Головна Блог Про долари в кібербезпеці
Про долари в кібербезпеці

Про долари в кібербезпеці

Ну хто б сумнівався, шо Держспецзв’язку теж протягне свої некваліфіковані рученята до 38 млн. доларів американських платників податків «на кібербезпеку».

Так, мова йде про той самий скандальний проект USAID ‘Cybersecurity for Critical Infrastructure in Ukraine Activity’ («Кібербезпека критичної інфраструктури України»), про який я вже неодноразово розказував. Хто ще не читав – в кінці будуть посилання на усі серії цього гімну міфологізованій некомпетентності.
І це лонгрід, як ви вже ся здогадали.
Коли у серпні 2020 міні-цифрові заявили «а ми стали бенефіціарами кібер-проекту USAID, бе-бе-бе» – тоді мене бомбануло дуже потужно. Безвідповідальне міністерство цифрових мрійників, жодного кібер-фахівця (досі), без найменших легальних повноважень у кібербезпеці, зате з безліччю понтів та «карт-бланшів» по кишенях, плюс «роль кібербезпеки трохи перебільшена» і «ми всіх звільнили, а воно працювало» – виглядало то все як п’яні підлітки з кулеметом. А туди ж, теж пхнуться у дорослі справи та тягнуть рученята до грошей «на кібербезпеку».
Ух я і лютував з тієї заяви.
Але коли тепер Держспецзв’язку проголошує «а ми теж бенефіціари USAID-івських мільйонів, бе-бе-бе» – то тут моє ставлення трохи інше.
Вимушений визнати (під скрипіння власних зубів), що Держспецзв’язку (воно ж ДССЗЗІ) хоча б формально, але має певний стосунок до кібербезпеки: кілька їхніх кібер-функції зазначено у законах, існує купа нормативки з ТЗІ-КЗІ, у них якось там наче ще працює CERT-UA, вони продовжують штампувати паперових тигрів у вигляді «атестату відповідності КСЗІ» (який ніфіга не Оскар з кібербезпеки, ні, пане Федоров).
Більше того: серед усіх державних установ це відомство стоїть до кібербезпеки найближче. Щоправда, десь як серед тварин мавпа найбільш подібна до людини цивілізованої, але менше з тим.
Загалом-то, у сенсі кібербезпеки Держспецзв’язку є притулком низько-кваліфікованих бюрократів, які мають нахабство називати себе фахівцями з кібербезпеки. А кілька приємних виключень лише підтверджують це загальне правило.
Побудована ДССЗЗІ на фундаменті корупції і досі тримається купи як окреме відомство виключно за рахунок колосального нагромадження різних нормативних документів, яке воно навколо себе збудувало за майже 14 років своєї історії.
Це був стислий опис моєї любові до Держспецзв’язку (у внутрішніх колах його ще жартома іменують ДСС331, вимовляється «де-ес-ес-триста-тридцять-один»).
А тепер хотів би прокоментувати ось цю заяву Держспецзв’язку про встромлення і їхнього пихатого писку до солодкого дерібану американських мільйонів: https://bit.ly/3qkb37Y
Формальним приводом занурення у мутні непрозорі потоки є той сумний факт, що Держспецзв’язку буде створювати Державний реєстр об’єктів критичної інформаційної інфраструктури. Чергова жертва Богу Реєстрів (тяжко зітхає).
Тому над публічною заявою ретельно працювали, це очевидно. Знають, шо я з ними слідкую, знають.
Але на то вони і невігласи, щоб косячити постійно та регулярно: навіть коротке повідомлення не здатні без дурниць написати, – не те що дати живе інтерв’ю чи недайбох на онлайн-дебати вийти (до речі, Федоров – сцкл.. боягуз з манією величі).
Так от, переходжу до цитування перлів.
“З метою розбудови потужної системи кіберзахисту та захисту критичної інфраструктури Держспецзв’язку використовуватиме власні знання і напрацювання, а також співпрацюватиме з міжнародною спільнотою. ”
Помітили, що місцева, українська кібер-спільнота не згадана? Думаєте, випадково? Ніт, не випадково. Це тепер нова парадигма. Тепер вони усі там домовилися дружно нас ігнорувати. Стосовно ж “власних знань” Держспецзв’язку – повірте, вони дорівнють знанням восьмикласника про влаштування міжнародної космічної станції. І це не перебільшення, це переменшення.
“Мета діяльності USAID в кібербезпеці – допомогти Україні знизити уразливість її критичної інфраструктури й перетворити Україну на потужного, активного лідера галузі.”
По-перше, між поняттями “знизити уразливість” і “стати потужним лідером” –повноцінна цивілізаційна прірва. “Я перестану бухати і тому одразу створю власну міжнародну бізнес-імперію”, десь так приблизно.
По-друге: начебто мета USAID перетворити Україну на “активного лідера” (лише у мене брудні асоціації з цим словосполученням?) – це брехня прямо в очі.
Навіть якщо слова якихось чиновників USAID і трактували таким дивним чином – все одно це не може бути правдою.
Активним лідером чого? Пост-радянського простору? Ги-ги. Расіюшка тихенько рже. Східної Європи? Камон, Пальща чи Естонія у цьому сенсі набагато кращі кандидати, от просто на порядок. І навіщо Штатам «лідер» з нестабільним та неадекватним політичним керівництвом? Сьогодні один прем’єр чи «міністр кібербезпеки», завтра – другий, за тиждень – третій. Ніякого горизонту планування. Божезбав від такого «лідера».
Коротше, з цією фразою перемудрили, і сильно. І якщо це пряма цитата USAID – мінус самому USAID. Але цілком може бути і кривий переклад дешевих (найдешевших насправді) перекладачів. Цілом життєва буде і версія про геніїв копірайтінгу з ДСС331, які тупо вигадали цю фразу))
«…поліпшення середовища сприятливого для розвитку сфери кібербезпеки шляхом вдосконалення українського законодавства,…” (там кома пропущена, але ладно вже)
Ще один, черговий, 100500-й прояв тотального нерозуміння у чому полягають проблеми «сфери кібербезпеки» в Україні. Криве та непрацююче законодавство є лише відображенням (причому у кривому дзеркалі недалекого чиновництва) фактичного стану справ. Підмальовуванням віддзеркалення справи не вирішиш, треба оригінал підправляти. Але звідки про це знати у Держспецзв’язку? Там досі свято вірять у чарівну силу «регуляторного впливу»: «Просто треба законодавство трохи підправити – і все стане прекрасно».
«…збільшення спроможностей до виявлення та подолання кіберінцидентів через забезпечення доступу до відповідних технологій та обладнання;…»
«Подолання кіберінцидентів»? Це п’яний студент писав? Ку-ку, anybody home?
Доступ до технологій та обладнання? Ви у себе в коридорах на вулиці Юрія Іллєнка 83Б ретельніше пошукайте: там і обладнання, і технології, усе свалено у велику красиву купу. Хоча навіщо мавпі ще один новенький мікроскоп – я не розумію. Вона ще старий не розпакувала.
За часів Євдоченка-Чаузова-Боярчука накупили стільки «технологій та обладнання», що кримінальні провадження досі розслідуються. Нових розслідувань хочете? Але американці будуть розслідувати трохи інакше, з ними буде значно складніше «порішати». І там буде цілковите no mercy: вони сильно не люблять коли крадуть їхні гроші. Дивні такі.
«…підготовка українських спеціалістів в галузі кібербезпеки шляхом підтримки освітніх програм, …» – а немає їх, освітніх програм, шо будете «підтримувати»? У сенсі якісь загально-національні. У кожного вишу є своя, суверенна та незалежна освітня програма, яка ніяк не перетинається з програмою сусіднього вишу. Хіба що букви української абетки у обох. А, і викладають (здебільшого) люди, далекі від справжньої кібербезпеки. І яким таким чином шимпанзе буде підтримувати програму з квантової фізики зграї вовків?
А оця фраза моя улюблена: “…розбудова стійкої екосистеми кібербезпеки, що використовує потенціал державно-приватного партнерства з метою розширення інновацій, забезпечує збільшення доступності й розвиток бізнес-можливостей, зокрема для малого та середнього бізнесу, у сфері кібербезпеки.”
Мабуть, її автор собою пишається: “оце я завернув!”
Насправді усе це – ахінея в обгортці завумності. Космічні кораблі бороздять простори Бальшова театру. В кучу змішані коні, люди, колготки та бетономішалки.
Спробую пояснити.
Екосистема виникає еволюційно, її не можна отак взяти – і «розбудувати».
Використовувати «потенціал» для її розбудови – теж звучить по-дурнуватому: він же потенціал, використовувати його можна лише якщо перетворити потенційну енергію на кінетичну, фізику у школі вчили, е?
«Розбудова екосистеми з метою розширення інновацій»?
Та шо ж ви там курите в ваших айкосах? Вам шо, тексти діджиталізатори пишуть? Треба ж хоч трішки думати що оці слова означають і чи вони поєднуються у одному реченні.
Увесь особовий склад ДСС331 треба шикувати тричі на день на якомусь плацу і вдовбити у їхні голови наступний тезіс: у словосполученні «державно-приватно партнерство» ключовим словом є «партнерство», яке означає рівні (!) права сторін.
А не їхнє традиційне «ей ви, комерси, а ну всі сюди, ать-два, барін щаз вам дасть цінну вказівку, а ви бабло нам несіть».
Йдемо до наступного перлу.
«Основними цілями співпраці між Держспецзв’язку та USAID за Проєктом є: розроблення Дорожньої карти розвитку кібербезпеки… »
Держспецзв’язку розробляє ці карти вже 14 років і результати цієї титанічної праці – не табло. Нулі себто.
USAID ще минулого літа публічно визнав свою низьку кваліфікацію у сфері кібербезпеки.
То яку скульптуру виліплять сліпий художник та глухий музикант – побачимо, але я якось не вірю у дива. Взагалі-то вірю, але не у кібербезпеці.
« …запровадження моделі зрілості кібербезпеки для забезпечення суб’єктів господарювання методологією оцінювання та поліпшення їхньої кіберготовності; »
От знов наскирдовано нібито розумних слів у нечитабельну беззмістовну купу.
Я ніяк не можу зрозуміти що це за «модель зрілості» така: організація або зріла, або ще ні, а що означає «модель зрілості»? Це алгоритм, якого слід дотримуватися, щоб стати зрілим? Чи це набір критеріїв для оцінки зрілості? Якщо це набір критеріїв – тоді навіщо запроваджувати цю модель «для забезпечення методологією»?
Брр, аж мозок закипає він спроби зрозуміти логіку невігласів. «Модель зрілості підлітка», наприклад, – от це як розуміти? Перестаньте вже набирати працівників вишуканого слова з першого вагону приміської електрички, дійдіть хоча б до другого.
І остання фраза: «створення поліпшеного правового, політичного та регуляторного середовища розвитку сфери кібербезпеки.”
Знов бюрократи-непрофесіонали намагаються виростити солодкі банани на Полтавщині взимку.
Причому лише тими методами, які їм знайомі та зрозумілі – «регулювання».
Шо вони взагалі здатні створити крім корупції? І що таке «середовище розвитку кібербезпеки»? Наприклад, я не знаю що це таке і як це створити. Як розвивати кібербезпеку – знаю, а як створювати середовище її розвитку – без поняття. Але ж вони там у державних кабінетах більше за мене знають за кібербез, ага.
Резюме: пафосний, але безграмотний анонс близького попилу USAID-івських грошенят був непоганою спробою показати що ти розумніший, ніж є насправді.
Але виходить все ще погано, try harder.
Між іншим, ніхто не в курсі, коли вже у Держспецзв’язку нарешті відберуть усі кібер-функції? Федоров саме так все і планував восени 2019-го.
Ага, і я ж обіцяв (для тих, хто не в курсі) нагадати історію про підлість, дурість, страх та істерику навколо 38 мільйонів доларів від USAID «на кібербезпеку», #cyberUSAID:
частина 1
з чого все почалося
частина 2 (публічна петиція)
частина 3 (непублічний лист до USAID)
частина 4 (апдейт)
частина 5
Про закулісні махінації корупціонерів та про статистику петиції
частина 6
Про травлю Мінцифрою експертів-підписантів
частина 7
Про байдужіть чиновників та пильність громадян. Total ignor
частина 8
Про «кількісні та/або якісні критерії ефективності проекту»
частина 9
частина 10
Про “коло некомпетентності”, яке замкнулося з рахунком 4:0 не на нашу користь.
частина 11
У проекту новий керівник, але усі старі проблеми.
Частина 12
Про непрофесіоналізм керівника проекту Тімоті Дюбеля
02/12/2020
Костянтин Корсун

Голова Ради Громадської організації Українська група інформаційної безпеки, директор компанії з кібербезпеки Berezha Security.