Прокоментую інтерв’ю новопризначеного Голови Держспецзв’язку Валентина Петрова

Прокоментую інтерв’ю новопризначеного Голови Держспецзв’язку Валентина Петрова

Вирішив все ж окремим дописом прокоментувати свіженьке інтерв’ю новопризначеного Голови Держспецзв’язку пана Валентина Петрова.

Вирішив все ж окремим дописом прокоментувати свіженьке інтерв’ю новопризначеного Голови Держспецзв’язку пана Валентина Петрова, https://tinyurl.com/wnubyxl
З багатьма тезами пана Валентина погоджуюсь, але не з усіма.
У будь-якому разі вітаю сам факт публікації інтерв’ю, це вже крок вперед у порівнянні з глухим тотальним мовчанням попереднього керівництва.
Але менше з тим, деякі твердження зараз буду критикувати. За усієї поваги особисто до пана Петрова.
І це лонгрід, тому вмощуйтеся зручненько.

«Тому питання оптимізації маємо вирішувати тоді, коли зможемо платити людям адекватні гроші».
Тут у мене стався збій логіки: спочатку армаді дармоїдів збільшим зарплати, а потім будемо їх скорочувати? Чи не логічніше було б скоротити, а потім використати звільнені кошти на підвищення зарплат тим, хто залишився? Якби пан Голова хоча б трошки попрацював у бізнесі, це було б цілком очевидним рішенням. Я знаю про фіксовані тарифи посада-звання-вислуга, і все таке, але це все можна вирішити, якщо є вивільнені кошти. Дядя Коля якось же пробив для своїх підвищення зарплат, і вже кілька років тому.

«Ми збираємо відомості про те, що мають на озброєнні розвідки провідних країн світу, і відпрацьовуємо рекомендації для ЗСУ, інших силовиків, Укроборонпрому щодо того, як їм краще захищатися.»
Питання: а як збираєте? Через Інтернет?
Загалом-то, це завдання СЗР, ГУР та інших розвідувальних організацій. Не знаю, чи діляться розвідки такою інформацією з ДССЗЗІ, але думаю, що не дуже. Щоб розвідка збирала таку інформацію – треба їм поставити таке завдання, а у тому, що Держспецзв’язку такі завдання завчасно сформувала, – сумніваюся.

«Нині до нашого центру реагування CERT-UA низький рівень довіри, зокрема й тому, що там працюють військові.»
Ні, пане Валентине, не тому. Взагалі це чи не остання причина з довгого переліку причин.
Низький рівень довіри до CERT-UA тому, що якщо комерційна компанія чи недержавна (та і державна) організація добровільно передає свою критично-важливу інформацію щодо інцидентів державній структурі в Україні, то виникають ряд суттєвих ризиків: інформацію продадуть конкурентам, просто неналежним чином зберігатимуть і хтось її поцупить, дані можуть бути оприлюднені і це призведе до репутаційних втрат компанії, інформацію передадуть правоохоронцям і вона буде використана проти самої фірми і багато інших ризиків. А ще CERT-UA не має достатньо кваліфікованих співробітників: ані в керівництві, ані серед виконавців.
Але мати високу кваліфікацію теж недостатньо. Щоб з тобою ділилися важливою та цікавою інформацією, потрібно мати бездоганну репутацію. А це величезна проблема для будь-якої державної установи. Та і для бізнесу також. І з урахуванням поточної репутації ДССЗЗІ, на її відновлення можуть піти не роки – десятиліття.
Але навіть кваліфікація+репутація – це теж не все. Треба ще переконливо донести інформацію про свою кваліфікацію та репутацію до цільової аудиторії. А для цього треба знати хто вона, твоя цільова аудиторія, і де її шукати. І як з ними комунікувати так, щоб тобі повірили. Не махати шашкою «щас ми вас на шмаття порвемо, а ну любіть нас», а довго та наполегливо, щиро та сердечно переконувати. І це абсолютно неможливий шлях для українського чиновництва, як ми усі розуміємо. Саме тому CERT-UA, щоб врятувати, треба якось категорично (ментально, на рівні асоціацій) відмежувати від усього, що пов’язано з Держспецзв’язку. Тоді може колись з’явиться шанс, бо інакше шансів взагалі нема.

«Нині ми на етапі збору інформації та формулювання пропозицій, потім буде підготовлена концепція рішення РНБО, після неї мають з’явитися законодавчі акти на її виконання. Сподіваюся завершити перший етап цієї трансформації до кінця наступного року»
Я правильно зрозумів, що більше року буде збиратися інформація, будуть формулюватися пропозиції, потім писатися проекти нормативних актів? Серйозно?
Яку інформацію треба рік збирати? Що можна рік формулювати, у вас же там, за Вашими, пане Голове, словами, «високоінтелектуальні висококваліфіковані кадри»?
Такими темпами і до кінця каденції вашого Найвеличнішгого Лідера не встигнете.

«До речі, є такий міф, що урядові телефони прослуховуються. Це неправда, ми саме й працюємо для того, щоб їх не прослуховували, щоб виключити навіть гіпотетичну можливість цього.»
Так, саме для цього у 2006-2007 ДСТСЗІ відділили від СБУ. Щоб правоохоронний орган спеціального призначення одночасно не підтримував роботоспроможність каналів передачі даних, і сам же їх не прослуховував. Але хто може дати гарантію, що на одному з вузлів Держспецзв’язку сама Служба не слухає перемовини чиновників, без буль-якої санкції суду? Хто знає топологію мережі ДССЗЗІ, крім неї самої? Хто може це реально перевірити? А ніхто. Рішення судів про законне перехоплення – то само собою, але яким чином унеможливлено несанкціоноване перехоплення на рівні оператора мережі? Які існують запобіжники, що Прем’єр чи Президент не викличе до себе Голову Дежспецзв’язку та не поставить завдання «ми повинні знати усе про оцього нігадяя»? І я подивлюся на того хороброго джедая, який відповість Президенту «Вибачте, це незаконно, тому я цього робити не буду». Хіба що у марвеловських коміксах такі герої трапляються. Діти вірять.

«У світі нині тільки 12 країн мають повний замкнений цикл бойової криптографії — від теоретичної математики до готового серійного виробу. Ми серед них і маємо весь цикл.»
Я не великий спец у криптографії, але наскільки я пам’ятаю виступ Ruslan Kiyanchuk на NNC та деякі дискусії фахівців з криптографії, вітчизняні Калина-Купина засновані на алгоритмі RSA, чи AES, чи чогомусь на їх базі, ні? Якщо так, то говорити про повний замкнений цикл якось не тейво. Прошу фахівців поправити мене, якщо я помиляюся (а це цілком ймовірно, я теж можу помилятися))).

«Що їхні розробки, які нічим не гірші від найкращих світових аналогів, не замінять на інші месенджери через чиюсь примху.»
Ага, хотіла свиня вовка з’їсти. Нічим не гірші світових аналогів, кажете? А чому ж тоді Україна не є лідером на світовому ринку криптографічних продуктів? Чи може є якісь неважливі дрібнички типу швидкодії? І чому тоді на основі ваших «не гірші світових аналогів» досі ніхто не створив супер-захищений месенджер? Щось тут не клеїться, пане Валентине. Ви впевнені, що Вас не дурять ваші нові підлеглі? Прошу пруфи.

«Якщо, наприклад, зникне мобільний зв’язок, то месенджер просто замовкне.»
Я вибачаюся, але це твердження не досить коректне. Передача голосу та смс і передача даних – не одне і йде саме. А якщо я і мій абонент будемо в зоні дії Wi-Fi-мереж широкополосного доступу до Інтернет не від мобільних операторів? Тоді месенджери якраз працюватимуть, на відміну від мобільного зв’язку. А ще є супутниковий доступ, який можна використати як резервний канал, та інші варіанти.

«… це побутові смартфони, але перероблені на апаратному рівні з додаванням криптомодуля. Крім того, вони мають нову прошивку, бо операційна система Android надто вразлива.»
От дуже мені цікаво, що такого ваші доморощені кулібіни там надодавали, яку таку нову прошивку накліпали на колінці? Хто бачив ту прошивку, хто тестував? Звідки переконання, що вона менш вразлива, ніж Андроїд? Це хто таке сказав розробникам? Кастомні прошвки Андроїд, між іншим, розробляють крутезні специ з всесвітньо-відомих компаній, за величезні гроші, довго, з купою тестів на виході, але все одно проколюються.
Знов Вас надурили, пане Валентине. Як писав класик, «не вір, мій сину, тому під**су…».

«Зараз я хочу максимально відокремити Держспецзв’язку від взаємодії з бізнесом.»
Ось з такими висловлюваннями я б порадив трохи обережніше. А як же тоді славнозвісне «державно-приватне партнерство»? Бізнес – це теж частина суспільства.
Скажу більше, і Ви, і ваша Служба існують на податки того самого бізнесу.
А навчатися у кого будете? Самі у себе? На кожному державному збіговиську постійно чую фразу «Нє, ну ми визнаємо, що у приватному секторі фахівці кращі, ніж у державному, ми це визнаємо».
А тут «максимально відокремити»?
Можливо, малося на увазі щось інше, тоді треба чіткіше формулювати.

«У цьому сенсі мені подобається американський принцип, він більше орієнтований на ризики. Там власник інформації сам визначає загрози для неї та будує відповідну систему захисту за чинними вимогами. Відповідальність за витік так само лежить на ньому.»
Так і у нас так. І завжди так було. Лише власник несе відповідальність. А Держспецзв’язку ніякої відповідальності не несе. Тому і питання – нахіба воно нам таке, яке витрачає купу наших грошей, але ні за що не відповідає?

У інтерв’ю пана Петрова є також багато правильних, потрібних та актуальних речей, які давно пора вже робити. Але з мого боку якось тупо було б писати: «так, з оцим згоден, і оце також підтримую».
Є об’єктивні речі, доводити правильність яких немає потреби, для нормальній людині. Тому якщо Голова Держспецзв’язку говорить «сонце сходить на Сході», то це свідчить лише про адекватність сприйняття реальності громадянином України, який працює на посаді Голови Держспецзв’язку.
Мало казати правильні речі (хоча і це важливо).
Головніше – перетворювати правильні слова у правильні дії правильним чином. І бажано якнайскоріше, особливо у такій стрімкій сфері як кібербезпеки.
Чого і бажаю пану Валентину.

Бережімося.

Посилання на інтерв’ю: https://tyzhden.ua/Society/238132?fbclid=IwAR2kjfMh3yWX50Pl31rCJPTpSlg1YD3M3tlHHfJzdyUhiod3GrXHRc8mRwM&fbclid=IwAR3HaC1W0zfaIliDyBw8pWlDvsUaFY7b4k_AUNsfncbU9oNPRgoJwWFC39I

Костянтин Корсун

Голова Ради Громадської організації Українська група інформаційної безпеки, директор компанії з кібербезпеки Berezha Security.