Հայաստանի կառավարությունը՝ ի դեմս բարձր տեխնոլոգիական արդյունաբերության նախարարության, ձախողել է դեռևս երեք տարի առաջ մշակված՝ կիբեռանվտանգության ինստիտուցիոնալ կառուցակարգերի ձեւավորմանը միտված ռազմավարական միջոցառումների իրականացումը:
Համաձայն ռազմավարական փաստաթղթերի՝ մինչև 2021թ. սեպտեմբերը Հայաստանում պետք է տեղայնացվեին և հաստատվեին կիբեռանվտանգության ոլորտի ստանդարտները, մինչև 2022թ. դեկտեմբերը ՀՀ-ում պետք է ստեղծվեր Ազգային կիբեռանվտանգության գերազանցության կենտրոն (ԱԿԳ կենտրոն), որը պետք է իրականացներ մեր երկրում կիբեռանվտանգության քաղաքականության ապահովումը, մինչդեռ մինչ օրս ԱԳԿ կենտրոնը չի ստեղծվել, առկա չեն կրիտիկական տեղեկատվական ենթակառուցվածքներ, իսկ ոլորտը կարգավորող օրենքի նախագիծը չի մտել անգամ Ազգային ժողով:
NEWS.am-ն ուսումնասիրել է Հայաստանում կիբեռանվտանգության ներկայիս իրավիճակը, միջազգային փորձը, պարզել, թե ի՞նչ պատճառով չեն իրականացվել կառավարության ռազմավարական միջոցառումները, վերհանել է ոլորտում առկա հիմնախնդիրները, ինչպես նաև փորձագետների օգնությամբ վերլուծել է «Կիբեռանվտանգության մասին» օրենքի նախագծի խնդրահարույց դրույթները:
Կիբեռանվտանգությունը՝ Հայաստանի անվտանգության ռազմավարության բաղադրիչ
Կիբեռանվտանգությունը և կիբեռպաշտպանությունը ազգային անվտանգության և պետական պաշտպանության պարտադիր և կարևորագույն բաղկացուցիչ տարր են: ՀՀ ազգային անվտանգության ռազմավարության հայեցակարգում, որը հրապարակվել է 2020թ. հուլիսին, առանձին ենթագլխով կարևորվել է բաց և անվտանգ տեղեկատվական և կիբեռտիրույթների ապահովումը: Հայեցակարգում, որպես առաջնային մարտահրավեր, մատնանշված է կիբեռանվտանգության ոլորտը կարգավորող համապարփակ պետական քաղաքականության անկատարությունը, կենսական նշանակության տեղեկատվական ենթակառուցվածքների պաշտպանությունն ապահովող օրենսդրության բացակայությունը, համակարգչային պատահարների արձագանքման կառույցների ինստիտուցիոնալ կարողությունների ոչ բավարար մակարդակը և կիբեռանվտանգության ոլորտը համակարգող կառույցի բացակայությունը: Ըստ հայեցակարգի՝ Հայաստանը զարգացնելու է կենսական նշանակության տեղեկատվական ենթակառուցվածքներ ու թվային ծառայություններ մատուցողների և պետության միջև փոխհարաբերությունների նորմատիվիրավական դաշտը, ինչի արդյունքում կձևավորվեն նաև կիբեռանվտանգության ազգային կենտրոն և համակարգչային պատահարների արձագանքման խմբեր: Հայեցակարգի հրապարակումից մեկ տարի անց՝ 2021 թվականի փետրվարի 11-ին կառավարությունն ընդունեց «Հայաստանի թվայնացման ռազմավարությանը, Հայաստանի թվայնացման ռազմավարության միջոցառումների ծրագրին հավանության տալու մասին» որոշումը, որով ի թիվս այլ ուղղությունների, նախանշվել են կիբեռանվտանգության ինստիտուցիոնալ կառուցակարգերի ձեւավորմանը միտված ռազմավարության ուղղությունները, նպատակները, միջոցառումների անցկացման վերջնաժամկետները, կատարողները և այլն:
Հայաստանը կիբեռանվտանգության ապահովման տեսակետից ցածր դիրքերում
Ներկայումս Հայաստանը կիբեռանվտանգության ապահովման տեսակետից խոցելի վիճակում է, մեր երկրում առկա չեն կիբեռանվտանգության ապահովման արդյունավետ ինստիտուցիոնալ կառուցակարգեր, ինչի մասին վկայում են միջազգային հեղինակավոր զեկույցներն ու ոլորտի մասնագետները: Մասնավորապես Համաշխարհային կիբեռանվտանգության ինդեքսի (GCI) տվյալների համաձայն, Հայաստանը կիբեռանվտանգության մակարդակով զբաղեցնում է 90-րդ տեղն աշխարհի 193 երկրների շարքում: Համեմատության համար նշենք, որ վարկանշային ցուցակում տարածաշրջանի երկրներից Թուրքիան 11-րդ-ն է, Ադրբեջանը` 40-ը, Իրանը՝ 54-ը, Վրաստանը՝ 55-ը: Իսկ ԱՊՀ երկրներից Հայաստանից ավելի ցածր ցուցանիշներ ունեն միայն Ղրղզստանը, Տաջիկստանը և Թուրքմենստանը:
ՀՀ հաշվեքննիչ պալատի՝ 2023թ. տարեվերջին հրապարակած ՀՀ թվային փոխակերպման (թվայնացման) գործընթացի հաշվեքննության արդյունքների վերաբերյալ ընթացիք եզրակացության համաձայն՝ ներկայումս ՀՀ-ում առկա չէ կրիտիկական տեղեկատվական ենթակառուցվածքների(ԿՏԵ) սահմանում, բացակայում են դրանց բացահայտման չափանիշները, չկա ազգային ռեգիստր, որի պայմաններում հնարավոր չէ կիրառել ԿՏԵ-ների պաշտպանության ինստիտուցիոնալ կառուցակարգեր, չի կատարվել Կիբեռանվտանգության ազգային կենտրոնի ստեղծման ռազմավարական միջոցառումը, տեղայնացված և հաստատված չեն կիբեռանվտանգության ոլորտի ստանդարտները, մշակված չեն ազգային կիբեռշարունակականության պլաններ, չեն իրականացվել կիբեռանվտանգության վարժանքներ, առկա չեն կիբեռ-պատահարների պարտադիր ազդարարման պահանջներ կամ իրական ժամանակում կիբեռ-պատահարների գրանցման դեպքում դրանց մասին տեղեկատվության ինքնաշխատ ստացման ու մշտադիտարկման տեխնիկական կարողություններ:
Կիբեռանվտանգության ազգային կենտրոնի փոխարեն՝ կիբեռմիջադեպերի ազդարարման հարթակ
Կիբեռանվտանգության ոլորտում Կառավարության քաղաքականությունը մշակում և իրականացնում է բարձր տեխնոլոգիական արդյունաբերության նախարարությունը, որի նպատակներից է մեր երկրում կիբեռանվտանգության ապահովման համար պայմանների ստեղծումն ու ամրապնդումը: Հենց այս նախարարությանն էլ վերապահված է եղել կիբեռանվտանգության ոլորտի կառուցակարգերի ձևավորմանը միտված միջոցառումների կատարումը՝ այդ թվում Կիբեռանվտանգության ազգային կենտրոնի ստեղծումը:
Դեռևս նախորդ տարեվերջին NEWS.am-ը գրավոր հարցմամբ դիմել էր Բարձր տեխնոլոգիական արդյունաբերության նախարարությանը՝ պարզելու, թե ի՞նչ պատճառով մինչ օրս չի ստեղծվել ԱԿԳ կենտրոնը: Ի պատասխան՝ ԲՏԱ նախարարությունից հայտնել են հետևյալը.
«2021թ. կայացել է կիբեռանվտանգության ազգային կենտրոնի ստեղծման տեխնիկական առաջադրանքի կազմման խորհրդատվական ծառայությունների ձեռքբերման պայմանով գնման մրցույթը: Մրցույթում հաղթող ճանաչված ընկերությունը ներկայացրել է 34, 1 մլն դրամ գնման առաջարկ: 2022 թ. հունվարի 17-ին նշված ընկերության հետ կնքվել է ծառայությունների մատուցման պայմանագիր, որը, սակայն լուծվել է համաձայն «Գնումների մասին» ՀՀ օրենքի 15-րդ հոդվածի 6-րդ մասի»:
Նշված հոդվածով սահմանվում է, որ կնքված պայմանագիրը լուծվում է, եթե այն կնքելու օրվան հաջորդող վեց ամսվա ընթացքում պայմանագրի կատարման համար ֆինանսական միջոցներ չեն նախատեսվել:
Ֆինանսների նախարարության գնումների միասնական համակարգում հրապարակված պայմանագիրն ուսումնասիրելիս պարզեցինք, որ հիշյալ մրցույթին մասնակցել է երկու ընկերություն՝ «Գրանթ Թորնթոն» ՓԲԸ և «Գրանդ Թորնթոն Քնսալթինգ» ՓԲԸ-ի կոնսորցիումը և «ՋԻ ԱՅ ԹԻ ԷՍ» ՍՊԸ-ն:
ՀՀ պետական կիբեռանվտանգության և տվյալագիտության ազգային կենտրոնի ստեղծման տեխնիկական առաջադրանքի կազմման խորհրդատվական ծառայությունների համար «Գրանթ Թորնթոն» ՓԲԸ և «Գրանդ Թորնթոն Քնսալթինգ» ՓԲԸ-ի կոնսորցիումն առաջարկել է ընդհանուր 34, 1 մլն ՀՀ դրամ, իսկ «ՋԻ ԱՅ ԹԻ ԷՍ» ՍՊԸ-ն՝ 578 ,4 մլնՀՀ դրամ գումար: Մասնակիցների կողմից առաջարկված գների նվազեցման նպատակով ՀՀ բարձր տեխնոլոգիական արդյունաբերության նախարարությունը մասնակից ընկերությունների հետ միաժամանակյա բանակցություններ է վարել, սակայն նախկինում առաջարկված գները թողնվել են անփոփոխ:
Արդյունքում ԲՏԱ նախարարությունը գնման պայմանագիր է կնքել նվազագույն գնային առաջարկ ներկայացրած մասնակցի՝ աուդիտորական և խորհրդատվական ծառայություններ մատուցող «Գրանթ Թորնթոն» ՓԲԸ և «Գրանդ Թորնթոն Քնսալթինգ» ՓԲԸ-ի կոնսորցիումի հետ: Հիշյալ կոնսորցիումը կիբեռանվտանգության ոլորտում ունի բազմամյա և բազմապրոֆիլ աշխատանքի փորձ՝ այդ թվում միջազգային հեղինակավոր կազմակերպությունների հետ:
Սակայն պայմանագրի կնքումից հետո ֆինանսական միջոցներ չեն հատկացվել և այն լուծվել է: Ամիսներ անց՝ 2022թ. ապրիլի 11-ին հիմնադրվել է «Հայաստանի տեղեկատվական համակարգերի» գործակալություն հիմնադրամը, որի կազմում ստեղծվել է կիբեռանվտանգության և CERT թիմ (համակարգչային արտակարգ իրավիճակների արձագանքման թիմ): Ըստ ԲՏԱ նախարարության՝ կիբեռանվտանգության և CERT թիմը կիբեռանվտանգության կենտրոնի գործառույթներից է իրականացնում: Խոսքը ՀՀ կենտրոնական բանկի և ՀՀ Կառավարության ստեղծած Հայաստանի թվային էկոհամակարգի զարգացման համատեղ մարմնի մասին է: Հայաստանի տեղեկատվական համակարգերի գործակալությունը ղեկավարում է ԿԲ նախագահի նախկին տեղակալ Ներսես Երիցյանը: Փաստորեն ՀՀ կառավարությունը, որը միջոցներ չի խնայել օրինակ մայրաքաղաքի այս տարվա ամանօրյա ձևավորումների համար 191 մլն դրամ ծախսելու, իսկ Սնուփ Դոգի համերգի համար մոտ 6 մլն դոլար նախատեսելու, սակարկման անհաջող փորձերից և իր համար ոչ շահեկան պայմաններով պայմանագիր կնքելուց հետո մտափոխվել է և հրաժարվել է 34, 1 մլն ՀՀ դրամ հատկացնել ՀՀ պետական կիբեռանվտանգության և տվյալագիտության ազգային կենտրոնի ստեղծման տեխնիկական առաջադրանքի կազմման խորհրդատվական ծառայությունների համար: Սա նման է մի իրավիճակի, երբ շինարարը ափսոսում է (կամ հնարավորություն չունի) ճարտարապետին գումար վճարել հատակագծի համար, փոխարենը կարևոր շինարարական օբյեկտի շինարարությունը վստահում է իր ծանոթ «բրիգադին»՝ հույսով, որ վերջում մի բան կստացվի: Այս դեպքում սակայն խոսքը ազգային անվտանգության համար կարևոր մարմնի՝ կիբեռանվտանգության ազգային կենտրոնի ստեղծման մասին է, որի համար չափազանց կարևոր է գրագետ և ճիշտ «հատակագիծը»՝ տեխնիկական առաջադրանքի կազմման խորհրդատվությունը:
Ի՞նչ գործառույթներ է իրականացնում կիբեռանվտանգության և CERT թիմը
Կիբեռանվտանգության և CERT թիմը հավաքագրում է համակարգչային միջադեպերի արձագանքման պետական կենտրոնի՝ cert.gov.am կայքում գրանցված (կամավոր սկզբունքով) կիբեռմիջադեպերի վերաբերյալ տվյալները և դրանք իրազեկում ՀՀ պետական մարմիններին, ձեռնարկում է միջոցներ միջադեպերը կանխելու ուղղությամբ։ Այսինքն կառավարությունը, որը պիտի ապահովեր անվտանգ կիբեռմիջավայր ՀՀ պետական մարմինների և ՀՀ քաղաքացիների համար, ստեղծել է մի հարթակ, որի միջոցով քաղաքացիները և պետական գերատեսչությունները կամավոր սկզբունքով կարող են իրազեկել կիբեռմիջադեպերի մասին: Մինչդեռ հանրային / պետական ցանցերում առկա կիբեռ-պատահարները վերացնելու և վերլուծելու համար առնվազն պետք է գործեր կիբեռ-պատահարների պարտադիր ազդարարման պահանջ: Նշենք, որ ԱԱԾ-ն իր մանդատի շրջանակներում ներդրել է պետական հատվածի համար պատահարների տեղեկացման կայք, որը սակայն մասնակի է լուծում խնդիրը, քանի որ ազդարարման վերաբերյալ պահանջների բացակայության պայմաններում չի ապահովվում կիբեռռիսկերի վերաբերյալ ամբողջական պատկերի առկայություն և դրանց արդյունավետ կառավարում։ Այս առումով հետաքրքրական է զարգացած երկրների փորձը: Մասնավորապես ԱՄՆ-ում և ԵՄ երկրներում կիբեռպաշտպանության կենտրոններն ապահովում են նաև տեղեկատվության հոսքը պետական մարմինների և մասնավոր հատվածի միջև: Օրինակ, երբ կենտրոնին հաղորդվում է կենսական նշանակության ոլորտում կիբեռպատահարի մասին, ապա Կենտրոնը տվյալ միջադեպի մասին պարտադիր ծանուցում է նաև այլ կարևոր տեղեկատվական ենթակառուցվածքների օպերատորներին:
«Կիբեռանվտանգության մասին» օրենքի նախագիծը խնդրահարույց
2008-2009թթ. Հայաստանի Հանրապետության կառավարությունն ընդունեց կիբեռանվտանգության ոլորտում մի շարք ռազմավարական փաստաթղթեր, իսկ 2017 թվականի հոկտեմբերին ՀՀ նախագահի և կառավարության կողմից նախաձեռնվեց ոլորտի ռազմավարական փաստաթղթերի կատարելագործման և արդի մարտահրավերներին համապատասխանեցման գործընթացը. ուժը կորցրած ճանաչվեցին տվյալ պահի դրությամբ ոլորտը կարգավորող փաստաթղթերը, և զուգահեռաբար՝ 2017 թվականի վերջին և 2018 թվականի սկզբին մշակվեցին ՀՀ կիբեռանվտանգության ռազմավարության, ինչպես նաև ՀՀ տեղեկատվական անվտանգության ապահովման և տեղեկատվական քաղաքականության ռազմավարության նախագծերը:
Տեղեկատվական համակարգերում և կրիտիկական տեղեկատվական ենթակառուցվածքներում կիբեռանվտանգ միջավայրի ստեղծման նպատակով Բարձր տեխնոլոգիական արդյունաբերության նախարարության և Հայաստանի տեղեկատվական համակարգերի գործակալության հետ համատեղ մշակել է «Կիբեռանվտանգության մասին» օրենքի նախագիծը, որը 2023թ. դեկտեմբերին շրջանառվել է պետական գերատեսչությունների միջև և դրվել հանրային քննարկման: Նախագծով կարգավորվում է կիբեռմիջադեպերի հայտնաբերման, դրանց մասին ծանուցման, կանխարգելման և լուծման, օրենքի պայանջների պահպանման նկատմամբ հսկողության, վերահսկողության և պատախանատվության միջոցների կիրառման հետ կապված հարաբերությունները, ինչպես նաև սահմանում է այն սուբյեկտների շրջանակը, ովքեր պարտավոր են ապահովել իրենց կողմից օգտագործվող տեղեկատվական համակարգերի և կրիտիկական ենթակառուցվածքների կիբեռանվտանգությունը, դրանց շարունակակական անխափան և անվտանգ օգտագործումը: Նախագծի ընդունմամբ իրավական հիմք կստեղծվի կիբեռանվտանգության ոլորտում պետական համալիր քաղաքականություն և գործողությունների ծրագրի մշակման, կիբեռանվտանգության մարտահրավերների և ռիսկերի գույքագրման, դրանց դասակարգման, կիբեռմիջադեպերին արձագանքման համակարգված միջոցառումների և սկզբունքների սահմանման, արտակարգ իրավիճակներում և ռազմական դրության ժամանակ կիբեռանվտանգության ապահովման ուժեղացման, լրացուցիչ գործողությունների պլանի և համապատասխան սցենարների մշակման, դերերի և պատասխանատվության շրջանակի հստակեցման, կիբեռվարժանքների պլանավորման և իրականացման, հասարակության լայն շրջանակների իրազեկման և կիբեռգրագիտության մակարդակի բարձրացմանը միտված ծրագրերի իրականացման համար։ Կիբեռանվտանգության ոլորտի մասնագետների և փորձագետների կարծիքով, սակայն նախագիծը լի է անորոշ ձևակերպումներով և լրամշակման կարիք ունի:
Ա․Դ․Սախարովի անվան մարդու իրավունքների պաշտպանության հայկական կենտրոն ՀԿ տնօրեն Մերի Խաչատրյանի խոսքով՝ նախ և առաջ հարկավոր էր մշակել Կիբեռանվտանգության ազգային հայեցակարգ, որի հիման վրա ոլորտը կարգավորող նախագիծ ներկայացնել, հակառակ դեպքում նախագիծը իրավակիրառ պրակտիկայում անընդհատ խնդիրներ է առաջացնելու:
Անդրադառնալով նախագծի խնդրահարույց դրույթներին, Խաչատրյանը մատնանշեց կիբեռանվտանգության աուդիտին վերաբերող գլուխը:
Մասնավորապես Նախագծի 7-րդ գլուխն ամբողջությամբ վերաբերում է կիբեռանվտանգության աուդիտին, դրա իրականացման ժամկետին, աշխատանքի կատարումն ըստ ներքին կանոնակարգի, վճարի, ոչ պատշաճ աշխատանքի, նույնիսկ պետական մարմնի պահանջով պարտադիր կիբեռանվտանգության աուդիտի ենթարկվելու մասին։ Խաչատրյանի խոսքով, աակայն հարց է առաջանում, թե արդյոք Հայաստանում կան արդեն իսկ որակավորված կիբեռանվտանգության աուդիտորներ և նրանց ընտրության լայն հնարավորություն, թե՞ ոչ, ինչպես ֆինանսական աուդիտորների ու աուդիտորական կազմակերպությունների դեպքում է։
Ըստ նրա՝ պետությունը, նախքան նախագիծը մշակելը, արդեն իսկ պետք է ապահովեր կիբեռանվտանգության աուդիտորների որակավորման գործընթացը և որակավորված անձանց կամ կազմակերպությունների տվյալները հրապարակեր պետական լիազոր մարմնի կայքում, որը լայն հնարավորության կտա շահագրգիռ կազմակերպություններին օգտվել կիբեռանվտանգության աուդիտորների ծառայությունից։
«Որակավորում ունեցող կիբեռանվտանգության աուդտորների կամ այդ կազմակերպությունների լայն ընտրության հնարավորություն պետք է տրվի, այդ դաշտը չպետք է լինի մենաշնորհային, պետք է բացառել այդ գործոնը։ Ուստի ցանկալի է, որպեսզի պետությունն ապահովի կիբեռանվտանգության աուդիտորների որոկավորման հնարավորության բաց և թափանցիկ գործընթաց, որպեսզի համապատասխան գիտելիքներ ունեցող մասնագետները դիմեն և որակավորվեն»,-ասաց մեր զրուցակիցը:
«Բազմակողմանի տեղեկատվության ինստիտուտի» տնօրեն, CyberHUB-ի համահիմնադիր Արթուր Պապյանը NEWS.am-ի հետ զրույցում, անդրադառնալով «Կիբեռանվտանգության մասին» օրենքի նախագծին, կարծիք հայտնեց, որ նախագիծը դեռևս «հում» է, լայն մեկնաբանությունների և տարակարծությունների տեղիք տվող տարբեր դրույթներ է պարունակում:
Ըստ ոլորտի մասնագետի՝ թեև Նախագիծը տարածվում է ոչ թե Հայաստանում ամբողջ թվային միջավայրի եւ բոլորի, այլ միայն նախագծով առանձնացված կարեւոր համակարգերի, ոլորտների (Նախագծի տերմինաբանությամբ՝ «կենսական նշանակության») և այդ ոլորտներում ծառայություններ մատուցողների վրա, սակայն Նախագծից հնարավոր չէ սպառիչ հասկանալ, թե, ի վերջո, ում վրա է այն տարածվում:
Ռազմական կիբեռպաշտպանությունը՝ Հայաստանի համար անվտանգային տեսլականի բաղադրիչ
Ներկայումս կիբեռանվտանգության կարևոր ուղղություններից է համարվում ռազմական կիբեռպաշտպանությունը, որի վերաբերյալ Հայաստանը մինչ օրս չունի հստակ տեսլական և քաղաքականություն: Ազգային կիբեռանվտանգության ինդեքսի համաձայն՝ Հայաստանն այլ պետությունների շարքում 90-րդն է՝ ունենալով նվազագույն զրոյական ցուցանիշ ռազմական ոլորտում կիբեռօպերացիաների կազմակերպման կարողությունների տեսանկյունից։ Մինչ օրս մեր երկիրը չունի ռազմական կիբեռպաշտպանության ոլորտում որևէ ռազմավարական փաստաթուղթ: Մինչդեռ զարգացած երկրներում կիբեռպաշտպանությունը դիտարկվում է որպես պետական պաշտպանության համակարգի մաս (Չեխիա, Էստոնիա, Իսրայել): Կան երկրներ, որոնց զինված ուժերի կազմում գործում է կիբեռհրամանատարություն, որի հիմնական առաքելությունն է պաշտպանել երկրի տեղեկատվական համակարգերը հակառակորդների գործողություններից և ըստ անհրաժեշտության իրականացնել կիբեռօպերացիաներ ընդդեմ հակառակորդի (էստոնիա): Կիբեռանվտանգության՝ մասնավորապես ռազմական կիբեռանվտանգության ոլորտում Հայաստանը դեռևս 2008-2009թթ. Որոշակի քայլեր է իրականացրել՝ համագործակցելով նաև ՆԱՏՕ-ի հետ: Մասնավորապես 2010 թվականի դեկտեմբերին ՆԱՏՕ-ի փաստահավաք առաքելությունն այցելել էր Հայաստան՝ քննարկելու այդ ոլորտը կարգավորող Հայաստանի հնարավորությունները եւ շրջանակները: ՆԱՏՕ-ի միջազգային անձնակազմը /Նորահայտ մարտահրավերների ստորաբաժանումը/ Հայաստան այցելության հիման վրա 2011-ին մշակել էր զեկույց և ուղարկել Երևան: Հետագայում այս ուղղությամբ Հայաստանը որևէ առաջընթաց չի գրանցել:
