Чиновник vs кібербезпека

Чиновник vs кібербезпека

Чиновник vs кібербезпека.

Показовий випадок у НАДС (Національне агентство України з питань державної служби)
#FRD_v2.0

Як чиновники реагують коли фахівці тицяють їх пикою у повну відсутність розуміння важливості кібербезпеки державних інформаційних ресурсів – ми вже знаємо.
Хто пропустив – можна подивитися ось тут: https://bit.ly/2Z2IQ8l
Якщо дуже стисло: загальна тенденція точно така, яку її ще у 1969 році змалювала американська психологиня пані Елізабет Кюблер-Росс: заперечення, гнів, торг, депресія і прийняття.

Але випадок з НАДС (Національне агентство України з питань державної служби) настільки особливий, що йому треба приділити окрему увагу.
Почалося з того, що кібер-волонтери у рамках тривалої акції #FRD знайшли колосальних розмірів дитячу вразливість на сайті НАДС, завдяки якій досі існує можливість отримати безконтрольний доступ до непублічної інформації, зокрема, до персональних даних співробітників.
Вразливий софт є розробкою російської компанії. Його вартість плюс впровадження – не менше мільйона гривень.
ТОВ НДІ Автопром на цей дірявий росіянський витвір створило (натягнуло сову на глобус) ще й КСЗІ (комплексна система захисту інформації). Одразу виникає багато питань до НДІ Автопром та Держспецзв’язку, яке «не глядя» видало атестат відповідності на цю повністю фейкову КСЗІ.

Начебто рядовий випадок для #FRD.
Але ніт.
В коменти майже одразу ураганом увірвався не якийсь там одмін, а цілий Перший Заступник Голови НАДС, пан Володимир Купрій.
З шашкою наголо він почав наліво та направо крушити і громити хакерів-провокаторів. Благородні очі його палали праведним гнівом на підступних нападників святого грааля НАДС. Спис суворих слів його разив наповал усіляких там мальчиків та пацанчиків. Не втомлювалися пальці натхненного паладина писати коменти на кожен злобний випад проти священного сервера НАДС.
Ось тут все це відбувалося: https://bit.ly/32DZ6P7

Для тих, кому ліньки читати сотні коментів, пропоную подивитися на скріншоти, де я зазначив найцікавіші місця. Щоб ніхто не подумав, що я перебільшую.

Як завжди, спочатку було заперечення. «Те, що пише Sean Brian Townsend/Sean Townsend,не відповідає дійсності», «Ніяких е-послуг не існує». Ви всьо врьоті, ага.

Потім була фаза торгівлі у формі багато раз повтореного прохання: «приходьте до нас, ми все покажемо і розкажемо, і я к ми збираємося оновлюватися». Малося на увазі саме фізично, ніжками, покинути усі справи і прийти на прохідну НАДС з паспортом, де тобі щось будуть розказувати і показувати.
У моїй уяві виникає приблизно такий діалог:
– Пане, у вас спина у крейді та на п’ятках лайно прилипло.
– Хлопчик, приходь завтра до мене в офіс і я тобі усе покажу та розкажу.
– Так у вас же все одно крейда і лайно, ось просто зараз.
– Так серйозні люди не поводяться, ти ось завтра прийди і ми тобі розкажемо як так сталося. І не смій казати «лайно», це не пристойно.
– Тьху на тебе, дядьку, я далі пішов.

І ще це чарівне «…і що збираємося оновити». Хлопці, у вас діра в безпеці розміром з Австралію, а ви тільки збираєтеся щось там оновлювати?

«НАДС дбає і дбатиме про надійність серверу» – з цієї фрази очевидно, що пан Купрій геть не розуміє про що, власне, йдеться. А йдеться не про надійність серверу (точніше, безпеку софта/додатків, але то вже деталі), а про його безпеку. А це різні речі. Сервер може дуже надійно віддавати та приймати інформацію, але бути абсолютно незахищеним, віддавати «не ту» інформацію, бути зламаним, стати сам джерелом загроз, і так далі. Але продовжувати надійно працювати.

Ще пан Купрій кілька разів наголошував, щоб активісти відправили офіційний запит і отримали офіційну відповідь.
«Што?» (С)
Нахіба фахівцям експертного рівня направляти кудись якісь запити, якщо цілком очевидно просто тут і зараз, що у НАДС великі проблеми з кібербезпекою? Не розумію я логіку таких заяв пана Купрія. Розумію, що він класичний чиновник і пів-життя цим займається і не може думати інакше, ніж категоріями «офіційних запитів». Та і яка буде відповідь на офіційний запит? «Ми уважно розглянули і будемо вживати заходів»?
Знов повертаюся до питання: нахіба?
Агов, панове чиновники, вам повідомили про серйозну проблему на вашому боці. Безкоштовно. Хоча для корпоративного сектора таке задоволення коштує від $3,000. Біжіть та виправляйте.
Але ні, то шлях слабака.
Шлях самурая – голосно кричати: «ви_всьо_врьоті», «а ну виходь один на один», «хто дав вам право паплюжити честь нашої установи», «не смійте матюкатися у божому храмі».

Ще пан Купрій цікавився, чи все у опонентів в порядку з головою, називав їх же блаженними та невихованими хамами (хоча, дійсно, хлопці не обмежували себе у висловлюваннях і рубали правду-матку).
І потім щиро дивувався, чому його самого вважали хамом. Як в отому анекдоті «А мене-то за що?»

Також запрошував «приходьте та долучайтеся».
Не знаю, як там з фінансами в НАДС, але не думаю, що у них є $50-80/hour щоб заплатити фахівцям того рівня, які вступили з ним у дискусію. Тим більше, що для закривання подібних дірок більш ніж достатньо фахівця рівня junior. Але фахівця саме з кібербезпеки. Який коштуватиме лише від $1,000/місяць.

Червоною стрічку крізь вогневі смерчі дискусії проходило твердження пана Володимира Купрія «це моя приватна сторінка, тому моя думка не є позицією НАДС».
Так само, не особливо заважаючи червоній, проходила синя стрічка, яка стверджувала про «ми, у нас в НАДС», «у нас в НАДС все прекрасно», «ми все покажемо і розкажемо і над чим працюємо», «я є першим заступником Голови НАДС», тощо.
Але пан чиновник не бачив у цьому переплетінні стрічок жодного протиріччя.

Що сподобалося у цій дискусії.
Чиновник не приховував своєї досить високої посади. Писав літературною українською. Не вживав непарламентських виразів. Не приховував свого щирого презирства до більшості опонентів.

Що не сподобалося.
Практично не обговорювалося питання виявлених вразливостей, російського сліду, фіктивності КСЗІ.
Пан Купрій здебільшого говорив про якісь там запити, приходтьте-поговоримо, не матюхайтеся, як ви смієте. Хоча десь наприкінці перейшов до фінальної стадії кривої Кюблер-Росс: прийняття.
Навіть подякував, хоча я не певен у щирості подяки.
На початку дискусії ще спостерігалися ознаки ефекту Даннінга-Крюгера, але згодом спільними зусиллями вдалося їх (ознаки) загнати взад.

Чим цікавий цей випадок досліднику «кібербезпеки в державному секторі України».
Тим, що визирнув на поверхню, показав себе з усіх боків та дав сфотографувати типовий український чиновник. Нульовий у питаннях кібербезпеки, але готовий агресивно все заперечувати. Який розглядає оприлюднення промовистих фактів серйозних проблем з кібербезпекою відомства особистою образою йому як керівнику. Або як «нас замовили».

Я глибоко переконаний, що таким чином, як пан Володимир Купрій, думає переважна більшість українських чиновників. Але лише пан Купрій має сміливість/хоробрість/необачність публічно проголосити їх ставлення до «хакерів у фейсбуччі» та кібербезпеки загалом. За що йому крапелька моєї поваги. Але лише за чесність у висловлювання своїх поглядів.

Чиновники добре вивчили модне слово «кібербезпека», але досі не мають жодного уявлення ані про її практичний бік, ані про їхню відповідальність за цю саму кібербезпеку.
На жаль.

Бережімося.

Костянтин Корсун

Голова Ради Громадської організації Українська група інформаційної безпеки, директор компанії з кібербезпеки Berezha Security.