Чи створений в Україні реєстр об’єктів критичної інфраструктури (КІ), як туди потрапити, та чи є загальні критерії, за якими формуються списки об’єктів КІ?
Що таке критична інфраструктура і які об'єкти вона включає?
Критична інфраструктура — це об'єкти, які є надзвичайно важливими для функціонування суспільства та економіки країни. До такої інфраструктури відносяться в першу чергу об'єкти оборони, а також ті, що забезпечують життєво важливі послуги та комунікацію. Це можуть бути електростанції, системи водопостачання, місця зберігання та виготовлення харчових продуктів, важливі транспортні вузли, телекомунікаційні мережі, медичні установи та багато інших пріоритетних об'єктів. Безпека цих об'єктів та їх функціонування як у нормальних умовах, так і в умовах надзвичайних ситуацій, таких як воєнний стан — один із пріоритетів держави.
ПРИЄДНУЙТЕСЯ ДО НАС
Підписуйтесь на наш Viber-канал.
Національна система захисту критичної інфраструктури
Національна система захисту критичної інфраструктури в Україні є головним інструментом, який відповідає за добробут країни. Це сукупність органів управління, сил та ресурсів центральних та місцевих органів виконавчої влади (військово-цивільних адміністрацій — в разі утворення), органів місцевого самоврядування, операторів критичної інфраструктури, обов'язком яких є формування та / або реалізація державної політики у сфері захисту КІ. Крім того, важливою складовою роботи національної системи захисту є співпраця з іншими країнами та міжнародними організаціями з метою обміну досвідом та координації спільних заходів у даній сфері.
Необхідність захисту критичної інфраструктури надзвичайно важлива для нормального функціонування держави, особливо під час сучасних загроз, пов’язаних із військовими діями та постійними обстрілами цивільних міст. У зв’язку з цим, уряд нашої країни посилює заходи безпеки для об’єктів, які вважаються критичними для життєдіяльності суспільства. Нині існує цілий комплекс заходів, який складається з моніторингу та швидкого реагування на можливі загрози: терористичні атаки, кібератаки, природні катастрофи тощо.
Державна політика у сфері захисту КІ
Система захисту критичної інфраструктури формується відповідно до закону України, який визначає основні принципи та завдання держави у цій сфері. Виникнення таких загроз для критичної інфраструктури, як техногенні та природні катастрофи, кібератаки та терористичні акти, вимагає відповідних заходів для їх запобігання та подолання. Державна служба захисту КІ регулює політику у сфері захисту критичної інфраструктури, забезпечуючи координацію та співпрацю між різними суб'єктами захисту КІ.
Більшість об’єктів нашої інфраструктури достатньо захищені, проте засобів протиповітряної оборони досі недостатньо для того, щоб надійно захистити всі об’єкти, які цього потребують. Щодня президент і уряд працюють над удосконаленням політики в сфері захисту критичної інфраструктури, зокрема, щоб партнери надали нам більшу кількість засобів ППО. Проте через велику кількість ракетних ударів не можна виключати ймовірність чергових пошкоджень нашої КІ.
Функціонування об'єктів інфраструктури вимагає постійного моніторингу, оновлення та підтримки програм та засобів для її захисту, щоб уникнути перебоїв у роботі та забезпечити безпеку країни та її критичних об’єктів.
Суб’єкти національної системи захисту КІ
Суб’єктами національної системи захисту критичної інфраструктури відповідно до законодавства України можуть бути державні органи, місцеві органи влади, підприємства, установи та організації, які мають ключове значення для національної безпеки. Суб’єктами національної системи захисту критичної інфраструктури також є приватні компанії, які надають послуги у сферах, що є критичними для функціонування країни.
- оператор критичної інфраструктури (далі — Оператор КІ) — юридична особа та/або фізична особа, яка здійснює управління об'єктом КІ на правах власності, оренди або на інших законних підставах і несе відповідальність за його поточне функціонування;
- секторальний орган у сфері захисту критичної інфраструктури (далі — Секторальний орган) — це орган нашої держави, який відповідно до законодавства займається розробкою та реалізацією державної політики у сфері захисту КІ в окремому секторі критичної інфраструктури;
- уповноважений орган у сфері захисту критичної інфраструктури України (далі — Уповноважений орган у сфері ЗКІ) — відповідає за розробку та впровадження державної політики в галузі захисту КІ, здійснює управління національною системою захисту КІ та координує діяльність міністерств і операторів КІ з питань стійкості та захисту ОКІ.
Захист критичної інфраструктури передбачає прийняття комплексу заходів, спрямованих на запобігання, виявлення та ліквідацію наслідків надзвичайних ситуацій, що можуть призвести до порушення роботи цих об'єктів. Ці заходи проводяться як у мирний час, так і в нинішніх умовах воєнного стану.
Як класифікуються об'єкти критичної інфраструктури?
Категорії критичності визначають рівень важливості об'єктів інфраструктури. Попередній аналіз даних щодо об’єктів допомагає в разі необхідності віднести їх до критичної інфраструктури та розробити політику в сфері захисту цих об'єктів. Це дозволяє забезпечити необхідний рівень безпеки для найважливіших об'єктів, таких як енергетичні установки, транспортні та телекомунікаційні системи. Розподілення категорій критичності також допомагає ефективно спрямовувати ресурси та зусилля на захист найуразливіших об'єктів від потенційних загроз.
Постанова № 1109 поділяє підприємства й установи на чотири категорії критичності:
- I — об’єкти, що мають високу важливість для держави вцілому і здатні суттєво впливати на інші об’єкти КІ. Якщо їхня робота буде порушена, виникне кризова ситуація державного значення.
- II — об’єкти, що є життєво важливими, а припинення чи порушення їх роботи спричинить кризову ситуацію регіонального значення.
- III — важливі об’єкти, порушення чи припинення роботи яких спричинить кризову ситуацію місцевого значення.
- IV — необхідні об’єкти, порушення чи припинення роботи яких спричинить кризову ситуацію локального значення.
Що таке стандарти класифікації?
Стандарти класифікації — це основні критерії, за якими має відбуватися віднесення конкретних об’єктів до об’єктів критичної інфраструктури. Попередній аналіз даних дозволяє зробити обґрунтовані пропозиції щодо включення їх до переліку критичної інфраструктури та розпочати розробку вимог щодо забезпечення захисту об’єктів у разі необхідності.
Оскільки ідентифікація об'єктів як об’єктів КІ належить до повноважень саме Секторальних органів, замовникам рекомендується в першу чергу звертатись до своїх Секторальних органів відповідно до Переліку секторів (підсекторів), затвердженого Постановою № 1109.
Особливості захисту та правового режиму ОКІ в умовах непередбачуваних кризових ситуацій, екстремальних станів та воєнних дій встановлені законами України "Про правовий режим воєнного стану", "Про правовий режим надзвичайного стану", "Про функціонування ЄТС України в особливий період" та "Про оборону України".
Разом з тим, лише нещодавно Постановою КМУ від 12.07.2022 № 787 «Про утворення Державної служби захисту критичної інфраструктури та забезпечення національної системи стійкості України» був визначений Уповноважений орган у сфері захисту критичної інфраструктури — ним стала Державна служба захисту КІ та забезпечення національної системи стійкості України (ДЗКІ).
Що таке реєстр об'єктів критичної інфраструктури?
Реєстр об'єктів критичної інфраструктури – це офіційний документ, що містить перелік об'єктів, які є найважливішими для функціонування суспільства, економіки та національної безпеки. Ці об'єкти можуть бути пов'язані з енергетикою, транспортом, інформаційно-комунікаційними технологіями, банківською системою та іншими сферами. Реєстр об'єктів критичної інфраструктури визначається законодавством країни та відображає значення та важливість кожного з об'єктів для національної безпеки.
Збір, узагальнення та попередній аналіз даних щодо ОКІ, а також пропозиції щодо включення таких об’єктів до Реєстру в межах визначених секторів здійснюють Секторальні органи. Згідно з Законом України "Про критичну інфраструктуру" до життєво важливих функцій та/або послуг належать:
- управління та надання адміністративних послуг;
- забезпечення електроенергією та теплом;
- постачання води та водовідведення;
- надання послуг із забезпечення продовольством;
- державна та приватна охорона здоров'я;
- фармацевтична діяльність і промисловість;
- інформаційні послуги;
- фінансові послуги;
- транспортне забезпечення;
- оборона та державна безпека;
- здійснення правосуддя та утримання під вартою;
- цивільний захист населення, робота служб порятунку;
- космічна діяльність, технології та послуги;
- робота хімічної промисловості.
Процес реєстрації об'єктів КІ в Україні
Процес реєстрації об'єктів критичної інфраструктури включає кілька етапів, які починаються з попереднього аналізу даних щодо об’єктів. Після цього складаються пропозиції про віднесення підходящих об’єктів до реєстру в межах законів України. Цей процес передбачає детальний аналіз та врахування всіх можливих наслідків у разі пошкодження чи зупинення діяльності такого об'єкта, важливості його для національної безпеки та добробуту суспільства.
Система КІ в Україні фактично будувалася з нуля протягом останніх років, виходячи з необхідності швидко визначити пріорітети та спрямувати всі сили на захист важливих об'єктів. Потрібно було оперативно визначити не тільки як захищати, а й що саме захищати в першу чергу. Всі ці напрацювання були ефективно втілені в дієві механізми чинної регуляторної бази. Робота з побудови реєстру об’єктів критичної інфраструктури й створення екосистеми навколо нього наразі й виконує департамент у складі Держспецзв’язку.
Також в обов'язки департаменту входить узгодження співпраці з міжнародними партнерами. Це дозволяє уникнути ситуації, коли всі одночасно звертаються до донорів з безліччю різноманітних прохань, оскільки єдиний орган збирає інформацію про наявні потреби з усіх напрямків і вирішує питання надання допомоги відповідним міністерствам та іншим отримувачам.
Як працює державна система реєстрації?
Система реєстрації збирає інформацію про види й типи об’єктів та необхідність включення їх до реєстру в межах секторів КІ. Під час дії воєнного стану та наступні 12 місяців після його припинення діючим уповноваженим органом у сфері захисту критичної інфраструктури України є служба спеціального звʼязку та захисту інформації України.
Відповідальними за оперативне надання інформації до Реєстру є секторальні органи у сфері захисту КІ. Вони ідентифікують об'єкти, разом з оператором критичної інфраструктури здійснюють їх категоризацію відповідно до вимог, викладених у постанові КМУ № 1109 «Деякі питання об’єктів критичної інфраструктури». Потім за результатами своєї роботи вони складають вичерпні переліки ОКІ та подають інформацію в Держспецзв'язку для її внесення в єдиний Реєстр.
Цей список є одним із найбільш захищених реєстрів в Україні: наразі він існує в закритому форматі та не підключений до загальної мережі. До нього практично неможливо дістатися ззовні, тільки працівники мають безпосередній доступ до системи зсередини. Він повністю заповнюється вручну, хоча всі автоматичні функції в ньому передбачені та вбудовані.
Після закінчення війни об'єкти КІ зможуть подавати заявки та підтверджувати документи в електронній формі згідно з системою документообігу. Тоді процес наповнення та оновлення реєстру відбуватиметься в автоматизованому режимі. На жаль, сьогодні державні служби вимушені застосовувати лише ручну роботу, адже цей реєстр містить найчутливішу інформацію про важливі об'єкти в нашій країні.
Як подати об'єкт інфраструктури на реєстрацію?
Держспецзвʼязку закликає бізнес власноруч подавати до секторального органу інформацію, на базі якої він зможе віднести те чи інше підприємство до секторального переліку об’єктів критичної інфраструктури, що дозволить застосовувати більш ґрунтовні заходи щодо забезпечення його безпеки.
Реєстрація об'єктів є важливим кроком у роботі з даними, оскільки від неї залежить подальша їхня обробка й використання. Точна і повна реєстрація об'єктів дозволяє забезпечити якість і достовірність отриманих даних, що є критичним для багатьох сфер діяльності, таких як наука, медицина, інформаційні технології тощо.
Об’єкти, внесені до реєстру, мають значні переваги. Зокрема, вони мають високий пріоритет у забезпеченні електроенергією та водопостачанням, а також зазвичай можуть бронювати до 100% своїх співробітників. Окрім того, вони можуть проводити спрощені процедури публічних закупівель для відновлення об'єктів енергетичного сектору. До реєстру об’єкти вносяться на підставі повідомлень відповідних профільних міністерств, якщо вони відповідають певним вимогам та критеріям.
Наразі визначено чотири рівні критичності. Є об'єкти критичної інфраструктури першої, другої, третьої та четвертої категорії. До першої віднесено всі обʼєкти національного значення, наприклад, атомні станції. Четверта категорія — це загальні регіональні об’єкти (садочки та школи), які відносять до неї за рішенням місцевої влади.
Як зараз захищені об'єкти КІ в Україні?
Об'єкти КІ в Україні, такі як електростанції, транспортні вузли, телекомунікаційні мережі та інші підприємства належать до найпріоритетніших, вони мають вищий рівень захисту і в першу чергу забезпечуються енергією та іншими ресурсами. Для захисту критичної інформаційної інфраструктури України, яка є основою стабільного функціонування країни, важливим є забезпечення не лише фізичного захисту, а й кіберзахисту об'єктів критичної інфраструктури. Кібератаки вже неодноразово траплялися (взяти хоча б найбільший збій мобільної мережі Київстар), тому всі об’єкти підключені до інтернет-мережі потребують надійного кіберзахисту.
В сьогоднішньому реєстрі багато об'єктів різного ступеня важливості - наприклад, порти, промислові підприємства, які виробляють озброєння для фронту та тримають оборону України. По суті, поки економіка країни на військових рейках, це впливає й на ситуацію в цій сфері. В реєстрі також можуть бути найважливіші мости, від яких залежить функціонування артерій держави та постачання зброї на фронт.
Для захисту цих об’єктів урядом України на 2024 рік затверджена політика у сфері захисту критичної інфраструктури. Згідно з цією політикою, важливі об’єкти інфраструктури мають бути захищені від можливих загроз та атак з боку ворожих сил. Зокрема, розміщення систем ППО в країні відбувається з урахуванням ступеня критичності об’єктів, які потребують захисту від ворожих атак і техногенних катастроф.