Чи безпечна нова цифрова платформа Збройних Сил Імпульс — оцінка кіберекспертів
Телеком / IT / Медіа17 листопада, 09:30
Інформаційно-комунікаційна система Імпульс створена для цифровізації роботи двох служб — відділ персоналу та стройова частина. Тобто, ведення особових справ, наказів тощо.
Систему розробив Центр масштабування технологічних рішень ЗСУ. Розгортати її почали наприкінці вересня. Наприкінці жовтня до неї почали доєднуватися перші підрозділи ДШВ. Зараз триває масштабування на Сухопутні війська. Керівник проєкту Максим Негода розповідав виданню Мілітарний, що впровадження проходить складно. Серед причин він зазначив, що по-перше ця система, як і будь яка інша нова платформа, ще потребує допрацювань. Розробники отримали багато запитів від користувачів, як і що можна покращити, які помилки виправити. По-друге, наповнення даних це багато кропіткої роботи.
Він зауважив, що є черга, яка визначена військово-політичним керівництвом, які військові частини потрібно підключати в першу чергу. Але ще є паралельно черга тих військових частин, які хочуть підключитися.
Поступово Імпульс має стати основною платформою для щоденного обліку військових і автоматизації документів у підрозділах ЗСУ. Серед переваг системи розробники зазначають, що вона може інтегруватися з іншими інформаційно-комунікаційними платформами різних рівнів та «стати джерелом правди про військовослужбовця». Крім цього, Імпульс стане основою для створення нових сервісів та розвитку інших ІТ-продуктів у війську, щоб допомогти закривати різноманітні запити під час служби.
Передплатіть, щоб прочитати повністю
Нам необхідна ваша підтримка, щоб займатися якісною журналістикою
NV Бізнес розпитав генерального директора компанії AmonSul Сергія Харюка й CEO Cyber Unit Technologies Єгора Аушева про захищеність платформи.
Кібербезпека є невід'ємною основою будь-якої цифрової трансформації, особливо в умовах війни, наголосив Аушев. Тому всі подібні системи повинні бути розроблені за принципом «secure by design» — так, щоб ризики витоку даних були мінімізовані вже на етапі проєктування. Безпека даних — це не додаткова опція, а базовий елемент діджиталізації.
Цифрові системи, подібні за принципом та архітектурою до Імпульс, уже реалізовані в Естонії, Фінляндії та деяких інших країнах світу, де вони працюють за високими стандартами кіберзахисту. Однак зберігання таких даних під час гарячої стадії повномасштабної війни в Україні потребує особливої уваги й обережності.
Але недостатньо створити просто безпечний сервіс — необхідно також забезпечити безпеку ланцюга передачі даних і постійно навчати користувачів безпечному використанню таких систем: проводити регулярні тренінги з кібербезпеки, розвивати цифрову грамотність і розуміння сучасних технологій, що постійно змінюються.
Харюк з посиланням на власні джерела у спільноті кіберфахівців відзначив, що Імпульс це дійсно добре захищена система: «з точки зору саме технічного захисту — робота пророблена непогано». За його словами, «там навіть апаратні ключі використовуються».
Кіберзахист системи, говорять розробники, було побудовано згідно зі стандартами НАТО. На цей профіль безпеки нещодавно перейшла й Україна.
Харюк розповів, що новий профіль безпеки базується на NIS Cybersecurity Framework. Це більш комплексна модель, розроблена Національним інститутом стандартів і технологій США (NIST). Вона ґрунтується на найкращих практиках індустрії кібербезпеки.
За цим підходом, пояснив він, розробники аналізували потоки даних, відстежували, як вони переміщуються, які можуть виникати ризики та як їх мінімізувати. Це класичний підхід до захисту застосунків.
Однак ця система не знаходиться у закритому контурі і до неї матимуть доступ багато користувачів. Відтак вірогідність атаки може бути високою. Залучених користувачів можуть, наприклад, підкупати чи персоналізовано атакувати. Тому й не можна говорити про стовідсоткову безпеку.
У тому, що росіяни будуть випробовувати на міцність Імпульс немає сумніву. Харюк переконаний, що вони вже готові платити за інформацію з системи. Сума залежить від того, наскільки та яка саме інформація потрібна. Від сотень доларів за незначну інформацію до десятків тисяч доларів, якщо йдеться про стратегічну ціль.
Важливим залишається питання відповідальності за витік даних військовослужбовців. Харюк зауважив, що неодноразово підіймав його під час обговорення законодавчих ініціатив у сфері кібербезпеки. За його словами, «немає відповідальності — немає безпеки».
Він переконаний, що якщо витік стається через користувача, то він має нести відповідальність. Якщо через зараження комп’ютера, то її мають розділити користувач та адміністратор системи. Перший через недостатню обачність, а другий через поганий захист. Якщо причина у програмній помилці, то відповідати має розробник. Поки що цей принцип не реалізовано в законодавстві.