«Моя нова кібербезпека»

«Моя нова кібербезпека»

«Моя нова кібербезпека» .

Нарешті, всього лише за два тижня після прийняття, стало доступним офіційне Положення про Міністерство цифрової інфраструктури. Давно чекав його на-почитати і ось нарешті прочитав.
Прочитав і тепер маю клопіт: сумні думки мене турбують, стосовно перспектив розвитку кібербезпеки у країні. А тепер турбуватимуть не тільки мене))
Доцільність утворення «Міністерства ІТ» коментувати не буду, скажу лише, що це було блакитною мрією ще Саші-стоматолога. І якщо хочеш розвалити якусь галузь – почни її регулювати та створи міністерство з регулювання якогось бізнесу, а потім з регулювання регулювальників.
Але ж я фахівець лише з кібербезпеки, тому не лізтиму поки що в ІТ та цифровізацію, для чого, власне, створено Мінцифри. Хоча багатьом айтішникам та телекомщикам нічого не заважає вважати себе крутезними спецами в кібер. На цю тему якось потім, окремо (ключові слова «ти ж програміст»).

Так от, про Положення.
Дивна штука виходить. Унікальна, я б сказав.
Мінціфри начебто якось крадькома, на півшишечки, частково, перебирає на себе функції Держспецзв’язку у частині кібербезпеки. Але якось сором’язливо: «бере участь у ….»
Тобто «бере участь» у формуванні державної політики з ТЗІ-КЗІ, кіберзахисту, НСКЗ, НТКМ, радіочастотного ресурсу, та навіть такої екзотики як ПдІТР та урядовий фельд’єгерський зв’язок.
Якщо ТЗІ-КЗІ та кіберзахист ще можна якось прив’язати до завдань Мінцифри, то яким боком до того фельд’єгеря в кожанках, з маузерами та металевими сейфами?
І що взагалі означає «бере участь»?
Виходить, що сотні разів скомпрометована до рівня Маріанської западини Держспецзв’язку залишається там, де й була (звісно, з новим керівником – сподіваюся), але ті ж самі функції начебто може виконувати і інше відомство. І незрозуміло хто буде головним, чия думка буде правильнішою, хто кого може ігнорувати, а хто кого куди може посилати. Наразі нове міністерство начебто на хайпі та у фаворі, але формально-юридично Держспецзв’язку має усі права плювати їм у пику та голосно ржати з отого «бере участь».
З чого я роблю висновок, що серйозно реформувати сферу кібербезпеки у нашій країні у влади особливого бажання немає.
Офіційна причина така: Держспецзв’язку прописало себе у такий кількості законів та нормативних актів, що взяти і їх ліквідувати просто нереально.
Та ладно. Ліквідувати Генеральну та військову прокуратуру реально, а ДССЗЗІ, якому всього лише 12 років – нереально. Створити нове міністерство не рівному місці, з нічого – як два пальці, а відрізати у Держспецзв’язку повноваження «регулювати» кібербезпеку – зась?
Не вірю. Підозріло. Нова команда увірвалася до влади якраз на хайпі «зруйнуємо стару систему» та «геть старі обличчя». А тут «сорі, ми не можемо це зробити бо вони прописані у кількох законах». У нас моно-більшість у Парламенті, непохитна синхронна єдність між ВРУ, КМУ та Президентом – але відрізати засохлу бородавку ніяк не вийде, хоча ми легенько так пересадили нове серце, легені та нирки.

Ті ж самі питання виникають до пасажу «бере участь у …. розробленні критеріїв і порядку проведення оцінки стану захищеності державних інформаційних ресурсів в інформаційно-телекомунікаційних системах; організації та проведенні оцінки стану захищеності державних інформаційних ресурсів, наданні відповідних рекомендацій;»

Тієї дурні, яку наворотила Держспецзв’язку, здається, недостатньо, треба ще і від Мінцифри додаткові пропозиції. Якщо ДССЗЗІ десь колись краєм вуха щось колись чула про сучасні міжнародні стандарти з оцінки захищеності та проведення аудитів, то Мніцифри, боюся, геть холодне у цих питаннях.
Принаймні, жоден із засвічених членів команди Мінцифри ніяк не асоціювався з кібербезпекою. З девеломпментом – так, з дизайном– звісно, з маркетингом – без сумніву. Але більшість спеціалістів усіх цих спеціальностей мають схильність не брати до уваги кібер-ризики. Принаймні, не настільки, щоб у цьому розбиратися.

Або ось ще цікава функція Мінцифри:
«18) здійснює моніторинг даних про вчинення та/або спроби вчинення несанкціонованих дій щодо державних інформаційних ресурсів в інформаційно-телекомунікаційних системах, а також про їх наслідки, інформує правоохоронні органи для вжиття заходів із запобігання та припинення злочинів у зазначеній сфері»

Фух, нарешті, тепер стало зрозуміло кому направляти повідомлення про тисячі HTTP, SQLi, XSS та інших примітивних вразливостей на веб-ресурсах держорганів.
Фсьо, тепер #FRD можна припиняти. Кавалерія нарешті прийшла на підмогу. Активістам можна витерти піт з лоба та заморено, але щасливо, присісти на м’яку травичку.
Щоправда, не зовсім зрозуміло хто і яким чином «здійснює моніторинг», і якими інструментами, і який порядок інформування, у яких випадках, і які правові наслідки створює таке інформування. Але то все дрібниці, еге ж? Потім допиляємо якось.

Інша цікавинка стосовно повноважень Мінцифри:
«19) координує адміністрування, функціонування та використання адресного простору українського сегмента Інтернету;»
Що значить «координує»? Про який «адресний простір» йдеться? Про доменні зони чи IPv4-IPv6? А Хостмайстер в курсі? І яка його роль у цій схемі, виконувати розпорядження Мінцифри? Чи означає функція «координує адміністрування, функціонування та використання», що зона GOV.UA нарешті знайшла у особі Мінцифри єдиного хазяїна?
Питання, питання.

Так само загадково Мінцифри «координує діяльність з функціонування системи управління щодо формування, ведення та використання державної системи урядового зв’язку, Національної системи конфіденційного зв’язку та Національної телекомунікаційної мережі;»
Тобто питання примусової евтаназії нікому не потрібних грошесмоків типу НСКЗ навіть не ставиться. Усе залишається як було, лише над регулятором буде ще один, але новий та прогресивний регулятор.

Десь у другій половні Положення проскакує фатально суперечлива фраза:
«Накази Мінцифри, видані в межах повноважень, передбачених законом, є обов’язковими для виконання центральними органами виконавчої влади, їх територіальними органами, місцевими органами виконавчої влади, органами влади Автономної Республіки Крим, органами місцевого самоврядування, підприємствами, установами та організаціями незалежно від форми власності та громадянами.»

Отакої. Тобто усі ті заяви, нібито «Мінцифри створено лише для регулювання ІТ в держструктурах», «Ми не регулюємо приватний ІТ-бізнес», «Ми лише оцифруємо реєстри та держпослуги і все» – туфта. У Положенні про Мінцифри чітко написано: його накази обов’язкові до виконання будь-якими приватними структурами і навіть будь-яким громадянином.
Якщо Мінцифри видасть наказ «заборонити IPv6» або «заборонити Times New Roman» – усі зобов’язані коритися.
Хоча насправді юридично це повна дурня: Міністерство може регулювати лише своїх підлеглих, окремі структури виконавчої влади, відповідних держслужбовців та компанії, які, скажімо, мають ліцензії, які видає Міністерство. Не не має права будь-яке міністерство примушувати щось виконувати будь-яку фірму та будь-якого громадянина.
Яким чином ця фраза взялася у Положенні про Мінцифри – не розумію.
Мабуть, скопипастили у Держспецз’язку, токсичність якого розповсюджується повітряно-крапельним шляхом.
Не можу уявити собі ситуацію, в якій «накази видані в межах повноважень» можуть бути обов’язковими до виконання усім бізнесом та усіма громадянами.

Питання реформування галузі кібербезпеки активно обговорювалося представниками влади з кібер-спільнотою починаючи з початку серпня 2019. І начебто на якусь мить здалося (мені), що нова влада дійсно хоче швидких ефективних реформ у нашій пісочниці.
На словах влада наче погоджується з пропозиціями професійної спільноти, киває головами, дякує за співпрацю. А після того іде в туман і більше не пінгується.
А потім внєзапно з’являється Міністерство АйТі у формі Мінцифри, яка бере-не-бере на себе окремі функції кібербезпеки. Лише деякі функції і не так, щоб за них відповідати: «бере у участь у…». Тобто вплив начебто має, але не несе за це ніякої відповідальності.

Слід ще зазначити – у якому середовищі приймається (а точніше не-приймаються) рішення стосовно системи кібербезпеки країни.
Theкоманда не заперечує свою некомпетентність у питаннях кібербезпеки, тому намагається відшукати джерела достовірної та безсумнівної експертизи. Шукає вже третій місяць і знаходить (як і слід було очікувати), здебільшого, підробки.
То якийсь дрібний чиновник з МО, який все життя працював у структурах Міноборони, задля спасіння свого Управління (яке вже ось-ось хотіли ліквідувати за відсутністю розуміння нахіба воно потрібно) починає фонтанувати безумними ідеями та намагатися їх вкласти у вуха розгубленої таким напором молодої команди. Тактика проста: підслухати кілька здорових ідей у професійного співтовариства, обвести їх ромбиками та квадратиками у MS Word, поєднати стрілочками, роздрукувати на (мабуть, матричному) принтері і видати як свої пропозиції «так ми це вже давно пропонували!».

Або ось інша група жіночок, які не гребують лобіюванням інтересів великого бізнесу під виглядом «абщєствєнності та громадських організацій» і які не мають жодного стосунку до індустрії кібербезпеки. Вони вперто сунуть на столи представників Theкоманди щось типу якогось плану реформування чогось, що може нагадати кібербезпеку лише п’яному сисадміну темної ночі у знеструмленій серверній. Звісно, натирені у професійної спільноти ідеї. Звісно, благолєпна бюрократична мова викладення, яка створює ілюзію «солідності, серйозності та професійного підходу». Але якщо відкинути лушпиння офіціозних бюрократизмів, то виявиться, що король-то голий. І що автори дупля не б’ють у практичних (та і теоретичних) питаннях кібербезпеки і не мають уявлення як то все працює.
Наведу одну цитату, яка пояснює рівень компетентності панянок у питаннях кібербезпеки: «Розробити та прийняти проект Закону щодо імплементації положень Конвенції про кіберзлочинність у вітчизняне кримінальне процесуальне законодавство з метою підвищення захисту суспільства… бла-бла-бла»
Цією пропозицією панянки-абщественіци спалилися. Тому, що геть не знають реалій цього надзвичайно складного питання.
Суть у тому, що термінологія Конвенції про кіберзлочинність і сама логіка взаємозв’язку між її статтями та положеннями настільки кардинально відрізняється від системи українського кримінального та кримінально-процесуального законодавства, що легше ІТ-шника з КМДА примусити здати на сертифікат OSCP, ніж коректно адаптувати Конвенцію в українське законодавство.
Щоб адаптувати (тобто імплементувати у чинне українське законодавство) цю Конвенцію, потрібно повністю замінити усю термінологію розділу 16 Кримінального кодексу України (статті 361-363). Це потягне ще більшу купу змін у Кримінально процесуальному кодексі України. І це неможливо буде зробити без кардинальних змін у Законах про телекомунікації, про захист інформації, про телеком загалом, про поліцію, про СБУ, про оперативно-розшукову діяльність, та ще пару десятків профільних законі. А це, відповідно, потягне інші зміни ще у сотнях законів та десятках тисяч нормативних актів.
За деякими оцінками, докорінній переробці підлягатиме від третини і ледь не до половини усіх регуляторних актів України. Це снігова лавина, через яку доведеться міняти ледь не половину (а то і всю) систему права країни.
Чому, думаєте, за 14 років з моменту схвалення Парламентом Конвенції, її досі не імплементували? Бо це колосальна і невдячна робота, взятися за яку не наважився жоден український Уряд. А тут панянки-громадянки ррраз – і придумали як легенько так розрулити ситуацію: а просто розробимо і приймемо проект закону а-ля «а давайте усі станемо багатими і щасливими», шо тут такого складного?
Це був коментар до лише одного пункту пропозицій тієї групи абществєніц. Чисто для ілюстрації рівня «пропозицій».
Розумію, що дехто образиться на ці мої слова.
Але один дядько зі стодоларової банкноти якось сказав дуже правильну річ з цього приводу: «Заткнути пельку дурневі – нечемно, але дозволити йому продовжувати – просто жорстоко».

Слід віддати належне, до професійного середовища кібер-фахівців деякі представники влади також звернулися по пропозиції. Нехай нас сплутали з телекомом, з програмістами, з ІТшніками – нехай. Після кількох беззмістовних «робочих груп» ми, справжні експерти з питань кібербезпеки (у кожного не менше 15 років практичного досвіду у КБ та відповідної управлінської діяльності), зібралися невеликою групкою та за кілька зустрічей набрейстормили яким чином позбутися імітації системи кібербезпеки та почати створювати дійсно працюючу модель: https://tinyurl.com/y69sjfae
Свого часу так робив і робить увесь цивілізований Світ.
І якщо дійсно взяти світовий досвід та адаптувати його до сучасної стадії розвитку України – то все цілком можна зробити за пару років. Якщо дійсно хотіти зробити, а не тільки декларувати бажання.
І як, думаєте, використані наші потужні напрацювання?
А ніяк.
Замість цього у Положенні про Мінцифри з’являються гидотні ТЗІ-КЗІ, НКСЗ, ПДІТР і інший мотлох з минулого сторіччя.
У команді Кривавого Пастора також дуже любили пісні про отетовсьо і весело їх співали, поки натхненно пиляли мільярди «на кібербезпеку».

Коротше кажучи, я оцінюю вірогідність реальної роботи з побудови працюючої моделі кібербезпеки країни десь у 5-6% (за поточної влади).
Забагато треться навколо влади бажаючих щось порегулювати, залізти у владні крісла та потриматися за ручку величезної пілорами «Національна кібербезпека».
Скоріш за все, Держспецзв’язку не буде ліквідовано, а існуючим дстсзі-підходам проведуть косметичний ремонт словами «диджиталізація», «блокчейн», «смартсіті», «кібергігієна», але залишиться стара гнила основа.

З тієї точки, де знаходжуся я, виглядає так, що ця влада не хоче кібербезпеки. Говорить, що хоче, але майже нічого не робить. Масштабні «робочі групи» з, переважно, не-фахівців – радше імітація роботи.
Хто хоче робити – шукає можливості, хто не хоче – шукає відмазки.
Перефразовуючи відомий вислів, можна сказати, що «той, хто не годує свою кібербезпеку, годує ворожу».

Ось такі сумні роздуми після вивчення Постанови КМУ від 18 вересня 2019 р. № 856б https://tinyurl.com/yyjbxgj3

Бережімося.

Костянтин Корсун

Голова Ради Громадської організації Українська група інформаційної безпеки, директор компанії з кібербезпеки Berezha Security.