Подивився стрім по актуальним проблемам національної кібербезпеки
Подивився стрім Tim Karpinsky та Sean Brian Townsend по актуальним проблемам національної кібербезпеки.
https://cutt.ly/7KarUM2 (лише «для друзів»).
Маю величезну повагу до них обох, до їхнього досвіду та кваліфікації. Звісно, я підтримую більшість зі сказаного. Але з окремими тезами не можу погодитися. Тому зараз пишу свої дружні зауваження задля фахової дискусії, не маючи наміру накинути на поважних людей, яких давно знаю, люблю та високо ціную.
Отже, по порядку.
«Державні сайти течуть». Згоден. Текли, течуть і будуть текти. У якості вирішення проблеми Тім (та Шон?) пропонують «єдине рішення», «платформа», «корпоративний стандарт». Єдині вразливості, але єдине їх виправлення, єдиний менеджмент. Саме такий підхід пропагує Держспецзв’язку. Я міг би погодитися на «єдиний стандарт» якщо б малися на увазі якийсь фреймворк або перелік задіяних технологій, якісь стандратизовані практики, єдина система навчання та складання іспитів. Але я сильно проти «єдиного менеджементу». Адже мається на увазі скоріш за все той самий 331-й центр ДСС-кібербезпеки? З єдиним величезним бюджетом на усі державні ресурси, еге ж? Від селищної ради до сайту ВРУ та ОП, з монопольними повноваженнями? І якщо хакнуть цю величезну «вежу зі скарбами» (а це колись неодмінно станеться) – одночасно ляжуть тисячі державних веб-ресурсів? Не можу з цим погодитися, вибачте.
Наповнювати та адмініструвати сайт будуть місцеві чиновники, а безпекою займатиметься Держспецзв’язку з Києва? Чесно кажучи, я погано собі уявляю як це зможе працювати.
Але з точки зору «розподілу потоків» та передумов до корупції – ідеальне рішення.
І тейво, як тоді бути з перевагою «відсутності єдиного центру прийняття рішень», як це наразі відбувається з «партизанською кібервійною»?
“…CERT-UA повинна займатися виключно державними ресурсами».
Категорично ні. Насправді, коли я 15 років тому «з нуля» писав перше «Положення про CERT-UA”, то окремо акцентував увагу на тому, що це сервіс не для лише госухи, а для всіх. Мені це питання ставили багаторазово протягом років, і завжди відповідь була одна – «Ніт, це не тільки для держсектору». Але з тих пір пройшло багато часу, і про початкові принципи вже майже ніхто не пам’ятає. Зараз CERT-UA позиціонується чомусь як виключно «для держсектору». Мене, як його ідеолога та безпосереднього творця, це засмучує.
І до речі, в Україні як була одна у 2008 році сертифікована CERT-команда – так вона одна і залишається донині. Ось карта FIRST: https://cutt.ly/AKar4Z6
Микола Коваль, створивши свій власний CERT, також колись сертифікувався, і певний час в Україні було дві сертифіковані FIRST команди. Але потім він вирішив не подовжувати членство у FIRST. Чому – спитайте його самого. Думаю, мова йтиме про зависокий «цінник» та недостатню «віддачу».
Потім відповідали (Тім говорив, а Шон мовчазно підтримував) на моє питання про «успіхи держсектору у кібервійні, чи щось змінилося на краще, і чи має національна кібербезпека хоч якісь шанси у цій країні».
Відповідь про успіхи я зрозумів так: задовольняйся тим, що у пабліку, але багато чого не буде публічно доступно з цілого ряду причин. Процитую Тіма: «Коли ви афішуєте свої успіхи, ви палите дві речі: перше: техніки, тактики, процедури; друге – замисел атаки».
Тут ми явно не зрозуміли один одного. Я мав на увазі кіберзахист та систему національної кібербезпеки, а з відповіді АртемІванича очевидно, що він мав на увазі наші наступальні операції. І у цьому випадку його позиція «патамуша Operational Security” цілком виправдана, підтримую. Але вона зовсім не є аргументом якщо говорити про кіберзахист та національну оборонну кібербезпеку, які мав на увазі я.
«Що змінилося щось на краще?»
Хлопці вважають, що так.
Тім пояснює, що тепер «роль кібербезпеки» (С) вже геть не перебільшена, а «роль кібербезпеки держсектору» є пріоритетом №1 (думаю, мається на увазі «у кібер-домені).
«Змінилося те, що прийшло усвідомлення, що у нас є дуже великі проблеми, і що ми починаємо над цим працювати».
У мене одразу питання: «ми» – це хто? Держспецзв’язку? МЦТ? НКЦК? «Основні суб’єкти»?
І що значить «починаємо над цим працювати»? А чому не почали коли кілька років тому, коли про ці ж самі проблеми волали і Тім, і Шон, і я? А проблеми з безпекою додатку Дія точно вже всі-всі вирішені і до цього аспекту вже немає питань? Пани з вулиці Ділової точно входять до отого колективного «ми»?
Я можу показати десятки повідомлень, заяв, дописів та лінків протягом кількох останніх років, коли різні кібер-чиновники топ-рівня рівно так само казали і про «усвідомлення проблем», і про «починаємо їх вирішувати». Навіть нову Стартегію кібербезпеки нарешті викотили, під тиском громадськості.
У результаті країна увійшла у стадію тотальної кібервійни так само неготовою, як і в 2014.
То чому зараз можна більше довіряти рівно тим самим словам? Адже люди на поважних посадах лишилися все ті ж самі, з тими ж підходами та рівнем компетенції. Маю на увазі осіб, які приймають рішення, а не рівень виконавців.
«Та є шанси у національної кібербезпеки!» – далі відповідає мені шановний керівник ГО «Український кіберальянс».
На його думку, проблема у тому, що ми (мабуть, «професійна спільнота») знаємо «як зробити зашибісь», але сприймаємося з боку госухи у стилі «іди нахер, шлепер».
Все так, бро, не маю жодних сумнівів.
Але АртемІванич вважає, що накидання на вентилятор у фейсбуці не є ефективною тактикою. Хоча прекрасно пам’ятає, що свого часу ми з ним та з іншими колегами випробували УСІ лояльні та толерантні методи вплинути на владу задля примусу до професіоналізму у питаннях кібербезпеки. І все було марно. Тому що, за великим рахунком, «нас» (професійну спільноту) та «їх» (держапарат) цікавлять різні речі: їх цікавлять розпили, гранти, закордонні відрядження, бюджети, штати та політичні дивіденди. Нас – реальна кіберзахищеність країни та виключно професійні підходи для досягнення цієї мети.
І ці світи практично ніяк не перетинаються, хіба що риторикою, словами з приставкою «кібер».
Я для себе вже давно зрозумів: спроби пояснити, переконати, показати, розказати – все марно, я робив це безліч разів. Усе, що я можу зараз зробити у даній ситуації – викривати у ФБ брехню та непрофесіоналізм. Бути такою собі щукою у ставку. Більше нічого не працює. Це ж я планую робити й надалі, поки живий і на свободі. Чесно скажу, існує значно дієвішій спосіб – самому «стати владою» – але відкидаю його як завідомо нереальний. Та й не хочеться, чесно кажучи.
«Під час війни ми будуємо свої сили кібероборони» – я цю фразу Артем Іванича хочу просто зафіксувати, поки ніяк її не коментуючи. Нагадаю лише усім відому річ, що defensive security/blue team та offensive security/red team – різні речі.
Пояснення шановного АртемІванича про поточний хаос з повноваженнями у держсекторі, хто за що відповідає і чи відповідає взагалі – повністю підтримую, такий стан існує давно, я його нещадно критикую і навіть розробляв різні пропозиції з докорінної перебудови та застосування принципово інших підходів. Ці пропозиції, звісно, давно спущені в унітаз тими, хто мав би до них дослухатися. Мало того, існуюча система лише підсилюється, цементується її бенефіціарами і я поки не бачу перспектив змін на краще. Не виключено, що якісь “подвижки” вже є, але вони так глибоко під водою, що мені їх не видно. І зовсім не факт, що вони колись доростуть до видимих позитивних зрушень.
Підтримую абсолютно справедливі слова про катастрофічний брак кваліфікованих «кадрів» та відсутність системи їх підготовки – як для приватного сектору, і особливо для державного.
Це беззаперечний факт, сто відсотків.
Але знов: ситуація виникла не вчора і не позавчора, вирішити її намагалися безліч разів, у тому числі великі та багаті приватні компанії, із залученням дуже професійних фахівців. МЦТ колись виділяло на це шось близько 400 мільйонів.
Але, точно так як і раніше, наразі фіксуємо патову ситуацію у цьому секторі. Заклик Тіма «давайте інвестуйте у навчання фахівців» поки що є лише закликом, без дієвих механізмів реалізації та зрозумілої мотивації.
Багато говорили про «нам потрібен Закон про національні сили кібероборони» і що відповідний проект скоро опублікують. Але цю важливу тему я прокоментую у наступному дописі. Бо багато маю чого сказати.
Поки що зазначу, що я очікував на цьому стрімі почути про позитивні зрушення або хоча б про передумови до них. Але все що прозвучало – я і так знаю. Словам Тіма та Шона про певні покращення у державному кібер-секторі я, звісно, довіряю.
Але також зрозумів, що принципово нічого не змінилося. Здогадуюсь, що до урядової команди залучили (частково?) кількох патріотичних «левів», але стратегічно керують ними все ті ж «барани».
І ще одного не зрозумів: як цей стрім слід позиціонувати? Це спроба комунікації від імені кібер-госухи? Якщо так, то прозвучало це неочевидно. У різних випадках займенник «ми» позиціонувався зовсім по-різному, інколи діаметрально-протилежно.
Ще про DDoS дуже сподобалося.
А поки триватиме дискусія про все, що я оце написав – а я пішов писати другу частину, про такий важливий Закон.