Продовжую коментувати стрім по актуальним проблемам національної кібербезпеки
Продовжую коментувати стрім Tim Karpinsky та Sean Brian Townsend по актуальним проблемам національної кібербезпеки.
Частина друга, вона ж остання.
Вельмишановний Артем Іванович за мовчазної підтримки не менш шановного Шона багато говорили про вкрай гостру потребу якогось Закону – чи то про кібербезпеку, чи то про національну кібероборону.
«Олександр Палич, давайте нам ефективний закончик, нам його сильно не вистачає!» – звертається Тім до депутата ВРУ, заступника голови «цифрового» комітету пана Ф.
Наскільки я пам’ятаю, панФ почав писати цей закон як тільки став депутатом у 2019. Було безліч робочих груп, нарад, круглих столів. Пафосу, надутих щік, пихатих заяв. Мабуть, купа грантів (тут не знаю точно, але так завжди буває).
Але як не було Закону– так його і нема донині. І навряд чи буде найближчим часом. Тому що пише закон про кібербезпеку група людей, які в ній мало тямлять. Які уявляють себе крутими кібер-спецами, але увесь їхній «професіоналізм» полягає лише у читанні та вільному переказі опусів інших, таких самих «іґспертів», інколи – у перекладі західний статей (хоча мало хто знає англійську на прийнятному рівні), ще рідше – власній інтерпритації підслуханих думок професіоналів. І ці люди точно не будуть по цьому закону жити і працювати.
Та й загалом: будь-який Закон потрібен для врегулювання вже існуючих відносин. Які вже склалися, але виникають багато непорозумінь і тому треба внести певну ясність, порядок, системність. Що у що вдівається.
Які наразі існують настільки великі проблеми, щоб їх врегулювати Законом України? Не постановою КМУ, не Указом Президента, не рішенням РНБО, а саме Законом?
Для початку їх треба сформулювати, причому формулювати їх мають люди, які з тими проблемами стикаються і які саме їм заважають працювати. Що про такі проблеми можуть знати у кабінетах Верховної Ради? А точно у тих кабінетах знають якими способами можна їх розв’язати? А як аналогічні проблеми вирішені у інших країнах? А як західні регуляції коректно накласти на українську реальність? А як виписати усе те згідно законодавства ЄС та Конвенції про кіберзлочинність?
Та навіть якщо якимось чарівним чином з’явиться група мудрих досвідчених кіберфахівців + юристів (хоча б з мінімальним кібер-бекграундом), і цій групі вдасться пропітляти між усіма вищезазначеними крапельками – як цей прекрасний закон зможе працювати в існуючій судовій та правоохоронній системі? Як зможе вирости прекрасна орхідея на радіоактивній помийці?
А що може завадити «зацікавленим особам» тупо не виконувати той Закон, як це часто буває у нашій прекрасній країні? Які будуть в Законі закладені важелі, противаги, мотивації, санкції за невиконання?
І про гроші на реалізацію Закону. Союзники, звісно, допоможуть з фінансуванням, але попросять спочатку показати детальну road map. А це означає, що Закон має бути дуже практичний та реалістичний, з чітким баченням як саме він буде виконуватися і коли запрацює. Бо, наприклад, чинний Закон України «Про основні засади забезпечення кібербезпеки України» – таким зовсім не є. Він банально не працює, це картонна декорація. Інакше б Тім не благав про необхідність нового закону. То що може дати новий блискучий Закон для впорядкування національної системи кібербезпеки? І чому ніхто навіть не намагаються підлатати існуючий закон?
Думаю у Тіма та його теперішніх колег є днякі відповіді та певне бачення, але скорі за все для локальних завдань типу узаконення ведення кібервійни/кібероборони або декриміналізації умовного #FRD.
А от чи з’являться кваліфіковані секторальні/галузеві CERTи внаслідок нового «Закону про кібербезпеку»? Чи з’явиться необхідна кількість фахівців або хоча б система їх підготовки? Чи прийдуть внаслідок нового Закону керувати національною кібербезпекою люди, які у цьому дійсно розбираються? Чи виникне те саме «державно-приватне партнерство» у кібердомені? Чи з’явиться справжня відповідальність конкретних посадових осіб за прийняті ними рішення?
І найважливіше: довіру між кібер-стейкхолдерами новий закон виростить?
Перепрошую, але я сумніваюся.
І ще важливий аспект.
Якщо спочатку писати Закон, а потім під нього підлаштовувати реальність – це називається
«регуляція зверху-вниз». А повинно бути навпаки – «знизу вверх». І плюс горизонтально. Тобто спільнота, кібербізнес, інші фахівці «на землі» мають показати проблеми для розв’язання. Та ще й проконтролювати, що законотворці виписали в закон саме те, що задумувалося фаховою спільнотою.
Але наші законотворці часто-густо замість цього вписують в закон вузько-приватні «інтереси» – свої або «любих друзів», – що знов виливається у банальний розпил між зацікавленими сторонами.
Артем Іванович у попередніх дописах закликав мене «давай самі напишемо Закон».
Різних пропозицій щодо кібер-законодавства я протягом останніх років накидав два вагони – публічно та непублічно, формально та неформально, спокійно та емоційно.
Але головне не в цьому, а в тому, що навіть якщо я якимось чином замотивую себе взятися за цю марудну навдячну сізіфову працю – які можуть бути гарантії, що результати розгрібання авгієвих конюшень вкотре не проігнорують? Або знов не перекрутять «під себе» і свої ситуативні інтереси, та ще й повикидають із законопроекту справді важливі речі? Що знов не пропишуть в новому законі передумови до корупції, зруйнувавши запропоновані прозорі принципи та тонкі механізми поступового розвитку кібербезу в Україні? А чи виправить новий закон усі проблеми поточної «політики масової цифровізації» та хід мислення «дієвих»?
Що може, кінець кінцем, гарантувати погодження законопроекту через комітет та прийняття в цілому «під куполом»?
А нічого.
Ніхто не може дати ніяких гарантій – по жодному із зазначених застережень.
«Ви пишіть, несіть нам, а ми тут подумаємо та приймемо рішення».
І в результаті довгий титанічний спільний труд опиняється там же, де й усі хороші та прогресивні ідеї. Десь поряд з «урядом технократів».
І це ще не кажучи про те, що поки волонтери писатимуть законопроект (у вільний від поезії час), чиновники спишуть на це колосальні суми у свою кишеню. У разі хоча б якогось часткового успіху – припишуть усі заслуги собі, а у разі провалу – повісять провину на волонтерів. Так це завжди працювало і я не розумію чому тепер буде щось інакше.
Тому сорі, я в такі ігри вже не граю. Награвся. Свою позицію з подібних питань я озвучив ще пару років тому, вона відома, і вона не змінилася. І за поточного політичного циклу я не бачу себе у мазохістських авантюрах.
У стрімі Тім згадував «кібер-головнокомандувача». Я поважаю ту людину, він профі та розумник, навіть PhD. Ми з ним разом писали нову дорожню карту розвитку української кібербезпеки у серпні 2019, коли «новийєліца» виказали начебто щире бажання «все змінити», «до основанья, а затєм».
Активно співпрацював з різними владними установами, робить це і зараз. Має практичний досвід, кваліфікацію, повагу як в професійних колах, так і чиновницьких кабінетах. Чому б йому не запропонувати написати новий «правильний» Закон про кібербезпеку? Він же кібер-головнокомандувач, йому це потрібно більше всіх?
Є ще чимало авторитетних фахівців та юристів, керівників кібер-компаній, CISO/CIO, – Артем Іванич може своїм авторитетом їх зібрати докупи та очолити процес розробки, чого так і не змогла за три роки зробити офіційна влада. Дайош волонетрський закон про кібербез! Без всякої там «інституціональної підтримки», без грантових коштів, без повноважень, без гарантій, без надій та сподівань, обіцянок та пробачень, на кристально-чистому патріотизмі. Це ж варіант, нє?
А остаточно виписаний варіант, вимучений через нерви, крики, безкінечні спори та безсонні ночі – віддати пануФ. Після чого законопроект, скоріш за все, тихо ляже на дно маріанської западини ВРУ, разом з тисячами інших. Або з нього вийде чергова непрацююча корупційна фікція.
І останнє.
Будь-який закон – це набір базових правил, фреймворк, який не може регулювати безліч дрібних деталей. Тобто практично одночасно за законом має йти «підзаконка»: постанови, положення, укази, інша регуляторка. І писати її повинна та ж сама команда, яка готувала Закон. Щоб дотриматися духу, загальної концепції, закладених принципів. Щоб чиновники «внизу» вкотре не перетворили прекрасний закон на інструмент хаосу та корупції.
Іншими словами, процес нормативного та законодавчого регулювання має бути постійним, на регулярній основі. Професійним, іншими словами. Тому я не вірю у волонтерство для подібного класу проблематики.
Сподіваюся, ніхто не запідозрив мене у friendly fire після читання цього та попереднього дописів. Я просто поділився своїми враженнями від стріму моїх давніх побратимів та однодумців, яких безмежно поважаю. Якщо мої зауваження будуть враховані – то добре. Якщо ні – нуштош, таке життя. Я до цього давно звик.
І я згоден: такі стріми потрібні. Давайте ще. Це хоча б спроба почати рух вперед, до тієї самої довіри та Public-Private Partnership.
Найповільніші зміни відбувають в головах людей.
Change of mind – це найскладніша задача, у порівнянні з якою написати якийсь закон – фігня.