ინფორმაციული უსაფრთხოება – ქვეყნის წინაშე არსებული გამოწვევა

Posted on by

2008 წლის აგვისტოს ომის დროს საქართველოზე განხორციელებულმა კიბერ შეტევებმა დღის წესრიგში მწვავედ დააყენა მნიშვნელოვანი ინფორმაციული ინფრასტრუქტურების უსაფრთხოების საკითხი. დაიწყო შესაბამის საკანონმდებლო ბაზაზე მუშაობა, ქვეყანაში ინფორმაციული უსაფრთხოების განვითარების გაძღოლა კი იუსტიციის სამინისტროს მონაცემთა გაცვლის სააგენტოს დაეკისრა. სააგენტოს ფარგლებში შეიქმნა კომპიუტერულ ინციდენტებზე რეაგირების ჯგუფი (CERT.GOV.GE). აღსანიშნავია, რომ მონაცემთა გაცვლის სააგენტოს კომპეტენციის სფეროა მთავრობის სამოქალაქო ნაწილი, თავდაცვის სტრუქტურებში ინფორმაციული უსაფრთხოების განვითარებაზე კი თავდაცვის სამინისტროს კიბერ უსაფრთხოების ბიურო ზრუნავს. ეს უკანასკნელი 2013 წლის ბოლოს შეიქმნა.

საქართველოს კანონი ინფორმაციული უსაფრთხოების შესახებ ძალაში შევიდა 2012 წელს. კანონმა შემოიტანა „კრიტიკული ინფორმაციული სისტემის სუბიექტის“ ცნება, რომელიც განისაზღვრა როგორც ორგანიზაცია, რომლის ინფორმაციული სისტემის უწყვეტი ფუნქციონირება მნიშვნელოვანია ქვეყნის თავდაცვის, ეკონომიკური და საზოგადოებრივი უსაფრთხოებისთვის. კანონშივე აღნიშნულია, რომ ის შესასრულებლად სავალდებულოა მხოლოდ კრიტიკული ინფორმაციული სისტემის სუბიექტებისთვის.

კანონის მიღების მომდევნო წელს, საერთაშორისო სტანდარტის ISO 27000-ის მიხედვით შემუშავდა ინფორმაციული უსაფრთხოების მინიმალური მოთხოვნები. ის გულისხმობს კრიტიკული ინფორმაციული სისტემის სუბიექტებში ინფორმაციული უსაფრთხოების მართვის სისტემის დანერგვას 3 წლის მანძილზე. 2013 წელსვე დამტკიცდა კრიტიკული სუბიექტების ნუსხა, რომელიც 39 სამთავრობო სტრუქტურას მოიცავს, მათ შორის სამინისტროებს, ეროვნულ ბანკს, თბილისის მერიას, სხვადასხვა საჯარო სამართლის იურიდიულ პირს და ა.შ. ცალკეა გამოყოფილი თავდაცვის სფეროს კრიტიკული ინფორმაციული სისტემის სუბიექტები.

ვინაიდან აღნიშნული 3-წლიანი გეგმის განხორციელება ქვეყნისთვის კრიტიკულად მნიშვნელოვანია, ჩვენ დავინტერესდით შემდეგი საკითხებით:

  • გეგმის შედგენიდან 3 წლის თავზე, რამდენმა ორგანიზაციამ მოახდინა მოთხოვნების შესრულება სრულად ან ნაწილობრივ.
  • რამდენ კრიტიკულ სუბიექტს ჰყავს ინფორმაციული უსაფრთხოების მენეჯერი და მათგან რამდენი აკმაყოფილებს ამ პოზიციაზე არსებულ მინიმალურ მოთხოვნებს.
  • ჩაუტარდათ თუ არა მენეჯერებს ტრენინგი და რამდენმა დაასრულა ტრენინგები წარმატებით.
  • რამდენმა სუბიექტმა ჩაატარა შიდა აუდიტი.
  • არსებობს თუ არა სტატისტიკური ინფორმაცია ინფორმაციული უსაფრთხოების გარღვევის წარმატებული და  წარუმატებელი შემთხვევების შესახებ.

ყოველივე ამის გამოსარკვევად, მივმართეთ მონაცემთა გაცვლის სააგენტოს, მათგან 2016 წლის 22 თებერვალს მიღებული პასუხებით კი ირკვევა შემდეგი:

კრიტიკული ინფორმაციული უსაფრთხოების სუბიექტებს არ წარმოუდგენიათ აუდიტის ანგარიშები. ამის გამო მონაცემთა გაცვლის სააგენტო არ ფლობს ოფიციალურ ინფორმაციას თუ რამდენმა ორგანიზაციამ დაასრულა ან ნაწილობრივ შეასრულა ინფორმაციული უსაფრთხოების მართვის სისტემის დანერგვის 3-წლიანი გეგმა.

39 კრიტიკული ინფორმაციული სისტემის სუბიექტიდან 27 უწყებას ჰყავს ინფორმაციული უსაფრთხოების მენეჯერი, რომლებსაც ჩაუტარდათ ტრენინგი ინფორმაციული უსაფრთხოების მართვის საფუძვლებში (მგს 27001:2011). კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ წარმოდგენილი მენეჯერობის კანდიდატებიდან 18 პირმა მოიპოვა ტრენინგზე დასწრების დამადასტურებელი სერტიფიკატი, ხოლო 9 მენეჯერი სააგენტოს მიერ სერთიფიცირებულია ინფორმაციულ უსაფრთხოებაში. სულ მონაცემთა გაცვლის სააგენტოს სერტიფიცირებული ჰყავს 35 მენეჯერი. სია შეგიძლიათ იხილოთ მონაცემთა გაცვლის სააგენტოს საიტზე.

რაც შეეხება ინციდენტებს, ჩვენ მივიღეთ 2012-2015 წლების სტატისტიკა (და 2015 წლის მონაცემებიც ცალკე). თუმცა უცნობია მოცემული რაოდენობიდან რამდენი შეტევა განხორციელდა წარმატებით. მოწოდებული რიცხვები წარმოადგენს მონაცემთა გაცვლის სააგენტოს საჯარო სერვისებიდან ამოღებულ სტატისტიკას:

სერვისი 2015 2012-2015
1 IP მონიტორინგის პორტალ 312 949
2 დომენების გადამოწმების პორტალი 1200 6373
3 ქსელური სენსორი 855 1975
4 ინციდენტების მართვის სისტემა 471 751

მიღებული პასუხებიდან დასკვნის სახით შეგვიძლია გამოვყოთ:

  • 39-დან 12 კრიტიკულ სუბიექტს საერთოდ არ ჰყავს ინფორმაციული უსაფრთხოების მენეჯერი. ეს კიდევ ერთხელ ხაზს უსვამს უსაფრთხოების სფეროში ადამიანური რესურსის დეფიციტს.
  • არსებულ მენეჯერთაგან მხოლოდ 9 არის სერთიფიცირებული მონაცემთა გაცვლის სააგენტოს მიერ, მაგრამ ეს არ გამორიცხავს, რომ მენეჯერებს სხვა პროფესიული სერტიფიკატი, განათლება ან შესაბამისი გამოცდილება გააჩნდეთ.
  • გაურკვეველია, რა ეტაპზეა ინფორმაციული უსაფრთხოების მართვის სისტემის დანერგვა კრიტიკულ სუბიექტებში. ცნობილია, რომ ეროვნულმა ბანკმა 2015 წელს მიიღო საერთაშორისო სერტიფიკატი ინფორმაციული უსაფრთხოების მართვის სისტემის ISO 27001:2013-ის შესაბამისად დანერგვისთვის.
  • მინიმალური მოთხოვნების დამტკიცებიდან  სამი წლის თავზე (ბრძანება გამოიცა 2013 წლის 4 თებერვალს) არცერთ ორგანიზაციას არ წარმოუდგენია აუდიტის შედეგები (წარმოადგენს სავალდებულო მოთხოვნას).

აღსანიშნავია, რომ კანონში არ არის გათვალისწინებული სანქციები 3-წლიანი გეგმის მოთხოვნათა შეუსრულებლობისთვის, რაც თავისთავად ზრდის კანონში განსაზღვრული მოთხოვნების არასათანადო შესრულების რისკს.

რაც შეეხება კერძო სექტორს, ჯერჯერობით მისთვის არანაირი რეგულაციები და სავალდებულო მოთხოვნები არ არსებობს. არადა კერძო სექტორზე კიბერ შეტევებსაც შეიძლება მოჰყვეს მძიმე შედეგები ქვეყნისთვის, როგორც 2007 წელს ესტონეთში ან 2008 წელს საქართველოში (ომის დროს არა მხოლოდ სამთავრობო რესურსებზე იყო შეტევა). საერთოდ კიბერ შეტევების მასშტაბის საილუსტრაციოდ 2015 წლის დეკემბერში უკრაინის შემთხვევაც გამოდგება, როდესაც ერთ რეგიონს ელექტრომომარაგება შეუწყდა. ამაზე ჩვენს ბლოგზეც ვწერდით.

შეიძლება ითქვას, 2008 წლიდან მოყოლებული, პირველი ნაბიჯები გადაიდგა და გარკვეული პროგრესიც არის. თუმცა მისი შეფასება რთულია, რადგანაც არ არსებობს ემპირიული მონაცემები, არ ვიცით რამდენად არის დამოკიდებული სხვადასხვა ინფრასტრუქტურა ინფორმაციულ სისტემებზე და გარდა მაგისა, შესადარებლად 2008 წლის შეტევების აღება შეიძლება კონტრპროდუქტიული გამოდგეს. ერთის მხრივ, მას შემდეგ 8 წელი გავიდა (დღეს გაცილებით მეტად ვართ დემოკიდებული ინფორმაციულ სისტემებზე), მეორეს მხრივ, კი არავინ იცის რამდენად გამოიყენა მოწინააღმდეგემ მაშინ თავისი სრული შესაძლებლობები.

როგორც სხვა ქვეყნებზე (Stuxnet, უკრაინის შემთხვევა) ისე საქართველოზე განხორციელებული კიბერ შეტევები (Georbot, APT28) გვიჩვენებს, კიბერ თავდასხმებს შეიძლება მრავალი განზომილება და მიმართულება ჰქონდეს, მომზადება კი ყველა მათგანისთვის საჭიროა.