Із введенням 14 вересня 2020 року в дію нової Стратегії національної безпеки України було дано старт і підготовці проектів низки стратегічних документів, одним з яких є Стратегія кібербезпеки України (далі - Стратегія).
Чинна редакція прийнята в 2016 році (далі – Стратегія 2016) була першою спробою стратегування державної політики щодо сфери кібербезпеки. Документ формувався на фоні агресії РФ проти України, першого в Україні випадку кібератаки проти об’єкта критичної інфраструктури (ОКІ) енергетичного сектору (Прикарпаттяобленерго), а також загального зростання деструктивної кіберактивності.
Безпосередньо Стратегія 2016 реалізовувалась в межах щорічних Планів заходів, які приймались в 2016-2018 роках (на 2019-2020 відповідні плани не затверджувались). Плани мали конкретизувати широкі за формулюваннями пріоритети та напрями забезпечення кібербезпеки України, визначені в Стратегії 2016 року.
Досвід 5 років реалізації Стратегії 2016 дозволяє виокремити низку важливих проблем, які завадили її повноцінній реалізації і які мають бути враховані при підготовці нової редакції цього стратегічного документу.
Передусім – вже згадана надмірна широта формулювань пріоритетів та напрямів забезпечення кібербезпеки України. Більшість з них не мають зрозумілої кінцевої мети, або така мета не може бути конкретизована (тим більше – у вигляді зрозумілих показників ефективності). Багато з пріоритетів були сформульовані як «процеси», а не «цілі» яких треба досягти (наприклад, «формування конкурентного середовища у сфері електронних комунікацій, наданні послуг із захисту інформації та кіберзахисту»), або були надто неконкретними (наприклад, «досягненні сумісності з відповідними стандартами ЄС та НАТО»).
Друга важлива проблема – низька ефективність Планів заходів. Їх аналіз у порівнянні з відповідними пріоритетами Стратегії 2016 свідчить про низьку кореляцію цих документів між собою. Фактично склалась ситуація, за якої Плани заходів були мало пов’язані із самою Стратегією або стосувались досить обмеженого кола її пріоритетів. Часто Плани заходів, які мали б конкретизувати положення Стратегії були такими ж широкими та неконкретними, що ускладнювало їх реалізацію.
Третя проблема - надмірний акцент на участь у реалізації Стратегії 2016 суто суб’єктів сектору безпеки та оборони та мінімальне залучення цивільних міністерств і відомств (в т.ч. – наукових установ і НАН України). Таким чином ціла низка завдань пов’язаних із розвитку наукового потенціалу чи поширення кіберграмотності були покладені на відомства, що не мають відповідних повноважень та можливостей. Такі ЦОВВ як Міністерство закордонних справ України, Міністерство освіти і науки України, секторальні міністерства хоча і реалізовували окремі завдання, однак їх ролі та функції не були чітко артикульовані, ані у Стратегії, ані у Планах заходів з її реалізації.
Нова редакція Стратегії кібербезпеки України має врахувати цей досвід та створити запобіжні механізми зменшення їх впливу на реалізацію Стратегії на наступний п’ятирічний період.
Фото: freepik.com
Докладніше в аналітиці НІСД: