Продовження звіту про «Круглий стіл «Забезпечення реформування сфери кібербезпеки: стратегічні пріоритети» від USAID
Продовження звіту про «Круглий стіл «Забезпечення реформування сфери кібербезпеки: стратегічні пріоритети» від USAID.
Частина 2.
Початок тут: https://cutt.ly/sbcS9Wr
Наступною виступила пані Сінтія Райт з MITRE, всесвітньо-відомої організації, яка є дійсно вагомим авторитетом у світі кібербезпеки.
Це був найяскравіший виступ серед загальної солодкої нудоти.
Спочатку пані Райт обережно похвалила Уряд України, але якось цікаво: «Нам сказали (!) що існування НКЦК РНБО відвернуло кілька кібератак.» Бугага.
Ще пані Райт сказала, що MITRE допомагала уряду України в розробці закону про кібербезпеку (мабуть, мається на увазі ЗУ «Про основні засади..»), але “з часом стало зрозуміло, що існують певні прогалини, дублікації, ми говорили про це у нашому звіті, який подали до Уряду України, але ми бачимо, що … вони залишаються і деякі неоднозначності також були додані при перерозподілі сфері відповідальності різних органів влади». Тобто це був такий дуже толерантний та завуальований меседж «дебіли нічому не вчаться, але роблять ще гірше».
Знов чомусь хвалила неіснуючу Стратегію, але також обережно, зокрема про намагання «знайти баланс між державою та громадським сектором» та «створення системи, де держава буде вважатися не обмежуючим регулятором, а фактором, який сприяє економічному розвитку».
Секундочку, це де таке написано у проекті Стратегії? Я дуже уважно все читав і не знайшов навіть натяку на цю казкову мрію. Можливо, пані Райт та я читали різні проекти Стратегії? Їй дали почитати Стратегію якоїсь іншої держави і сказали, що це українська Стратегія? Урядові перекладачі занадто вільно переклали РНБОшний проект? Ще більше чекаю остаточну редакцію, і якщо пані Райт надурили – я їй про це повідомлю.
Але пані Сінтія одразу застерегла, що «реалізація цих цілей має певні виклики (прихований підтекст «а яким таким чином ви то зможете реалізувати, криворукі ідіоти?»), особливо реформи, які мають стосуватися розподілу відповідальності між різними організаціями, а також всеосяжна екосистема та нормативно-правова база, яка правильно балансує всі ці сфері відповідальності і яка закладає у кібербезпеку усі державні послуги» (останнє не дуже зрозумів, мабуть через слабкий переклад, а оригіналу не чутно).
«Ми рекомендуємо встановлення ролі певного кібер-координатора. Цей координатор міг би підпорядковуватися прем’єр-міністру або Президенту України і мав би бути під наглядом Верховної Ради.»
Тобто пані Ситнія не розглядає НКЦК РНБО як національного координатора, на секундочку. Хоча знає про його існування і він де-факто підпорядковується Президенту України.
«В ідеалі, така організація має бути побудована поза існуючими правоохоронними та спеціальними органами, щоб запобігти конфлікту інтересів, але вона має мати повноваження для того, щоб збирати зацікавлені особи (так сказав перекладач, думайте що хочете) і ділитися з ними інформацією, а також встановлювати та контролювати впровадження нових стандартів у кібербезпеці.»
Фак’ю, аваковці та баканівці, – каже нам представник MITRE, ідіть займайтеся своїми прямими обов’язками і не лізьте куди не треба.
І ще раз фак’ю, НКЦК РНБО, – «поза існуючими правоохоронними та спеціальними органами» – шо неясно? Не займайтеся невластивими вам функціями.
«Ідеально, CERT-UA міг би працювати без підпорядкування якийсь певній структурі або організації. Ті речі, які Україна хоче досягти, у тому числі євроатлантична інтеграція, буде важко здійснити без прозорих механізмів нагляду та механізмів координації між (якимись) особами.»
Мої пропозиції та пропозиції деяких колег якраз і передбачають створення окремої незалежної організації, бажано принципово нової, «з нуля», без шлейфа зашкварів, але можна і з CERT-UA почати, як з організації, з якою хоча б можна говорити на професійні теми. Тому що все одно так чи інакше національний CERT має увійти до складу нової організації.
«Ми рекомендуємо, щоб Верховна Рада всесторонньо доопрацювала нормативно-правову базу за допомогою єдиного пакету реформ, які можуть включати і більш радикальні. Ми вважаємо, що напрацювати новий документ було б краще, ніж заповнювати прогалини у поточних документах.»
Ця теза вже кілька разів звучала – порубати нахрін усю ту вашу криву нормативку і зробити нове законодавство «з нуля», по-чесному. Я теж це підтримую, в принципі.
І ще пані Райт вдарила по Федорову та його цирковій трупі: «Також законодавство має забезпечити щоб модернізація та національна безпека мають йти пліч-о-пліч за рахунок того, щоб такі речі як шифрування та кібербезпека були вписані у проекти усіх нових послуг».
Чуєте, клоуни? «Кібербезпека вписана в усі проекти (!) нових послуг.»
А не як у вас: «роль кібербезпеки трохи перебільшена», «ми всіх звільнили і все працювало», «ну хоть паржом», «ми успішно пройшли пентести». Послухайте розумних людей, хоч раз. Хоча кому я це кажу?
Данило Мялковський з Держспецзв’язку вихвалявся третьою річницею з набуття чинності розробленого ДССЗЗІ кривого, корупційного та фактично непрацюючого Закону «Про основні засади забезпечення кібербезпеки», а також вісьмома відповідними постановами КМУ. Доволі притомно розказував про NIS Directive та регуляції ENISA, у тому числі про свіженький EU Cybersecurity Act та про очікувані зміни у NIS Directive. Чесно визнав проблему з визначенням національного контактного пункту, а також з питань взаємодії та обміну інформацією про кібер-інциденти, та навіть про самі ознаки кібер-інцидента. Жалівся, що CERT-UA розсилає по держструктурам рекомендації FIRST, але не має фідбеку чи вони їх взагалі прочитали, не кажучи вже про імплементацію: «ми знаходимося у певному вакуумі». Блиснув знанням американського федерального законодавства FISMA та знанням слова “стейкхолдери».
Попросив «тих, хто розроблятиме новий закон про кібербезпеку» «не згубити те, що напрацьовано». MITRA каже – то все хня, викиньте на помийку та зробіть все спочатку. А Держспецзв’язку чіпляється за свої «напрацювання».
Так переможемо, авжеж.
«Менеджер механізму» від офісу USAID Анастасія Боровська представила “механізм кібердосконалості» і що це результат «кропіткої роботи команд по обидві боки океану». І цей механізм USAID пропонує вперше. І від результатів буде залежати чи пропонуватиметься цей механізм в інших країнах. Тобто знов Україна у ролі піддослідного щура на випробувальному полігоні.
А розроблений механізм був на основі опитування, яке не можна вважати ані достовірним, ані релевантним. Все одно що на заборі написати. Про це я детально пояснив тут: https://cutt.ly/XbcDPNK
У чому ж полягає розробленим кращими умами юсейдерства «механізм кібер-досконалості»?
Перш за все, він працює виключно на госуху і для госухи.
Ладно, ніхто не очікував чогось іншого. То як же він працює?
Наприклад, орган влади стикається з «певною ситуацією у сфері кібербезпеки, яка вимагає вирішення». Скажімо якісь нігадяї написали у хвейсбуках, що у оргуна “щиринка розстьобнута» – розшарений безпарольний мережевий диск валяється у вільному доступі назустріч всім вітрам, заходь хто хоч. Проблема? Проблема.
Шо той орган робить? Прааальна, пише запит в USAID. Ті його реєструють та вносять до бази запитів.
Потім одразу ж, не втрачаючи ані секунди, протягом 4 тижнів запускається «процедура оцінки».
Після того приймається рішення.
Потім обираються засоби для надання допомоги.
І потім вже починається впровадження допомоги.
Все просто та ідеально. Чи ні? Просто увесь цей час у «орган» жбурлятимуть дошкульні обвинувачення, а «держава» втрачатиме і без того некрасиве обличчя.
Хтось скаже «ідіотизм». Але я скажу інакше: це звичайна некомпетентність, помножена на невиліковну госушність і плюс несамовите прагнення будь що виправдати попередні два пункти.
Ось наприклад, хто і яким чином буде оцінювати «запити від органів» – відповідність, сталість, важливість/терміновість, реалістичність – якщо у проекті USAID Кібербезпека немає жодного професіонала з кібербезпеки? Одні кабінетні теоретики та «потрібні люди від шановних людей».
Ось XSS на сайті – це важливо? А наскільки реалістично? А як щодо сталості? У залежності від конкретної ситуації відповіді можуть бути так/так/ні, або так/ні/так, або ні/ні/так.
Я можу змоделювати кілька дуже різних сценаріїв як з відповідями «так» та «ні» по кожному з цих критеріїв. Так то я, а вони ж дупля у тому не ріжуть, як вони будуть допомагати? Надішлють свій найпалкіший deep concern?
Аж ось і пояснення: «Тому ми будемо збирати ті запити, які ми можемо виконати якісно та на належному рівні.». Перекладаю з канцеляріту: допоможемо лише у тих питаннях, в яких ми тямимо, а це зовсім небагато, переважно лінки на англомовні ресурси. Усі інші –ідуть у пішохідну екскурсію «в сад», якось самі, давай-давай, не заважай допомагати.
Весь цей механізм представлявся пані менеджеркою надзвичайно гордо, як нібито якесь прям геніальне ноу-хау, хоча по суті це найпримітивніший алгоритм, відомий з часів виникнення homo sapience: вхідний сигнал-обробка-аналіз-реакція-результат. На тебе біжить мамонт – ти відчув небезпеку – треба щось робити – сховався за камінь -мамонт пробіг повз. Принцип точно той самий, що й у «геніального» винаходу USAID.
У людини розумної, у залежності від складності вхідної задачі, зазвичай весь цей процес займає від кількох мілісекунд до однієї години. Слоупоки з державних українських контор можуть тупити по кілька днів.
Але «геніальний винахід» USAID вже випробувано на примітивних організмах: Мінцирку, НКЦК, ДССЗЗІ. Так а шо, там все одно дурнішими вже не стануть, можна завжди написати “випробування на жабах пройшло успішно”.
А ще серйозними досягненнями USAID на повному серйозі вважає “робочі групи”, “круглі столи” та “стратегічні сесії”. Посиденьки, одним словом. Прийшли-потринділи-розійшлися.Потужний результат, шо сказати, з урахуванням того, що ні на що інше вони не здатні. Перепрошую: “Інституційно не здатні”, ось тепер правильно, у стилі юсейдерства.
Ще «менеджерка механізму» хвалилася позорнячою BugBounty додатку Дія, про жалюгідні результати якого не хотіло писати навіть саме Мінцирку свого часу. Але у мене питання до, власне, USAID: а куди ділися 35 тисяч доларів, призначених на виплату баунті, якщо фактично виплатили лише 250 доларів? Невже тупо списали?
Ще одне потужне «досягнення» кібер-проекту USAID – переклад «кращих практик ENISA”. У мене два питання з цього приводу: 1) якість та адекватність перекладу (бо є купа прецедентів) та 2) хтось те все хоч раз прочитав в Україні?
Перекласти посібник зі створення CSIRT/SOC? Оце ви серйозно? Думаєте, якщо людина не володіє англійською, то вона здатна побудувати CSIRT/CERT/SOC? Тук-тук, хто там? Ви там хоча б теоретично являли хто може бути споживачем вашого «продукту»? Труси для білок не пробували шити?
І тейво, ви з цією методичкою запізнилися років так на п’ятнадцять: CERT-UA вже давно створено, а нові CERTи шось якось зовсім не хочуть створюватися, скільки брошурок не друкуй. Може, не у брошурках справа? Подумайте там про це. Хоча чим?
Завершив цей не-круглий і не-стіл головний не-професіонал кібер-проекту USAID Тімоті Дюбел. Який заявив буквально наступне: «Україна однозначно входить в новий етап реформи кібербезпеки».
Та ти шо. Це хто так вирішив?
Яка може бути реформа і яикй такий «новий етап» з тими самим кувишинними рилами у госушних конторах і з тими ж самими совковими підходами, плюс федорівські розпилочні соушал-бусти та повний непрофесіоналізм команди USAID? Шо ви там курите?
«Закликаю до діалогу, – каже Дюбел – усіх зацікавлених сторін». І подумки добавляє «але лише тих, хто готовий лизати нам ср.. тобто руки».
І окремо скажу про конферансьє цього всього шапіто.
Пане Дмитре, слухав Вас і відчував іспанський сором. Невже Ви справді вірите в усі ті слова, які вилітали з вашого роту? Якщо Вас примусили – моргніть двічі. Ні?
Але ж спиться після того нормально, еге ж?
Я вважав Вас, пане Дмитре, єдиною людиною з госухи, з якою можна говорити про кібербезпеку стратегічного рівня. Але зрозумів, що помилився.
Та ще й колаборація з токсичним псевдо-проектом. Я розумію, що гроші платять просто неспівставні з вашими зарплатами, але ж хіба репутація того варта? Юсейдівські гроші – це ж разовий заробіток, а репутацію відбілювати потрібно буде значно довше. А згодом за титул «експерт USAІD» гнатимуть з порядного товариства, так що це теж слабенька мотивація.
Ви, пане Дмитре, стали по іншу сторони барикади від мене, і від того сумно мені. Завжди сумно втрачати людей, яких вважав порядними. А життя – воно ж довге і непередбачуване, і його чарівність інколи проявляється у раптовій кардинальній зміні декорацій. Зараз іде злива та гримить гроза, а сили темряви правлять цим Світом, але ж все це терміново, колись вийде сонце, настане справедливість і все стане на свої місця.
Не знаю, можливо, USAID наносить непоправну користь Україні у інших галузях. Можливо, не виключено.
Але у галузі кібербезпеки шкоди більше, ніж користі, на мою скромну думку.
І головна шкода полягає у тому, що дискредитується сама ідея допомоги від США. Адже нашому війську, наприклад, США дійсно допомагає, і цілком реально. Щоправда, військова допомога не проходить через липкі рученята USAID. Може, саме тому військова допомога є дійсно ефективною?
І ще одна шкода полягає у сумновідомих «подвійних стандартах»: те, що робить USAID з «кібер-допомогою» в Україні – не можливо було б уявити в США. Щоб гроші на кібер-допомогу надходили на розподілення до непрофесійної громадської організації, яка підозріло близька до профільного віце-прем’єра. І ця мутна організація спочатку була громадською та неприбутковою (як годиться за правилами донорських проектів), а потім, вже під час реалізації проекту, якось непомітно стала цілком комерційною компанією, з метою отримання прибутку. Та і деякі інші учасники проекту – явно комерційній компанії, що немислимо для донорських проектів національного значення. Але схоже, що USAID начхати на власні правила, адже на кону не фунт ізюму, а 38 мільйонів доларів, які треба розкидати по дружнім організаціям, більшість з яких не має жодного стосунку до кібербезпеки.
Щоб у Штатах був тупо проігнорований громадський протест професійної спільноти? Щоб просто плювали на петицію з кількома тисячами підписів? Неможливо навіть уявити.
Але USAID переконаний, що в Україні можна не дотримуватися американських правил доброчесності, професійності та прозорості, завдяки яким США залишається лідером демократичного Світу. В Америці за такі фортелі можуть назавжди викинути з державної служби, а в Україні – подумаєш проблема, «гроші ж не ваші, вам-то шо, аборигени?».
З цікавістю чекаю на візит до України цього тижня держсекретаря США, під час якого він навчатиме українську владу як правильно боротися з корупцією. Готуючись до цього візиту, перечитую прислів’я «В чужому оці і скалку видно, а у своєму і колоди не побачиш»
Please, take the log out of your eye before you point out the speck in mine.