Думаю, не зайвим буде прокоментувати 38 мільйонів доларів від Уряду США «на кібербезпеку»

Думаю, не зайвим буде прокоментувати 38 мільйонів доларів від Уряду США «на кібербезпеку»

Думаю, не зайвим буде прокоментувати 38 мільйонів доларів від Уряду США «на кібербезпеку».

https://tinyurl.com/rzh9qm7 https://tinyurl.com/vfzdbrb
Ну шо я вам за це скажу, дорогі мої прихильники лонгрідів.
На днях був я на прийомі при посольстві США і спілкувався з багатьма людьми, у тому числі з працівниками посольства.
Вони усі в курсі загальної ситуації з кібербезпекою в Україні, знають про позицію Кабміну «роль кібербезпеки трохи перебільшена», знають про зловживання та розкрадання, знають про свавільний ментовсько-чекістський наїзд на кібер-волонтерів по «справі Одеського аеропорту». Я спеціально усім показував на телефоні статтю, перекладену на англійську Євромайдан Прес про Український кіберальянс: https://tinyurl.com/rhlt8j5
Абсолютно усе вони знають. Все розуміють. Але нічого у політиці кібер-допомоги від Уряду США від того не змінюється.
Сподіваюся, грошей у руки вітчизняних чиновників вони не дають (бо знають що розкрадуть), але залишається багато питань стосовно ефективності західної «кібер-допомоги».

Ну ось давайте просто поглянемо на ситуацію без емоцій, ніби трохи зі сторони.
З 2017 року виділено вже 10 мільйонів доларів. Десять, %$&, мільйонів, %^& доларів.
Що на краще змінилося у сфері української кібербезпеки? Ну от реально, назвіть мені хоча б одне реальне «пакращення»? Таке, щоб від нього було від того добре не лише кільком чиновникам, які покаталися нашару у закордонні відрядження, а країні в цілому?
Апарат РНБО вибив собі +30 кібер-посад? Так американці тут геть ні до чого. Якби не наполегливість кібер-Демедюка – так і того б не було. Тим більше, що посади є, а грошей на зарплати поки що досі немає і хз коли будуть.
Шо ще? Намітився якийсь прорив у кібер-законодавстві? Ні.
CERT-UA став суттєво краще працювати? Теж ні.
Хоча б визначено перелік об’єктів критичної інфраструктури, що треба захищати? І кінь не валявся.
Тоді питання: а на які такі проекти витрачено 10 мільйонів доларів американських платників податків?
Припускаю, що щось десь кимось таки зроблено. Але хоча б натякніть нам про це «щось». Повна тиша, як на цвинтарі у новорічну ніч, або в СБУ після прес-конференції активістів УКА.
Формат кібер-допомоги Україні відбувається виключно у форматі G2G (Government to Government = Уряд Уряду).
Чиновники американські чиновникам українським якось там допомагають, а нарід ващє не в курсі. Особливо смішно звучить, коли одні чиновники дають іншим чиновникам гроші на «налагодження державно-приватного партнерства». Бугага. Уріноофтальмалогія.
І не треба ля-ля про «ти просто не маєш усієї інформації» або «шшш, це секретні дані». Усі ми знаємо, що під такими гаслами дуже зручно красти грошики. Причому обом сторонам.

«Сполучені Штати оголосили про готовність виділити 8 мільйонів доларів допомоги на посилення систем кібербезпеки» – я перепрошую, яких-таких систем? Де вони, ці системи кібербезпеки? Покажіть хоча б одну.
Система сенсорів під егідою ситуаційного центру ДКІБ СБУ? Так це був НАТОвський грант, не американський. А зараз у ДКІБ прийшли керувати дилетанти, які дуже скоро і те розвалять, що так тяжко зібрав докупи Кулєшов. Зате натомість вони виявляють неабияку активність у затиканні ротів кібер-активістів фейковими кримінальними справами, обшуками, незаконним вилученням техніки.

Які ще «системи кібербезпеки» створено за три роки і 10 мільйонів доларів?
Потьомкінська дєрєвня імені Боярчука? Який, до речі, прекрасно себе почуває, розслідування по розкраданням покладено в ДБР «під сукно», а сам пан Роман пречудово собі керує проектами з кібербезпеки в Укроборонпромі (а може вже і вигнали, не в курсі) та гордо собі ходить по кібер-конференціях. Мабуть, посміхається, радіє життю та перераховує награбоване.
І до речі, декорація у вигляді типу-псевдо-SOC була нагромаджена за кошти державного бюджету України, не США.

Щось зроблено з розробки національної кібер-стратегії? Може хтось чув? Я – ні.
Та і взагалі, нова загальна стратегія національної безпеки у нас затверджена? Це та сама, яка повинна була бути затверджена протягом шести місяців після інавгурації нового Президента України.
Нема ані того, ані того. Клали вони на вимоги законодавства з прибором. Це такий модний тренд поточної політичної влади взагалі.

Хтось щось чув про «підвищення рівня кіберзахисту, реагування на кіберінциденти та обміну інформацією, підвищення обізнаності щодо кібербезпеки для всіх зацікавлених сторін, а також підготовки кадрів із забезпечення безпеки промислових систем управління»? Я точно не чув. А я, товариство, багато чого чую, з дуже різних джерел.

Як на мене, найбільш потужною системою кібербезпеки в Україні була ініціатива Українського кіберальянсу #FRD (#FuckResponsibleDisclosure), коли кібер-волонтери знаходили дірки у системах безпеки об’єктів критичної інфраструктури та повідомляли про них публічно, причому у такому форматі, щоб не зашкодити самому ОКІ.
Але спільними зусиллями українських правоохоронців, політичної влади та власників критичної інфраструктури цей підривний проект нарешті вдалося припинити вигаданою кримінальною справою. Ну, принаймні призупинити.
Але #FRD був виключно волонтерською ініціативою, за яку ніхто нікому нічого не платив. Хоча більшість її «мішеней» досі вважають «нас замовили». Ну втішайтеся.

Стосовно «цифрової криміналістики»: маю підозру, що американська допомога стосується внутрішньої діяльності технічних фахівців кіберполіції, не широкого загалу. Але це теж не точно. І у будь-якому випадку, це допомога одному вузько-спеціалізованому правоохоронному органу, і суми там мають бути дуже сильно меншими за мільйони доларів.

Тому знов повторюю питання: на що пішло 10 мільйонів доларів США?
Яке відомство (чи відомства) отримували цю допомогу? Розкажіть нам усім, будь ласка, на що пішли кошти американських платників податків. Ви приймаєте допомогу від імені народу України, тож прозвітуйте цьому самому народу, що ви там від нашого імені наприймали, дуже прошу.

І головне – на що підуть ще 38 мільйонів?

З огляду на те, що американці точно знають який пздц твориться в українській кібербезпеці і хто у цьому винний, але при тому у рази збільшують обсяг «кібер-допомоги», при чому ще менш професійним людям, ніж попередники, дозволю собі висунути кілька версій:

А) Уряд США просто безідейно пиляє гроші американських платників податків через афілійовані фонди та організації, сплачуючи захмарної вартості послуги американських інструкторів, фінансуючи даремні тренінги, купляючи дороге обладнання за завищеними цінами, яке потім роками пліснявіє у підвалах українських «кібер-відомств»;

Б) Уряд США не має на меті досягти реального покращення кібербезпеки в Україні, але робить вигляд, що хоче. Гроші виділяються, але більша їх частина повертається назад в США. За Україною свідомо зберігається статус випробувального полігона для дослідження “in the wild” мокшанських примітивних саморобок під умовною назвою «кібер-зброя».

В) Уряд США розуміє, що за існуючої «системи національної кібербезпеки» (якої взагалі-то немає як системи) – реальне покращення просто неможливо без докорінної зміни як системи права, так і системи суспільних відносин «влада-нарід». Чиновники в Україні як були агресивними ідіотами – такими і залишаються, нічому Майдани їх не навчили. Публічно метуть пургу про «роль кібербезпеки перебільшена», пресують тих, хто наважується говорити правду, відмазують своїх кентів-корупціонерів, які крадуть гроші «на кібербезпеку». Тому США намагається більш-менш правдоподібно імітувати «прогрес» та «успіхи» української сторони, щоб хоча б дотриматися власних інтересів та максимально нафарширувати українські мережі власними програмними та апаратними рішеннями з прихованими функціями моніторингу. Щоб завчасно знати коли в черговий раз вибухне не-петя і щоб їх не заляпало.

А може, все не так.
Можливо, існує виправдувальна версія, згідно якої стан кібербезпека в Україні поліпшується і Штати реально у цьому допомагають.
Але ніякої інформації у публічному просторі, яка б спростовувала мої конспірологічні теорії – нема. Наші чиновники мовчать, американці – тим більше нічого не скажуть. Тому, за відсутності офіційної інформації про результати «кібер-допомоги», відчуваю повне моральне право шалено фантазувати та висувати будь-які версії.

До речі, кібер-допомога від ЄС виглядає дуже схоже: комісари приїжджають, промови проголошують, мільйони виділяють, якісь проекти фінансуються, але поки не видно результатів. Жодних. Принаймні з мого кутка.

Тому переможні заголовки «Україні виділено стопіцтот мільйонів на кібербезпеку» повинні викликати лише саркастичну посмішку у критично мислячої людини. Національна кібербезпека України тих грошей не побачить і їм не зрадіє; але їм дуже зрадіють кілька чиновників по обох боках океану та кілька наближених до них фірм та фондів.
Набагато чесніше заголовок звучав би так: «Державний департамент США виділив гроші окремим чиновникам окремих відомств в Україні, щоб вони заспокоїли своїх громадян з приводу відсутності в країні національної кібербезпеки». Але ж так не напишуть, ми усі це розуміємо. Хіба шо я. Але мене читають всього лише пара-трійка сотень з пари мільйонів розумних людей.
До речі на тему ефективності західної псевдо-допомоги у, я вже висловлювався у жовтні 2018: https://tinyurl.com/y35qw4le

У картковій грі преферанс є таке поняття «американська допомога». Це коли один гравець закриває пулю другого гравця, але пише собі на нього додатково по десять вістів за кожне очко пулі. Тобто начебто надає допомогу, але сам при цьому непогано заробляє. А той, кому «допомагають», не може второпати, чого йому більше від такої допомоги – шкоди чи користі?
Я не можу сказати, що від кібер-допомоги США є якась шкода.
Але користі я теж не бачу.
Тож cui prodest?

Костянтин Корсун

Голова Ради Громадської організації Українська група інформаційної безпеки, директор компанії з кібербезпеки Berezha Security.