює і без неї ніяк не
можна обійтися.
Проблеми: недостатня відкритість та готовність до обміну інформацією про інциденти

29. Conclusions
 Більшість з «основних суб’єктів національної системи кібербезпеки» має власні
суттєві проблеми з кібербезпекою.
 З огляду на результати за 4 роки кібервійни координованість їх дій викликає
сумніви.
 Рівень відкритості «основних суб’єктів національної системи кібербезпеки»
залишається у незадовільному стані.
 Робота з поширення інформації про інциденти кібербезпеки, аналіз атак та даних по
інцидентам, їх статистиці не ведеться взагалі.
 Співпраця з не-державними організаціями, громадянами, бізнесом, об’єктами
критичної інфраструктури майже не ведеться.
 А якщо і ведеться, то нікому про це не повідомляється.

30. Conclusions
Виключення:

31. Conclusions
About money

32. Conclusions:
about money
 Проектом державного бюджету на функціонування
Держспецзв’язку у 2019 році передбачено близько 2,9
мільярди грн ($104 million), але вони вимагають додатково ще
640 млн. грн., всього – більше 3,5 мільярдів гривень ($ 125
million);
 СБУ: у бюджеті-2019 передбачено 159 млн. грн.($5.7 million)
на функціонування інформаційно-телекомунікаційних систем;
додатково СБУ просить ще 60 млн. грн.($2.1 million) на
“заходи з кібербезпеки” та 200 млн. грн. ($7.1 million) на
додаткові виплати ЗП фахівцям з кібербезпеки. На розвиток
ситуаційного центру просять 56 млн. грн. Всього СБУ
необхідно 471,6 млн. грн. на кібербезпеку ($17 million)
 на поточне утримання апаратно-програмних комплексів
Кіберполіції необхідно 20 млн. грн. ($ 700,000)
 ЦВК на кібербезпеку виборів 2019: $1,8 million (49 660 000
грн., станом на 11.10.2018)
Звіт про використання цих коштів?

33. Conclusions:
І не побачите.
Тому, що 2/3 «основних суб’єктів національної системи
кібербезпеки» є силовими структурами. РНБО – також.
 Існуючі підходи до створення національної системи
кібербезпеки не є ефективними.
 Державні органи України залишаються безсилими перед
зовнішньою кібер-агресією.
 Фактично ніякої системи у кібербезпеці країни не існує.
 Існують кілька окремих відомств, які діють кожне на
власний розсуд, без єдиного задуму, та стратегії, без
розподілення зон відповідальності, без єдиного керівного
центру.

34. Conclusions: what to do?
Стратегія та принципи створення Національної
системи потребують докорінного перегляду, за
активної участі суспільства, кібер-бізнесу та
професійної спільноти.
Головними пріоритетами принципово нового
підходу мають стати:
 1) відновлення довіри до державних органів у
кіберсфері
 2) залучення професіоналів-практиків до
розбудови Національної системи.

35. Who am I and why do
I dare
 Berezha Security, co-founder and CEO
(2014-now)
 NGO UISG, Head of Council (2012 – now)
 World-Known-Big-Corporation, Threat
Intelligence Official Vendor (2014-2017)
 iSIGHT Partners, cybersecurity firm, now is
a part of FireEye, Director (2010-2014)
 Founder and first Head of CERT-UA (2005-
2009)
 УКІБ СБУ (2000-2005)

36. Thank you!
Now we have 15 mins. For Q&A session
Email: kos.korsun@gmail.com, kos@berezhasecurity.com
Facebook: https://www.facebook.com/kostiantyn.korsun
Enigma: https://enigma.ua/users/kostiantyn_korsun

37. Sources:
http://zakon.rada.gov.ua/laws/show/96/2016#n11
http://zakon3.rada.gov.ua/laws/show/2163-19
http://internetua.com/v-proekte-gosbuadjeta-ne-hvataet-2-milliarda-na-kiberbezopasnost
https://www.unian.ua/politics/10274616-skandal-u-zsu-sistema-upravlinnya-viyskami-viyavilasya-zahishchena-
primitivnimi-parolyami-tipu-admin-i-123456.html
https://www.unian.ua/politics/10137197-nato-dopomagaye-ukrajini-stvoriti-kiberpoligon-zsu.html
http://sprut.win/news/85-sekrety-i-bezotvetstvennost-motuzyannika.html
https://ain.ua/2016/08/24/xakery-vzlomali-akkaunty-nacgvardii-i-minoborony-v-socsetyax/
http://internetua.com/dokument-ministerstva-oboron-okazalis-v-otkrtom-dostupe-aktivist
https://ssu.gov.ua/ua/news/1/category/1/view/5213#.qEb0DUhF.dpbs
https://www.vectornews.net/exclusive/67361-sbu-posilyuye-zahist-
nformacynoyi-bezpeki-pdpriyemstv-energetichnoyi-galuz-ukrayini.html