Критична цифрова інфраструктура: які об’єкти входять до структури

Незалежний аудит державних електронних баз даних і застосунків: частина 2

Україна зараз долає етап стрімкої трансформації цифрового середовища. У країні з’являється все більше електронних послуг, що надаються як з боку державних структур, так і з боку приватних компаній. На сьогодні, за даними Міністерства цифрової трансформації, кількість активних користувачів «Дія» вже перевищила шість мільйонів осіб. Загалом обсяг вітчизняного ринку електронних послуг минулого року перевищив 100 мільярдів гривень, показавши зростання на 40%. Онлайн-покупки, онлайн-банкінг, онлайн-спілкування відіграють усе більшу роль у нашому повсякденному житті. Як наслідок, зростає інтерес до цієї сфери у зловмисників.

Щотижня на сайті Державної служби спеціального зв’язку та захисту інформації України публікується статистика кіберінцидентів і кібератак. Фахівці Держспецзв’язку говорять про постійний приріст цих показників на 10-12% за квартал. Йдеться про моніторинг та захист державних інформаційних ресурсів та інших об’єктів критичної інформаційної інфраструктури. Також за кібербезпеку у своїх сферах відповідають СБУ, Національний координаційний центр кібербезпеки при РНБО та інші органи.

У світлі активної цифрової трансформації державних інформаційних систем та сервісів питання їхнього захисту активізується. Ми продовжуємо писати про існуючі та діючі державні електронні бази даних, застосунки та шляхи забезпечення їхньої безпеки.

Bank ID

Bank ID НБУ — сервіс, що надається Національним банком України та доступний лише для клієнтів тих банків, які його підтримують.

Після обрання свого банку клієнт переадресовується на сайт банку для проходження автентифікації з використанням логіна, пароля і номера картки. У разі успішної автентифікації на сайті банку, система Bank ID передає персональні дані клієнта, що дозволяє його ідентифікувати (наразі сервіс використовується для автентифікації в додатку «Дія»).

Нотаріуси, державні реєстратори та інші особи, що працюють із державними реєстрами, мають пройти автентифікацію в акредитованих центрах сертифікації. Вказані авторитетні центри є приватної формою власності (наприклад, організовуються банківськими установами) та державної (наприклад, є структурними підрозділами державного органу) для отримання унікальної ідентифікуючої ознаки.

Іншою частиною державних реєстрів в інформаційному просторі є критичні дані (різного роду реєстри: від реєстру дозволених медичних препаратів до реєстру виборців чи реєстру юридичних осіб тощо).

Так цифровізація суспільства породила величезну кількість реєстрів і банків даних. Вказані критичні дані є розпорошеними та зберігаються у кожному відомстві окремо.

Тобто кожен державний орган та юридична особа, яка здійснює обробку даних (у тому числі персональних та даних стосовно юридичних осіб), намагається створити свій банк даних, зберігати його та оперувати ним.

Зберігання і обслуговування критичних інформаційних ресурсів (сервісів, реєстрів, банків даних) здійснюється у деяких сферах.

Банківська сфера

Комплексна інформаційна система Національного банку (КІС НБУ), у якій можна здійснити пошук по Державному реєстру фінансових установ на поточну дату, а також перевірити наявність або відсутність ліцензій у небанківських фінансових установ.

Крім цього, Національним банком України надається сервіс Bank ID НБУ, доступний лише для клієнтів тих банків, які його підтримують.

Водночас, запити на авторизацію від системи не відповідають вимогам RFC 6749 (RFC — документ із серії пронумерованих інформаційних документів Інтернету, який містить технічні специфікації та стандарти, має широке застосування у всесвітній мережі) до параметру state, що може нести ризики для користувачів. Рекомендуємо звернутись до власника системи.

ДП «Національні інформаційні системи» (Міністерство юстиції України) забезпечує функціонування наступних критичних ресурсів:

  • Єдиний реєстр громадських формувань;
  • Єдиний реєстр спеціальних бланків нотаріальних документів;
  • Єдиний реєстр заборон відчуження об’єктів нерухомого майна;
  • Єдиний реєстр нотаріусів України;
  • Реєстр прав власності на нерухоме майно;
  • Державний реєстр атестованих судових експертів;
  • Єдиний державний реєстр нормативно-правових актів;
  • Єдиний державний реєстр виконавчих проваджень;
  • Державний реєстр іпотек;
  • Державний реєстр правочинів;
  • Державний реєстр обтяжень рухомого майна;
  • Спадковий реєстр;
  • Реєстр спеціальних бланків документів інформаційної системи Міністерства юстиції України;
  • Єдиний реєстр довіреностей;
  • Державний реєстр друкованих засобів масової інформації та інформаційних агентств як суб’єктів інформаційної діяльності;
  • Державний реєстр актів цивільного стану громадян;
  • Реєстр методик проведення судових експертиз.

ДП «Електронне здоров’я» (Міністерство охорони здоров’я)

ДП «Електронне здоров’я» є основним розробником технічного ядра eHealth в Україні. eHealth — електронна система охорони здоров’я, що дозволяє ефективно розподіляти бюджетні кошти на оплату медичних послуг.

Система eHealth складається з:

  • Центрального компоненту системи медичних даних (адмініструє ДП «Електронне здоров’я»);
  • Медичних інформаційних систем (далі — МІС, приватні компанії, що надають інтерфейси користувачам, у тому числі медичним закладам та лікарям).

ДП «Прозорро» (Міністерство економічного розвитку і торгівлі України) —адміністратор електронної системи закупівель

ДП «ІНФОТЕХ» (Міністерство внутрішніх справ України) — адміністратор єдиної інформаційної системи МВС (яка, наприклад, забезпечує доступ до Єдиного державного реєстру транспортних засобів тощо)

Крім державних банків даних, громадяни України залежать від приватних банків даних або комунальних даних.

Наприклад:

  • у сфері охорони здоров’я — це послуга, яка надається ТОВ «Хелсі», а саме — запис до обраного лікаря;
  • у сфері забезпечення життєдіяльності фізичної особи (сплата комунальних платежів) — це сервіси, які надаються постачальниками комунальних послуг (наприклад, для міста Київ: «Київводоканал», «Київтеплоенерго», центри комунального сервісу, «Ясно» (електроенергія) тощо;
  • у соціальній сфері — це отримання проїзних документів, влаштування дитини до дитячого садочка чи школи тощо;
  • у фінансовій сфері — це онлайн-банкінг, купівля товарів через інтернет (у даному питанні важливо зберігання інформації щодо проведених транзакцій та балансу на рахунку).

Втручання до будь-якої з цих систем може нанести значної шкоди як конкретній особі чи організації, так і державі в цілому.

Перераховані вище інформаційні системи (ресурси) відповідно до постанови Кабінету Міністрів України № 518 від 19.06.2019 можуть бути віднесені до об’єктів критичної інфраструктури.

Критично важливі об’єкти інфраструктури — підприємства, установи та організації (незалежно від форми власності), діяльність яких безпосередньо пов’язана з технологічними процесами та/або наданням послуг, що мають велике значення для економіки і промисловості, функціонування суспільства та безпеки населення, виведення з ладу або порушення функціонування яких може справити негативний вплив на стан національної безпеки і оборони України, навколишнього природного середовища, заподіяти майнову шкоду та/або становити загрозу для життя і здоров’я людей (Закон України «Про основні засади забезпечення кібербезпеки України» від 5 жовтня 2017 року № 2163-VIII).

Постановою Кабінету Міністрів України від 9 жовтня 2020 року № 943 про «Деякі питання об’єктів критичної інформаційної інфраструктури» визначено Порядок формування переліку об’єктів критичної інформаційної інфраструктури та Порядок внесення об’єктів критичної інформаційної інфраструктури до державного реєстру об’єктів критичної інформаційної інфраструктури, його формування та забезпечення функціонування.

Наразі в Україні відсутній вичерпний перелік об’єктів критичної інфраструктури (далі — ОКІ) та немає реєстру об’єктів критичної інформаційної інфраструктури (ОКІІ), які розташовані на відповідних ОКІ.

Голова Державної служби спеціального зв’язку та захисту інформації України Юрій Щиголя повідомив, що станом на листопад 2021 року вісім відомств подало заявки на включення їхніх систем до переліку ОКІІ. Формування переліку ОКІІ можливо лише після визначення всіх об’єктів, на яких є ОКІІ.

Всім зрозуміло, що державні інформаційні ресурси мають зберігатись у власності держави та обслуговуватись виключно державою, проте за результатами попереднього аналізу окремих телекомунікаційних ресурсів, що використовуються державою, можна стверджувати, що органи державної влади та управління, державні підприємства, що надають послуги населенню, тощо майже повністю залежать від приватного сектору.

Із метою мінімізації частки обслуговування державних інформаційних ресурсів приватним сектором і для забезпечення єдиного державного контролю та захисту державних інформаційних ресурсів, відповідно до указу Президента України № 96/2016 від 15.03.2016, яким вводиться рішення Ради національної безпеки і оборони України від 27 січня 2016 року «Про Стратегію кібербезпеки України», планується створення Національного центру резервування державних інформаційних ресурсів (далі — НЦРДІР).

Відповідно до постанови Кабінету Міністрів України від 8 лютого 2021 року № 94 «Про реалізацію експериментального проєкту щодо функціонування Національного центру резервування державних інформаційних ресурсів» з 1 листопада 2021 року адміністрація Держспецзв’язку забезпечила функціонування НЦРДІР на базі ДП «Державний центр інформаційних ресурсів України» (код ЄДРПОУ: 30855996; адреса: м. Київ, вул. Юрія Іллєнка, 83-Б).

Втім звіт про реалізацію експериментального проєкту щодо функціонування НЦРДІР має бути поданий до 31 грудня 2022 року, а державні органи не квапляться переходити від існуючих контрагентів із приватного сектору до експериментального державного органу.

ТОП-8 приватних дата-центрів, що забезпечують функціонування державних онлайн-ресурсів