Незвична розмова відбулася у мене під час останнього NoNamCon

Незвична розмова відбулася у мене під час останнього NoNamCon

Незвична розмова відбулася у мене з пані Oksana Prykhodko під час останнього NoNamCon.

Тобто спілкування з багатьма колегами теж було вдосталь, і часто на досить незвичні теми, але цю 10-хвилинну бесіда досі не виходить з голови.
Цікавий челедж, товариство.
З цього приводу – сюрреалістичний лонгрід.

Але годі вже інтригувати.
Якщо спрощено та коротко, питання полягало у наступному: «А що б Ви, пане Костянтине, порадили новообраному Президенту України та його команді щодо розбудови кібербезпеки країни?»

Овва. А до чого тут я? А, ну да.
Далі мої репліки були такі:
– Г-г-г
– А навіщо? Який сенс?
– Кому? Зе-команді? Жартуєте?

Потім, трохи оговтавшись від несподіваного питання, моя реакція була більш осмислена:
– Емм, власне, поради ті самі, що і попередньому Президентові та його команді. Якщо можна це назвати «порадами».
– А мої поради точно комусь там потрібні? Тем же і так повно високо-кваліфікованих кадрів (сарказм).
– І при чому, власне, президентська вертикаль виконавчої влади до загальнонаціональної системи? Стріху тримають чотири (чи більше) стіни та фундамент, а не одна колона посередині кімнати.
– Системи кібербезпеки в країні, як і раніше, не існує. Але у це мало хто вірить. А хто знає це так само впевнено, як і я – мовчить. Хоча мої лонгріди читали в усіх найвпливовіших державних інституціях, я знаю точно. Але їм начхати.
– Що робити? Я давно маю власну чітку відповідь (концепція + детальний road-map, з цифрами та термінами), вже півроку то все озвучую публічно, але поки що нікого то серйозно не зацікавило. І несерйозно теж не зацікавило. Нікого і ніяк. Абсолютно.

Тому особливого бажання ще раз повторюватися не маю, усі мої полум’яні філіппікі доступні у лонгрідах та на відео в YouTube. Читайте, дивіться. Думай-те, чи я к там у них кажуть.

Але від пані Оксани так просто не відбрешешся, вона людина наполеглива.
Каже, що матиме змогу донести конструктивні ідеї зе-команді під час якоїсь зустрічі.
Що якщо я дійсно хочу щось змінити на краще, то ось реальна можливість.
І якщо не я – то хто?
А може, вона і не так казала, а може ця а сам потім додумав.
Але так чи інакше – пані Оксана переконала і я пообіцяв.
Challenge accepted.

А ще поки я шукав час сісти написати цей матеріал, президент Зеленський виступив на iForum.
Я спеціально (тобто свідомо та навмисно) знайшов у YouTube кілька роликів (поганої якості, на жаль), і, намагаючись ігнорувати мову, стиль викладання, сумнівні жартики та відверті жаргонізми пана Президента, все ж почув у спічі пана Зеленського щире бажання щось міняти. Не виключено, що це була така красива декларація. Трохи наївно, але щиро, типу як підліткове «щоб не було смерті».
Особливо про чиновників мені сподобалося, прям попав мені диваном об мізинчик. Ще сказав слово «система». І активно топив за електронне урядування, хоча поки що не знає цього терміну.

Тому ок, зроблю коротеньке попурі з кількох моїх лонгрідів на тему «що коїться в українській кібербезпеці та що з тим всім робити».

Що маємо зараз
Наразі маємо «систему кібербезпеки», схожу на демократію в Сомалі: існує формальний уряд, але реальної влади над територією країни він не має.
Величезна кількість суб’єктів кібербезпеки (тисячі об’єкти критичної інфраструктури і переважно приватної форми власності) вишукує гроші на власну кібербезпеку самостійно, тому що «фінансування бюджетом не передбачено». Тим більше для приватних об’єктів: банки, енергетика, промисловість, транспорт, тощо. Але якщо десь «бабахне», то сраку припече усім, і державному сектору також. Приклад: Прикарпаттяобленерго, NotPetya, BadRabbit.

Умовний «Уряд» (Координаційна рада при РНБО) грошей для «суб’єктів» не має, повноважень не має, тому вплив його на «систему кібербезпеки» чисто декоративно-лубочний.

Але у цьому вигаданому королівстві існують «барони»: Законом України «Про основні засади забезпечення кібербезпеки України» визначено шість «головних суб’єктів», які б’ються між собою за верховну владу та, відповідно, бюджетне бабло: Держспецзв’язку, СБУ, Кіберполіція, НБУ, МО-ГШ та розвідувальні органи.
Гроші «на кібербезпеку» для них з держбюджету таки виділяються, але витрачаються «як завжди»: утримання величезного штату низько-кваліфікованих нероб, розкрадання коштів общака (нашого спільного) через налагоджену систему імітації роботи, підтримання системи корупції завдяки перевіряльно-каральним функціям, тощо.
Лише одна поправка: кібер-підрозділ СБУ займається біль-менш тим, чим треба займатися контррозвідці у кібер-сфері. Хлопці мають амбіції стати головними у країни по кібербезпеці, але то гріх невеликий. Є в них проблеми з пресінгом ІТ-бізнесу, варварськими методами збору цифрових доказів по кібер-розслідуванням та регулярні атаки на свободу Інтернет, але це скоріше питання реформування всієї Служби, з позбавленням її функцій слідства та впливу на економіку, які залишилися від карально-чекістської пост-совкової системи.

Головного ж павука-кровососа псевдо-системи кібербезпеки звуть «Держспецзв’язку».
Ось цим панам ідуть з наших кишень 125 мільйонів доларів на рік, це вони забрали на себе більшість повноважень, важелів впливу та батогів для бізнесу. Батогі слабенькі, і тому вони постійно намагаються їх вдосконалювати, а боротися проти добре фінансованої бюрократії стає все тяжче.
Держспецзв’язку відморожується, коли країна потерпає від масованих кібератак, але перша у черзі за фінансуванням «на кібербезпеку», у тому числі від західних донорів.
По своїй суті Держспецзв’язку нагадує зомбі: вже давно мертвий, але рухається, тягне свої кістляві руки до ший живих та намагається рвати гнилими зубами соковиту плоть бізнесу.

Це якщо казати про «систему кібербезпеки» у вологих фантазіях чиновників.

У приватному та суспільних секторах існує безліч правильних ініціатив та проектів, але усі вони мають локальний характер та обмежений ефект.
І, здебільшого, є волонтерськими, тобто не мають стабільного сталого фінансування.

І при всьому тому проблема впорядкування хаосу національної кібербезпеки не просто назріла – вона перезріла років так десять тому.
Більшість суб’єктів захисту все ще хочуть, щоб у країні був єдиний координаційний центр відповідальності за кібербезпеку, який би не тільки жер гроші та ресурси, але і ніс реальну відповідальність за свою бездіяльність або факапи.
І щоб працював на усю країну, а не лише на кілька центральних органів влади.
Який би не лупашив дрючком по спині, а допомагав: порадами, навчанням, софтом, практиками.
Який би повідомляв та коментував, публікував заяви та роз’яснення, співпрацював з усіма суб’єктами захисту незалежно від форм власності, був центром експертизи, знань та довіри. Останнє є найголовнішим.

Жоден державний орган в сучасній Україні зробити це не хоче та/або не може. Немає грошей, немає фахівців, немає мізків, немає відповідної бізнес-культури (совок у їхніх головах ще надовго). І ніякого бажання відповідальності.

Бізнес те зробити може, але не хоче: навіщо вкладати власні, зароблені тяжкою працею гроші у довготривалий стратегічний проект, з невідомими термінами повернення інвестицій (а скоріш за все, ніякого повернення не буде). А плюс конкуренти та перевірки, а плюс недовіра користувачів а-ля «а хто ви такі», а плюс хз скільки коштуватиме подібний проект, і таке інше.

Громадське суспільство та кібер-ком’юніті теж може, але теж не дуже хоче. Навіщо навчати слона танцювати, якщо воно ж потім тебе і розчавить.
Приклад: війна громадськості проти держави стосовно законопроекту #6688.
Тому зусилля ком’юніті локалізовані на допомозі тим, хто сам хоче врятуватися: проводяться кібер-конференції, мітапи, семінари; пишуться навчальні та роз’яснювальні матеріали; проводиться робота з молоддю та студентами, дехто навіть дозволяє собі пописувати критичні статті у всяких ваших фейсбуках.

Тобто наразі ситуація з національної системою кібербезпеки в Україні є патовою.
Хто хоче – не може, хто може – не хоче. Коло замкнулося і поки не розмикається.
Зміни явно потрібні, але старого NotPetya вже забули, новий NotPetya ще не настав, а інші потужні драйвери наразі відсутні. (Як нещодавно виявилося, #FRD не є ефективним драйвером – сумний жарт для тих, хто був на останньому NoNameCon).

Максимально детально, з цифрами та фактами про існуючу ситуацію у системі кібербезпеки України можна подивитися відео виступу тут: https://tinyurl.com/y6qks3xm
а слайди виступу тут: https://tinyurl.com/y4odsurb

Песиместичненько? Так.
Життя таке – воно бентежить. Але ж куди діти ту кляту правду?

Разом з тим.
Навіть якщо Вас зжерли, у Вас є принаймні два виходи.

Тож переходжу до другої частини, оптимістичної.
Як з цього всього вирулювати.

Незважаючи на апокаліптичність картини, яку я намалював у першій частині, ситуацію цілком можна і потрібно виправити.
І для початку потрібне бажання змінити ситуацію на краще.
Не просто утилізувати бабло «на кібербезпеку», безкінечно розмазуючи м’яке по рівному, а досягти конкретного результату у найближчі терміни. Ще у цьому житті.

Як конкретно це може виглядати?
У зв’язку з нульовим рівнем довіри кібер-суспільства до будь-яких державних інституцій, для початку створюється неприбуткова організація за участю трьох-чотирьох засновників:
західних донорів (інвестиції), кібер-бізнесу (кваліфікація та професіоналізм), Уряду (фактор стабільності та законодавча узгодженість), професійна кібер-ком’юніті (сучасність, кваліфікація, драйв, ініціативність).

Драйверами позитивних змін має бути невелика група ентузіастів-концептуалістів, візіонерів, які сформують нові принципи побудови національної системи кібербезпеки та розроблять ефективні механізми її функціонування.

Основні принципи такі:
– донести базові знання про основи кібербезпеки (10 простих правил, які різко підвищують кібер-грамотність) якомога більшій кількості людей: у медіа, Інтернет, на біг-бордах, на сіті-лайтах, на листівках, на Майдані, серед бухгалтерів та лікарів, у школах та університетах, в держустановах та в комерційних фірмах, на конференціях та мітапах, на телебаченні і радіо, у подкастах, на вебінарах та в Інстаграм, тощо;
– стати авторитетом для бізнесу, центром довіри та обміну інформацією про інциденти;
– бути точкою об’єднання місцевої кібер-ком’юніті, хостом для кібер-тусовок;
– стати головним джерелом новин та інформації про останні тенденції світу кібербезпеки;
– допомога у розробці сучасного кібер-законодавства на основі міжнародного досвіду;
– жодного примусу, ніяких владних повноважень
– максимум відповідальності: хто не справляється – миттєво на вихід.

Це якщо дуже коротко та спрощено, на двох пальцях.
Розгорнуто про те, як цього всього можна досягти – тут: https://tinyurl.com/y3t3gtn2
або відео тут: https://tinyurl.com/y2cq5fjq (1:35:10)

Хоча, якщо чесно, я не вірю в те, що Зе-команда взагалі зацікавиться тематикою кібербезпеки. Принаймні, до осені. І не факт, що у цьому році.
Скоро парламентські вибори, потім формування коаліції, призначення прем’єра та міністрів, битва проти парламенту та політична торгівля з кланами.
А кібербезпека не дає прямих і швидких вигід: це процес довгий, мізко-місткий та витратний.
Ніяких тобі тисяч лайків та шерів, принаймні перші два роки. Ніяких стадіонів, референдумів та «зарплата вчителя $4,000».
Скоріше навпаки: тяжка робота, яка потребує високої кваліфікації, спротив розпилювальної системи, багато витрат і ніяких прибутків, постійна відповідальність і готовність спілкуватися із суспільством – часто і відверто.
Тобто багато мінусів та мало плюсів.
Серед оточення Президента Зеленського найближчий до ІТ-галузі, наскільки я зрозумів, SMM-щик Міша, але ж SMM – це навіть не ІТ. Хіба що соціальна інженерія.
Та і серед ІТ-шників приблизно один зі ста має хоч якесь уявлення про кібербезпеку, Серед обізнаних ІТ-шників приділяє їй увагу так само мало.
А тих, які застосовують, наприклад, практики безпечної розробки та додатків – взагалі одиниці.
Але ж оголошений Володимиром Олександровичем курс на діджиталізацію та “країну в смартфоні» підніме Ліфтом з дна ІТ-шних глибин різного ступеню крезанутості ІТ-проекти, які ніколи не розроблялися з урахуванням вимог безпеки.
Ба більше: ніколи не чули про них. «У нас свій власний алгоримт, у нас своя власна CMS», ага.
Наш немаленький досвід роботи у Бережі просто кричить, що у країні майже ніхто і майже ніколи не розробляв ІТ-продукти згідно правил безпечної розробки чи то заглядав у OWASP Top-10. «Майже» – тому що NotPetya декому все ж прочистив мізки.
А якщо авантюрний проект «країна в смартфоні» буде розвиватися без врахування кібербезпекової складової ще на стадії архітектури – «ППЦ всім сподіванням», як казав класик. Опівночі карета перетвориться на гарбуза, а поважні службовці з золотими галунами – на дрібних мишей.

Я не зловтішаюся і не вангую – просто знаю, що буде саме так. Так було сотні раз до цього і так буде сотні раз після цього. Але кожне нове покоління натхненних кодерів вперто суне по власній магістралі граблів. Нехай щастить.

Ось десь якось так.
Яку частину цього опусу показувати чи цитувати і кому – на Ваш розсуд, пані Оксано.
Мені ж битися головою об стіну вже трохи набридає.
Я теж проти корупції, я теж за електронне урядування, я теж за інвестиції та технопарки.
Але я професіонал у своїй справі і розумію, що не існує простих рішень складних проблем. «Просто пєрєстать стєлять» тут не працює. У національній кібербезпеці найбільшої в Європі країни все трохи складніше. І не трохи.

Бережімося

P.S.:
На той випадок, якщо когось з команди нового Президента зацікавлять актуальні проблеми української кібербезпеки «без купюр», залишаю тут посилання на відповідні статті.

Відвертий аналіз кривенького Закону України “Про основні засади забезпечення кібербезпеки України»: https://tinyurl.com/yy4ccy29

Про формально-корупційний урядовий план заходів з реалізації Стратегії кібербезпеки: https://tinyurl.com/y4k8aeqn
https://tinyurl.com/y6enuja3

Про законодавчі маніпуляції кібер-правоохоронців: https://tinyurl.com/y3hpe8br

Про корупційні законодавчі ініціативи Держспецзв’язку: https://tinyurl.com/y5a3a4fq

Про Приватно-державне партнерство у кібербезпеці. Як це працює у Фінляндії.
https://tinyurl.com/yxfr8g25

Про кібербезпеку на атомних електростанціях: https://tinyurl.com/y46gvb7u

Про міжнародну кібер-допомогу та її ефективність: https://tinyurl.com/y35qw4le

Огляд головних кібер-подій в Україні у 2018 році: https://tinyurl.com/y4svbdku

Огляд головних кібер-подій в Україні у 2017 році: https://tinyurl.com/y3k4zss4

Купа різних блогів на теми кібербезпеки на Укрінформ: https://tinyurl.com/yyyjvoch

Повне зібрання моїх творів на теми кібербезпеки – на моїй Фейсбук-сторінці: https://tinyurl.com/y2wp3yll

Костянтин Корсун

Голова Ради Громадської організації Українська група інформаційної безпеки, директор компанії з кібербезпеки Berezha Security.