Cкінчилися усі бурхливі ініціативи з реформування галузі кібербезпеки в Україні

Cкінчилися усі бурхливі ініціативи з реформування галузі кібербезпеки в Україні

Тихо і сумно на майданчику після закінчення ярмарку. Не шумить яскравий натовп, не миготять вогнями каруселі, радісно-збуджені аніматори вже напилися пива і сплять.

Так само скінчилися усі бурхливі ініціативи з реформування галузі кібербезпеки в Україні.

Спочатку хвиля пінилася та іскрилася – рада експертів при РНБО, рада експертів під егідою ОП та Міноборони, а давайте ваші ідеї – але потім хвиля пішла назад до моря і залишида за собою лише сумний каламутний пісок.
Але що там блиснуло у залишках піни на піску? А-а-а, це малесенька перлинка надії на позитивні зміни у кібербезпеці. Дивіться, вона навіть не котиться назад у море розчарувань, але застрягла між шматком каменю і банкою від коли і нахабно виблискує.

Алегорія натякає на те, що у деяких фахівців галузі поки ще жевріє надія на те, що державна кібербезпека і кібербезпека реального світу все ж можуть бути одним і тим самим. Можливо. Колись.
Надія зародилася під час так званих «робочих груп», до складу яких волею невідомих сил Добра потрапили кілька справжніх експертів з кібербезпеки.
Слухаючи люту пургу з ротів профанів, імітаторів та любителів державних посад та корупційних регулювань, виникла проста ідея: «А давайте ми, нормальні фахівці, самі зберемося і придумаємо план виводу галузі з глухого куту».

Так і зробили.
Стартовий склад рятувальної команди:
Alex Yankovski
Jeoffrey Dahmer
Kostiantyn Korsun
Олексій Барановський
Sean Brian Townsend
Volodymyr Styran
Yegor Aushev

Не усі ми є однодумцями, на деякі аспекти кібербезпеки у нас досить різні погляди.
Але усі ми точно є фахівцями з кібербезпеки найвищої кваліфікації і усі маємо стратегічне бачення перспектив розвитку галузі.
Нескромно, скажете? Згоден, нескромно. Але правда.
А ще ми публічні. Тобто висловлюємо свої думки відкрито. «Непублічні експерти» нехай сидять по своїх норах і продовжують тикати дулі під ковдрами (це таке моє особисте переконання).

Хоча усі ми досить зайняті люди, все ж вдалося тричі зібратися і серйозно побрейнстормити.
Спочатку визначили «А яка ціль цього всього? Quo Vadis?»
Потім накидали ключові принципи: верховенство професіоналізму, дерегуляція, міжнародні стандарти, все таке. Всього 13 принципів.
Третім пунктом позначили ключові проекти, які неодмінно повинні бути реалізовані.
Деякі з них я пропонував ще 12 листопада 2018 року у моїй концепції альтернативної системи кібербезпеки: https://tinyurl.com/y3t3gtn2
Але завдяки тому, що цього разу голів було набагато більше однієї, то і перелік проектів, цілей та принципів вийшов більш потужний, більш продуманий, і навіть більш глобальний (як для глобусу України).
У будь-якому разі, у цій країні ніхто нічого кращого все одно не здатен придумати, я абсолютно у цьому переконаний.

Ось вони, результати наших зусиль: https://tinyurl.com/y69sjfae

Цей документ з трьома пунктами – цілі, принципи, основні ініціативи – було також надіслано ще 26 провідним експертам галузі кібербезпеки.
Серед тих, хто знайшов час прочитати дві сторінки тексту, нас підтримало 15 фахівців.
Одна відмовилася брати участь. Один не погодився з текстом “тому що не до кінця все розумію”.
Ніякої відповіді не отримано від 9 колег. Що поробиш, багато практичної роботи, не до концепцій.

Той, хто працює у реальному секторі кібербезпеки розуміє, що запропоновані цілі, принципи та ініціативи – це прекрасно, за все хороше та проти всього поганого.
Питання у тому, як усе це добре і прекрасне реалізувати на практиці.

І ось у цьому питанні наша група не дійшла монолітного консенсусу.
Я і ще кілька колег вважаємо, що найвищим авторитетом та точкою відліку , таким собі «конституційним судом» кібербезпеки повинна бути Рада експертів (НЕНОК), колективний орган. А для того, щоб її рішення безумовно виконувалися (а не просто «ладно, я тебе почув»), у прямому підпорядкуванні Ради експертів повинен бути виконавчий орган, який займається реалізацією рішень НЕНОК. Фінансується і Рада експертів, і її виконавчий орган виключно за рахунок донорських коштів, з відповідною підзвітністю витрат.
Ні, не з державного бюджету. Тому, що у держбюджеті нема коштів на нормальні зарплати фахівцям і тому, що державне фінансування є темою досить мутною: то «не в повному обсязі», то із затримками, то з відкатами, то «не на часі, у нас он пенсіонери і шахтарі».
А ще хто платить, той і замовляє музику. І останні 12 років музику кібербезпеки в цій країні замовляла Держспецзв’язку. До чого це призвело ми усі бачимо: вкрадено мільярди на псевдо-проекти, повсюди тотальне агресивне невігластво, імітація побудови системи кібербезпеки, світ паперових тигрів без жодної відповідальності за скоєне.
Як цього уникнути і піти шляхом цивілізованого світу?
Пункт розбрату №4 (мого авторства) з практичної реалізації цілей, принципів та ініціатив, узгоджених нашою групою, доступний під цим постом.
Дуже коротко: експертний орган – колективний, виконавчий орган – суто вертикальний, обидва фінансується донорами, регуляцією не займаються, владних повноважень не мають, усім допомагають та навчають, дають офіційні відповіді на усі незрозумілі питання, які стосуються кібербезпеки в Україні. І відповідають за свої справи та поради. При всьому цьому і Уряд, і Офіс Президента, і РНБО, і ВРУ офіційно визнають Раду кібербезпеки (НЕНОК) як єдину точку, відповідальну за розбудову Національної системи кібербезпеки. І всі гранти також перенаправляє туди ж.

Інша група колег погоджується, що Рада експертів має бути, але якимось чином при Міністерстві цифрової трансформації або бути його частиною.
Логіка така: так чи інакше, МінЦифра вже існує і існуватиме ще якийсь час. То чому б не інтегрувати кібербезпеку до вже існуючого новоствореного міністерства, з фінансуванням з держбюджету. Таким чином буде забезпечена постійна взаємодія кібербезпеки з проектами, які планує реалізувати МінЦифра.
Особисто мені така ідея не подобається тим, що цей підхід принципово нічим не відрізняється від існуючого наскрізь корумпованого некваліфікованого Держспецзв’язку.
І знов таки, як платити зарплати $3-4k фахівцям у межах бюджетних асигнувань? Тарифні сітки таких зарплат не передбачають, у тарифних сіток очі на лоб вилазять: «скільки-скільки?!?».
А якщо не буде конкурентних зарплат – не буде кваліфікованих фахівців. Не буде фахівців – не буде нічого. Тобто буде Держспецзв’язку.
Virtus post nummos, «спочатку гроші, потім відвага».
Теоретично можу собі уявити, що МінЦифра виступить засновником (100% власності) та профінансує (із залученням як держбюджету, так і донорських коштів) неприбуткову організацію для побудови системи кібербезпеки країни, яка найме фахівців відповідної кваліфікації. Там же і НЕНОК, і її виконавчий орган, і центр компетенції, і всі ініціативи.
Але у такій схемі така організація буде повністю залежна від МінЦифри та (особливо) її керівників.
Колись мій курсовий офіцер казав: «Товариші курсанти, все – у ваших руках. А ваші руки – в руках командування.»
Тобто ніякої незалежності рішень, оцінок, реакцій на інциденти, публічних заяв. Лише так, як скаже міністр/заступник міністра. За погодженням з прес-службою і начальниками департаментів. А ще літературного редактора та керівника апарату міністра.

І ще один аспект. Умовно: айтішники-чиновники будуть керувати кібербезпекою. На першому місці – функціональність системи, її безпека – на другому або третьому.
А насправді кібербезпека не повинна підпорядковуватись ІТ. Так само і ІТ не повинна підпорядковуватись кібербезпеці. Над ними обома повинен бути один керівник (власник), але ІТ та кібербезпека повинні бути рівними в правах. Це в ідеалі.
Хоча відверто кажучи, на практиці так трапляється нечасто, лише у дуже просунутих комерційних компаніях.

З підходом «інтеграції з МінЦифрою» не можу погодитися, але поважаю колег, які дотримуються відмінної від моєї точку зору. Вони розумні та досвідчені професіонали, хоча схильні до компромісного рішення «ну давайте хоча б так, все одно так краще, ніж було до того».
Можливо. Але системні помилки, які свідомо закладені у фундамент, рано чи пізно призведуть до руйнування будівлі та дискредитації самої ідеї. Останнє особливо прикро.

Можливо, у когось є кращі ідеї, ніж запропоновані.
Якщо є – давайте їх подумаємо та надалі якось пропонуватимемо поточній політичні владі. Не виключено, що навіть наступній. Поточна якось трохи зависла у питанні реформування кібербезпеки. Останні активні публічні рухи відбувалися більше місяця тому і невідомо коли і у якому вигляді така активність відновиться. Про щурячу закулісну возню окремих діячів навіть не хочу говорити, фу.

Але ж нова хвиля істерії навколо «кібер-» така ж неминуча, як падіння на землю підкинутого вверх м’ячика.

Тому продовжуємо думати над варіантами імплементації. Запропонувати розумне рішення ніколи не пізно.

Дещо у більш популярному форматі суть проблематики відображено у нашій спільної статті на УП: https://tinyurl.com/y598jzkm

Бережімося.

 

 

Костянтин Корсун

Голова Ради Громадської організації Українська група інформаційної безпеки, директор компанії з кібербезпеки Berezha Security.