Продовжую аналізувати цифрову частину «Плану відновлення України»
Продовжую аналізувати цифрову частину «Плану відновлення України»
Перш, ніж коментувати найяскравіші місця, розкажу чого немає у даному Плані, хоча мало б бути.
Немає -пабам! – кібербезпеки. Ні, вона начебто згадується у деяких пунктах, але її не видно як цілісної системи. Навіть тіні якоїсь системності не проглядається.
Якщо не рахувати дублі (їх згадав у попередньому дописі), то я знайшов 15 хаотично розкиданих по тексту позицій, які хоч якось можна вважати причетними до окремих моментів, пов’язаних з кібер.
«Перенесення державних інформаційних ресурсів до хмар, організація збереження інформації шляхом резервного копіювання.» – передбачає План.
Боюся спитати: «А до хмар якої країни/юрисдикції?»
Бо поточна державна концепція полягає у виведенні усього, що є – у хмари кількох країн-союзників. Які можуть раптом зменшити ступінь дружби з Україною. Наприклад, якщо внаслідок чергових виборів до влади прийдуть політичні опоненти нинішніх керівників.
Чи може планують будувати ті хмари в Україні? Так вони вже давно побудовані. Але є одне «але»: в український дата-центр може влучити умовний «калібр». І такого ризику при побудові дата-центрів ніхто чомусь не враховував.
То я знов повертаюся до першого питання: якщо в Україні будувати хмари небезпечно, до хмар якої юрисдикції хочуть переносити державні інформаційні ресурси?
Те ж саме питання стосовно «Створення державної хмарної сервісної платформи кібербезпеки».
Сам сервіс цей поки що виглядає якимось утопічним, відірваним від реалій. Якби це можна було зробити і був би на нього попит – бізнес би вже давно б зробив.
Але все-ж таки: у хмарах якої країни планується розгортати це фантастичний кібербезпековий сервіс? Це ж не просто державна інформація, це її кіберзахист, святая-святих!
І добиває цей блок питань наступна пропозиція Уряду України до західних донорів: «Розроблення стратегії розвитку хмарної інфраструктури.»
Еее, альо, так ви ж вже пропхнули через Раду цілий Закон України «Про хмарні сервіси», рівно за тиждень до початку Вторгнення, 17 лютого 2022? Шо, не працює закончик? Накосячили? А давайте пригадаємо, хто його розробляв, хто лобіював, хто пропихував?
Чи це знов продаж снігу ексімосам? Ви дайте гроші, а ми на них видамо старе лайно за нову розробку?
До цього ж схематозу відноситься пункт «Створення національної системи моніторингу кіберзагроз на базі сенсорної інфраструктури». Усі наближені до теми фахівці знають (по великому секрету), що ця «система сенсорів» активно створюється вже років 5-6, не менше. Цим хваляться на кожному держ-збіговиську, навіть у публічних звітах часто проскакує.
Смішно виглядає пропозиція «Розвиток системи активної кібербезпеки (системи оцінки вразливостей та тестування на проникнення, сервісів захисту веб-ресурсів (в т.ч. «Дія» і публічних електронних реєстрів)».
По-перше, активна кібербезпека – це дещо інше, ніж вказано у дужках. Активна кібербезпека – це наступальна безпека, offensive security. Дії атакувального характеру))
А по-друге, нарешті Дія визнала, що треба регулярно тестувати не тільки її саму (алілуйя!), але також і реєстри, до яких вона має доступ. Хоча до цього етапу – поки як до неба…
Так само смішно (але вже з відчуттям прихованої гордості «ми таки додавили») читається пункт «Впровадження комплексного захисту інформаційних ресурсів та технологічної інфраструктури «Дія» та послуг електронного урядування».
Смішно тому, що таким чином визнано лузерський принцип розробки Дії «спочатку швидко зляпаємо продукт, а потім на нього будемо якось натягувати кібербезпеку». Класика.
Ладно, сподіваюся цього достатньо, щоб зрозуміти що не так з кібербезпекою у так званому «Плані відновлення».
Безсистемно накидані пункти, не пов’язані єдиним задумом, без усвідомлення як їх виконати.
Аби шось там було «про кібер». Стратегія кібербезпеки, яку я препарував рік тому https://cutt.ly/3LsppP2 – виглядає значно солідніше (хоча теж лише набір красивих фраз).
У наступному дописі прокоментую пункти про «реєстр реєстрів», відкриті дані, «ID-картка як електронний підпис» та про відверту фікцію у цифровій частині «Плану відновлення України».
Повну версію цього допису можна почитати на Viber-каналі КіберКорсун https://cutt.ly/qJKCry0.
Як і частину третю, заключну.
