А давайте пограємо у колективну гру на логіку «Знайди корупцію в Держспецзв’язку»
А давайте пограємо у колективну гру на логіку «Знайди корупцію в Держспецзв’язку».
Фабула задачки: Держспецзв’язку намагається розпиляти черговий мільйон гривень «на кібербезпеку»: https://bit.ly/2IIe6lW (тендер триває до 21 червня 2019).
Звісно, тендер проводиться задля підвищення рівня кібербезпеки на об’єктах критичної інфраструктури та на виконання всякого типу-кібер-законодавства, бла-бла-бла.
Зрозуміти з назви про що, власне, тендер – надзвичайно складно, не намагайтеся зробити це самостійно, це небезпечно для мозку. Тільки досвідчені кваліфіковані вузько-спеціальні бюрократи здатні зрозуміти суть робіт. Ну і ще я та кілька моїх колег.
Але суть поясню простіше: згідно нового закону (Про основні засади забезпечення кібербезпеки України, https://bit.ly/2MNOB8h ), усі об’єкти критичної інфраструктури та деякі державні органи зобов’язані проходити щорічний аудит. Для цього треба відібрати аудиторів. Щоб відібрати аудиторів – треба розробити вимоги до них. А щоб розробити вимоги до них – придумали цей тендер. Щоб показати, типу, «ось дивіться, ми не самі це придумали, це незалежна фірма-переможець тендеру так запропонувала». Типу «приватно-державне партнерство» і все таке.
Чому на «дослідження» виділяється саме мільйон гривень, а не десять чи сто мільйонів – без поняття, no idea. Може, це просто скромність? Я знаю кілька серйозних компаній, які зроблять значно дешевше, раза в два-три-чотири дешевше.
З сутністю цієї “закупівлі” розібралися, тепер переходимо до механізму реалізації злочинного задуму.
Для того, щоб тендер виграла потрібна фірма, у тендерні документації https://bit.ly/2IIe6lW (по лінку йде автоматичне завантаження файлу .pdf) виписуємо фантастичні умови виключно під неї, кохану, єдину.
Кому ліньки скачувати та читати тендерні умови – я зробив два скріншоти під постом, які, власне, розкривають суть схеми. І ще поясню текстом.
Так ось, для «проведення досліджень» спочатку вимагається “наявність обладнання та матеріально-технічної бази».
Насправді для такої роботи потрібні: 1) Знаття та досвід; 2) Ноутбук; 3) Інтернет. Всьо.
Нічого більше не потрібно, але заздалегідь визначений корупціонерами з Держспецзв’язку переможець явно має купу металобрухту у якомусь ангарі яка гордо іменується «матеріально-технічної база».
Наступна вимога щодо кваліфікації працівників учасника тендеру:
«керівник проекту має бути професійним проектним менеджером, що засвідчується сертифікатом Міжнародної асоціації управління проектами рівня «В» або «А» (або ж сертифікат РМІ – PgMP, PfMP, PMP)…»
РМР – це нормально для проектного менеджменту.
Але я перепрошую, з якого дива тут у нас намалювався якийсь проектний менеджер? Мова йде поки що про «дослідження щодо вимог», чи не так?
Проект – це щось вже дуже конкретне, з визначеними строками, сумами, дедлайнами, критеріями, вимогами, стадіями і т.ін.
І ось, наприклад, PfMP – це «професіонал управління портфелями».
Портфелями, Карл. До чого тут «дослідження щодо вимог до системи оцінки фахової підготовки аудиторів інформаційної безпеки»? Що взагалі може знати управлінець портфелями про аудит інформаційної безпеки?
На моє глибоке переконання, формувати вимоги з оцінки аудитора інфо(кібер)безпеки може людина, яка, перш за все, має відповідні професійні кібербезпекові сертифікації (CISA, CISM, CISSP), а також провела 30-40-50-60 успішних аудитів інформаційної безпеки, і може це підтвердити, обов’язково з рекомендаціями (не менше трьох, незалежних, по кожному проекту).
Тобто формувати вимоги до відбору аудиторів для оцінки критичної інфраструктури мають крутезні профі найвищого рівня, гуру, майстри своєї справи.
А у даному випадку було зроблено просто copy/paste з рекламної презентації «потрібної фірми».
Але ж якби лише йшлося про «матеріально-технічної базу» та «проектного менеджера» – я б не сів писати цей пост.
Далі взагалі жестяк:
«…мати науковий ступінь доктора наук в технічній сфері (спеціальності 05.13.06, 05.13.21, 05.13.22, 21.05.01)…та вчене звання професора у вищому навчальному закладі 4 рівня акредитації (науковій установі) в Україні»
Матибожа, фейспалм.
По-перше, вказані спеціальності – про застарілі як лайно мамонта ТЗІ-КЗІ та сумно-відому КСЗІ. Які вже давно нікому не потрібні, але які вперто викладаються у вітчизняних вишах.
По-друге: навіщо практикуючому аудитору оті усі «доктор наук» чи «професор»? Найкращі та найуспішніші фахівці з ІТ-аудиту ніколи не мали думки витрачати десятиліття свого життя на отримання оцих непотрібних псевдо-наукових регалій. І які потрібні лише для роботи у пост-радянській системи вищої освіти.
Для практичної фахової роботи вони потрібні як емблема Мерседесу на Ланосі. На візитівці виглядає начебто солідно, але у професійному середовищі викликає, скоріше, відторгнення: «це дуже круто, але вибачте, а що ви вмієте робити?».
По-третє: одразу відсікаються усі іноземні фахівці, та хоч би і сам Брюс Шнаєр або ж якийсь американський розробник стандартів NIST.
Та і взагалі: навіщо для даного суто практичного дослідження обвішаний регаліями аксакал-теоретик made in Ukraine, якщо мова йде про надсучасний світ транснаціональної області знань? І в якій вже сто раз все давно придумано?
Зрозуміло, що ця вимога написана виключно під одну конкретну людину.
І остання ключова (як на мене) умова до учасника тендеру:
«…консультант (відповідальний виконавець) повинен мати науковий ступінь доктора наук (спеціальності 05.12.02, 05.13.06, 05.13.21, 05.13.22, 21.05.01) та власний науковий доробок у сфері кіберзахисту»
Крім зазначеного у попередньому абзаці, хотів би лише спитати розробників тендерних умов: а чому не усі виконавці мають бути докторами-професорами? А чому керівник проекту не академік-член-кореспондент-голова-профсоюзу-почесний донор-лауреат? А чому не добавлено «у званні не нижче підполковника (генерал буде плюсом)»? Ну я ще багато можу таких питань нафантазувати.
Тепер, власне, питання на логіку для ерудитів (можна з використанням OSINT):
Назвіть ім’я людини та її фірми згідно фабули та умов:
– має фірму з «лабораторією» (скоріш за все сертифікованою Держспецзв’язку та скоріш за все є ліцензіатом);
– керівник є доктором, професором, має сертифікати PMI-PMP;
– один з працівників теж є доктором ноук.
(вибачте за булети)
Підказка: у «консультанта» на одну спеціальність більше, ніж у «керівника проекту».
Хто перший назве ім’я людини і компанії, – отримає почесне право першим звернутися до НАЗК, НАБУ та СБУ з повідомленням по корупційні дії з боку посадових осіб тендерного комітету Державної служби спеціального зв’язку та захисту інформації України.
Відповіді, «я знаю, але не скажу публічно» – не зараховуються.
Відповіді у месенджер приймаються, але визнання вдячної кібер-ком’юніті не отримають.
Запрошую до обговорення цього тендеру професіоналів з кібербезпеки та у сфері аудитів інформаційної та кібербезпеки.
Ще буде цікаво почути думку керівників компаній та департаментів, які замовляли собі такі аудити і мають практичні приклади щодо вибору виконавців.
Також буде цікаво почути від прибічників ДССЗЗІ хоча б якісь більш-менш логічні аргументи на захист обговорюваних тендерних умов.
Багато хто знає мою позицію, що «Карфаген має бути зруйновано, А Держспецзв’язку – ліквідовано» і не всі її підтримують.
Але чи існують якісь інші реальні сценарії вибратися з цієї вигрібної ями під назвою ДССЗЗІ? Але такі, які можна виконати. Без усіх оцих «поставити нормальну людину керівником – і все буде збс» – не буде, хлопці, ця система перетворює усіх нормальних людей на корупціонерів. Знаю це з особистого досвіду і від працівників ДССЗЗІ, які це знають краще за мене. Просто мені пощастило вчасно з того вискочити.
Я регулярно отримую звістки від діючих працівників Держспецзв’язку, які волають про спасіння їх молодих кар’єр, які прагнуть кардинальних змін, але які нічого не можуть подіяти з цією гнилою муміфікованою системою. (Користуючись нагодою, передаю привіт і подяку усім, хто до мене звертався).
Але повернемося до заголовку допису: Гра почалася.
(і тихенько пошепки: Бережімося).