Про Національний індекс кібербезпеки-2020

Державна наша служба спеціального нашого зв’язку та тіпа-захисту інформації (Держспецзв’зку) знов утнула кумедне та з розгону поцілувала себе у дупу.

І навіть не зрозуміла цього.

Бравурне повідомлення “Україна посіла 25 місце у Національному індексі кібербезпеки-2020” я чемно попросив прибрати, щоб не позорилися. https://cutt.ly/IhbAs4M

Але вони не прибрали. Очевидно, тому, що не зрозуміли ашотакойє. Ладно, розкажу коротенько.

Все ж просто.

Навіть для зовсім упоротих чиновників має бути зрозуміло, що коли кажуть, що Україна у чомусь хорошому випереджає такі країни як Австрія, Ізраїль, Японія, Люксембург, Норвегія, Південна Коря – то значить шось тут не так, еге ж? Явно якісь підводні камені, серйозні “виключення” або “особливі умови”. Низька вартість життя – це не досягнення, до речі.

Щодо ж кібербзепеки – я категорично стверджую, що кожна з цих країн ще 15-20 років значно випереджали Україну за рівнем розвитку. Тобто 15-20 років тому вони були більш кібер-розвинутими, ніж ми – зараз. І ще невідомо скільки наздоганяти, поточну перспективу досягти їх рівня 2000 року я оцінюю приблизно як нуль.

У 2007 я тиждень був у Сеулі і на власні очі бачив як працює і приватно-державне партнерство, і система обміну інформацією про інциденти, і усі ці колосальні екрани на всю стіну та чому Південна Корея стала одним з лідерів Азія-Пасіфік регіону, разом з Австралією та Японією.

Наші ж хлопці наразі поки що змогли змавпувати лише великі екрани. Всьо.

Це мої експерті оцінки.

Хочете фактичних даних? Їх є у мене.

Ось вам дуже простий критерій: кількість команд реагування на інциденти у країні, які зареєстровані у міжнародній організації FIRST.

Австрія: 6 команд

Ізраїль: 3 команди

Японія: 38 команд

Люксембург: 3 команди

Норвегія: 16 команд

Південня Корея: 11 команд.

Україна: одна нещасна напівдохла CERT-UA, яку я зі своїми людьми створив у 2007-2009 і яку абізяни ніяк не можуть остаточно розвалити. Хоча стараються щосили.

Слід зазначити, що далеко не усі команди реагування прагнуть реєструватися у FIRST, багато хто не реєструється через вартість ($2,400 на рік) або реєструються у інших схожих організаціях (типу Trusted Introducer).

Тобто насправді у цих країнах команд значно більше. А в Україні лише одна.

Ви взагалі відчуваєте масштаб?

Країни розміром з трикімнатну квартиру на Печерську мають утричі більше команд реагування. Якщо брати кількість CERTів пропорційно кількості мешканців у країні, то, скажімо, у порівнянні з Люксембургом, в Україні повинно було б бути десь 205 таких команд.

Це за умови, що Україна точно такого ж рівня розвитку.

Але ж, згідно загадкового «Національного індексу» ми попереду Люксембургу!

Україна – 25 місце, Люксембург – 32. На сім позицій випереджуємо! Це ж переможенька! Уря. Уря.

Звісно, це сарказм. І звісно, цей рейтинг – повна дурня.

Тому придивимося уважніше до того «Національного індексу кібербезпеки-2020” (NCSI)

Читаємо що написано у них на сайті: «NCSI is held and developed by

e-Governance Academy Foundation»

Ага, так це ж друзяки Мишка Федорова і його веселої банди жижиталізаторів: eGA.

Які дають їм гроші на безкарну та нещадну діджиталізацію в Україні.

Які позиціонують себе світовими лідерами е-урядування, але крім них самих цього факту ніхто не визнає.

Які проводили типу-пентеста додатку Дія, не маючи для цього ані найменшої кваліфікації.

Які є насправді non-profit think tank, себто щось на кшталт суміші громадської організації, клюбу розмовного жанру та асоціації безробітних художників.

Які позиціонують Україну у одному ряду з Мадагаскаром, Маврикієм, Самоа та Туркменістаном: https://cutt.ly/7hbZDos

Але ці фінансовані державою ідеалісти-гуманітарії пішли далі і винайшли свій власний рейтинг: Національний індекс кібербезпеки.

І цей рейтинг засновано на трьох показниках:

(D)DoS,

порушення цілісності даних,

порушення конфіденційності даних.

Всьо.

Ось така примітивна картина Світу.

Але навіть ця спрощена до рівня совкової лопати модель вимагає наявності повних достовірних даних про інциденти.

І ось тут у Пєтькі масть і повалила.

В Україні немає і ніколи не було релевантної статистики по кібер-інцидентам. Не повідомляють жертви про кібератаки проти них. От не хочуть і все.

По-перше – кому повідомляти? Дев’ять тільки головних суб’єктів забезпечення кібербезпеки. Усі по пояс дерев’яні. Усі – 100% державної форми власності та майже усі – силові структури.

По-друге: тотальна корупція. Чиновники на символічній зарплаті чекають першої-ліпшої можливості щось вкрасти, позловживати та продати за десять копійок. Причому продати інформацію про інцидент можуть і конкуренту компанії, яка повідомила про нього.

По-третє: до того, хто повідомив про інцидент запросяк можуть ввалитися якісь гринчаки-кропиви (кібермусора) з обшуками та пересувною квиткової касою під пахвою. Була б людина хороша – а стаття знайдеться. Ти ж критична інфраструктура, ось тобі в зуби ст. 363 ККУ і назавжди, курва, запам’ятай як добровільно бдл державі допомагати, комерс сраний.

Тобто немає даних по інцидентам – значить не було інцидентів. Зате є армія кібер-чиновників, які не допустили та побороли. А значить рівень кібербезпеки країни – високий.

Саме так усе розуміють наївні та трохи пришелепкуваті хлопці-естонці, адже сучасне покоління дорослих естонцівнашого пострадянського пздця навіть не пам’ятає. А для нас це буденна реальність.

Пам’ятаю, як у одному з коментарів колега розказав історію про своє спілкування з естоніською кібер-високопосадовицею «А якщо чиновник раптом захоче продати довірену йому інформацію? Які у вас запобіжники?»

На що жінка-естонка з подивом відповіла «Ну як це? Такого просто не може бути. Про це ж усі довідаються! І людині буде соромно! Можливо навіть доведеться звільнитися з держслужби, з позором! Ні, в Естонії таке не можливе.»

І ось ці люди на повному серйозі розраховують індекс національної кібербезпеки в Україні, де ще років тридцять слова «державний» та «корупція» будуть вважатися синонімами.

У випадку сучасної нам міні-цифри до розкрадання наших грошей додається ще й тотальне агресивне невігластво. За колосальні гроші. Без всякої корупції – просто віджали скіко собі захотіли – і пофіг шо там виють на болотах. Циц там, босота. Ви вже віддали нам свої гроші, лохобани.

Але повернемося до творчості душевнохворих:

Цитата:

«Аналіз здійснювався за такими напрямами:

-законодавство у сфері кібербезпеки;

-аналіз кіберінцидентів;

-освіта у сфері кібербезпеки;

-забезпечення захисту цифрових та основних послуг;

-електронна ідентифікація та довірчі послуги;

-захист персональних даних;

-заходи із реагування на кібератаки та кіберінциденти;

-боротьба із кіберзлочинністю.»

Якби аналіз проводив я, та у мене висновок був би значно коротший, а місце у рейтингу – десь між Бурунді та Тувалу.

Законодавства – практично нема. Лише фікція.

Аналізу кіберінцидентів – точно нема. Так само як і реагування на кібератаки та кіберінциденти. Усі реагування держави України зводяться до насуплених брів поліцай-генерала Демедюка.

Кібер-освіти – сто процентів нема, атвічайю.

Захист цифрових послуг – я вас благаю, що у цій країні взагалі захищено? Коли держава щось у вас останній раз захистила? К’мон. Лише віднімати та ділити, іншому не навчані.

Електронна ідентифікація та довірчі послуги – так-сяк, але КЕП/ЕЦП визнаються виключно в Україні, навіть Східна Європа не поспішає визнавати наш електронний цифровий підпис.

З 2005 року в Україні не імплементована Будапештська конвенція – про яку «боротьбу з кіберзлочинністю» тут взагалі може йтися? О чьом ви, дєвушка?

Звісно, я розумію, що Держспецзв’язок постійно усі ображають, тицяють пикою у лайно, сміються. І це неприємні відчуття.

А їм так хочеться визнання, любові та ласки. Ось і вигадують собі (зі своїми корєшами) якісь рейтинги та індекси, розтягують на підлозі організаційно-технічні моделі кібербезпеки, вишивають хрестиком кишенькову раду псевдо-кібер-експертів.

Щоб здавалося, ніби вони круті як поросячий хвіст.

Щоб виглядало, нібито існують у Світі місця, де їх цінять та поважають. Не за відкати чи порішані тендери, а просто так.

Все це зрозуміло і навіть інколи десь їх можна пожаліти, але природи речей не змінює.

Для перевірки справжнього рівня крутості пропоную кібер-борцям Держспецзв’язку попроситися попрацювати у eGA. Адже ж 25 місце рейтингу, не хухри-мухри. Можна онлайн, без надання громадянства, через е-резидентство. Платитимуть точно більше, в рази. Шо принишкли, хлопці-естонці? Куди побігли?

Пожартував я. Жарт це був, жарт, стійте.

Сподіваюся, наступного разу Україна увійде до першої десятки країн за рівнем кібербезпеки.

Нє, нуачо? Все одно естонський Національний індекс кібербезпеки не має жодного стосунку до реальності. То шо стидатися? Можна навіть і на перше місце поставити. Нехай Федоров зателефонує якомусь чорту, чи як там це у них працює.