"Можна вести бізнес швидко і легко": посол Естонії поділився досвідом "держави у смартфоні"(23.12.2019)

У новому випуску програми "Євроінтегратори" з Тетяною Поповою Каймо Кууск – посол Естонії в Україні, Костянтин Корсун – фахівець з інформаційної безпеки, засновник компанії "Бережа Сек'юріті" говорили про "державу у смартфоні", кібербезпеку та атаки Росії.

– ПОПОВА: Сьогодні ми говоримо про баланс цифрової трансформації та кібербезпеки. Пане посол, перше питання до вас. Естонія та Україна вже співпрацюють у кіберсфері. Які проєкти зараз уже впроваджені, і які плануються? Я знаю, що основа платформи обміну даними "Трембіта" – це естонська система “X-ROAD”. Це так?

– КУУСК: Справді, це так. Наша система “X-ROAD” функціонує кілька років, і вона вже надихнула декілька країн, і Україну серед них. І ми раді допомогти будувати у вас фактично подібну систему, що функціонує.

– ПОПОВА: А які інші проекти?

– КУУСК: Насправді їх декілька. В Україні працюють приватні компанії. “LIFT99”, наприклад, робить стартапи, й незабаром розпочнеться пілотний проєкт з електронної системи перетину кордону разом із українською митницею. Коли наші президенти зустрілися у Таллінні два тижні тому, був розпочатий, так би мовити, мозковий штурм ІТ-сектору – хакатон, який має бути запроваджений протягом наступних трьох років, і наша робоча група, яка цим займається, зустрічається що пів року. Це має допомогти і не тільки допомогти, а й співпрацювати над ідеєю проєкту "держава у смартфоні".

 ПОПОВА: Тож це буде спільна співпраця між Україною та Естонією, чи ви маєте на увазі, що це відбуватиметься в Естонії?

– КУУСК: Ні-ні, це спільна співпраця. Задіяні обидві держави плюс приватний сектор. І як ми бачили в Естонії, найкращим результатом є співпраця державного та приватного секторів.

 ПОПОВА: Але з точки зору безпеки і кібербезпеки, наскільки, Ви вважаєте, ці ідеї з цифровою трансформацією безпечні, враховуючи гібридну війну з Росією?

– КУУСК: Власне, я наведу вам приклад. Ми в Естонії почали розвивати цей ІТ-світ ще у 90-х. Ми пропустили деякі речі, які є дуже нормальними, звичними на заході, наприклад, чекові книжки у банках на папері. Я читав про чекові книжки лише з детективних історій, які мені дуже подобалися.

Наскільки насправді це є безпечним, на мою думку? Я розмовляв із моїми канадськими колегами, і вони сказали, що в їхній кримінальній поліції все ще існує спеціальний відділ, який займається шахрайством, пов'язаним із чековими книжками. Це лише порівняння, і ви насправді маєте дбати про безпеку кожної ділянки, коли Ви відтворюєте це на папері або робите це в ІТ-секторі.

"Євроінтегратори" з Тетяною Поповою

– ПОПОВА: Що скаже спеціаліст із кібербезпеки?

– КОРСУН: Я переконаний, що будь-які IT-сервіси, діджиталізація мають бути засновані на, перш за все, кібербезпеці. Оскільки, якщо не буде кібербезпеки цих нових технологій, цих нових сервісів, люди просто не будуть довіряти, не будуть цим користуватися. І це буде марно витрачений час і ресурс.

Насправді я не переконаний у тому, що наразі під час такої активної діджиталізації, яку проводить український уряд, приділяється достатня увага питанням кібербезпеки. Вони мають розроблятися одночасно, на основі з вимогами кібербезпеки.

 ПОПОВА: А правда, що в Естонії була в 2000-их дуже серйозна кібератака, здається, з Росією? Ви після цього почали серйозніше ставитися до питання і діджиталізації, і кібербезпеки?

– КУУСК: Це був 2007 рік, і це трапилося наприкінці квітня – на початку травня. У нас була політична криза та конфлікт із Росією, і ми потрапили під кібератаку. В сучасних умовах ця атака виглядає досить просто – DDoS-атака, коли Ви атакуєте з різних боків, намагаючись зламати систему.

Що нам напевно допомогло – це те, що того ж року у березні Естонія мала свою першу можливість електронного голосування. В той рік, коли була атака, у нас відбулися парламентські вибори. За два місяці до цього ми вперше запровадили можливість електронного голосування. У нас було дуже гарне обладнання, дуже гарне програмне забезпечення щодо кібербезпеки, яке насправді допомогло нам пережити ці величезні атаки.

 ПОПОВА: Тобто вони намагалися дискредитувати цю електронну систему голосування цією атакою? Бо ви мені сказали, що це було під час політичної кризи.

– КУУСК: Власне, йшлося про пам'ятник, присвячений Другій світовій війні. Ми вирішили, що цей пам'ятник і ті, хто похований під ним, мають бути перепоховані на кладовищі, яке буде місцем їхнього вшанування, а не в центрі міста, біля тролейбусної зупинки. Тож це не було пов'язано з виборами.

 ПОПОВА: А ти як думаєш, наскільки реально можливо замінити деякі програми електронними? І наскільки це безпечно? Наприклад, ця ідея з переписом.

Посол Естонії розповів про "державу у смартфоні"

Facebook Дмитро Дубілет

– КОРСУН: Наразі стосовно перепису, можливо, колись у майбутньому, це буде можливо. Але наразі я не вірю, що це буде репрезентативно, достовірно і надійно. Знов-таки, пан посол згадував ситуацію, що за 2 місяці до потужної атаки проти Естонії у травні були проведені вибори за допомогою електронних технологій.

І країна не була готова саме тому, що не розраховувала на такий ризик. Не могли собі уявити, що буде такий надзвичайно великий масштаб, і спонсоровані атаки держави у величезних обсягах, з величезними ресурсами. Стосовно ж перепису населення, поки що мені пояснення уряду не видаються досить переконливими. Результати пілотного проєкту повинні засвідчити, чи має перспективу така технологія.

 ПОПОВА: А що ти думаєш про електронне голосування, яке Естонія запровадила ще з 2007 року?

– КОРСУН: Насправді, наразі ще в жодній країні світу не існує досить надійних систем електронного голосування, тому що, на жаль, сучасні методи не дозволяють забезпечити кілька важливих умов: що голосування добровільне, і голосування таємне.

Сама система голосування в Естонії, яку часто згадують прибічники такої ідеї, там був один дуже прикрий випадок, після якого цю програму довелося призупинити і доопрацьовувати. Наразі вона зараз працює частково. Тобто за деяких умов, наскільки я розумію, можливо, пан посол пояснить краще, це не йдеться абсолютно про 100% або 99% виборців, які голосують онлайн.

 ПОПОВА: Це правда, що не всі голосують онлайн, що є люди, які голосують досі ще оффлайновим методом?

– КУУСК: Так, правда. У нас досить великий відсоток людей, які голосують в Інтернеті. Це безпечно, і це можливо протягом декількох днів. Давайте гіпотетично уявимо, що хтось змушує вас за комп'ютером проголосувати за, скажімо, опозиційну партію. Добре, ви проголосуєте.

Але потім у найближчій кав'ярні Ви залогінитесь до wi-fi та зможете переголосувати стільки разів, скільки це можливо до реального дня голосування. Безумовно, знайдуться люди, які хотіли б піти на виборчу дільницю і це зробити фізично. Але голосування онлайн дуже зручне – я можу це зробити з-за кордону, з дому моєї бабусі, або відвідуючи моїх родичів.

– ПОПОВА: А ці люди, які отримали електронне громадянство (e-residence), не голосують? Це швидше просто як бізнес-резиденти?

– КУУСК: Так. Давайте пов'яжемо це із громадянством. Ми іноді трохи жартуємо, що нас, естонців, проживає 1,5 мільйона по всьому світу, тому ми вирішили, що маємо поширювати цю приємну демократичну ідею і для інших людей теж, отже електронне резиденство дає можливість вести бізнес швидко та легко.

 ПОПОВА: Що ви можете розповісти про те, як працює кіберцентр в Естонії, і чи хороша ідея таких центрів і конкретно кіберцентру в Естонії?

– КУУСК: Насправді це один із центрів передового досвіду НАТО. У різних державах є різні центри передового досвіду. Естонія обрала свій та подала заявку на центр кіберзахисту. Це не стосується повсякденних питань кібербезпеки Естонії. Ні, для цього у нас є різні інституції.

Каймо Кууск

Каймо Кууск

 ПОПОВА: А хто, до речі, займається цим на щоденній основі?

– КУУСК: В Естонії? Існує спеціальна державна установа під назвою Державне інформаційне агентство “RIA” при Міністерстві економіки, є внутрішня служба безпеки, яка має справу з державними атаками, є іноземна розвідка, є кримінальна міліція, яка займається кримінальними злочинами в ІТ-сфері.

Плюс у нас також є Альянс кіберзахисту на добровільній основі, який об'єднує державних чиновників та найкращі розуми у приватній сфері. Держава не може платити за них. Ми просто не можемо, бо їхня заробітна плата вдесятеро вища, ніж, наприклад, у найкращих ІТ-працівників у міністерстві оборони, але це патріоти, що працюють у банках, або в таких компаніях як Skype чи Playtech, які готові вкладати свій вільний час, щоб фактично допомагати Естонії. І це дійсно гарний досвід.

 ПОПОВА: А центр передового досвіду НАТО?

– КУУСК: Центр кібербезпеки НАТО – в ньому беруть участь не усі країни-члени, а також є учасники, які не є членами Альянсу. Вони працюють, наприклад, з правовою стороною функціонування кібербезпеки, а також аналізують різноманітні атаки, що відбулися. Це фактично центр передового досвіду – суцільний мозок і талант.

 ПОПОВА: А ти там був?

– КОРСУН: Я там не був, але я багато про це чув і знаю людей, які там працювали, і знаю всю цю історію з Center of Excellence. Цей центр створили одразу після травневих атак проти Естонії 2007 року, коли вся країна на кілька днів просто "лягла". Не працювали банки, не працювали державні установи. Це був у негативному сенсі "супер-вау" ефект.

– ПОПОВА: Тобто наш Petya – це ще були квіточки?

– КОРСУН: У нас всього лише третина економіки постраждала. Хоча у деяких підприємств це на кілька місяців затягнулося, в когось – на кілька днів, кілька тижнів. Так ось, Натівський Center of Excellence заснували якраз після цих жахливих наслідків, коли вся країна була на кілька днів паралізована.

І слід зазначити, що цей Натівський центр все ж таки військовий, і він працює в інтересах країн-членів НАТО. Як пан посол дуже цікаво розповів, що у Естонії цим опікуються якраз цивільні установи, але є і волонтери, є й обмін інформацією і між Центром НАТО, і між установами, і налагоджена взаємодія, чого, на жаль, немає у нашій країні.

 ПОПОВА: Для глядачів скажу, що так як мене часто плутають з іншою Тетяною Поповою з телекомпалати, то час від часу я потрапляю на мітинги з кібербезпеки, там, де я бачу Костянтина. Розкажи, а як у нас ця сфера працює? Насправді в Естонії також мінімум п'ять відомств, плюс ще Альянс, плюс ще Натівський центр.

– КОРСУН: Знаєте, в Україні у нас, згідно із законодавством, Законом України "Про основні засади забезпечення кібербезпеки", визначено шість основних суб'єктів забезпечення кібербезпеки, і Рада національної безпеки і оборони як координатор.

Тобто начебто дуже схоже, як в Естонії, бо там до них входять Національна поліція – кіберполіція, Служба безпеки України, Держспецзв'язку, Міністерство оборони, Національний банк, розвідка. Тобто дуже схоже на те, про що казав пан посол, але у них це працює, а у нас чомусь ні.

– ПОПОВА: Країна менша?

– КОРСУН: Немає якоїсь координації, немає якогось центрального хабу, який би відповідав за цю координацію. Знов-таки, немає ресурсів для хоча б кількох фахівців пристойного рівня. Але слід зазначити, що Естонія активно рухалася у цьому напрямку з 2007 року, 12 років тому. Нас, власне, з питань кібербезпеки досі жодного більш-менш помітного руху наразі не детектується.

Тобто є якісь зустрічі, якісь переговори – держава з ком'юніті, ком'юніті з бізнесом, бізнесу з державою, але поки що цього балансу не знайдено. І якась модель співпраці – ще не визначена, на жаль. Тому, можливо, зараз, у зв'язку з діджиталізацією, напрямку кібербезпеки буде надано якийсь новий поштовх.

–​​​​​​​ ПОПОВА: До речі, скажи, а влада вас чує взагалі? Чи хтось чує, хтось не чує?

– КОРСУН: Важко, по-перше, визначити, кому адресувати наші ідеї. Тобто ми спільнотою, ком'юніті зібралися, накреслили, визначили якусь дорожню карту для того, як це все було б правильно. Ми фахівці, приватний сектор зібралися, безкоштовно все це розробили, набрейнстормили, викотили програму на трьох сторінках, опублікували, навіть деякі моделі презентували представникам РНБО.

Костянтин Корсун

Костянтин Корсун

 ПОПОВА: Секретарю РНБО, я так розумію?

– КОРСУН: Зараз вже секретарю РНБО. Але, на жаль, у нас невідомо, кому ж адресувати наші думки. Чи це Міністерство цифрової трансформації на чолі з паном Федоровим, чи це РНБО на чолі з паном Даніловим, чи, можливо, це профільний комітет Верховної Ради, а, може, Держспецзв'язку? У нас зараз відбувається така розсинхронізація, і поки що, якщо не брати Верховну Раду, то три центри протистояння…

 ПОПОВА: Там ще й Міністерство оборони з Генштабом мають свої ідеї…

– КОРСУН: Але у Міноборони, розвідки, кіберполіції, Служби безпеки є свої власні вузькі завдання. І кіберпідрозділи забезпечують виконання їхньої основної діяльності. Якщо ми кажемо про координацію національної кібербезпеки, у національному масштабі – то тут силові структури повинні відігравати роль, але не головну, не провідну, а треба спочатку визначити, де центр координації. Не регуляції, не якихось силових методів чи примусу, а саме центр координації, центр знань, центр експертизи.

– ПОПОВА: Водночас віцепрем’єр-міністр сказав, що роль кібербезпеки у нас трохи перебільшена. Тут, з одного боку, як пан посол говорив, що і банківські чеки – це також небезпечна історія, і дуже важливо проводити реформи і робити цифрову трансформацію. Де цей баланс?

– КОРСУН: Стосовно вислову пана Федорова, я здивований, м'яко кажучи, бо міністр, який начебто відповідає за кібербезпеку, стверджує, що роль кібербезпеки переоцінена.

 ПОПОВА: Він перш за все відповідає за цифрову трансформацію.

– КОРСУН: Річ у тім, що я слідкую за усіма публікаціями Міністерства цифрової трансформації, і у мене є теж дуже красивий скрін, у якому вони стверджують, що з вересня 2019 року Міністерство цифрової трансформації відповідальне за кібебезпеку. На їхніх акаунтах така інформація опублікована.

Тому якось дивно виглядає, коли профільний міністр, який відповідає зокрема і за кібербезпеку, принаймні вони так вважають, стверджує, що роль кібербезпеки трохи перебільшена. Насправді вона сильно переменшена з боку урядових структур.

Ми у кіберспільноті – звісно, це наша професія, і ми вважаємо це найважливішим у світі, але ми розуміємо, що цифрові сервіси і цифрова трансформація зазнає поразки у разі, якщо виявиться, що це не дуже безпечно. Тобто цьому треба приділяти максимально увагу, і з думкою пана Федорова я не погоджуюся.

"Євроінтегратори" з Тетяною Поповою

– ПОПОВА: А після вірусу Petya, як ти вважаєш, у нас покращився взагалі в країні рівень кібербезпеки чи ні?

– КОРСУН: Він підвищився, безумовно. Приблизно пів року тому я з колегами проводив серед фахівців кібербезпеки таке невеличке опитування, і більшість із них погодилася, що, дійсно, після тієї атаки дворічної давнини стало більше приділятися цьому уваги, і загальний рівень підвищився. Але слід-таки зазначити, що за пів року після атаки практично всі вже перестали боятися нових.

Ті компанії й організації, яким пощастило, вони вирішили, що все, пронесло, більше не буде. Вони продовжили, як завжди, і не інвестували у власну кібербезпеку. Але, насправді, так, окрім NotPetya було ще кілька гучних дуже атак – це шифрувальники різні: Bad Rabbit тощо.

Звісно, ці негативні приклади впливають на сприйняття, що так, це важливіше, ніж нам здавалося, але більшість компаній, організацій і приватних осіб не готові витрачати свої гроші саме на кібербезпеку.

 ПОПОВА: Я пам'ятаю "Прикарпаттяобленерго", 2015 рік, коли спеціалісти кажуть: "Мишки бігають по екрану. Що відубвається?"

– КУУСК: А у нас були справжні щури місяць тому в Естонії. Вони пошкодили кабель, тому протягом декількох годин у нас був відступній Інтернет.

 ПОПОВА: Є взагалі якість стандарти, можливо, в Естонії, взагалі в цивілізованих країнах, скільки країна має витрачати на кібербезпеку?

– КУУСК: Ви знаєте, в Естонії кажуть, що ніколи не буває достатньо любові й безпеки. Так що ви можете інвестувати, і вам доведеться це робити, бо супротивники також не сплять. У нас є також інша приказка: ворог не спить. Тож потрібно вкладати гроші.

– КОРСУН: Це запитання, яке теж мені інколи ставлять. Немає ніякої визначеної якоїсь цифри – що, наприклад, 10% від вартості. Це неправильно. Є в Україні дослідження наукові, і один з моїх колег колись робив презентацію з цього приводу, як обчислити вартість ресурсів на забезпечення кібербезпеки.

Але це складно, і простих рішень тут не буде. Як сказав пан посол, завжди не вистачає любові і безпеки, і це постійний процес. Є так звані галузеві стандарти. Вони є у Штатах, є вони у західній Європі. Кожна країна для себе для кожної галузі визначає якісь мінімальні стандарти. Неможливо визначити, скільки саме грошей, або який відсоток, або яку долю від прибутку треба на це витрачати.

Бо одні й ті самі завдання можна вирішити за великі гроші, а можна вирішити майже безкоштовно, якщо фахівець займається цим процесом, і він знає – це можна взяти безкоштовно, це можна зі знижкою взяти, це можна з кимось зашарити – як одну ліцензію на двох, наприклад, а можна просто вбухати купу грошей, а воно все одно не працюватиме.

–​​​​​​​ ПОПОВА: А потім прийде Petya, або “мишки почнуть бігати по екрану". Останнє запитання. В Естонії дуже високий рівень свободи слова в Інтернеті. В нас медіаспільнота разом із кіберспільнотою у попередні роки брала участь у спільних акціях проти законопроєкту 6688 про досудове блокування сайтів. Зараз вносяться якісь ідеї у нових політиків, але вже через суд. Як ви ставитеся до цих ідей блокувань? Наскільки це допомагає чи не допомагає в сучасному світі?

– КОРСУН: Особисто я вважаю, що будь-які блокування позбавлені сенсу, по-перше, навіть не кажучи про те, що обмеження свободи слова, свободи доступу в Інтернет, свободу обігу інформації. Насправді це не працює. Хоча кажуть, що закриття у 2014 році доступу до однієї російської мережі зменшила втричі кількість користувачів з України. Насправді існує безліч засобів, як обійти блокування. А витрати держави, уряду на якісь потужні рішення – це реально десятки-сотні-мільйони доларів.

"Євроінтегратори" з Тетяною Поповою

 ПОПОВА: Ні, вибач, те блокування не коштувало нічого державі. Вони це зробили примусовим методом через РНБО, через провайдерів. Але ідея встановлення провайдерами DPI-обладнання втілвюалася б за гроші платників податків, бо вони просто підвищили б їм ціну на Інтернет.

– КОРСУН: Те, що пропонувалося законопроєктом "6688", – це примусити Інтернет-сервіс провайдерів платити за це обладнання DPI, яке коштує мільйони доларів, і плата за яке лягла б на користувачів доступу до Інтернет. І проти цього ми усі разом протестували, і, слава Богу, цього не трапилося. Але спроба ця була двічі, і не полишають чиновники думок, що це потрібно і необхідно.

Але я, і багато моїх колег підтримують мене, що це, по-перше, дуже погано впливає на наші свободи і порушує наші основні конституційні права – доступ до інформації, доступ до розповсюдження інформації, свобода Інтернету, свобода телекомунікацій тощо. І, по-друге, на практиці, навіть якщо це, не дай Боже, буде запроваджено, технічно це надзвичайно складно і надзвичайно дорого. І працювати як слід воно все одно не буде.

 ПОПОВА: Я тут знову додам для наших глядачів, що в принципі у Європі є методи роботи з неправдивою інформацією через суди – у Франції з минулого року є такий законопроєкт, але виключно через суд. І це виключно останній метод впливу. Швидше вони будуть спочатку користуватися штрафами і тільки в кінці, якщо штрафи не допомагають, і приписи не допомагають, вони можуть рекомендувати блокування, але виключно через суд. Зовсім не так, як це пропонувалося у 6688. А ви що думаєте, як найвільніша в Інтернеті країна?

– КУУСК: В Естонії ми обережніші, аби щось закривати, оскільки в сучасному світі ви можете обійти ці блокування. Звісно, обходити блокування буде складно для звичайного люду, але таких кроків ми поки не робили, хоча насправді обговорюємо, чи варто нам закривати деякі телевізійні канали.

– ПОПОВА: Російські?

– КУУСК: Так, наприклад, супутниковий канал “Russia Today”. Або ми можемо розмістити напис, який застерігає, що це може бути для вас шкідливим, на кшталт напису, який ви використовуєте на упаковці цигарок.

 ПОПОВА: "Пропаганда – це не журналістика"?

– КУУСК: Чи от, наприклад, у нижній частині екрана з’являтиметься надпис, що слід знати – цей канал показує пропаганду. Це просто як ідея. Безумовно, існує жорстка дискусія щодо того, чи варто естонським компаніям купувати рекламний час на таких каналах, як, наприклад, "Перший Балтійський канал".

 ПОПОВА: Ви маєте на увазі державні компанії чи приватні?

– КУУСК: Приватні компанії також. Існує дискусія, чи етично, бо естонські компанії купують рекламний час на цих каналах. Тож дискусія насправді ще триває.

 ПОПОВА: Як і триває дискусія в усьому світі.

Міністерству цифрової трансформації та ДССЗЗІ було запропоновано надати спікерів для цієї програми, за різними обставинами вони не змогли долучитися. Ми завжди відкриті до діалогу і запрошуємо їх до участі у наступній програмі "Євроінтегратори".

Джерело та відео: https://www.obozrevatel.com/ukr/politics/mozhna-vesti-biznes-shvidko-i-legko-posol-estonii-podilivsya-dosvidom-derzhavi-u-smartfoni.htm?

Українська