Позитивних новин підвезли. Щоправда, знов не з України. З Шотландії

Позитивних новин підвезли. Щоправда, знов не з України. З Шотландії

Позитивних новин підвезли. Щоправда, знов не з України. З Шотландії.

Шотландія – це країна, яка є частиною Сполученого королівства Великої Британії та Північної Ірландії. Вона увосьмеро (!) менша за Україну, як за площею, так і за кількістю мешканців, що не заважає їй мати більший за Україну ВВП.
І яка нарешті-таки заснувала CyberScotland Partnership (Партнерство КіберШотландії), до якого увішли не тільки бізнес-асоціація Scottish Business Resilience Centre (Шотландський Центр Кібер-Відновлювальноздатності), але також і Уряд Шотландії та Поліція Шотландії: https://cutt.ly/zlIITuw
Загалом у Сполученому королівстві 18 штук лише офіційних CERTів, то чим примітне саме це нове об’єднання?
А це просто яскравий приклад того, як має виглядати те саме Державно-Приватне Партнерство (ДПП), про яке так люблять просторікувати різні чиновники в Україні на різних трибунах та «круглих столах».
То чому ж у маленькій Шотландії ДПП працює, а в Україні – ні, і ще не скоро буде?
Я багато на цю тему вже писав, але якщо коротко, то у цій суто українській кібер-проблемі насправді всього кілька ключових моментів.
Перший і головний полягає у нестримному та непереборному бажанні вітчизняних чиновників за будь яку ціну залишити за собою «ключову роль держави». У Конституції однієї нині здохлої країни теж був такий принцип “керівна та направляюча роль КПРС”. Держава та вже тридцять років як відкинула копита, але принципи її державного управління досі живі.
Ні, нешановні, так це не працює у сучасному Світі здорових людей.
Партнерство – це рівність усіх учасників, а не оте ваше адміністративно-командне «упав-віджався».
Партнерство – це коли кожен з рівноправних (рів-но-прав-них) партнерів у пропорційних частинах і “вкладає”, і “отримує”. Де усі партнери рівні, як у прийнятті рішень, так й у керуванні об’єднанням.
Українські ж державні діячі бачать ДПП виключно як «ви все несіть сюди на купу, а ми будемо керувати і розпоряджатися даними на власний розсуд, не вашого ума ця справа, нам зверху видніше».
Саме так намагається “об’єднувати” суб’єктів кібербезпеки одна державна кібер-бульбашка з чотирьох пафосних букв та одного дуже нервового керівника.
І між іншим, звання “генерал поліції” скоріше відлякує бізнесменів об’єднуватися, ніж приваблює.
Коаліція з 10 організацій, які увійшли до складу CyberScotland Partnership проголошує своєю метою “…реагувати на виклики задля ясності навколо кібербезпеки як від приватних осіб, так і від бізнесу” (to respond to calls for clarity around cyber security both from private individuals and businesses.)
Помітили, що тут не йдеться про «державні інтереси» чи то «національну безпеку»?
Лише про приватних осіб та бізнес. За участю Уряду та поліції, так. Але без «держбезпеки», прикинь?
Тому що у далекій Шотландії чиновники чомусь усвідомлюють доволі просту тезу: безпека держави – це безпека її громадян та її економіки. Які платять податки і за ці податки існують Уряд та поліція.
Також CyberScotland Partnership не є і не може мати якихось владно-примусових повноважень, оскільки це добровільне об’єднання ключових кібер-стейкхолдерів на основі взаємної довіри.
Яке «.. пропонує свої ресурси кожному (кожному, Карл! не тільки для державних органів!), хто шукає інформацію та підтримку з питань кібербезпеки та проблем відновлювальноздатності бізнесу, а також у питаннях кібер-кар’єри, розвитку навичок, чи то настанов.»
(…central online hub to offer resources for anyone seeking information and support across a number of cyber security and business resilience issues – as well as cyber careers and skills support and guidance.)
Цікавий аспект якраз із кадровим питанням, яке прагне розв’язати шотландське кібербезпекове об’єднання.
Питання підготовки кваліфікованих фахівців ніяк не вирішується в Україні. Десятки вишів готують начебто “фахівців” за власними програмами, але потім, коли випускники приходять працювати у професійну кібербезпеку, – доводиться їх або відправляти на сертифікаційні курси, або перенавчати самим фактично з нуля, під реальні потреби бізнесу.
Не думаю, що у Шотландії такий самий бардак з кібер-освітою, як у нас, але і у них також гостро не вистачає кваліфікованих кібер-спеціалістів. Вони-то є, але їх недостатньо. І це питання також вже з 2018 року вирішує CyberScotland Partnership. Разом з Урядом та поліцією.
В Україні це питання поки ніяк не вирішене, незважаючи на задіяння до процесу американський урядовий фонд USAID з їхніми 38 мільйонами доларів. Тому що в Україні це не про вирішення кібер-проблем, а виключно про бабло і його розпил.
Задля підтримки бізнесу, CyberScotland Partnership обіцяє “сприяти розквіту шотландських кібербезпекових продуктів та послуг” (…the partnership will help to promote Scotland’s flourishing cyber security products and service industry.)
А яку підтримку бізнесу пропонують вітчизняні зазивали-об’єднальщики?
А ніяку.
«Ви приходьте до нас і об’єднуйтеся, ми ж РНБО-ДЦКЗ-ДССЗЗІ-«друг_президента», і згадування назви вашої фірми разом з нашою абревіатурою має бути вам за щастя». Тю. Цей дешевий розвод не працює вже років з двадцять.
Або ж підозрілі неясні натяки «ну там всякі варіанти можуть бути…» як потужний фактор привабливості. «А шо конкретно, яка бізнес-модель, що ми вкладаємо і що отримуємо?» – « Нууу, ти приходь, а там побачимо.» – «Тю. Такі пафосні, а такі неконкретні.»
Тобто чесному бізнесу абсолютно не зрозуміло нахіба об’єднуватися з мутними урядовими типами, які нічого зрозумілого не пропонують натомість. А самому вітчизняному бізнесу об’єднатися між собою поки не вдається, але це окрема довга історія.
Нове кібер-об’єднання Шотландії також запобігатиме «дублюванню зусиль».
А в Україні це якраз просто гіпер-проблема: кілька державних установ часто-густо дублюють якісь функції, але при цьому жодна з них не бере на себе відповідальність за провал їх виконання.
Усі наші госушні структури дуже ласі до збору готового врожаю, але усі морозяться від «саджати-ростити-поливати-удобрювати». Не барська це справа, можна ж руки забруднити.
Для мене поки залишилося нез’ясований питання джерел фінансування діяльності CyberScotland Partnership, а також персонального складу керівництва асоціації, але думаю, що у будь-якому разі в Шотландії це працює значно краще, ніж “ніяк” в Україні.
Адже у Шотландії чітко артикулюють: нове кібер-об’єднання працює на громадян та приватний сектор, а вже потім на Уряд та поліцію; «держава» не має «керівної ролі» у цьому проекті, держчиновники максимально відсторонені від управління асоціацією, але все ж присутні «для порядку»; замість пихатих спічів про «роль кібербезпеки» учасники об’єднання готові засучити рукава та вирішувати існуючі проблеми: кадровий голод, дублювання зусиль, підтримка вітчизняних кібер-проектів та інші.
І наостанок пару цифр про кібер-Шотландію: тамтешній національних кібербезпековий «кластер» налічує близько 230 компаній, з яких 48% засновані у Шотландії, і при цьому кожен рік з’являється близько 10 новий підприємств.
Я не знаю, у якому столітті Україна хоча б наблизиться на гарматний постріл до рівня Шотландії.
З того, що у нас є зараз, – нічого подібного до CyberScotland Partnership не виросте у найближчі роки. Бо нема з чого рости. І нема кому саджати, поливати, удобрювати. Ні в кого немає справжнього бажання займатися цією марудною справою.
Зате є нестримне бажання швиденько накосити бабла під модні гасла. І не тільки у вітчизняних чиновників, але і у «західних партнерів», які, як виявилося, зовсім не зацікавлені у розвитку кібербезпеки України.
А самі ми все ніяк не можемо усвідомити важливість цього напрямку розвитку.
Тому сидимо і чекаємо чергового не-петю, щоб почати віршувати власні проблеми власними силами, але у режимі «переляканий лось мчить по палаючому лісу».
Ну штош, якщо лише так це працює в Україні – будемо бігти виключно по власним незалежним граблям.
Хоча рішення вже давно існує, продумано кращими фахівцями і навіть опубліковано. Але проблема у тому, що у цьому рішенні немає місця розпилам та «керівній ролі» чиновників. Тому госушні «кібер-захисники» надійно блокують усі розумні ініціативи, які «щоб їхати», а не «щоб шашечки». І продовжують свої бурхливі та брехливі імітації, пілорами та квиткові каси.
Спроби пробити цей бетон та докричатися до некорумпованих західних партнерів поки що не дають результатів. Броня міцна. Але ж вода камінь точить. І це єдина надія наразі сподіватися на настання кращих часів.
І наостанок знов про КіберШотландію.
Загалом я трохи здивований, що Шотландія дійшла до створення кібер-асоціації лише тепер. Мабуть, йдеться саме про суто шотландські компанії та організації, як частину національної ідентичності шотландців як окремої нації, а не як частину the UK.
Не втратити себе, не розчинитися. Про це ми, українці, в курсі)

Дякую Олексій Мервінський за регулярне відслідковування міжнародних подій та новин у сфері ЗПД та кіберзахисту.

P.S.: 17 березня день Святого Патріка, але прошу не плутати Шотландію з Ірландією 😉
Костянтин Корсун

Голова Ради Громадської організації Українська група інформаційної безпеки, директор компанії з кібербезпеки Berezha Security.