Jump to content
Planeta.Ge

netgazeti - უშიშროების საბჭო კიბერ-უსაფრთხოების კონცეფციაზე მუშაობს

planetanews
 გაზიარება

Recommended Posts

planetanews Newbie

planetanews

Posted
Posted

 

 

/get_img?ImageId=6366

 

ლაშა დარსალია

 

”ინფორმაციული უსაფრთხოების შესახებ” პარლამენტში წარმოდგენილ კანონპროექტთან დაკავშირებით ”ნეტგაზეთი” საქართველოს უშიშროების საბჭოს ანალიტიკური დეპარტამენტის ხელმძღვანელს ლაშა დარსალიას ესაუბრა:

 

ინფორმაციული უსაფრთხოების შესახებ” კანონპროექტის შემუშავებაში როგორ  იყო საქართველოს უშიშროების საბჭო ჩართული და რამ განაპირობა მისი შექმნა?

 

თავდაპირველად, კიბერ-უსაფრთხოების სფეროში უშიშროების საბჭოს როლზე რომ ვისაუბროთ, უშიშროების საბჭოს აპარატში კიბერ-უსაფრთხოების სტრატეგიაზე მუშაობის კოორდინაცია ხდება. ეს არის სტრატეგიული დოკუმენტი. მოგეხენებათ, რომ ახლახან მივიღეთ უსაფრთხოების კონცეფცია, პარლამენტმა დაამტკიცა წინა წლის დეკემბერში და მასში კიბერ-უსაფრთხოება ერთ-ერთი მნიშვნელოვანი მიმართულებაა. შესაბამისად, ახლა მიმდინარეობს მუშაობა კიბერ-უსაფრთხოების კონცეფციაზე და წლის პირველ ნახევარში მზად იქნება.

 

კიბერ-უსაფრთხოების კონცეფციას აქვს რამდენიმე კომპონენტი, რომელზეც მუშაობა დაწყებულია. ამ კონცეფციის დამტკიცებამდე უნდა მომზადდეს საკანონმდებლო ბაზა.

 

კიბერ-უსაფრთხოების სტრატეგიის შემუშავებას წინ უსწრებდა ის, რომ 2008 წლის ომის შემდგომ ჩვენ დავიწყეთ ამ მიმართულებით მუშაობა. პირველ რიგში, ეს იყო მიღებული გაკვეთილების გამოკვლევა და შემდეგ იყო საკმაოდ დიდი სამუშაო ჩატარებული, როცა მოხდა არსებული ნაკლოვანებების კვლევა და ანალიზი ჩვენს სისტემაში. შესაბამისად, შეიქმნა მონაცემთა გაცვლის სააგენტო, რომელიც არის პასუხისმგებელი ინფორმაციულ უსაფრთხოებაზე.

 

სპეციალისტა შეფასებით, 2008 წელს ძიირთადად იყო DDos Attack-ის სახის თავდასხმა, რისი პრევენციაც წინასწარ შეუძლებელია, მით უმეტეს, კანონპროექტის - ”ინფორმაციული უსაფრთხოების შესახებ” - მიღებით. როგორ შეიძლება ამ საკანონმდებლო ცვლილებამ დაიცვას ქვეყანა მსგავსი შემოტევისგან?

 

მე სხვის კომენტარზე კომენტარს ვერ გავაკეთებ. კიბერ-უსაფრთხოება არ არის მხოლოდ ეს ერთი კანონი. ეს შედგება ძალიან ბევრი კომპონენტისგან. კანონის დანიშნულება აბსოლუტურად სხვა რაღაცაა. ნაკლოვანებები, პირველ რიგში, რაც გვაქვს, არის ის, რომ ეს ახალი სფეროა, შესაბამისი საკანონმდებლო რეგულირება აქამდე არ არსებობდა.

 

კიბერ-უსაფრთხოება რამდენიმე კომპონენტად დავყავით: 1. საკანონმდებლო ბაზის გაუმჯობესება; 2. უწყებათაშორისი  თანამშრომლობის გაუმჯობესება, სისტემის შექმნა, როცა ყველა უწყებამ იცის, რაზეა პასუხისმგებელი; 3. შესაბამისი გამოცდილების დაგროვება; 4. მოსახლეობასა და სპეციალისტებში განათლების ამაღლება. ასევე მნიშვნელოვანია კონკრეტული ორგანიზაციების შექმნა, როგორიცაა ”მონაცემთა გაცვლის სააგენტო”,  მნიშვნელოვანია საერთაშორისო თანამშრომლობაც.

 

ყველაფერმა ამან უნდა უზრუნველყოს კიბერ-უსაფრთხოება და არა - ერთმა კანონმა.

 

წარმოდგენილი კანონპროექტში ბუნდოვანია,  ვინ იქნება კრიტიკული ინფრასტრუქტურის სუბიექტი, როგორი ტიპის კერძო იურიდიულ პირებს მიენიჭებათ ეს სტატუსი?

 

ამას ახლა მე ვერ განვმარტავ, რადგან ამაზე ახლა მიდის მუშაობა. ზოგადად, კრიტიკული ინფრასტრუტურა არის ის ინფრასტრუქტურა, რომლის მუშაობა  კრიზის შემთხვევაში აუცილებელია ქვეყნის მინიმალურად ფუნქციონირებისათვის. კრიტიკული ინფრასტრუქტურის სუბიექტობის კრიტერიუმებს კანონპროექტი არ განსაზღვრავს, მაგრამ ამაზე მიდის მუშაობა.

 

სახელმწიფო უწყებების გარდა, რა ტიპის კერძო იურიდიული პირები იქნებიან კრიტიკული ინფრასტრუქტურის სუბიექტები?

 

ამაზე მიდის მუშაობა. უნდა ჩამოყალიბდეს კრიტერიუმები, რომლის საფუძველზეც მოხდება ამის განმარტება. პრინციპი გარკვეულია და პრინციპად ვიღებთ იმას,  რომელიც კრიზისის შემთხვევაში ქვეყნის ფუნქციონირებისათვის და უსაფრთხოებისათვის აუცილებელი ინფრასტრუქტურაა. ეს არის ზოგადი პრინციპი. ამ პრინციპიდან გამომდინარე უნდა მოხდეს შესაბამისი კრიტერიუმების შემუშავება, რომელიც შემდეგ უკვე ჩამოყალიბდება. ეს კრიტერიუმები არის იმ კიბერ-უსაფრთხოების კონცეფციის ნაწილი, რომელზეც ახლა ვმუშაობთ.

 

კანონპროექტიდან გამომდინარე, კიბერ-თავდასხმისას შექმნილი კრიზისის აღმოფხვრაზე იმუშავებს იუსტიციის სამინსიტროს ”მონაცემთა გაცვლის სააგენტოს” სწრაფი რეაგირების ჯგუფი. ამ ჯგუფს ექნება უფლება, მოითხოვოს წვდომა იმ ინფორმაციულ აქტივებზე, რაც კრიზის აღმოსაფხვრელად იქნება საჭირო. როგორ იქნებიან დაცულები კერძო იურიდიული პირები, რომ მათ კომპიუტერულ სისტემაში დაცული ინფორმაცია არ გახდება ხელმისაწვდომი ”მონაცემთა გაცვლის სააგენტოს” სწრაფი რეაგირების ჯგუფისთვის?

 

ეს აბსოლუტურად ერთმანეთთან დაუკავშირებელი პრობლემებია, ეს ყურით მოთრეული თემაა. ეს კანონპროექტი არ იწვევს ვალდებულებებს კერძო ბიზნესებისთვის. პირიქით, არის შექმნილი იმისთვის, რომ დაეხმაროს ამ ბიზნესებს ნორმალურად ფუნქციონირებაში და პირიქით, სახელმწიფომ კი არ გამოიყენოს მათი რესურსი, არამედ სახელმწიფოს რესურსები გამოიყენოს კრიტიკულად მნიშვნელოვანმა ბიზნესებმა გამართულად ფუნქციონირებისათვის.

 

საქართველოზე თავდასხმა კიბერსივრცეში, რაც გვასწავლა 2008 წელმა, განხორციელდა მათ შორის კერძო ბიზნესებზეც. იგივე საინფორმაციო სააგენტოებზე, რომელიც არ არის სახელმწიფო საკუთრებაში. ანუ, საქართველოზე თავდასხმა განხორციელდა მნიშვნელოვან ობიექტებზე, მათ შორის მნიშვნელოვან ბიზნესებზე. შესაბამისად, ამ სტანდარტების დანიშნულებაა ის, რომ ბიზნესებს ჰქონდეთ საშუალება, გამოიყენონ სახელმწიფო რესურსები ასეთი პრეცედენტების დროს და არა - პირიქით.

 

აქ ლაპარაკია მხოლოდ იმ ინფორმაციის მოპოვებაზე, რომელიც აუცილებელია ასეთ ინციდენტებთან ბრძოლისთვის.

 

შეიძლება თუ არა, რომ კრიტიკული ინფრასტრუქტურის სუბიექტები გახდნენ თუნდაც საინფორმაციო საშუალებები?

 

მე გეტყვით ახლა სფეროებს, რომელიც მნიშვნელოვანია. ჩვენთვის ენერგეტიკაა მნიშვნელოვანი სფერო, მათ შორის, შეიძლება იყოს მნიშვნელოვანი საინფორმაციო საშუალებები, შეიძლება იყოს საბანკო სექტორი - ეს ახლა ჩემი პირადი მაგალითებია. შეიძლება იყოს მნიშვნელოვანი ბიზნესები, მილსადენების ოპერირება და ა.შ.

 

კერძო ორგანიზაციების, თუნდაც ბანკების, ინტერესებში ხომ შედის, რომ თავიანთი ინფორმაციული უსაფრთხოება მკაცრად დაიცვან? წინააღმდეგ შემთხვევაში, შეიძლება მილიონებიც დაკარგონ. სახელმწიფო რატომ უნდა დაეხმაროს კერძო სექტორს ინფორმაციული უსაფრთხოების დაცვაში?

 

2008-ში ჩვენ გვქონდა მაგალითი, რომ საბანკო სექტორიც იყო იმ სიაში, რომელზეც მოხდა თავდასხმა.

 

ანუ სახელმწიფო იღებს კერძო სექტორის დაცვის ვალდებულებას?

 

”ვალდებულება” ყველაზე ცუდი სიტყვაა, რაც კი შეიძლება გამოვიყენოთ როგორც სახელმწიფოს, ისე კერძო სექტორის მიმართ. ეს არის საერთაშორისო პრაქტიკა, რომელშიც მთავარი კომპონენტი არის ბიზნესსა და სახელმწიფოს შორის თანამშორმლობა. ეს არის საფუძველი ყველა ქვეყანაში, ჩვენ ახალს არაფერს ვიგონებთ. ბალტიისპირეთი არის ყველაზე კარგი მაგალითი ასეთი თანამშრომლობის. აქ ლაპარაკია იმაზე, რომ პატარა ქვეყნებს შეზღუდული რესურსები აქვთ . კიბერუსაფრთხოების უზრუნველყოფა არათუ პატარა, დიდი ქვეყნებისთვისაც პრობლემაა. აქ ლაპარაკია იმაზე, რომ ძალიან შეზღუდული რესურსების პირობებში მოხდეს ამ რესურსების რაციონალურად გამოყენება.  ამ შემთხვევაში ყველაზე კარგი სიტყვა ”ვალდებულება” არ არის, არის ”თანამშრომლობა”, რომ უკეთ იყოს დაცული უსაფრთხოების ისეთი კომპონენტები, როგორიც არის მნიშვენლოვანი ობიექტები. ჩვენი კანონმდებლობა არ სცნობს ტერმინს ”სტრატეგიული ობიექტები”, რაც სწორია. ჩვენ მაქსიმალურად ღია ეკონომიკა ვართ, სადაც სახელმწიფოს როლი არის შეზღუდული ეკონომიკაში. შესაბამისად, ჩვენ არ ვცნობთ ტერმინს ”სტრატეგიული ობიექტები”, თუმცა ეს არ ნიშნავს იმას, რომ არ არსებობს ობიექტები, რომელიც ქვეყნისთვის არ არის მნიშვნელოვანი.

 

აქ არ არის საუბარი ბიზნესმიზნებით მოტივირებულ კიბერშემოტევებზე. ეს არ არის სახელმწიფო უსაფრთხოების ნაწილი, ეს კერძო კომპანიის უსაფრთხოების ნაწილია. აქ საუბარია, როცა ქვეყნისთვის მნიშვენლოვანი კრიზისი დგება. იგივე შეიძლება იყოს ომი ან რამე მსგავსი კონფლიქტი. ასეთ დროს მაქსიმალურად უნდა იყოს გამოყენებული რესურსები სახელმწიფოსა და კერძო ბიზნესების დაცულობის უზრუნველსაყოფად.

 

წარმოდგენილ კანონპროექტში წერია, რომ კრიტიკული ინფრასტრუქტურის სუბიექტებმა იუსტიცის სამინისტროს მონაცემთა გაცვლის სააგენტოს უნდა შეუთანხმონ თავიანთი ინფორმაციული უსაფრთხოების სტრატეგია.  რატომ უნა შეუთანხმონ თავიანთი სტრატეგია სახელმწიფო უწყებას კერძო ორგანიზციებმა?

 

აქ საუბარია იმაზე, რომ უსაფრთხოების სტანდარტები, რომლებიც იქნება სავალდებულო ყველასთვის, იყოს დაცული. ამ სტანდარტების მონიტორინგზეა საუბარი.

 

გარდა ამისა, ინფორმაციული უსაფრთხოების აუდიტის ჩატარების უფლება მხოლოდ ”მონაცემთა გაცვლის სააგენტოს” ექნება. რატომ არ ექნება ამის გაკეთების საშუალება თუნდაც CISCO-ს სტანდარტის მქონე კერძო ორგანიზაციებს?

 

არ ვიცი, ეს ტექნიკური ნაწილებია, რომელზეც მე პასუხს ვერ გაგცემთ. ეს ჩემი კომპეტენცია არ არის.

 

მონაცემთა გაცვლის სააგენტოს რა უფლებამოსილება ექნება? რამდენად ექნება მას წვდომა კერძო ორგანიზციების კომპიუტერულ სისტემაში დაცულ ინფორმაციასთან? თუნდაც მონაცემთა ბაზებთან, პაროლებთან და ა.შ.

 

არა. არანაირ ინფორმაციაზე, რომელიც არ იქნება აუცილებელი იმ კონკრეტული კრიზისის აღმოსაფხვრელად, არანაირი სხვა ინფორმაციის მოპოვებაზე აქ საუბარი არ არის.

 

როგორ უნდა განისაღვროს, რა ტიპის ინფორმაცია იქნება აუცილებლი?

 

ეს სრულიად ტექნიკოსების თემაა. საფრთხე არ დაემუქრება არც ერთ სხვა ინფორმაციას, გარდა იმისა, რაც კანონით არის სავალდებულო. ეს კანონი წინგადადგმული ნაბიჯია და არ უნდა იყოს ისე აღქმული, რომ დამატებითი ვალდებულებები ჩნდება ვიღაცის მიმართ. ამ კანონპროექტის მიზანია, შეიქმნას ნორმატიული ბაზა სახელმწიფო და მნიშვნელოვანი კერძო ბიზნესის თანამშრომლობისთვის. მე ბუნდოვან ნაწილებს ამ კანონპროექტში ვერ ხედავ.

 

ბუნდოვანია თუნდაც მონაცემთა გაცვლის სააგნტოს სწრაფი რეაგირების ჯგუფის უფლება-მოვალეობები, სისტემაში წვდომის რა უფლება ექნებათ მათ?

 

ეს უკვე ტექნიკური საკითხია. კონცეპტუალურად რომ შევხედოთ პრობლემას, აქ საუბარია, რომ როდესაც ხდება კიბერ-თავდასხმა რაღაც ობიექტზე, ჩვენ უნდა გვქონდეს რაღაც შესაძლებლობა, გავარკვიოთ, იყო ეს ჩვეულებრივი თავდასხმა, თუ ეს რაღაც დიდი ინციდენტის ნაწილია, მაგალითად, როგორიც იყო 2008 წელს.  ჩვენ გვაქვს კონკრეტული მაგალითი, რომელზეც შეგვიძლია ვისაუბროთ. იმ დროს კიბერ-თავდასხმა რომ ხდებოდა კონკრეტულ ორგანიზაციებზე, ეს დაიწყო 24 ივლისს და ჩვენ მოგვიანებით გავიგეთ, რომ მასობრივი შემოტევა იყო. ამ ჯგუფის დანიშნულებაც სწორედ ის იქნება, რომ როდესაც ხდება ქვეყანაზე მნიშვნელოვანი თავდასხმა, ჰქონდეს შესაძლებლობა, მოახდინოს ამის ანალიზი და შესაბამისი რეაგირება.  ახლა ამას ტექნიკურად რა ინფორმაცია დასჭირდება და რა წვდომა დასჭირდება, სუფთა ტექნიკური საკითხია და არანაირად არ არის ეს დაკავშირებული ამ ინციდენტისთვის არამნიშვნელოვანი ინფორმაციის მოპოვებასთან. თუ ინციდენტი, თავდასხმა და კრიზისი არ იქნება, არავინ არ ეხება არავის.

 

ამ კრიზის დროს იქნება თუ არა ფასიანი სწრაფი რეგირების ჯგუფის მომსახურება?

 

ეს არის სახელმწიფო ინსტიტუტის ნაწილი და, შესაბამისად, სახელმწიფო ბიუჯეტიდან ფინანსდება. ქვეყნისთვის მნიშვნელოვანი ინფრასტრუქტურის დაცვა სწორედ ერთობლივი რესურსებით მოხდება. ეს არ არის ვიღაცისთვის სერვისის მიყიდვა, ეს არის უსაფრთხოების კომოპონენტი. ალბათ, მონაცემთა გაცვლის სააგენტოს ექნება რაღაც ფასიანი სერვისები. ყველაფერი ნებაყოფლობითობაზეა დამოკიდებული, ვისაც რა სერვისი უნდა, იმას შეიძენს.

 

ამავე თემაზე:

 

კიბერკონტროლი უსაფრთხოებაზე ზრუნვის მოტივით

 

 

 

 

სრული ინფო(netgazeti.ge)

ლინკი
სოციალურ ქსელებში გაზიარება
Guest
ამ თემაში პასუხის გაცემა

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
 გაზიარება
Go to topic listing
×
×
  • შექმენი...