Тексти

Держава реформує кіберзахист після масштабного зламу. Держспецзв’язку отримає нові повноваження — і цю службу знову критикують. «Бабель» пояснює суть реформи і просить її автора відповісти на критику

Автори:: Олексій Ярмоленко, Гліб Гусєв, Катерина Коберник
Дата:: 08:00, 31 березня 2025

Анастасія Лисиця / «Бабель»

Державна реформа кіберзахисту потрапила в новини в грудні 2024 року — січні 2025 року, після того як Росія провела масштабну і результативну атаку на реєстри Міністерства юстиції. Мінʼюст провів аудит державного підприємства, яке відповідало за реєстри, та звільнив його керівника. Наступним кроком Верховна Рада ухвалила законопроєкт № 11290 — це сталося у минулий четвер, 27 березня. Після того як його підпише президент, в Україні має з’явитися єдина система реагування на кібератаки та кіберзагрози, а в кожному відомстві на об’єктах критичної інфраструктури з’являться відповідальні за кібербезпеку. Погоджувати їх кандидатури буде Державна служба спеціального звʼязку. Новий закон розкритикував колишній заступник міністра оборони Віталій Дейнега — за те, що він дає Держспецзвʼязку нові повноваження та «може завадити цифровізації армії». «Бабель» прочитав новий закон та попросив його автора Олександра Федієнка відповісти на критику.

Реформу державної системи кіберзахисту нардепи ухвалили не з першого разу. У 2024 році законопроєкт відправляли на повторне перше читання, а в середині березня 2025 року — на повторне друге. Зрештою документ змінили і остаточно ухвалили в четвер минулого тижня. За проголосували 240 нардепів, більшість — зі «Слуги народу».

<p>27 березня 2025 року, в день, коли ВР ухвалила закон про кібербезпеку, Міністерство юстиції провело в Києві форум «Держреєстри Мін’юсту: стратегічне значення, безпека та розвиток». На знімку в першому ряду: віце-прем’єр-міністр, міністр юстиції Ольга Стефанішина, поруч із нею сидить голова Держспецзвʼязку Олександр Потій.</p> — 27 березня 2025 року, в день, коли ВР ухвалила закон про кібербезпеку, Міністерство юстиції провело в Києві форум «Держреєстри Мін’юсту: стратегічне значення, безпека та розвиток». На знімку в першому ряду: віце-прем’єр-міністр, міністр юстиції Ольга Стефанішина, поруч із нею сидить голова Держспецзвʼязку Олександр Потій.

Facebook

Автори законопроєкту кажуть, що реформа кіберзахисту є однією з умов Ukraine Facility Plan. Це програма ЄС, за якою Україна отримує €50 мільярдів фінансової допомоги в обмін на реформи. Реформа державного кіберзахисту дійсно входить у цю програму і, за планом, має бути схвалена у І кварталі 2025 року. Євросоюз вимагає, щоб Україна приєдналася до спільної директиви NIS2. Вона передбачає, що в ЄС діє єдина правова система кібербезпеки для ключових секторів, а кожна країна-член ЄС має національні стратегії кібербезпеки і співпрацює з іншими, щоб спільно реагувати на кібератаки.

І в ЄС, і в Державній службі спеціального звʼязку та захисту інформації України кажуть, що реформа кіберзахисту потрібна, бо росіяни збільшують кількість кібератак на українську інфраструктуру. У складі Держспецзвʼязку існує спеціальна команда CERT-UA, яка досліджує такі атаки та має оперативно на них реагувати. Вона повідомляє, що в 2024 році кількість кіберінцидентів зросла на 70 відсотків.

Головна мета реформи — створити в Україні єдину систему обміну інформацією про кібератаки та кіберзагрози та єдину систему реагування на них. До неї увійдуть CERT-UA, галузеві та регіональні команди реагування, Нацполіція, Служба безпеки, які матимуть свої повноваження. Також планують залучати і приватні команди реагування. Координувати їх буде центр у складі РНБО.

Раніше документ критикували за те, що влада нібито планує засекретити інформацію про кібератаки. У першому читанні автори законопроєкту справді прописали, що до інформації про кібератаки та кіберінциденти обмежать доступ. Але до другого читання цю норму прибрали — тепер обмежувати будуть лише інформацію про характер та технічні характеристики кібератаки. Один з авторів закону, нардеп Олександр Федієнко коментує, що інформацію не ховають, а навпаки, зобов’язують відкрити.

Найбільшу увагу отримує Держспецзв’язку — за нові повноваження. Законопроєкт дійсно визначає це відомство як одне з головних у новій системі кіберзахисту. Держспецзв’язку буде визначати стандарти кібербезпеки й перевіряти, як їх дотримуються, шукати вразливості, координувати обмін інформацією між відомствами.

В органах державної влади мають створити підрозділи з кіберзахисту та призначити їхніх керівників. Тут знову з’являється Держспецзв’язку — людей на ці посади призначатимуть лише після перевірки СБУ та погодження Держспецзв’язку. Таким чином, відомство отримає вплив на призначення людей в інших державних структурах.

Посилення впливу Держспецзв’язку критикує колишній заступник міністра оборони з цифровізації Віталій Дейнега — за його оцінкою, повноваження цієї служби поширяться на Міністерство оборони та ЗСУ.

Після своєї відставки Віталій Дейнега регулярно пише про Держспецзв’язку та звинувачує її керівників у корупції. Держспецзв’язку наприкінці 2023 року дійсно потрапила в корупційний скандал, а її тодішній очільник Юрій Щиголь отримав підозру у розкраданні 60 мільйонів гривень. Також у жовтні 2024 року видання «Громадське» опублікувало розслідування, у якому звинуватило Держспецзв’язку в тому, що держава втратила 600 мільйонів гривень на закупівлях дронів, які проводить це відомство.

Цього разу Віталій Дейнега пише, що законопроєкт посилює «вплив корумпованих дідів» із Держспецзв’язку на Міноборони та військових. Наприклад, зобов’яже всіх використовувати спеціальну (коштовну та застарілу) техніку для роботи з інформацією з обмеженим доступом. За його словами, це завадить цифровізувати ЗСУ.

Ось такі компʼютери, за словами Дейнеги, мають використовувати для роботи із державною таємницею.

Facebook

«Бабель» попросив відповісти на критику одного з авторів закону, народного депутата Олександра Федієнка.

Чи буде за новим законом Держспецзв’язку погоджувати кіберфахівців МО та ЗСУ? Ні — каже Олександр Федієнко. Служба буде погоджувати кіберфахівців для всіх, крім так званих основних суб’єктів. У новому законі є перелік таких суб’єктів — це Нацполіція, СБУ та розвідувальні органи, Міноборони та Генштаб ЗСУ, Нацбанк та МЗС. Тобто для них Держспецзв’язку кіберфахівців не погоджує.
Чи зобов’яжуть Міноборони та ЗСУ використовувати спецтехніку для роботи з інформацією з обмеженим доступом? Тут є нюанси — пояснює Олександр Федієнко. Він каже, що за новим законом спецтехніку дійсно мають використовувати — але для державної таємниці, і ця норма існувала і раніше. При цьому державна таємниця є тільки одним із типів інформації з обмеженим доступом (держтаємниця регулюється окремим законом). Загалом інформацію з обмеженим доступом поділяють на таємну, конфіденційну та службову. Тип інформації визначають спеціалісти Міноборони.

За даними джерел «Бабеля» у війську, зараз на фронті спеціальну захищену техніку використовують лише спеціальні підрозділи — так звані секретники. Такі підрозділи отримують, опрацьовують та пересилають інформацію, яка становить саме державну таємницю. Зазвичай ці підрозділи працюють в окремих приміщеннях, куди не можна зайти без спеціального дозволу. Водночас військові в штабах часто працюють з інформацією з обмеженим доступом на звичайних комп’ютерах. Головна загроза для них — це злам особистих сторінок у соціальних мережах.