Журнал Тиждень зустрівся з головою Державної служби спеціального зв’язку та захисту інформації України (Держспецзв’язку) полковником Валентином Петровим.
Довкола відомства, яке ви очолюєте, склалося багато упереджень і навіть легенд. Хтось пропонує його позбутися, хтось вимагає реформ. Що нині відбувається в Держспецзв’язку?
— Насамперед слід зрозуміти, що ця структура дуже потрібна. Про Держспецзв’язку часто говорять, що то лише «ті древні телефони на столах чиновників». Про все те, що ми насправді робимо в країні, знає менше ніж сотня людей. Це відкриває простір для різних маніпуляцій. Наша служба — це не телефони, точніше, не тільки вони. Ми повинні забезпечувати стабільність, надійність, гарантованість і безпечність управління державою за будь-яких умов. І не обмежуємося тільки Києвом, бо маємо ще запасні командні пункти, маємо зону проведення ООС. Про це не хочеться думати, звичайно, але за найгіршого сценарію, у разі повномасштабної агресії, поки працюватимуть наші підрозділи, буде збережено систему управління всіма силовиками та держапаратом. А ті «древні телефони» на столах насправді можна прибрати, принаймні в мирний час. І ми над цим працюємо.
Корінням багатьох проблем Держспецзв’язку є неналежна комунікація, про Службу нічого не знають пересічні громадяни. Це зумовлено як секретністю, так і особливостями корпоративної культури: не все можна відкривати, не про все можна говорити. Втім, іншого вибору просто немає, час ставати більш-менш публічними, інакше й надалі побутуватиме хибне уявлення про те, чим ми займаємося. Чи є Служба громіздкою? Так, безумовно. Чи корумпована вона? Так, як і всі інші силові структури, як, зрештою, і вся країна, не більше й не менше. Але моя позиція щодо цього чітка: на першій нараді сказав, що як раніше вже не буде, впроваджуємо нульову толерантність до корупції. А хто цього не зрозуміє, із тим попрощаємося. Хоча, звичайно, мені відомі всі ці чутки про мене, що я начебто беру участь у якихось оборудках або що хтось від мого імені бере гроші. На сьогодні я встиг кілька разів відмовити в закупівлі певної техніки. Адже доволі просто можу перевірити реальну вартість, це легко зробити за допомогою інтернету. Хтось на це каже: «Переживемо, він тут надовго не затримається», хтось погрожує чи пропонує домовитися.
Як із цим боротися? Тотальними чистками?
— Є інша проблема. Тут працюють високоінтелектуальні люди, бо технології, якими ми оперуємо, дуже цікаві. Маємо унікальні винаходи, до того ж Держспецзв’язку впроваджує повний цикл: від теорії, прототипів до передсерійних та серійних зразків, які ми виготовляємо самостійно. Особливо це стосується спецтехніки та засобів шифрування. Водночас наші працівники отримують одні з найнижчих зарплат серед усіх силових відомств країни. Тому від людини, яка живе й працює в Києві, займається високими технологіями, має унікальні навички та знання, але отримує 12 тис. грн на місяць, дуже важко вимагати, щоб вона не заробляла десь «на стороні».
Дивна ситуація й у зоні ООС. Там може стояти наша машина, а поруч — машина зв’язку Збройних Сил. Завдання приблизно однакові, військові однакові, побутові та бойові умови також, але чомусь у ЗСУ приблизно вдвічі більші зарплати. Постає питання соціального, квартирного забезпечення, лікування. Ця диспропорція насправді образлива, адже всі однаково дають присягу й служать народу.
Ви порушували це питання?
— Я постійно це роблю, але поки що грошей у бюджеті для нас немає. Причини як об’єктивні, так і суб’єктивні: нерозуміння всього комплексу наших завдань. Поки що бачу єдиний можливий шлях — оптимізація. Структура Служби справді роздута, її багато критикують. Одразу скажу: я її змінюватиму, вона потребує доведення до адекватного стану. Однак часто створення гіпертрофованої структури — це єдина можливість дати людям трохи більшу зарплату. Тому питання оптимізації маємо вирішувати тоді, коли зможемо платити людям адекватні гроші.
Якщо ми заговорили про оптимізацію, то чи всі функції, які нині має Служба, відповідають її завданню?
— Під час заснування Держспецзв’язку на неї покладалися два основні завдання, вони навіть у назві прописані. Це спеціальний зв’язок, тобто створення системи урядового управління, та захист інформації, яка в цій системі циркулює. Відповідно основним джерелом загроз були іноземні спецслужби, які здатні перехопити інформацію, або в разі військового конфлікту засоби РЕБ чи підрозділи спеціального призначення, які можуть придушити або знищити комунікаційні системи.
Із роками уявлення про загрози та безпеку змінювалося. Філософія технічної контррозвідки стала поширюватися на будь-яку інформацію, що має бути захищена, на всі комп’ютери. Потім додався захист конфіденційної інформації, як-от персональні дані. Ситуація така, що ми спеціальними засобами намагаємося захистити навіть відкриті державні ресурси. Ймовірно, це робиться задля перетворення в майбутньому Служби на міністерство. Відповідно на неї покладено максимум функцій: буквально все, де в назві є слово «зв’язок» чи «інформація». Тепер маємо невиправдано багато завдань: нам їх законом визначено 92, хоча має бути значно менше. Тому вважаю, що доцільно передати частину надлишкових і невластивих завдань іншим відомствам, уряду, а від чогось можна взагалі відмовитися.
У нас 22 завдання пов’язані з цивільним зв’язком. На моє переконання, військові в демократичному суспільстві не мають цього робити. Наприклад, ми не маємо брати участі у формуванні тарифів операторів зв’язку, не маємо доставляти періодичну пресу до визначених споживачів, не маємо займатися впровадженням 5G.
Утім, є нюанси. Наприклад, фельд’єгерська доставка пошти. Це озброєні військові, які розвозять таємну кореспонденцію з точки А в точку Б. Архаїзм. Здавалося б, їх доцільно просто замінити будь-якою кур’єрською службою. Але варто згадати, хто під час виборів 2014 року повіз бюлетені на Схід. Відмовилися всі кур’єрські служби, зокрема державний оператор, зрештою повезли наші фельд’єгері. Тому з погляду економіки тримати такий підрозділ у сучасному світі — це безглуздя. Але коли постає питання національної безпеки, це складно виміряти виключно економічною доцільністю.
Коли я тільки збирався йти до Держспецзв’язку, вважав, що від польового компонента треба відмовитися, передати його ЗСУ. Тепер змінив думку: у мирний час усе добре, але хто в умовах війни відновлюватиме пошкоджені лінії, прокладатиме та налагоджуватиме зв’язок до командних пунктів? Хоча, на перший погляд, що там люди у формі, що в нас. Але наш зв’язок є, по суті, інтерконектором між усіма відомчими системами починаючи від ставки верховного головнокомандувача до всіх силовиків за нашими стандартами й із нашим захистом. Тому наш польовий компонент, по суті, є логічним продовженням усієї системи, відповідно відокремлювати його не можна.
Приблизно така сама ситуація з досі наявним телеграфом і тропосферним зв’язком — це архаїзми, але вони досі зберігаються і функціонують, адже ми маємо за будь-яких умов забезпечити державну владу зв’язком.
Інше, не менш важливе завдання — протидія технічним розвідкам. Ми збираємо відомості про те, що мають на озброєнні розвідки провідних країн світу, і відпрацьовуємо рекомендації для ЗСУ, інших силовиків, Укроборонпрому щодо того, як їм краще захищатися. Можливо, комусь ці заходи здаються надмірними, але ми знаємо, про що йдеться. І ціна нехтування правилами безпеки може вимірюватися не лише знищеними сховищами чи технікою, а й людськими життями. Тому сьогодні організація має зосередитися саме на охороні державних секретів.
Те саме стосується кібербезпеки. Якщо кіберсферу розглядати як театр воєнних дій, поле протистояння силових структур, то справді тут є роль Держспецзв’язку, і ми цю роль відкидати не збираємося. Але що стосується загальнодержавного рівня кібербезпеки, як-от кібергігієна, реагування на інциденти, то цим мають займатися цивільні люди. Нині до нашого центру реагування CERT-UA низький рівень довіри, зокрема й тому, що там працюють військові.
Хто займатиметься реформуванням Держспецзв’язку? Скільки це триватиме?
— Я, принаймні для себе, сформулював, чим має займатися Служба, визначив напрями її розвитку й обговорив це питання із зовнішніми експертами. Служба відчуває підтримку уряду. Ми перебуваємо в постійному контакті з віце-прем’єр-міністром Михайлом Федоровим, взаємодіємо з Мінцифрою.
Слід пам’ятати й про баланс між диджиталізацією та безпекою. Водночас в апараті РНБО створено робочу групу, яку очолює секретар РНБО, і вона має займатися питаннями реформування сфери спеціального зв’язку та захисту інформації. До групи входять представники Служби, я також беру в ній участь. Треба готувати концепцію розвитку системи з баченням на п’ять — десять років уперед. Сподіваюся, що ця група напрацює також контури майбутньої системи кібербезпеки, визначить, що робити з невластивими функціями. На виході має бути системний документ, фактично дорожня карта нашого реформування. Цей документ має схвалити РНБО й затвердити президент, це дасть офіційний старт нашому реформуванню.
Нині ми на етапі збору інформації та формулювання пропозицій, потім буде підготовлена концепція рішення РНБО, після неї мають з’явитися законодавчі акти на її виконання. Сподіваюся завершити перший етап цієї трансформації до кінця наступного року.
Як відбувається переозброєння Держспецзв’язку, про які новітні розробки можете розповісти?
— Наприклад, раніше для забезпечення зв’язку вищого військово-політичного керівництва держави ми використовували старий комплекс: це три машини й розрахунок до 15 осіб для їхнього обслуговування. Тепер новий комплекс — це одна машина й три особи в ній. І це сучасний високоякісний цифровий, а головне — захищений зв’язок.
До речі, є такий міф, що урядові телефони прослуховуються. Це неправда, ми саме й працюємо для того, щоб їх не прослуховували, щоб виключити навіть гіпотетичну можливість цього. У 2006-му Держспецзв’язку відокремили від СБУ. На сьогодні я не знаю жодного випадку витоку інформації саме із захищених урядових мереж. Із кабінетів чи особистої пошти — так, але не з урядових телефонів.
Уже збудовано національну мережу для високошвидкісної передачі даних. Вона фізично відокремлена від наявних мереж загального користування, тож забезпечує захищений обмін даними, при цьому є стійкою до будь-яких кібератак, бо просто не має виходу в інтернет. Така мережа нині працює навіть на рівні районів, до того ж комунікації підведені до окремих військових частин. Тобто до неї можна приєднатися в разі будь-якої надзвичайної ситуації, катастрофи чи війни, вона працюватиме навіть тоді, коли скрізь «ляже» зв’язок та інтернет. Понад те, ця система збереже свою працездатність і в разі пошкодження чи знищення окремих її елементів.
У сучасній історії України вже був випадок, коли місця розміщення апаратури урядового зв’язку були захоплені, маю на увазі Крим та Донбас.
— Я спеціально спілкувався з учасниками тих подій, щоб скласти картину того, що відбувалося. Гадаю, про це вже можна говорити, адже минуло п’ять років. Під час «русской весны» всю техніку, яка становить інтерес з міркувань державної таємниці, вдалося вивезти, знайшлися патріоти, які її врятували. Деякі зразки передавали через останні відділення відомої служби доставки. Станції старого зразка, ще радянські, лишалися, навіть працювали певний час, чим напевно здивували росіян. Звичайно, частина кабелів лишилася в землі, але ми перейшли з міді (яку подекуди викопували й здавали на металобрухт) на оптоволоконні системи, які значно ускладнюють перехоплення інформації (і нецікаві мародерам).
Утім, навіть якщо знайти можливість і приєднатися до комунікації, то з’являється інше завдання — зламати шифр, який захищає весь обмін даними. І тут дуже цікавий момент. Справді, наші фахівці здебільшого є вихованцями єдиної радянської наукової школи й ми з росіянами починали з одного джерела. Однак далі наші шляхи помітно розійшлися. Сьогодні в нас своя сильна школа математики, криптографічного захисту, свої технології. У світі нині тільки 12 країн мають повний замкнений цикл бойової криптографії — від теоретичної математики до готового серійного виробу. Ми серед них і маємо весь цикл. Це, по суті, національне надбання, стратегічна перевага, так само як, наприклад, літакобудування. До речі, як і літаки, ці системи в нас активно спрямовуються на експорт. Виникає питання: а чому ж ми не можемо просто купити вже наявні іноземні стандарти? Річ у тім, що такі технології на продаж завжди виставляються з обмеженими можливостями й послаблені або з потенційною backdoor — шпариною в системі безпеки. Для бізнесу такі рішення купити можна, це не критично. Але у сфері державної безпеки про таке не може йтися. Поки що ми маємо власну школу, яка тримається на фанатах своєї справи попри погане фінансування.
Чим ще, крім грошей, можна вмотивувати цих людей?
— Гроші важливі, безперечно. Але для них також має значення відчуття того, що вони самі та їхня праця потрібні державі, що не залишаться без роботи завтра просто тому, що не всі знають, чим вони займаються. Що їхні розробки, які нічим не гірші від найкращих світових аналогів, не замінять на інші месенджери через чиюсь примху. До речі, ми це бачимо в сучасному політичному житті: усі витоки стаються здебільшого з месенджерів. Вони не можуть замінити повноцінну систему для передачі таємної інформації.
Тобто диджиталізація держави містить у собі певні ризики?
— Диджиталізація не може бути загрозою, це невідворотний та об’єктивний процес, у якому ми всі перебуваємо. У будь-якому разі заходи безпеки не повинні заважати нормальному розвитку економіки чи суспільства. Той-таки захищений месенджер потрібен, він має бути, але з розумінням, що не замінить собою систему управління державою в особливий період. Якщо, наприклад, зникне мобільний зв’язок, то месенджер просто замовкне. Але він потрібен для зручності комунікації. Ми це підтримуємо. Я спілкуюся з представниками стартапів, що займаються розробкою захищених месенджерів, щоб у майбутньому рекомендувати якісь напрацювання для подальшого впровадження.
Уже маємо урядовий зв’язок, так звану АТС-300, це побутові смартфони, але перероблені на апаратному рівні з додаванням криптомодуля. Крім того, вони мають нову прошивку, бо операційна система Android надто вразлива. Цими телефонами доволі активно користувалися раніше, поки що вони не такі популярні серед нових політиків. До того ж є проекти розгортання системи, подібної до мобільного зв’язку. Це можна зробити на наявних державних потужностях, які перебувають у власності Держспецзв’язку або інших силових відомств. Але то дуже дорого і я не впевнений, що в сучасних умовах доцільно.
Інше болюче питання, яке часто пов’язують із Держспецзв’язку, — це створення Комплексної системи захисту інформації (КСЗІ). Однак там, де є ліцензування, завжди виникають корупційні ризики. Як боротися з цим явищем?
— Насамперед це знов-таки проблема недостатньої комунікації. Частина функцій щодо КСЗІ від нас уже відійшла, але міфи лишаються. Не весь позитив стає відомим. Наприклад, у перший тиждень своєї роботи я дав розпорядження видати атестати відповідності, які затримувалися, для восьми майданчиків системи ProZorro. Гадаєте, хтось про це написав? Добре, давайте відмовимося від КСЗІ, запровадимо європейські стандарти ISO 27-ї серії або американські NIST 800-ї серії, тепер це буде система управління інформаційною безпекою. Гадаєте, паперів поменшає? Ні, навпаки. Про КСЗІ інколи жартома кажуть, що це «ISO для бідних», бо там менше вимог. То не ми щось вигадали й усіх примушуємо, у кожній країні є такі самі стандарти й правила. Інше питання — забюрократизованість цього процесу. І ми саме працюємо над тим, щоб зробити його, як кажуть, user-friendly. Я поставив завдання, щоб участь Держспецзв’язку в цьому процесі була мінімальною.
Щоб зменшити передумови для корупції, ми хочемо ліквідувати будь-які дозвільні процедури й ліцензування. Зараз я хочу максимально відокремити Держспецзв’язку від взаємодії з бізнесом. Бізнес повинен самостійно захищатися за своїми стандартами, вони загальновідомі, визнані світом. Це має бути добровільним рішенням бізнесу. У цьому сенсі мені подобається американський принцип, він більше орієнтований на ризики. Там власник інформації сам визначає загрози для неї та будує відповідну систему захисту за чинними вимогами. Відповідальність за витік так само лежить на ньому.
Державний контроль та нагляд має лишитися тільки там, де циркулює інформація з грифом від ДСК і вище на об’єктах критичної інфраструктури. Але це не можна змінити тільки моєю волею, потрібно внести зміни до законодавства. Головне, щоб унаслідок цього не виникла прогалина, коли все буде скасовано, настане загальне «цифрове щастя», а потім, коли з’являться проблеми, прийдуть до мене, бо за законом саме Держспецзв’язку відповідає за безпеку інформації.
Наприклад, у нас зараз тривають певні дискусії з Міністерством оборони щодо змін вимог Держспецзв’язку. Ми, звичайно, не проти змінити наші вимоги, але, на жаль, не можемо змінити закони фізики та принципи поширення електромагнітних хвиль. Варіант рішення — повернення в законодавство військової таємниці. Правила щодо її забезпечення формулюватиме й встановлюватиме сам Генеральний штаб ЗСУ. І це будуть не звичайні правила для мирного життя чи для пунктів постійної дислокації, а спеціальні, для роботи підрозділів «у полях», на передовій. Такий підхід гнучкіший, він дасть змогу підлаштовуватися під конкретну ситуацію, але це й відповідальність за можливий витік інформації, яка в такому разі також переходить до ЗСУ.
Якщо пригадати нещодавні кібератаки на низку українських ЗМІ, які були зламані, а потім від їхнього імені поширювали фейки, то хто, на вашу думку, має захищати мас-медіа?
— Проблема є, і ми маємо захищатися. Але тільки-но ми перетягнемо ЗМІ в категорію критичної інфраструктури, це одразу потягне за собою регулювання, встановлення контролю, вимоги безпеки тощо. Тому я категорично проти такого сценарію, не можна чіпати вільну пресу. Це має бути питанням сумління власників та менеджерів цих видань, вони повинні розуміти, що є такі ризики й від них потрібно захищатися. Наприклад, у Великій Британії близько 12% економіки є цифровою, і цей відсоток зростає. Тому захист цифрової інфраструктури бізнесу від зовнішнього втручання — це питання національної безпеки.
Водночас там спрацьовує ринок страхування від кіберризиків, вони розглядаються так само, як, наприклад, пожежа чи повінь. Ви зазнали збитків чи взагалі втратили бізнес унаслідок хакерської атаки — отримайте гроші. Але що цікаво: жодна нормальна страхова компанія не оформлятиме таку страховку там, де немає належного захисту відповідно до стандартів. І така модель можлива для нашої країни.
Крім того, якщо подивитися на британський досвід, то ключ від загальнонаціональної кібербезпеки — це проведення інформаційних кампаній для населення. Там не розповідають надскладні речі, натомість пояснюють, як захистити себе, чого не можна робити. Можливо, нам теж варто замислитися над цим. Скажімо, наші активісти з Українського кіберальянсу частково такою профілактикою вже займаються: вони показують, як може бути по-іншому, вказують на актуальні проблеми й спонукають вдосконалювати систему захисту. Це тримає в тонусі нас та інші державні органи, я їм за це глибоко вдячний.
Довідково:
Валентин Петров. Народився 2 жовтня 1981 року в Черкасах. У 2002-му закінчив Інститут міжнародних відносин Київського національного університету імені Тараса Шевченка та здобув ступінь магістра міжнародної інформації. Із 2002 по 2003 рік — консультант секретаря Ради національної безпеки і оборони України. Із 2004-го по 2014-й проходив військову службу в Службі безпеки України на посадах офіцерського оперативного та керівного складу. У 2010 році здобув ступінь кандидата політичних наук за спеціальністю «Основи національної безпеки держави». Проходив навчання за кордоном: у 2015-му — у Європейському центрі досліджень проблем безпеки імені Джорджа Маршалла (Німеччина, США), у 2016-му — у Академії оборони Сполученого Королівства (Велика Британія). 2010–2014 роки — представник України в Комітеті Конвенції Ради Європи про кіберзлочинність. 2018-го закінчив Києво-Могилянську бізнес-школу за спеціальністю «Публічне адміністрування в секторі національної безпеки і оборони». Із 2016 по 2019 рік — секретар Національного координаційного центру кібербезпеки при РНБО України. Із жовтня 2019-го призначений головою Держспецзв’язку України.