Про новітню Стратегію кібербезпеки
Новий керівник РНБО і він же новий керівник Національного координаційного центру кібербезпеки пан Олександр Данилюк анонсував розробку нової Стратегії кібербезпеки.
Новий керівник РНБО і він же новий керівник Національного координаційного центру кібербезпеки пан Олександр Данилюк анонсував розробку нової Стратегії кібербезпеки: https://bit.ly/2Nvt0Sk
Але розробляти її планується лише за результатами «огляду стану кіберзахисту державних електронних інформаційних ресурсів». Що мається на увазі під розпливчастим терміном «огляд» – невідомо. Аудит? Якщо аудит – то аудит чого: мережевої інфраструктури, політик, моделей загроз, наявності засобів захисту?
Чи просто перевірка наявності адміна? Огляд сейфів, де зберігається атестат відповідності КСЗІ?
І яка кількість «державних інформаційних ресурсів» буде оглядатися. І ким. І скільки це займе часу. Я просто зараз впевнено стверджую, без всяких тривалих оглядів, що стан кібербезпеки державних електронних інформаційних ресурсів можна оцінити між «ніяк» та «пекельний капець».
Так само загадково звучить твердження «Ми зробимо усе від нас залежне, знайдемо найкращих спеціалістів, щоб український кіберпростір був захищений від будь-яких загроз».
Як відомо, найкращі спеціалісти працюють за найкращі гроші, а грошей навіть на середнього рівня фахівця у державних структур немає. Тобто гроші є, але платити їх легально механізмів практично не існує.
А гасло «захистити від будь-яких загроз» відпочатку звучить непрофесійно та утопічно.
Розумію, що пан Данилюк – у кібербезпеці людина нова і слабо орієнтується у предметі. Тобто приблизно так само, як і його попередник, пан Турчинов))
У такому разі краще писати обережніше, оскільки посада керівника Національного координаційного центру кібербезпеки нібито передбачає глибокі та/або широкі знання у цій області.
Але мій пост не про це.
Якщо нову Стратегію писатимуть знов лише чиновники – вона за ступенем актуальності та практичності мало відрізнятиметься від попередньої.
Тому пропоную нам, практикам та професіоналам кібербезпеки, самим накидати кістяк основних положень та смислів нової Стратегії.
Якщо наше бачення буде почуте та прийняте, пропозиції можна брати та викладати сухою чиновницькою мовою та затвердити встановленим законодавчим порядком. Авторські права даруємо, еге ж?
І це вже можна буде розглядати як перший паросток майбутнього державно-приватного партнерства).
Моя ж пропозиція така: я нижче навожу якісь базові тези (у моєму досить вільному викладенні), а колеги нещадно (але аргументовано) їх критикують, або доповнюють, або пропонують альтернативу, або розказують чому так не можна і таке інше. Або навіть підтримують, бо і таке буває у вільному суспільстві, хе.
Думаю, кілька корисних ідей точно мають Volodymyr Styran, Sean Brian Townsend, Jeoffrey Dahmer, Kir Vaznitcky, Andrii Pertsiukh, Андрей Перевезий, Oleksiy Semenyaka, Alex Yankovski, Alex Starov, Igor Kozachenko, Vladimir Ilibman, Олексій Барановський, Vic Zh, Andrew Chigarkin
Неконструктивні срачі, матюки, зауваження поза межами теми обговорення, політичні оцінки чинної влади будуть видалятися самим недемократичним чином та без попередження.
Усі коментарі по суті обговорюваного питання залишаться доступними публічно, навіть якщо з ними категорично не згодні більшість колег. Хай буде, для історії.
Як свідчить досвід останніх п’яти років, чиновники не мають поняття про сучасні реалії кібербезпеки, тому наші фахові обговорення повинні стати для них шпаринкою для погляду на реальний Світ кібербезпеки.
Тож вйо вже до Стратегії.
Вступні слова про важливість кібербезпеки пропускаю. Це белетристика, яка не потребує висококваліфікованих зусиль. Будь-який нормальний копірайтер здатен написати пару абзаців про «стрімкий розвиток» та «агресію росіянської федерації». У кого є бажання повправлятися у вишуканій грі слів – будь ласка. Мені це просто нудно.
Почну з Мети Стратегії.
Як на мене, Стратегія повинна одразу позначити орієнтовний часовий проміжок, протягом якого очікується реалізація її мети.
Максимум – 3 роки, якщо все піде згідно окреслених планів. Можна менше, але не більше.
Загалом краще вносити зміни до Стратегії щорічно.
Метою Стратегії має бути:
1) визначення головних, стратегічних напрямків побудови та розвитку взаємовідносин українських учасників кібербезпекового соціуму (згоден, термін сируватий, але його можна доопрацювати та винести відповідне визначення на початку загальних положень і потім імплементувати у відповідне законодавство; але поки немає іншого – буду користуватися цим);
2) окреслення характеру стосунків українських учасників кібербезпекового соціуму з іноземними, у тому числі ворожими, гравцями, а також перспективи розвитку таких відносин.
3) однозначна роль держаних органів України: сприяння та/або покращення умов ефективної співпраці учасників кібербезпекового соціуму як всередині країни, так і з іноземними позитивними гравцями. І не більше.
Підкреслю окремо: вкрай бажано після визначення мети Стратегії чітко артикулювати, що державні інституції не можуть брати і не беруть на себе функції нагляду, контролю, регулювання, інспекції, покарання за будь-які дії або бездіяльність у сфері кібербезпеки. У країні є кримінальний кодекс, цивільний кодекс, адміністративний кодекс і купа іншого законодавства, яке може призначити винних за певні злочини або неправомірні діяння. Якщо бездіяльність керівника/власника мережі призвела до негативних наслідків і містить ознаки скоєння злочину – нехай цим займаються правоохоронці, слідчі, суди.
Сфера кібербезпеки потребує, перш за все, довіри між учасниками кібербезпекового соціуму, і держава повинна взяти на себе виключно сервісну функцію «сприяти діалогу» + «не заважати», а в деяких окремих випадках, можливо, виступати в ролі арбітра, але без карально-примусових повноважень. Оця остання думка теж потребує брейнсторму та узгодження з ідеєю виключно сервісної функції держави, але поки що залишу цей меседж, на-подумати.
І так, реалізація останнього меседжу передбачає ліквідацію або суттєве зменшення повноважень Держспецзв’язку та деяких інших кібер-регуляторів.
Щоб оцінити справжню потрібність Держспецзв’язку, здійсніть просту логічну вправу: одного ранку ми прокинулися і по радіо повідомили, що Держспецзв’язку – всьо, більше не існує. Що після цього зміниться у гіршу сторону?
Я впевнений, що нічого поганого не відбудеться. Пару-трійку некритичних функцій передати у інші відомства, деякі інші, можливо, залишити у складі якогось підкомітету КМУ або ВРУ. Абсолютна більшість людей з кібер-індустрії цього навіть не помітять, але видохнуть з полегшенням. Усі інші українці точно не помітять. До речі подібний прецедент вже мав місце з Державною службою захисту персональних даних. Просто ліквідували – і всьо. І ніхто не помер. Хоча там є нюанси, але то окрема тема.
Ще раз. Ключовою тезою принципово нової Стратегії кібербезпеки є наступне: державні органи більше не регулюють кібербезпеку (бо вкрай мало в ній розуміють і ще менше вміють), а допомагають та не заважають об’єктам та суб’єктам кібербезпеки будувати нормальні робочі горизонтальні стосунки. Якщо об’єкти та суб’єкти самі попросять – держава може координувати якісь чутливі моменти, але виключно на добровільних засадах суб’єктів координації.
Для досягнення мети Стратегії необхідно передбачити не якесь там аморфно-розпливчасте «розширення-посилення», а більш чіткі речі, наприклад:
Спільно з приватним сектором та професійною спільнотою розробити положення про Національну раду кібербезпеки, до якої увійдуть дійсно найкращі фахівці галузі і які будуть надавати глобально-стратегічні поради та рекомендації українським державним та комерційним організаціям, самостійно та у відповідь на їхні запити.
Запровадження широкої освітньої національної програми з кібер-гігієни («10 простих правил кібербезпеки»).
Проведення спільно з приватним сектором та професійною спільнотою не менше 5-6 конференцій з кібербезпеки на рік, по черзі в усіх обласних центрах України, а також у містах Київ та Севастополь.
Створення військового кібер-командування у складі ЗСУ з належним навчанням та фінансуванням.
Організувати в Києві постійне представництво CCDCOE (кіберцентр НАТО), ENISA (головний кібер-орган ЄС), інших міжнародних організацій, активно залучати їх до розвитку кібербезпеки в оборонному та цивільному секторі України. Вони на це підуть із задоволенням.
Запровадження загальнонаціонального Bug Bounty для усіх об’єктів критичної інфраструктури, у тому числі для органів державної влади усіх рівнів.
Запропонувати кібер-спільноті та кібер-бізнесу розробити проект на кшталт ad-hoc cybersecurity, коли фахівці будуть на годину-дві приходити туди, не ніколи не було кібербезпеки і давати свої рекомендації. Тобто наживо спілкуватися з живими людьми. Руйнувати їх інформаційну бульбашку.
З будівлі на Соломенській 13 вигнати на мороз 90% тамтешніх нероб і облаштувати її для проведення кібер-заходів на постійній безоплатній основі: конференцій, мітапів, кібер-змагань, зустрічей галузевих спеціалістів, отих ваших кібер-навчань, тощо. 10%, які залишаться, можуть обслуговувати будівлю та кібер-заходи в ній. Такий собі зразково-показовий майданчик відкритого співробітництва.
Найняти групу аналітиків (справжніх, зі знанням англійської) для вивчення досвіду інших країн з організації національної системи кібербезпеки. Або хоча б запитати матеріали в Інституті стратегічних досліджень, там у них інколи є досить цікаве з міжнародного досвіду.
Найняти групу вітчизняних висококваліфікованих юристів та кібер-фахівців (в ідеалі – два-в-одному, але це утопія, авторитетно заявляю як юрист-кібербезпечник) і переглянути існуюче кібер-законодавство. І щоб ця група запропонувала як саме його змінити з урахуванням Конвенції з кіберзлочинності, міжнародних стандартів, позитивного досвіду інших країн, думок провідних українських та світових експертів (та сама Рада національної кібербезпеки), тощо.
Це складно і довго, згоден.
Але це просто необхідно зробити. Я знаю принаймні з десяток фахівців, які могли б почати цю роботу. Правда, юристів треба підучити кібербезпеці, а кібербезпечників – юриспруденції, але то не є великою проблемою, спільна робота швидко це надолужить.
Однозначно визначити поняття державно-приватного партнерства, тому що наразі держава та приватний сектор розуміють його абсолютно по-різному.
І визначення має бути приблизно таке: у держави немає необхідної кваліфікації, але є гроші; за гроші держава наймає кваліфіковані компанії зробити певні роботи. Якщо компанія хоче в процесі проведення оплачених робіт надати якісь послуги безкоштовно, з патріотичних міркувань або заради справа – шана їй і дяка, напишемо про них в газеті ось їм ще медалька, плюс групове селфі з міністром.
Зараз же вітчизняні чиновники розуміють державно-приватне партнерство як «ей ви, бізнеса, а ну бігом ідіть сюди і безкоштовно нам зробіть та навчіть, і в процесі не лізьте своїм рилом у наші важливі державницькі справи, бо ж патріотизм, ви ж волонтери, як вам не соромно, бла-бла-бла».
Стратегія також має голосно проголосити: кожен власник/розпорядник інформаційно-телекомунікаційної системи виключно сам несе відповідальність за усі косяки, які в них трапилися. Ніхто вам соплі витирати не буде. Ніхто замість вас відповідальності не несе і не нестиме.
Нема грошей на покращення кібербезпеки системи? Звертайтеся до бізнесу, до волонтерів, до грантожерів, до міжнародних та громадських організацій, беріть участь у різних кібер-заходах. Ось список, куди можна звернутися. Або читайте самі в Інтернеті та навчайте самі своїх людей. Не хочете? Тоді не плачте після чергового NotPetya.
Коли буде створено Раду національної кібербезпеки – звертайтеся до неї.
Оці одкровення про «кожен рятує себе сам» є досить бородатими, і навіть визначені чинним законодавством, але ніде чітко не акцентується. Мало того, Держспецзв’язку нахабно цим користується. Вони ж вголос заявляють, що ніколи ні за що не несуть ніякої відповідальності. То нахіба тоді вони потрібні, такі хитросракі?
Треба чесно та публічно заявити: наразі кожен сам за себе. Але держава визнає, що так не має бути і тому цією Стратегією ми починаємо роботу зі створення мережі взаємної допомоги та підтримки.
Необхідно також у Стратегії показати напрям на осучаснення системи вищої кібер-освіти та адаптування її до потреб кібер-бізнесу, куди випускники підуть працювати. Як це краще зробити – окрема довга дискусію, залишу її колегам-кібер-освітянам. Свого часу витратив чимало часу на пояснення як це краще зробити.
Позначу лише проблему: кібер-факультети на знають, що потрібно бізнесу, чому і як навчати студентів, а кібер-бізнес не знає як достукатися до ректорів-проректорів щоб вони навчали тому, що потрібно на практичні роботі. І оці два – сліпий і глухий – досі ходять у темряві по колу навпомацки і не можуть знайти один одного. Реально серйозна проблема, без сарказму.
Стратегія також повинна задекларувати необхідність перегляду необхідності подальшого заливання баблом таких безкінечних проектів як Національна система конфіденційного зв’язку (НСКЗ), захищений вузол Інтернет-доступу для державних структур (ЗВІД-2), сумно відомої КСЗІ та примусове її насадження, єдиного репозитарію усіх державних баз даних (псевдо-супер-захищеної фортеці на глиняних ногах), різні кібер- та ситуаційні центри, створені за принципом «віз попереду коняки», тощо. Усе це можна написати в Стратегії одним рядком: «переглянути доцільність подальшої підтримки та фінансування деяких національних проектів у сфері кібербезпеки, зокрема: НСКЗ, КСЗІ, ЗВІД та ін.»
Економія грошей вийде просто колосальна.
Пару думок стосовно кібербезпеки об’єктів критичної інфраструктури (ОКІ)
Наразі начебто виглядає, шо кібербезпека ОКІ є більш важливою, аніж не-критичної. Але ж переліку ОКІ досі не існує. І ще не буде якийсь час. А коли буде – буде корупція навколо питання кого включати у перелік, а кого виключати чи то не включати. Тому що це знов нагляд, контроль, примус, штрафи – усе як ми любимо.
Як на мене, провести однозначний розподіл між критичною та некритичною інфраструктурою надзвичайно важко. Сьогодні це не-критична пекарня, де працюють 20-30 людей, з веб-сайтом та електронною поштою. А завтра пекарня стає єдиною у місті продуктовою компанією, де працює кілька тисяч працівників і якщо її якісно хакнути – місто на кілька днів може залишитися голодним.
Тому краще допомагати навчатися кібербезпеці усім, без розділення на критично-не критично. Хтозна хто завтра стане «критичним», а чия сьогоденна статусна «критичність» аж нікого не парить.
Розділ на «критичні» та «некритичні» десь близьке до «важливих» професій та «неважливих», а там недалеко і до «важливих» та «неважливих» людей.
Розумію, що твердження непопулярне, тому поки не пропоную його до включення до Стратегії, і залишаю цей предмет для обговорення.
І, звісно, гроші.
Під реалізацію Стратегії обов’язково повинні бути передбачені гроші. Без грошей Стратегія залишиться гаслами на папері.
Приміром, під реалізацію Стратегії кібербезпеки Великої Британії 2016 року передбачено 1,9 мільярда фунтів.
Звісно, такої суми Україна поки що не може собі дозволити, але гроші насправді є, хоча й не такі великі.
І ще багато грошей знайдеться (внєзапно) коли буде проведене належне розслідування діяльності наших «кібер-регуляторів», і це будуть мільярди гривень. Не перебільшую, мільярди.
Наведу типові питання, якими аргументують чиновники різних рівнів, коли їх тикають носом волонтери у просто феєричну безвідповідальність та некваліфікованість.
«У нас нема грошей» – Приходьте коли будуть. Пошукайте. Нехай щастить. Он Держспецв’язку щорічно утилізує 125 мільйонів доларів, а на виході той самий нуль, що і на вході. Та навіть гірше, в мінус.
«У нас є ось лише 50 копійок, але зробіть нам на мільйон» – Рухайтеся у північно-східному напрямку. Нехай щастить.
«Так ви ж активісти-волонтери, лише критикуєте, а слабо щось самим зробити?» – так а за шо у такому разі кібер-чиновники отримують зарплату? Ми професіонали в кібербезпеці і це є нашою професією. Ми критикуємо та сміємося над державними рукожопами у вільний від поезії час, подякуйте хоч б за наші реалістичні оцінки. Не вмієте займатися кібербезпекою – не займайтеся і не крадіть у українців наш час та гроші.
Звісно, одразу постає питання хто і я к буде розподіляти гроші під реалізацію Стратегії, щоб не вийшла чергова промислова пилорама, як в Держспецзв’язку. Це питання складне, але і його можна вирішити.
Зазвичай це вирішується створенням колегіального органу, до якого входять 9-11-15 непов’язаних між собою експертів з різними (а краще – протилежними) поглядами та інтересами. Допоки такий орган не буде створено – ніяких грошей. Створюйте.
Без початкової точки взаємної довіри, заснованої на прозорості та тотальній колективній підзвітності ніякого руху вперед не буде. Все залишиться як зараз: адміністративно-командне Держспецзв’язку (та навіть від самої назви відомства смердить підвалами НКВС), муміфіковане КСЗІ, запліснявіле НД ТЗІ, перекладачі на зустрічах з іноземними партнерами, які не знають кібербезпекової термінології, президіуми з графинами-трибунами на «науково-практичних семінарах», імітація бурхливої діяльності чиновників і регулярний регот-фейспалм у сатиричних дописах професійної спільноти у фейсбуках та на блог-платформах.
Що має бути справжньою Стратегією, – це чітко та зрозуміло визначити у яких напрямках має рухатися суспільство задля покращення рівня кібербезпеки у країні.
Дещо із запропонованого вже передбачено чинною Стратегією, https://bit.ly/2LDRXZ6, наприклад, створення кібер-командування у складі ЗСУ.
Деякі положення чинної Стратегії також можна залишити, типу «підготовка суддів (слідчих суддів), слідчих та прокурорів для роботи з доказами, що стосуються злочину, отриманими в електронній формі, з урахуванням особливостей кіберзлочинів;»
Але за деякі треба комусь надавати по пиці («запровадження блокування операторами та провайдерами телекомунікацій визначеного (ідентифікованого) інформаційного ресурсу (інформаційного сервісу) за рішенням суду»).
Я впевнений, що не усе моя зарозуміла голова може пам’ятати, тому прошу допомоги професійної спільноти.
Добавляйте пропозиції – я буду апдейтити текст. Критикуйте, виправляйте неточності та протиріччя, пояснюйте свою точку зору.
Можемо взагалі винести якийсь текст чи його частини на гугл-шару.
Істина народжується у спорі мудреців. Тож давайте сперечатися. Цивілізовано.
Кількістю лайків я ніколи не цікавився, але кількість та якість аргументованих коментарів буде (сподіваюся) живим зворотнім зв’язком між реальністю та чиновницьким задзеркаллям.
Лайк чи шер без комента оцінюватиму як цілковите та беззастережне схвалення усього написаного. Так і скажу: «ось ці пропозиції цілковито та беззастережно схвалюють стільки-то фахівців» 😉
Коментарі з акаунтів з дивним ніком, без реального фото та без профайла з вказанням місця роботи, з якимись картинками природи та з одним постом на півроку будуть важити суттєво менше, ніж коментарі від людей, які не приховують свого обличчя та мають прямий стосунок до індустрії кібербезпеки.
Думки та пропозиції по кожному аспекту запропонованої Стратегії краще писати окремим коментом, щоб легше було обговорювати і щоб інші зауваження на загубилися.
Сьогодні не пишу традиційного «бережімося», але запрошую до обговорення.