Головна Блог Був я сьогодні, ще на одній тусі з реформування галузі кібербезпеки.
Був я сьогодні, ще на одній тусі з реформування галузі кібербезпеки.

Був я сьогодні, ще на одній тусі з реформування галузі кібербезпеки.

Був я сьогодні, товариство, ще на одній тусі з реформування галузі кібербезпеки.

Цього разу під егідою офісу Президента.
Не було зрозуміло чи це якось відрізняється від того, чим ми займаємося у робочій групі при РНБО, але пішов. З цікавості і у якості ще одного шансу донести реальність до владних чиновників.
Захід проходив на кафедрі інфобезпеки одного з військових вишів, тому на вході не шманали, і навіть паспорта не перевіряли. Там була окрема весела історія як ми з хлопцями хвацько заїхали на територію автомобілем (проїхали аж 30 метрів), але то якось потім розкажу, в кулуарах.
Зібралося душ сорок, удвічі більше, ніж в РНБО. Це одразу якось навіяло сум. Декого з присутніх бачив на аналогічному заході в РНБО. Багато людей у військовій формі.
Але дійсно висококласними фахівцями з кібербезпеки були лише ті, кого запросили по моїй рекомендації.
Так, я ж не розказав як я сам туди потрапив.
Мене туди засватали через чемпіонів України по волонтерському спорту Mykhailo Makaruk та Наталю Воронкову (добався у друзі, будь ласочка).
Представник офісу Президента Максим Кречетов дав Наталі карт-бланш запросити «спеців», Наталя запросила мене, а я порекомендував залучити також Volodymyr Styran, Alex Yankovski Jeoffrey Dahmer .
Так от, прийшли ми, сіли за парти на гальорці, у президію (так, там був стіл президії і трибуна, не вистачало лише кумача, графіна та портрета лєніна) сіли Максим Кречетов та Валентин Петров з Апарату РНБО.
І почався треш.
Не буду переказувати хто і яку ніс пургу, але повірте: нічого корисного для справи у цих виступів не було. Модератором (кимось і чомусь) була призначена людина з якогось управління якихось технологій Міністерства оборони чи ГШ – я не дуже зрозумів. Те, що він показував і показував на слайдах, сильно м’яко кажучи, було не по темі зібрання взагалі.
Буквально кілька виразів з тих, які зміг почути від інших спікерів крізь скреготіння власних зубів: «покращити законодавство», «міжвідомче погодження», «державно-приватне партнерство».
І ось це іще: «Давайте розділимо поняття кібербезпека і інфобезпека». Бляхамуха. Ці поняття розділені вже років 10-15 тому, а ви ще збираєтеся їх розідляти. Я прийшов говорити про суто практичні аспекти реалізації людського підходу до кібербезпеки, а ви ще поняття не розділили.
Представник Держспецзв’язку (алілуйя, він прийшов!) взагалі влаштував сеанс уріно-офтальмології: «насправді ми багато зробили», «ми робимо кіберзахист IoT» оте все.

Одразу стало очевидно, що у такому форматі і у такому складі діла точно не буде.
Якось давно довелося побувати на «науково-практичній конференції» ДССЗЗІ в Пущі, і зміст виступів дуже мені те униле гівно нагадав. Власне, виступали люди з чинної системи, яким в ній і так досить комфортно, але настрої нової влади вимагають від них «бути у тренді» і щось говорити про «необхідність реформування національної системи кібербезпеки». Тож вони й говорять.
З табору держсектору дійсне бажання щось змінити і побудувати щось, що працює, відчуваю лише від Валентина Петрова з Апарату РНБО.

Так от, мої фейспалми та скреготіння зубами помітила Воронкова і якось маякнула Кречетову, щоб мені дали слово.
Слово мені дали і я сказав. Ох і сказав.
Це був сумбур і бризки емоцій, я це усвідомлюю. Але ж накипіло, %#$%><+
Спочатку запитав у 40 присутніх «експертів»: хто працює у приватному секторі кібербезпеки? Руки підняло п’ятеро чи шестеро. При чому четверо з них були ті, який порекомендував я.
П’ять із сорока, товариство. І це при тому, що чи не кожен «доповідач» у промовах наголошував, що найкращі фахівці галузі працюють саме у приватному секторі, і тому треба налагоджувати приватно-державне партнерство, щоб розумні люди розказували і показували нерозумним(але з грошима) як «як правильно».
Довелося досить нечемно сказати, що ви, шановні, не є експертами з кібербезпеки. Мені трохи ніяково за це, але я не жалію. Хтось же мав це сказати, врешті решт. Може вони і гарні люди, але «хароший парєнь» – це не професія. А потрібні саме професіонали.
Тобто зібралися люди, які експертами вважатися не можуть, щоб вирішувати подальшу долю української КБ.
Потім я досить емоційно висловив прямо у обличчя представнику Держспецзв’язку усе, що я думаю про цю гнилу контору. Хоча, звісно, брешу – не все, бо я ж людина вихована і матюкатися на публічному заході вважаю неприпустимим.
Потім у кількох словах сказав про генеральні штаби без солдатів (кіберцентри), про необхідність державному апарату відмовитися від регуляції галузі і перейти на сприяння їй (галузі), про … Та вже всього не пам’ятаю. Пам’ятаю як у декого очі полізли з орбіт.
Один поважний пан у військовому однострої (судячи з об’єму пуза – явно генерал) запитав: «А хто ви такий? Ми вас не знаємо». Отож і біда, що не знаєте. Не тому, що мене повинен знати кожен, а тому, що людина не має уявлення про снування кібер-ком’юніті (де мене знають), чим оте ком’юніті займається і який він, справжній світ кібербезпеки.
Потім мене підтримав Стиран, потім Джеф, пізніше виступив Янковський зі схожими тезами (але набагато толерантніше).
Коротше, якось дискусія запалала, президія почала помітно нервувати.
Модератор, віддаю належне, стримав удар достойно: «у вас є конкретні пропозиції?» – «авжеж» – можете поділитися?» – «та льохко» – «то давайте».
Також сподобалася реакція пана Кречетова: «ось такі нові думки нам і потрібні, ось таке ми і шукаємо».

Історія ця, насправді, має оптимістичне закінчення.
Попередньо домовилися, що ми, група експертів-однодумців, у кількості 5-6 людей (майже усіх назвав у цьому дописі), зберемося окремо і самі накидаємо своє бачення нового підходу, нової моделі, «як має бути». З урахуванням наших ідей, пропозицій, напрацювань, міжнародного досвіду та стандартів. І потім будемо просувати наші напрацювання скрізь, де нас захочуть почути.
За право бути почутим треба люто боротися, це я зрозумів.
Тобто ми з колегами могли б і раніше зібратися і розробити дорожню карту, без всяких засідань, робочих груп та іншого офіціозу. І воно б нікому не було потрібно.
Але сьогодні я почув те, чого давно очікував і що вдихнуло і мене трохи ентузіазму.
Коли ми після зборів стояли курили біля корпусу, до нас підійшов Максим Кречетов і сказав щось типу «Хлопці, все гут. Політична воля є, є повний карт-бланш, але поки немає конкретики від справжнього експертного середовища». Ми йому такі: «Йоп, так це ж не експерти тут зібралися, нема з ким говорити!». А він такий: «Сорян, ми не дуже в цьому розбираємося, тому поки намагаємося знайти; а ви пацанчики начебто чьоткі, тому давайте конкретні пропозиції, від нас буде зелене світло і у Раді і в офісі Президента і скрізь де треба».
Ааа, ну тоді це інша справа. Тоді давайте. Буквально на початку тижня і починаємо брейнстормити. І не 20-40 душ непоймикого, а 5-6 реальних експертів з кібербезпеки стратегічного рівня. Наші погляди та підходи дещо відрізняються, але певен, ми якось порозуміємося.
Думаю, нам також знадобиться допомога спільноти, так що якісь блоки будемо викладати на обговорення.

Отакі справи, товариство. Надія є, скептицизм поки залишимо у піхвах.

Сьогодні мене кілька разів запитували: а які твої конкретні пропозиції?
Покладу посилання на них (стосовно Стратегії кібербезпеки) ще раз: https://tinyurl.com/y5xtkq8y

А якщо говорити про дуже-дуже конкретний проект, який можна починати вже з понеділка (сьогодні вже ні), з цифрами, сумами та розрахунками, то я про це написав ще майже рік тому: https://tinyurl.com/y3t3gtn2
і презентував цей ще проект на двох конференціях:
відео1 виступу: https://tinyurl.com/y2cq5fjq
відео2 виступу (запис стріму): https://tinyurl.com/yybdrjke

Вибачте, що сьогодні якось коротенько, але мене у спину пхали, тому якось так.
Бережімося.

Костянтин Корсун

Голова Ради Громадської організації Українська група інформаційної безпеки, директор компанії з кібербезпеки Berezha Security.