Рада обязала МВД создать контактную сеть по противодействию киберпреступности :-)

Рада обязала МВД создать контактную сеть по противодействию киберпреступности :-) .

А теперь вопрос в студию: как будет организован национальный CIRT? Проконсультируются ли с Корсуном? Також цікава думка Євгена Корсуна з цього приводу. Я вважаю що буде як завжди... Тобто призначать і накажуть кого попало...
Оригинал тут

2 days ago

Верховная Рада Украины приняла Закон Украины О внесении изменений в Закон Украины О ратификации Конвенции о киберпреступности.


14 comments

Gleb Paharenko В сопутствующих закону документах приведена цифра - 707 преступлений в области высоких технологий за 2009г в Украине. Интересно сравнить с числом зарегистрированных преступлений в других странах.

Kostiantyn Korsun Владимир, если Вы имеете в виду меня :-) , то я думаю, что будет как всегда. Ведь гораздо более захватывающе набивать собственные шишки, чем использовать чей-то опыт:-/

Evgen Kostenko Так такий орган, де-факто, вже давно існує в МВС, правда був прикритий торгівлею людей :). Рішення щодо доповнення правильне. Ми, у свій час були ініціаторами мотивації прискорення підписання цієї Конвенції, а потім її ратифікації. І останній Уряд мотивували щодо цього. оскільки тоді у ВРУ був проект, в якому це питання можна було вирішити, оскільки доповнення до закону про ратифікацію може вносити лише КМУ.

Vladimir Tkachenko Але ж мова йде (наскількі я розумію) про створення СIRT (аналог якого для держустанов створював Держспецзв язку та Констянтин Корсун ;-). І це вже організаційно-технічний підрозділ. ТОбто персонал принаймні не тільки клерки, а й спеціалісти з ІТ та ІТ безпеки наскільки я розумію. Крім того, думаю всім (і Вам Євген) зрозуміло, що створити не означає ефективно функціонувати. (Спеціалісти повинні отримати досвід). І ще одне питання - чи запрошуємо ми когось з-за кордону як консультантів? (Зрозуміло що в Україні звісно консультантів немає .... Чи не так колеги?)

Evgen Kostenko 2Gleb Paharenko Відкритої статистики такої немає. Можна лише сказати про саму систему НКП. За даними МВС та СБУ На базі Генерального секретаріату Інтерполу діє Департамент по боротьбі з правопорушеннями у сфері комп'ютерних злочинів, який і є Генеральним контактним центром.
відповідно до світової практики переважною більшістю держав такі підрозділи утворюються при міністерствах внутрішніх справ чи інших службах, що виконують поліцейські функції. Так, із 61 офіційно зареєстрованого НКП 55 функціонують при поліцейських відомствах (Австралія, Австрія, Бельгія, Великобританія, Данія, Італія, Іспанія, Канада, Нідерланди, Німеччина, Російська Федерація (на базі Федеральної служби безпеки), в Білорусі - на базі МВС (окремий Департамент інформаційних технологій), Франція, Японія тощо), інші 6 – при органах прокуратури (Конго, Корея, Македонія, Південно-Африканська Республіка тощо).

Evgen Kostenko 2Vladimir Tkachenko Це не СIRT, оскільки його основним завданням є не технологічні питання кібербезпеки, в розумінні СIRT, а само діяльності правоохоронних органів, в розумінні статі 35 Конвенції "Про кіберзлочинність", якою.визначено, що "Кожна Сторона призначає орган для здійснення контактів цілодобово впродовж тижня з метою надання негайної допомоги для розслідування або переслідування стосовно кримінальних правопорушень, пов'язаних з комп'ютерними системами і даними, або з метою збирання доказів у електронній формі, що стосуються кримінального правопорушення. Така допомога включає сприяння або, якщо це дозволяється її внутрішньодержавним законодавством і практикою, пряме:
a. надання технічних порад;
b. збереження даних відповідно до статей 29 і 30; та
с збирання доказів, надання юридичної інформації і встановлення місцезнаходження підозрюваних.
2. а. Орган Сторони, визначений нею для здійснення контактів, має можливість терміново встановлювати контакт з органом іншої Сторони, визначеним нею для здійснення контактів.
b. Якщо орган Сторони, визначений нею для здійснення контактів, не є частиною уповноваженого органу або органів такої Сторони, які відповідають за міжнародну взаємну допомогу або екстрадицію, то орган, визначений для здійснення контактів, забезпечує свою здатність проводити термінову координацію з таким уповноваженим органом або органами.
3. Кожна Сторона забезпечує кваліфікований персонал і відповідне обладнання для сприяння роботі мережі."

Vladimir Tkachenko Зрозуміло. Тобто комерційні підприємства залишаються поза захистом з боку CIRT-UA (ДССЗЗІ), а те що при МВС не CIRT а по суті орган, який просто збирає докази та розслідує злочини, а не попереджає та відвертає. Тоді можливо у Вас є інформація і щодо страхового законодавства? А чи є (готується) правова база, для того щоб страхувати подібні ризики (спотворення, несанкціоновану модифікацію, недоступність неточність (там дуже великий перелік) пов'язані із несанкціонованими діями в комп'ютерних системах та мережах - так звані кібер ризики? На сьогоднішній день жодна страхова не береться таке страхувати мотивуючі відсутністю нормативної бази. Виключення - тільки готівка в банкоматах, що може бути вилучена електронними засобами несанкціоновано. Все інше не страхується. А підприємці і інвестори не усвідомлюють, що на Україні тільки можуть ПІСЛЯ інциденту (визначення до речі теж нема в законодавстві) провести розслідування, а збитки заподіяні кібер ризиками (вище) ніхто не поверне!

Evgen Kostenko 2Vladimir Tkachenko В принципі Ви правильно оцінюєте ситуацію, але не робите правильні висновки.
Ви платник податків, як і всі ті, інтереси яких не врегульовані законодавством. то ж висновок лише один - це порушення не сильно зачіпляє Ваших інтересів, інакше Ви б сформулювали проблему, і своє бачення вирішення проблеми. це стосується і питань інформаційної безпеки і захисту інтересів суб'єктів підприємницької діяльності, а не лише державної форми власності.
Приклад із податковим кодексом з тієї ж "опери". Всім він начебто заважає, але далі малозв'язаних коментарів на форумах майже ніхто не йде.

Kostiantyn Korsun to Vladimir Tkachenko • О страховании информационных рисков я слышал еще лет 5-7 назад на одной из конференций в Ялте. Тогда кто-то (не помню кто) ярко горел этой идеей. Думаю, сейчас из-за нечеткости нашего законодательства нет смысла пока всерьез к этому относиться. Большинство из нас сталкивалось со страховыми компаниями и с их уловками чтобы не делать выплаты по страховым случаям. Как будет фиксироваться факт утраты/модификации/копирования/... информации/данных? Какую именно информацию страховать? Базу данных? Тогда должен быть эталонный экземпляр в страховой. Стоимость базы может меняться со временем в сторону увеличения и. т.д. и т.п. Вопросов ОЧЕНЬ много.
Что касается CERT/CIRT. Один из коллег задавал вопрос на последней встрече (еще раз спасибо организаторам), -Владимир Безмылый- о том, почему госструктуры защищиаю только гос. организации. На самом деле с точки зрения законодательства никаких преференций быть не должно, особенно в сфере уголовных преступлений (ст.ст. 361-363 ККУ). Просто CERT-UA создавался не для расследования преступлений, а для методической и консультативной помощи гос. органам, взаимодействия с правоохранительными структурами Украины и с зарубежными/международными организациями, такой себе гос-для-гос. С случае с МВДшным проектом такого быть не должно IMHO.

Evgen Kostenko 2Vladimir Tkachenko
Державна служба спеціального зв'язку та захисту інформації України є державним органом, який призначений для забезпечення функціонування і розвитку державної системи урядового зв'язку, Національної системи конфіденційного зв'язку, захисту державних інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, криптографічного та технічного захисту інформації.
http://zakon.rada.gov.ua/cgi-bin/laws/main.cgi?nreg=3475-15
Функції Національного контактного Центру виходять з її назви. Тому ми і мотивували у зверненнях до КМУ його створення при МВС, а не при СБУ чи ДСТЗІ. А от питання збирання доказів, розслідування злочинів, а не попередження та відвертання. - це питання МВС, або СБУ (відповідно до підслідності).

Evgen Kostenko 2Vladimir Tkachenko 2Kostiantyn Korsun Щодо "комерційні підприємства залишаються поза захистом з боку CIRT-UA (ДССЗЗІ) і "CIRT-UA ... такой себе гос-для-гос" то CERT-UA є скороченою назвою від Computer Emergency Response Team of Ukraine (команда реагування на комп'ютерні надзвичайні події України), яку використовує Департамент безпеки інформаційно-телекомунікаційних систем Адміністрації Державної служби спеціального зв'язку та захисту інформації України під час здійснення міжнародного співробітництва з питань запобігання, виявлення та усунення наслідків несанкціонованих дій щодо державних інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах.
Завданням Держспецзв’язку та CERT-UA є координація діяльності органів державної влади, органів місцевого самоврядування, військових формувань, підприємств, установ і організацій незалежно від форм власності (далі – суб'єкти координації) з питань запобігання, виявлення та усунення наслідків несанкціонованих дій щодо державних інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах. "
http://www.cert.gov.ua/?lang=ukr

Vladimir Tkachenko "...несанкціонованих дій щодо ДЕРЖАВНИХ інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах. " І тільки для інформації, що є влансістю держави. Всі інші проблеми індейців як кажуть шерифа не хвилюють...

Evgen Kostenko 2Vladimir Tkachenko Повінстю із Вами згідний. про це і кажу. Це державний орган, який було ствоерно для обслуговування державних органів.Знов повторюся, що Ви платник податків, і як і всі ті, інтереси яких не врегульовані законодавством, можете вирішувати це питання. В ЄС, як відомо, більшість груп CERT були створені університетами та великими ІТ-компаніями, які можуть співпрацювати через загальноєвропейський TF-CSIRT (Task Force - Collaboration Security Incident Response Teams). http://www.google.com.ua/url?sa=t&source=web&cd=1&ved=0CBUQFjAA&url=http%3A%2F%2Fru.wikipedia.org%2Fwiki%2F%25D0%259A%25D0%25BE%25D0%25BC%25D0%25BF%25D1%258C%25D1%258E%25D1%2582%25D0%25B5%25D1%2580%25D0%25BD%25D0%25B0%25D1%258F_%25D0%25B3%25D1%2580%25D1%2583%25D0%25BF%25D0%25BF%25D0%25B0_%25D1%2580%25D0%25B5%25D0%25B0%25D0%25B3%25D0%25B8%25D1%2580%25D0%25BE%25D0%25B2%25D0%25B0%25D0%25BD%25D0%25B8%25D1%258F_%25D0%25BD%25D0%25B0_%25D1%2587%25D1%2580%25D0%25B5%25D0%25B7%25D0%25B2%25D1%258B%25D1%2587%25D0%25B0%25D0%25B9%25D0%25BD%25D1%258B%25D0%25B5_%25D1%2581%25D0%25B8%25D1%2582%25D1%2583%25D0%25B0%25D1%2586%25D0%25B8%25D0%25B8&ei=WyebTNSIMMbzOeTEtacP&usg=AFQjCNFP3spYpI7olIo2vq0A9cTUsy0tfg&sig2=Jx6PBqIG2Yd43li3JrxhBw

Gleb Paharenko Я кстати в КПИ закидывал удочку про создания СЕРТ-а для ВУЗов. Это был бы прототип коммерческого СЕРТа. На нем можно было бы отработать процессы и набить шишки. Может у кого есть контакты на кафедре ИБ в НАУ?

4 hours ago
Comments