Кібер-шмібер від РНБО регулярно примушує мене невпинно ржати

Кібер-шмібер від РНБО регулярно примушує мене невпинно ржати

Кібер-шмібер від РНБО регулярно примушує мене невпинно ржати.

Цього разу нестримні веселощі спричинили чотири абзаци повідомлення на сайті РНБО https://cutt.ly/rgV9SYh
Далі поясню чому це повідомлення – невігластво та взірцевий непрофесіоналізм. Скріншот – під постом, бо я їх знаю, перепишуть «заднім числом».
По-перше: Bug Bounty – аж ніяк не може бути навчальним заходом. Це як тестовий відстріл бронежилета: розумна людина потім зможе зробити висновки, але це точно не “навчальний захід”. Інакше усі виші треба замінити на одразу випускні іспити.
Що ж таке насправді Bug Bounty я розказував тут: https://cutt.ly/8gBRPn5 тому не буду повторюватися.
По-друге: за п’ять днів навички проведення пентестів можна отримати лише у вологих мріях чиновників РНБО та захопливих фантазіях CRDF Global.
Якщо ти вже досвідчений пентестер, – тоді п’ять днів поспіль спілкування з такими самими досвідченими професіоналами (або ще кращими) матимуть дійсно позитивний ефект. Але сильно сумніваюся, що «представники основних суб’єктів забезпечення кібербезпеки України та працівники критичної інфраструктури” мають хоча б базове уявлення що таке пентест та нахіба він проводиться.
У самому ж РНБО навіть саме слово pentest (penetration testing) не можуть вимовити, у них поки що пАнтест виходить: https://cutt.ly/xgV32Xz
Щоб вважатися хоча б молодшим професійним пентестером – потрібно спочатку пройти міжнародний курс, здати відповідний іспит та отримати професійний сертифікат, потім не менше двох-трьох років успішної практичної роботи, під час якої ти заробляєш собі відповідну репутацію і лише тоді (можливо) тебе візьмуть джуном у пристойну кібер-компанію.
Зрозуміло, що «представники основних суб’єктів забезпечення кібербезпеки України та працівники критичної інфраструктури» у цьому ланцюжку за шкалою «від 0 до 10» знаходяться приблизно на позиції «мінус один».
Тому можна було б і за 5 хвилин провести «навчальний захід Bug Bounty” – ефект був би точно такий самий.
Все те саме стосується і «створення комплексної системи захисту таких об’єктів»: щоб орієнтуватися у сучасних комплексах кіберзахисту, потрібно мати дуже багато практичних знань, довго цим займатися та постійно само-навчатися. А п’ятиденні курси лише печінку учасникам посадять.
І по-третє.
Поліцай-генерал Демедюк повідомив, що “обмін досвідом є запорукою великих спільних досягнень”. Тоді не зрозуміло – так це навчання чи все ж обмін досвідом? Чи може, то «навчання» не в сенсі лекцій-семінарів, а в сенсі симуляції бойових кібер-дій “сині проти червоних”, отетовсьо?
Але у наступному абзаці написано “здобуватимуть навички”, тобто це означає тип навчання “лекції-семінари”, оскільки у тактичних навчаннях змагаються між собою лише досвідчені кібер-фахівці, які вже мають усі необхідні навички, просто шліфують тактики та методики.
Так а який же тоді насправді формат отого заходу від РНБО та CRDF Global? Навчання, тактична гра чи все ж баг-баунті? Це три абсолютно різні речі, хоча вони ретельно переплутані у чотирьох коротких абзацах творчого генію прес-служби РНБО.
Що усі оці по-перше-по-друге загалом означають?
Дві речі: хтось в РНБО або знов тупить, або знов бреше.
І обидва варіанти просто катастрофічні для репутації Національного координаційного центру кібербезпеки (НКЦК) РНБО у ролі координатора «діяльності у сфері кібербезпеки як складової національної безпеки України”.
Для ефективної координації потрібно бути взірцем компетентності у цій сфері, бути точкою довіри та еталоном професіоналізму.
Нічого з цього в НКЦК РНБО точно немає.
І значить – вакханалія невігластва та примітивної урино-офтальмології вирує й надалі.
І ніхто не здатен її зупинити.
Ніхто.
Керують українськими кібер-держструктурами точно такі ж невігласи без будь-якого уявлення про реальну кібербезпеку. Їх дев’ять наразі і усі вони завзято воюють між собою за фінансування та повноваження. А ще міні-цифра самовільно стала десятою, хоча у Законі України “Про основні засади забезпечення кібербезпеки України” вона ніде навіть не згадується: https://cutt.ly/RgBOrho
Така собі арена бійки приматів з владними боєголовками у лапках, але без будь-якої відповідальності за результат та супутню шкоду.
Іноземні донори давали і будуть давати усім тим 9+ невігласам гроші «на кібербезпеку» лише тому, що вони є законною владою в Україні. Хоча часто усвідомлюють, що поливають пустелю з відерця. Але продовжують давати гроші некомпетентним чиновникам.
І для донорів не має жодного значення ефективність використання донорських коштів: головне якось витратити гроші та підписати звіти про їх утилізацію. Спитайте у того ж USAID як вони планують витратити 38 мільйонів доларів американських платників податків (або пошукайте дописи з хештегом #cyberUSAID).
І спільні фоточки, а як же ж, це обов’язково потрібно докласти до звіту. Ба більше: здається, це залишається основним критерієм ефективності використання “кібер-допомоги”.
Я ще маю багато неприємних питань до НКЦК РНБО (на які, звісно, ніхто і не подумає відповідати), але ставити їх зараз вже не буду – вони ще неодноразово нададуть мені привід для саркастичних зауважень.
Moralité:
«Істинно кажу вам, … надходить Час Білої Стужі й Білого Світла, Час Шаленства й Час Погорди, Tedd Deireadh, Час Кінця…»
Aep Ithlinnespeath, пророцтво Ітлінне Еґлі еп Евенієн.
Костянтин Корсун

Голова Ради Громадської організації Українська група інформаційної безпеки, директор компанії з кібербезпеки Berezha Security.