З наказом — ознайомлені
Правила використання цифрових сервісів особовим складом ЗСУ визначене наказом головнокомандувача від 29 квітня 2024 року № 165. Ним затверджена відповідна інструкція з користування «мобільними комунікаційними пристроями та іншими електронними засобами». Про це у відповідь на інформаційний запит dev.ua нам повідомили і у Міністерстві оборони, і у Генштабі ЗСУ.
Щоправда, з повним текстом цієї інструкції нам ознайомитися не вдалося — на офіційних сайтах документ не оприлюднений. На сайті «Доступ до правди» опублікований запит на публічну інформацію, у відповіді на який одна з військових частин вказує, що «інструкцiя є внутрiшньоорганiзацiйним документом, який використовується пiдроздiлами Збройних Сил України та не призначений для широкого розповсюдження за межами органiзацiї», а в «умовах вiдсiчi та стримування збройної агpeciї рф розповсюдження зазначених вiдомостей може завдати шкоди ЗСУ».
Один з військових, з яким поспілкувався журналіст, зазначив, що особовий склад його батальйону був ознайомлений з вищезгаданим наказом Головнокомандувача ЗСУ.
«Також особовий склад нашого батальйону пройшов онлайн курс із кібербезпеки, який містив, серед іншого, і правила поводженнями з месенджерами», — додав він.
Захисник вважає, що йому пощастило з цим аспектом, адже ще під час проходження базової загальної військової підготовки інструктори приділяли значну увагу користуванню месенджерами та забороні фотографувати місця дислокації. «Але все залежить від конкретного навчального центру. Я вважаю, що мені пощастило. Хлопці з нашого підрозділу, які проходили навчання в інших навчальних центрах, такого досвіду не мали», — розповів він.
Зі слів військовослужбовця, до їхнього відома у бригаді доводять доволі прості, але логічні рекомендації — не публікувати в соціальних мережах фотографії, що можуть видати місце розташування підрозділу чи позиції, вимикати геолокації на полігонах, поширювати в робочих чатах лише службову інформацію, і, відповідно, не поширювати службову інформацію за межами підрозділу тощо.
«Сумлінність виконання цих рекомендацій покладається на військовослужбовця. Звісно, що роль людського чиннику не можна відкидати. З особистого досвіду можу сказати, що часом людина може надіслати повідомлення не в той робочий чат. Адміністратори швидко видаляють такі повідомлення. Критичних випадків у нашому підрозділі не було», — розповів він.
Що військові кажуть про небезпеку Telegram, а також WhatsApp, Signal та їхнього українського конкурента
Зі слів військовослужбовців, з котрими ми поспілкувалися, можна скласти загальне враження, що WhatsApp і Signal — це найпоширеніші месенджери для комунікації і групових чатів, а «одіозний» Telegram, хоч і ніде не використовується для робочих переписок, але, тим не менше, по факту не заборонений для особистого використання та читання новин. Тут уже все залежить від самосвідомості конкретного військовослужбовця — чи готовий він повністю відмовитися від користування цим каналом інформації для особистого користування, чи зручність і старі звички візьмуть гору.
«Всі плюс-мінус сидять через захищені месенджери WhatsApp і Signal. Telegram бажано взагалі не мати на телефоні, а якщо мати, то тільки для новинних каналів, не для листувань. А тим паче — не для якихось серйозних листувань. Є ще такий месенджер — Sonata. Про нього росіяни писали, що вони його начебто зламали, але в Sonata також відбуваються інколи відбуваються робочі переписки і важливе спілкування», — розповів dev.ua один з військослужбовців Сил оборони.
«Як на мене, він ще трохи глючний, ще недопиляний до кінця. Але він нібито як захищений і це така велика соцмережа, де ти можеш й інших людей знайти», — оцінив досвід користування месенджером один з військових, з яким поговорив dev.ua.
Ще двоє військових зазначили, що традиційно їхні переписки відбуваються у робочих чатах WhatsApp або Signal, більше — в першому. Один з них вважає політику держави щодо Telegram занадто слабкою, хоча і визнає, що проконтролювати використання месенджера буде проблематично. «Особисто мені незрозуміла політика держави щодо Telegram. Як на мене, варто заборонити його використання хоча б серед військовослужбовців та державних службовців. Але тут виникає питання з контролем», — каже він.
Інший військовий зазначає, що Telegram, попри всі розмови навколо його потенційної небезпеки, ніде з телефонів військових не подівся.
«Я не зустрічав, щоб нам колись щось говорили про повну заборону Telegram. Ніхто не примушував видаляти його зі своїх телефонів. Достатньо глянути в Telegram, скільки там існує офіційних сторінок бригад, і скільки людей це читають — і військових, і цивільних. Більше того, мені буквально місяця два тому начальниця подзвонила і сказала, щоб я створив Telegram для певних цілей, до цього часу в мене його не було. Ну, довелося створити. Але робочу переписку в Telegram справді ніхто не веде, там тільки новини читаються, і все», — констатував він.
Коли чати у WhatsApp — теж на внутрішньому обліку
Один з військовослужбовів розповів dev.ua про свій досвід використання групових чатів у WhatsApp. Як він каже, у його бригаді такі чати постійно оновлюють, «убиваючи» старий чат і заново додаючи його учасників до нового. Це допомагає перевіряти актуальність номерів і зменшити ризики.
Водночас, навіть така, здавалося б, елементарна для цивільних дія, як створення робочого чату, у армії має наслідком певне коло бюрократичних процедур — чат у WhatsApp теж потрібно «поставити на облік».
«Ти береш і робиш по цій групі паспорт, ідеш і затверджуєш цей паспорт в кібербезпеці. Вони там реєструють все це. Тобто, навіть створення групи у WhatsApp має певні бюрократичні наслідки, коли ти витрачаєш частину часу просто для того, щоб оформити папери», — описав ситуацію військовий. «Це необхідно, щоб прикрити свій зад, адже прикриття заду — це постійне явище», — напівжартома-напівсерйозно додав він.
Захисник зазначив, що час від часу їм скидають інформацію та інструкції щодо кібербезпеки, а їхня внутрішня служба з кібербезпеки періодично приїздить у підрозділ і перевіряє, щоб не сталося ніякого витоку. У такі моменти — контроль за передачею будь-якої інформації через месенджери — особливо жорсткий і практично мінімізований, але коли такі перевірки минають — все, зі слів військового, повертається до звичних норм.
«Якщо щось не дозволяють — тоді постає питання, а як передавати інформацію? Нехай WhatsApp і не спеціально захищений і не військовий засіб зв’язку, але коли треба швидко передати інформацію, то вона передається через WhatsApp. Але коли приїжджає кібербезпека, то замість того, щоб скинути мені умовну табличку у WhatsApp, мені по телефону розказують дані з цієї таблички, бо ж їхній комп’ютер не має можливості виходу в інтернет!», — розповів про реалії військовослужбовець.
З слів ще одного співрозмовника, у них для робочих питань є низка чатів — все як у цивільних структурах — але простий солдат володіє лише тою інформацією, яка стосується його роботи і компетенції. «Офіцери та сержанти знають значно більше, але розголошення інформації для них теж регламентується», — додав він.
Про заходи безпеки і їх контроль
Один з представників Сил оборони зазначає, що після кожного трагічного прильоту заходи безпеки посилюються, і питання комунікації військових в месенджерах набуває підвищеної актуальності, але в цілому масштабні висновки робляться не завжди.
Щоправда, він констатував, що все ж певним аспектам нині приділяється підвищена увага, особливо — для новобранців. «Коли ти на полігоні, то обов’язково ставиш смартфон на літачок, щоби бути поза зоною досяжності. Тоді ти або взагалі без інтернету, або підключений до старлінка, але точно не користуєшся мобільним інтернетом. І це прямо для новобранців залізне правило, воно перевіряється. До цього справді серйозніше ставляться. Військовослужбовцям розповідають вже і на батальйонах, і на ротах, що це важлива складова безпеки», — поділився він.
З іншого боку, представник Сил оборони акцентує — перевірити кожного військового і його смартфон практично неможливо, і все дуже залежить від самосвідомості бійців.
З його слів, контролювати такі речі дуже складно, і на це немає ресурсу. «Формально умови були виконані — а неформально няньок тут теж немає. І зв’язківцям чи командиру немає коли бігати і дивитися за якимось одним типом — який у нього там ввімкнений інтернет і що він там взагалі робить у своєму телефоні», — резюмував військовий.
Про чітке дотримання заборони використання мобільного інтернету на вогневих позиціях або пунктах управління каже й інший захисник. «Коли ти перебуваєш десь на пункті управління, в тебе має бути виключений мобільний інтернет і взагалі мобільний зв’язок. Там зв’язок відбувається через Wi-Fi, через Starlink чи стаціонарний. Така сама ситуація на бойових. Зазвичай там і так немає звичайного зв’язку, але буває і таке, що приїжджаєш на вогневу позицію, але зв’язок там є, причому непоганий, вишка поруч стоїть», — розповів він.
Він також додає, що у рамках заходів безпеки у переписках зазвичай так чи інакше не повідомляються точні координати умовного «місця зустрічі», а якась точка поряд. «Тобто, якщо ти з людиною зустрічаєшся, то скидаєш точку десь поруч, недалеко, але не ту точку, де маєш провести зустріч. Ти маєш зустріти людину на цій точці і, відповідно, вже після цього завести її туди, куди треба», — пояснив він.
Ракетний удар лише за даними зламаного групового чату — малоймовірний
Повертаючись до передісторії, тобто ракетного удару, то всі троє військових, з якими ми говорили вказують на те, що одна лише переписка у чаті навряд чи би могла стати причиною ворожої атаки — зазвичай будь-яка розвідка спирається на декілька джерел, одного — недостатньо. «Виконання рекомендацій солдатом щодо використання месенджерів дуже важко прослідкувати, тому такі витоки інформації можуть траплятись. Але для завдання удару по певному об’єкту ворогу все одно потрібно підтвердження від інших джерел. Для цього використовуються умовні „ждуни“ або вербуються агенти серед місцевого населення», — каже один військовий. Те саме підтверджує й інший захисник.
Він ще раз наполягає — «закручування гайок» у армійській кібергігієнті у користуванні месенджерами та соцмережами може бути адекватним заходом лише тоді, коли буде запропонована альтернатива, інакше ефективності від такого рішення не буде. «Пам’ятаю, що на початку війни ми взагалі навіть боялися звонити додому і не казали, в якій області перебуваємо. Потім з цим трохи розслабилися, бо війна триває довго, і довго тримати людей у цих заборонах — дуже складно. Ну але якщо забороняти військовим користуватися тими засобами зв’язку, до яких вони звикли, то необхідно запропонувати їм якусь альтернативу», — впевнений він.
Інструкція не для стороннього ока
Хоч сама інструкція Головнокомандувача для публічного доступу не доступна, тим не менше, певні її положення у відповідь на наш запит процитували Управління масової інформації Міністерства оборони та Головне управління комунікацій ЗСУ.
Окрім того, як слідує з відповіді на наш інформаційний запит, додатково в Збройних Силах впроваджені методичні рекомендації щодо використання соцмереж та «забезпечення особистої кібербезпеки військовослужбовця». Зокрема, у Міноборони діють внутрішні накази та політики з цифрової безпеки, включно з Політикою захисту кінцевих пристроїв та порядком підключення особистих пристроїв для службових потреб. Також у міністерстві впроваджено обов’язкове проходження курсів кібергігієни, а мобільні пристрої військовослужбовців регулярно перевіряються силами підрозділів кіберзахисту.
«Центром реагування на кіберінциденти Міноборони розроблені спеціальні інструкції щодо перевірки й підключення пристроїв, а також налаштування безпеки у Signal та WhatsApp. Частина рекомендацій оприлюднюється на офіційному сайті Міністерства оборони у безпечному для воєнного часу обсязі, інші документи доводяться закритими каналами», — відповіли нам у Міноборони, зацитувавши, зокрема і оприлюднений мануал «Особиста кібербезпека: паролі та месенджери».
Також у МО нагадали, що згідно з протоколом Національного координаційного центру кібербезпеки від 19 вересня 2024 року № 24 у Міноборони запроваджені обмеження на встановлення й використання месенджера Telegram на службових пристроях.
«Використання Telegram для службової комунікації заборонено, за винятком посадових осіб, до повноважень яких належить його безпосереднє застосування для виконання службових завдань», — підкреслили у міністерстві.
Також у МО запевнили, що інформація про обмеження та рекомендації стосовно кібербезпеки та використання різноманітних цифрових сервісів доводиться до всіх структур Міноборони комплексно через захищену систему електронного документообігу та шляхом постійного проведення тренінгів із кібергігієни. Також там нагадали про наявність у застосунку «Армія+» навчального курсу «Інформаційна стійкість. Кібербезпека».
Тим часом, Головне управління комунікацій Збройних Сил України озвучило позицію Генштабу з цих питань. Там, знову ж таки, процитували вищеназвану інструкцію, уточнивши, що пунктом 4 документу «дозволяється використання кількох визначених месенджерів». Вони «мають бути налаштовані у відповідності до Рекомендацій щодо підвищення безпеки користування мобільними комунікаційними пристроями у Збройних Силах України, що є додатком до інструкції».
Крім того, використання месенджерів у ЗСУ, судячи з відповіді на наш запит, врегульовані низкою окремих доручень та розпоряджень Генштабу, зокрема:
- щодо користування груповими чатами;
- щодо виявлення неідентифікованих та несанкціонованих користувачем додаткових програмно-апаратних каналів зв’язку (сторонніх сесій) у месенджерах та налаштування їх функціонування із увімкненою двофакторною автентифікацією;
- щодо порядку перевірки сторонніх сесій у месенджері «WhatsApp» та щодо порядку дій користувача у разі викрадення зловмисником акаунта в месенджерах «WhatsApp» або «Signal» на мобільному комунікаційному пристрої;
- щодо обмеження використання особовим складом особистих мобільних комунікаційних пристроїв та заборони використання мобільних комунікаційних пристроїв при наявності військових засобів зв’язку;
- щодо обмеження використання месенджера «Telegram».
Там також запевнили, що вимоги зазначених документів доведені до особового складу ЗСУ, а за їх порушення військовослужбовці та працівники ЗСУ «несуть персональну відповідальність, передбачену законодавством». Систематичне інформування особового складу із зазначених питань здійснюється службами захисту інформації у ході проведення занять з кібербезпеки.
Окрім того, у Генштабі нагадали, що зазначена тематика додана до онлайн-курсу базових заходів кібербезпеки, який є обов’язковим для щорічного проходження усім особовим складом Збройних Сил України. У Генштабі наголосили, що ведеться робота щодо його розміщення на вебпорталі «Армія+».
Також у Генштабі звернули увагу, що призваних на військову службу осіб програмою БЗВП передбачена навчальна дисципліна «Основи кібербезпеки», а інструктаж щодо безпеки використання мобільних пристроїв та їх безпечне налаштування здійснюються у перший день прибуття новобранців до навчальних частин.