Міністерство державного управління (MPA) заявляє, що в бюджеті на 2026 рік має бути передбачено більше коштів для зміцнення кібербезпеки та цифрових послуг у країні, а також стабільного функціонування ключових інституцій у цій сфері.
«У запропонованому бюджеті на 2026 рік бракує фінансових ресурсів, необхідних для розвитку інформаційної інфраструктури. Все це може призвести до того, що ми не зможемо виконати певні зобов’язання з Порядку денного реформ (2024-2027) Європейського Союзу (ЄС)», – каже генеральний директор Директорату з питань інфраструктури, інформаційної безпеки, цифровізації та електронних послуг MPA. Душан Полович za Центр журналістських розслідувань Чорногорії (CIN-CG).
На наступний рік може не вистачити 2,5 мільйона, з яких два мільйони – на інвестиції в кібербезпеку та інфраструктуру, а близько півмільйона – на Програму цифрової трансформації з Порядку денного реформ, додає Полович.
Міністерство фінансів пропонує аналогічний обсяг фінансування кібербезпеки рік за роком, і потреби зростають. Міністерство фінансів не відповіло на запитання CIN-CG щодо бюджету MPA на 2026 рік.
Згідно із Законом про інформаційну безпеку, який було прийнято у грудні 2024 року, Агентство з кібербезпеки мало бути створене не пізніше кінця березня цього року. Однак цього досі не сталося.
MPA двічі надсилало до уряду пропозиції щодо призначення директора та членів правління Агентства. Першу пропозицію було надіслано в лютому з дотриманням встановлених законом термінів, а другу – у червні. Міністерство, яке керує роботою директора Агентства, є Мараш Дукай подано Саміра Ораховац, член Урядової групи реагування на кіберінциденти (CIRT) Чорногорії.
«Ми ще не отримали відгуку від уряду щодо цієї пропозиції», – сказав Полович.
Генеральний секретаріат уряду Чорногорії не відповів на запитання CIN-CG щодо затримки Агентства.
БАГАТО КЛЮЧОВИХ УСТАНОВ НЕ ЗАХИЩЕНІ: АЕРОПОРТИ, ПОРТ БАР...
«Термінове створення Агентства є пріоритетом як для безпеки держави та її громадян, так і для довіри до Чорногорії в процесі європейської інтеграції. Запланований бюджет Агентства ще не використано, і у разі серйозної кібератаки кожен державний орган залишається напризволяще без централізованої підтримки. Це неприйнятно і безпосередньо загрожує ключовим системам», – сказав експерт з кібербезпеки CIN-CG. Бранко Джакула.
Після прийняття Закону, CIRT, яка з 2012 року охоплювала питання кібербезпеки в усіх установах Чорногорії, втратила свою юрисдикцію щодо питань кібербезпеки незалежних та приватних організацій у Чорногорії. Згідно з цим Законом, юрисдикція Агентства включає всі незалежні та приватні організації, тоді як урядова інфраструктура залишається під юрисдикцією CIRT.
«Якщо хтось атакує, наприклад, аеропорти Чорногорії, порт Бар чи якусь іншу важливу інфраструктурну систему, наші руки зв’язані. CIRT більше не має повноважень діяти в таких випадках, тому ключовою тут є Агентство кібербезпеки, яке ще не функціонує», – зазначає Полович.
«Затримка зі створенням та функціонуванням Агентства з кібербезпеки має серйозні стратегічні, інституційні та безпекові наслідки, оскільки Агентство бере на себе обов’язки експертного нагляду, проактивного сканування, управління інцидентами та міжвідомчої координації», – сказала вона CIN-CG. Андрея Михайлович від організації Women4Cyber.
Без центрального, компетентного та оперативно оснащеного органу, відповідального за координацію національної кіберполітики, держава залишається без ключового механізму, який би дозволяв контролювати операторів критичної інфраструктури, гармонізувати стандарти, нарощувати національний потенціал, обмінюватися інформацією про загрози та комплексно реагувати на інциденти, пояснює Михайлович CIN-CG.
«Важливо забезпечити, щоб оперативний початок роботи Агентства базувався на стабільній інституційній архітектурі, достатніх людських ресурсах та оптимальних технічних можливостях, щоб Агентство могло повною мірою реалізувати свою стратегічну роль у зміцненні національної цифрової стійкості», – пояснює Михайлович.
І ДО ТАКОЖ БЕЗ НАДМІРНИХ СИСТЕМ
Ще одним зобов'язанням згідно з новим Законом про інформаційну безпеку є те, що чорногорська CIRT повинна мати так звані резервні системи та резервні робочі кімнати для забезпечення безперервності роботи. Чорногорська CIRT ще не має цієї передової технології.
«Наразі у нас є резервні системи захисту, а до кінця року у нас буде обладнано резервне приміщення для CIRT державної адміністрації», – каже Полович.
Системи резервного копіювання та резервування відіграють різні ролі в кібербезпеці. Резервне копіювання – це копія даних, яка зберігається у разі втрати або пошкодження, тоді як резервні системи передбачають дублікатну або паралельну інфраструктуру, яка дозволяє системі продовжувати роботу без перерви, якщо одна частина вийде з ладу. Коротше кажучи, резервування забезпечує безперебійну роботу системи.
«Резервні системи є ключовим елементом високостійкої архітектури та передбачають створення паралельних, географічно та технічно різноманітних інфраструктурних потужностей, які можуть автономно взяти на себе функції основних систем у разі деградації, переривання, компрометації або повного виходу з ладу», – пояснює Михайлович.
Для CIRT резервування має стратегічне значення, оскільки воно забезпечує функціонування у разі кіберзбоїв, таких як каскадні інциденти, складні атаки, компрометація державних послуг, або у разі фізичних катастроф та збоїв інфраструктури. Це значно підвищує стійкість національної цифрової інфраструктури, пояснює Михайлович.
«У контексті Чорногорії це означає, що робота CIRT не переривається навіть за екстремальних обставин, що є важливою умовою для стабільного функціонування електронних послуг та критичної інфраструктури», – каже Михайлович.
Практика ЄС та НАТО диктує, що національна CIRT повинна мати чітко визначений План аварійного відновлення (DRP) та План забезпечення безперервності бізнесу (BCP), а також принаймні один географічно відокремлений вторинний операційний центр. Це значно знижує ризики збоїв у роботі системи, підвищує стійкість національної цифрової інфраструктури, стабілізує процес реагування на інциденти та зміцнює міжнародну довіру до Чорногорії як надійного пункту безпеки в регіональних та євроатлантичних мережах.
«На практиці це включає застосування різних механізмів та зміцнення інфраструктури», – пояснює Михайлович.
«Необхідно створити сучасні механізми моніторингу та виявлення загроз, а також швидкого реагування на інциденти, включаючи передові системи моніторингу мережі, раннє попередження та чіткі плани відновлення після атак. Кібербезпека, як процес, що вимагає постійного тестування захисних механізмів, регулярних тестів, симуляцій атак та навчання, може бути стійкою лише за умови поєднання міцної інституційної структури, професійного персоналу, сучасних технологій та розвиненої обізнаності на всіх рівнях», – каже Джакула.
Він наголошує, що готовність слід формувати не під час кризи, а задовго до неї.
БЕЗ ВИКОНАННЯ ЗОБОВ'ЯЗАНЬ НЕМАЄ ГРОШЕЙ ЄС
У Звіті Європейської Комісії за 2025 рік зазначено, що Чорногорія повинна «узгодити своє національне законодавство з Директивою про мережеву та інформаційну безпеку (NIS2) та імплементувати її, зокрема шляхом створення Національного агентства з кібербезпеки», а також продовжувати імплементацію правової бази ЄС у сфері електронних комунікацій та аудіовізуальних медіапослуг, зокрема шляхом забезпечення незалежності регуляторних органів. У Звіті рекомендується найняти додатковий персонал у цій галузі, «тим самим ще більше зміцнюючи адміністративний потенціал у сферах електронних комунікацій, послуг інформаційного суспільства та аудіовізуальних медіапослуг».
«Чорногорія отримає 1,3 мільйона євро від ЄС наприкінці 2025 року, оскільки виконала свої зобов’язання за Планом цифрової трансформації на цей рік. Однак у 2026 році можуть виникнути труднощі, оскільки для вилучення коштів, запланованих на наступний рік, у запропонованому Міністерством фінансів бюджеті бракує близько півмільйона євро на реалізацію II фази Плану цифрової трансформації на 2026 рік», – пояснює Полович.
Він зазначає, що логіка Міністерства фінансів щодо невиділення півмільйона на ці потреби незрозуміла, після чого воно може отримати від ЄС набагато більшу суму, тобто близько двох мільйонів, на виконання Плану цифрової трансформації.
«Хоча уряд цього року вилучить 1,3 мільйона на цифрову трансформацію, у 2025 році можна було б отримати набагато більші кошти від ЄС. Однак через повільність у створенні Агентства з кібербезпеки та зміцненні можливостей CIRT Чорногорія не змогла вилучити додаткові 3,4 мільйона євро від ЄС», – пояснює Полович.
Незважаючи на рекомендації ЄС щодо збільшення кількості співробітників, CIRT може опинитися під загрозою втрати частини своїх співробітників наступного року. Організації бракує коштів для виплати заробітної плати приблизно половині своїх співробітників, які наразі фінансуються з фондів ЄС, пояснює Полович.
«З 13 співробітників п’ятеро є постійними, а у решти термін дії проектних контрактів швидко закінчується. Все це потребує підтримки. Замість посилення в найближчий період, CIRT могла бути послаблена», – каже Полович.
MPA представила уряду інформацію про необхідність підтримки щодо зарплат у CIRT. Хоча бюджет на 2026 рік передбачає працевлаштування восьми нових осіб на рівні всього MPA, питання полягає в тому, скільки з них заплановано для CIRT. Однак, навіть якби кошти були виділені на новий персонал, це не вирішило б проблему.
«Уряд не прийняв загальний план роботи з персоналом на 2025 рік, що унеможливило оголошення вакансії, хоча цього року у нас були кошти, щоб найняти когось ще в CIRT», – додає Полович.
Протягом шести місяців після набрання чинності Закону про інформаційну безпеку мало бути прийнято кілька підзаконних актів, але цього також не сталося.
Полович анонсує прийняття до кінця року підзаконного акту – Національного плану реагування на інциденти, а також прийняття Переліку критичної інфраструктури.
Полович зазначає, що прийняття цих двох документів дозволить подальше виконання показників з Плану зростання і таким чином дозволить вилучити фінансові ресурси з цього механізму в розмірі 1.158 мільйона євро.
Усі міністерства мали подати до MPA переліки секторів для створення реєстру ключових суб'єктів кібербезпеки. Кінцевий термін складання реєстру минув у серпні, але його досі не створено.
«Більшість міністерств подали галузеві списки, MPA, тепер нам потрібно переглянути всі ці списки, надіслати їх на затвердження уряду, а потім скласти реєстр, тому все це відбувається повільніше, ніж планувалося», – каже Полович.
Чорногорія рухається до єдиної, сумісної з європейськими стандартами системи кіберстійкості, з певними затримками, зрозумілими через трансформацію інституцій, розповідає CIN-CG Андрея Михайлович.
«Закон запроваджує складні зобов’язання – від визначення ключових суб’єктів та управління інцидентами до реєстрів, нагляду та сертифікації – тому тимчасові відхилення переважно відображають необхідність послідовного застосування нормативних актів, координації та гармонізації з практикою ЄС та Директивою NIS2», – вважає Михайлович.
ДОСИТЬ НЕВІДОМО, ХТО СТОЇТЬ ЗА НАПАДОМ 2022 РОКУ.
Наприкінці жовтня та на початку листопада вебсайти уряду Чорногорії та всіх міністерств стали об'єктом хакерських атак, або DDoS-атак, і деякі з цих сервісів були недоступні протягом кількох днів після атак. Однак Міністерство державного управління (MPA) повідомило CIN-CG, що всі сервіси та вебсайти були швидко відновлені того ж дня. Журналісти CIN-CG на власні очі переконалися, що навіть через два дні після збою сервісу вебсайти міністерств та уряду не працювали повноцінно.
За словами експерта Бранка Джакули, нещодавня атака на всі важливі онлайн-сервіси уряду показує, що інтернет-інфраструктура держави не має достатнього рівня стійкості.
«В ідеалі, навіть якщо відбувається потужна DDoS-атака, тобто тисячі чи мільйони шахрайських запитів до сайту за секунду, системи захисту повинні бути здатні поглинути вплив або перенаправити трафік. Тимчасовий збій може статися з будь-ким, але якщо сайти недоступні через два дні після атаки, це означає, що або атака все ще триває без успішної відповіді, або відновлення не було виконано достатньо швидко», – пояснює Джакула CIN-CG.
Одне з пояснень полягає в тому, що, можливо, після самого нападу певну кількість послуг було вимкнено як запобіжний захід, доки не переконалися, що все безпечно, каже Джакула.
«Та й раніше траплялося, що системи вимикалися після робочого часу, поки аналізувалася загроза. Це свідчить про реактивний підхід: замість того, щоб підтримувати інфраструктуру доступною та стійкою, ми вимикали її, «щоб збитки не зростали». Це зрозуміло, коли у вас немає сильних захисних механізмів, але це не є гарним рішенням у довгостроковій перспективі», — каже цей експерт.
Навіть не минуло й трьох років після масштабної кібератаки на інфраструктуру уряду Чорногорії, як офіційної відповіді на питання, хто стоїть за цією атакою, немає. У серпні 2022 року на сервери уряду Чорногорії потрапила атака програм-вимагачів із шкідливим програмним забезпеченням. Під час атаки хакери блокували та шифрували дані та ключові файли державних систем, а потім вимагали викуп за їх розблокування та дешифрування. Протягом місяців після атаки урядові служби були недоступні, а адреси електронної пошти не працювали. Хоча уряд у період після атаки наводив кілька припущень щодо того, хто може стояти за цим – від хакерської групи Cuba Ransomware до Росії – донині офіційної відповіді на це питання немає.
У січні 2023 року Департамент поліції оголосив про отримання від ФБР звіту про кібератаки на урядові сервери у 2022 році, який ґрунтувався на великій кількості даних, зібраних через мережу Міністерства державного управління та моніторингу переміщення інформації між різними системами. Однак звіт так і не був оприлюднений.
«Цей звіт залишився внутрішнім, як рекомендовано ФБР, виключно з метою посилення стійкості урядової інфраструктури та мережі державних органів. Однак у цьому звіті не зазначено, хто і як здійснив напад», – стверджує Полович.
«Викликає занепокоєння те, що навіть після більш ніж трьох років ми досі не знаємо, хто здійснив кібератаку на уряд у 2022 році. Це створює враження, що зловмисники можуть залишитися безкарними або що інституції не здатні їх виявити. Можливо, що не було достатньо доказів для вироку суду, але брак інформації підриває довіру громадськості. Люди справедливо запитують: чи над цим працюють і чи безпечніші ми сьогодні, ніж у 2022 році», – каже Джакула.
Головна державна прокуратура в Подгориці не відповіла на запитання CIN-CG про те, на якому етапі було розпочато провадження у зв'язку з нападом трирічної давності.
Минулого року ЗМІ повідомляли, що прокуратура надіслала терміновий запит про вжиття заходів щодо цієї справи до Управління поліції (УП), а саме до Департаменту кримінальної розвідки та Групи боротьби з високотехнологічною злочинністю.
Департамент поліції не відповів на запитання CIN-CG щодо цієї справи та скерував нас до прокуратури.
За словами Джакули, проблема полягає в тому, що точно невідомо, як стався напад 2022 року.
«На сьогоднішній день публічно не представлені детальні аналізи та звіти, які б точно визначали слабкі місця, якими скористалися зловмисники, та що було зроблено для їх усунення. Можливо, існує внутрішнє повідомлення, але якщо воно є і якщо воно приховане, це ускладнює незалежним експертам оцінку нашого стану захисту», – каже Джакула.
НЕОБХІДНО ПОКРАЩИТИ ЦИФРОВУ ГРАМОТНІСТЬ
«Лише один відсоток працюючих державних службовців пройшов навчання з кібербезпеки. Брак експертів з кібербезпеки визнано глобальною проблемою, тоді як у Чорногорії через обмежені людські ресурси ця проблема ще більш виражена», – йдеться у Стратегії кібербезпеки на 2022-2026 роки.
План збільшити цю цифру до 15 відсотків – це хороший крок, але для його досягнення потрібен час і наполегливість, наголошує Джакула. Культура звітності про інциденти також слабка, багато організацій воліють замовчувати про «незначні» проблеми безпеки, що уповільнює навчання на помилках і вдосконалення системи.
Чорногорія повинна зосередитися на зміцненні потенціалу людських ресурсів – людські ресурси та брак експертів були визначені як основна проблема.
«Необхідно швидко навчати та працевлаштовувати експертів з кібербезпеки, як у державному секторі, так і шляхом заохочення освітніх програм в університетах. Одним із найважливіших сегментів кібербезпеки є цифрова грамотність самих громадян. Необхідно розпочати національні освітні кампанії з питань базової цифрової безпеки. Громадяни повинні знати, як розпізнавати шахрайство, так звані фішингові електронні листи, неправдиву рекламу та як захищати свої персональні дані в Інтернеті. Людський фактор часто є найслабшою ланкою, тому інвестування в знання та культуру кібергігієни приносить велику користь», – застерігає Джакула.
Джакула також наголошує на важливості міжнародної співпраці. Необхідно розширювати співпрацю з країнами та організаціями-партнерами.
«На щастя, Чорногорія вже бере участь у НАТО та регіональних ініціативах, а нещодавно стала членом Європейської організації з кібербезпеки (ECSO). Ми повинні використовувати цю мережу для доступу до найновіших знань, навчання та, можливо, обміну експертами. Також варто похвалити, що в Подгориці за підтримки Франції розташований Регіональний центр боротьби з кіберзлочинністю, де наші співробітники проходять навчання пліч-о-пліч з іноземними експертами», – каже Джакула.
Ми повинні інвестувати в людей.
Чорногорія стикається з серйозною нестачею кваліфікованих фахівців з кібербезпеки, попереджає Джакула, наголошуючи, що це глобальна проблема, і більш виражена в нашій країні через невелику ІТ-базу та відтік персоналу.
«В уряді, банківській справі та телекомунікаціях одна людина часто виконує кілька ролей. Команда CIRT має набагато менше людей, ніж рекомендують стандарти, а в менших компаніях безпека майже відсутня», – каже Джакула.
Він попереджає, що державний сектор має труднощі з утриманням молодих спеціалістів через низькі зарплати та відсутність професійних викликів.
«Якщо ми не розробимо моделі стимулювання – вищі зарплати, навчання, співпрацю з міжнародними партнерами, ми ризикуємо тим, що нове Агентство з кібербезпеки буде недоукомплектоване з самого початку», – каже він.
Однак, додає він, є й зрушення: в Університеті Чорногорії запроваджено магістерську програму з інформаційної безпеки, а також виникають приватні ініціативи, такі як Академія кібербезпеки UN1QUELY, Інститут Логате та регіональний центр WB3C, які готують нове покоління експертів.
«У Чорногорії різні університетські навчальні програми готують персонал для цих посад. Першочергове завдання полягає в тому, щоб Міністерство фінансів визнало пріоритет у залученні таких кадрів і через Закон про заробітну плату в державному секторі забезпечило адекватну зарплату для цих дефіцитних посад, що є ініціативою MPA», – повідомили в MPA CIN-CG.
«Вкрай важливо, щоб держава підтримувала стипендіальні програми та партнерство з приватним сектором», – наголошує Джакула.
Як потенційне рішення він також наводить ідею «кіберрезервістів» – цивільних експертів, які б допомагали захищати національні мережі в кризових ситуаціях, за прикладом Естонії.
Хоча він оцінює кадрову ситуацію як критичну, Джакула вважає її не безнадійною. «Якщо ми інвестуватимемо в освіту, навчання та міжнародну співпрацю, ми зможемо створити достатню кількість вітчизняних експертів за кілька років. Інвестування в людей так само важливе, як і інвестування в обладнання».
Бонусне відео:
