Розкажу про Legal Cybersecurity Forum, який відбудеться в рамках «Днів кібербезпеки ЄС в Україні»

Розкажу про Legal Cybersecurity Forum, який відбудеться в рамках «Днів кібербезпеки ЄС в Україні»

Розкажу, товариство, ще про одну типу-кібер-конференцію (хоча насправді йтиметься про болюче питання «а кого вважати кібер-експертом»).

Даремно мій email включили до спам-розсилки з рекламою цієї конференції.
І взагалі, спам-розсилка вже давно є дурним тоном для легального бізнесу, особливо юридичного.
Називається подія Legal Cybersecurity Forum, який відбудеться в рамках «Днів кібербезпеки ЄС в Україні» (!)
Посилання не даю, не хочу рекламувати.
І примітна подія тим, що серед спікерів немає жодного спеціаліста з кібербезпеки, якого можна назвати більш-менш авторитетним фахівцем галузі. Галузі кібербезпеки, наголошую.
Натомість з учасникам Форуму з розумним виглядом розмірковувати про кібербезпеку буде ось хто:
– хтось з РНБО (невідомо);
– хтось з Держспецзв’язку (невідомо);
– новообраний народний депутат, близький до тематики кібербезпеки, хоча, безумовно, крутий експерт у телекомі;
– кілька працівників молодшої та середньої ланки з Кіберполіції;
– хтось з СБУ (невідомо);
– генеральний директор якоїсь цифрової інфраструктури Міністерства інфраструктури (так зване кібер-ніфіга, ніякого стосунку до кібербезпеки, щоб вони там про себе не думали);
– неназвані представники не менш загадкових енергетичної компанії, медичної компанії, банку, телекомунікаційної компанії (просто прийти розказати «як ми постраждали від NotPetya”?);
– балакучий та громадсько-активний авантюрист від кібербезпеки, який активно липне до нової влади;
– Представник Представництва Європейської Комісії в Україні / Представник Комісії Україна-НАТО (для них нижче буде окремий меседж);
– партнери організаторів (юридичні фірми) – взагалі який стосунок до КБ? Загадка.
– керівники якихось ІТ-компаній, з сайтів яких кібербезпека якось не дуже проглядається;
– «представник бізнесу» (якого бізнесу? шо за представник? яким він боком до кібербезпеки?)
– «білий хакер» (ОМГ, ви ж юристи, треба якось політкоректніше, без оцих расистських забобонів; та і прізвище тре назвати, бо у нас таких мамкіних кулхацкерів по сто штук на кожному розі).

Єдина людина, яку серед заявлених я б послухав, це «офіцер із захисту даних авіакомпанії МАУ». Він явно не експерт, але, можливо, щось би цікаве розказав як там в МАУ захищають дані і яке взагалі ставлення керівництва компанії до питань кібербезпеки. Може, було б за що похвалити). Але не матиму такого шансу((

Тобто захід організовано юристами, на якому чиновники, ІТ-шники («ти_ж_програміст»), енергетики, медики, банкіри, телекомщики обговорюватимуть що? Звісно, кібербезпеку, що ж іще їм обговорювати. Без кібербезпечників.

Ну окей, це «дискусії», а не «доповіді». ППР. Прийшли-потринділи-розійшлись.
Але ж у чому сенс зібрати не-фахівців поговорити «за кібербезпеку»?
Істина народжується у спорі мудреців, себто експертів. Саме для цього проводяться конференції: взнати щось нове. А у спорі пролетаріїв чи бабульок на лавочках народиться лише щось на шталт «вони всі дебіли, зробимо їх разом».
А модератором дискусії з кібер-питань виступає юридична фірма.
Мдя. А якщо пентест-компанія виступатиме модератором дискусії з питань судової реформи – цікаво, що про це скаже шановна юридична спільнота: адвокати там, правники, судді всілякі?

«А хто ж тоді експерт, по-твоєму?» – запитає критичний читач цього допису.
А я розкажу.
Кібер-фахівець експертного рівня не боїться показати свій шлях у професії, із зазначенням де і коли працював і чим саме займався, у яких проектах був задіяний і чим може похвалитися. І усе це повинно мати прямий та безпосередній стосунок до кібербезпеки.
Звання «експерт» заслуговує фахівець, який має не менше десяти років досвіду роботи, виключно у кібербезпеці. In my humble opinion. Виключення: генії у прикладних аспектах, дуже вузьких та дуже технічних. Там критерій «10 років» не завжди працює.
Кібер-фахівець експертного рівня, як правило, виступає на справжніх кібер-конференціях (хоча не обов’язково, знаю крутих спеців, які не виступають). Уточнення: якщо захід організовує не-кібер компанія, або не кібер-спільнота – це не можна вважати кібер-конференцією. Існує пара виключень, але саме виключень, унікальні випадки.
Також не можу вважати експертами людей, які усе життя пропрацювали у державних установах. У кіберполіції чи ДКІБ є непогані спеціалісти, але щоб їм стати експертами – треба йти працювати у приватний сектор і досягти у ньому хоча б якихось помітних досягнень. Кращі з них, власне, йдуть саме таким шляхом.
Якщо ти десь боком торкався окремих аспектів кібербезпеки, паралельно до основної діяльності – ти не експерт з кібербезпеки.
Якщо ти пропрацював усе життя у чиновницьких структурах-регуляторах (типу Держспецзв’язку) – ти не експерт з кібербезпеки.
Якщо ти не знаходишся всередині сучасної індустрії кібербезпеки – ти не експерт з кібербезпеки. Це стосовно всіляких там ноуковців, які пишуть дисертації «з проблем кібербезпеки».

На сайтах професійних кібер-конференцій у анонсах виступів завжди дають короткий опис досягнень спікера, щоб кожен відвідувач зміг прочитати і зробити висновок: чи є спікер достатнім авторитетом у предметі, про який буде розказувати.
У даному випадку нічого такого немає. І зрозуміло чому.
Також немає і не було ніякого CFP (приймання заявок на виступ), що є просто маст-хев для усіх сучасних конференцій, особливо кібер-. Організатори просто вручну запросили «тих, кого знають»: ну, в тебе ж кум наче програміст чи камп’ютерщік?

І ще трохи про Legal Cybersecurity Forum
Локація буде пафосна: Прем’єр Палац, 5-зірковий готель біля Бесарабки.
Ціни на квитки: просто космос. Приблизно втричі дорожчі, ніж на найкрутіші українські кібер-конференції (які справжні). Хоча юристи ж у нас багаті люди, шо їм викинути на вітер 4000 грн. за квиток.
Партнери: жодної кібербезпекової компанії. Одні юридичні фірми. Це показово стосовно слова Cyber у назві заходу.

І щоб два рази не вставати: заодно про справжні кібер-конференції.
Справжніми кібер-конференціями я вважаю наступні: OWASP Kyiv, OWASP Kharkiv, OWASP Lviv, OWASP Dnipro, OWASP Ukraine, BSides Kyiv, BSides Kharkiv, UISGCON, NoNameCon, Cisco Cyber, IDC Security Roadshow. Якщо ще згадаю – допишу.
Але є і прикрі новини: схоже, що цього року український конференц-рух зазнав втрат: UISGCON, IDC Security Roadshow – R.I.P. HackIt вже народився мертвим, тому тут без інсайтів.
Я буду дуже здивований, якщо ці три конференції відбудуться ще колись. Хоча, не виключено, що це не смерть, а знепритомнення, і пацієнт знов оживе. Хтозна, побачимо.

І ще кілька слів про «Дні кібербезпеки ЄС в Україні», під егідою яких начебто буде проводитися змальований у дописі Форум.
Я вбачаю у цьому чергове підтвердження моєї тези про виключно формальну та неефективну «кібер-допомогу» з боку Європейського Союзу: ЄС-івські структури сприймають серйозно виключно чиновників, людей на державних посадах та при погонах, і пофіг, що вони (дупля не б’ють- закреслено) мало розуміють у кібербезпеці.
Пафос, костюм-краватка, набундючений вигляд, офіційні папери з печатками, ігнор реального сектору кібербезпеки – ось що добре заходить в ЕС-івські гранти, що чудово вписується в парадигму «Європейської допомоги» і буде фігурувати у графі «зараховано» ЕС-івських платіжних відомостей. Розумію, що, скоріш за все, організатори Форуму просто десь намутили якихось грошенят від західних «допомогальників», але менше з тим. Виставляєте своє ім’я під заходом: відповідайте за контент і за весь захід. «Під егідою» же ж.

Спитаєте, чому я доколупався до якогось там кібер-форуму» для юристів, який не робить ніякої погоди для української кібер-індустрії?
А тому що туди підуть здебільшого саме юристи. І будуть піддакувати спікерам, киватимуть головами, і цитуватимуть, і братимуть почуте у свою юридичну практику.
А потім ми дивуємося чому у нас криве та корупційне кібер-законодавство, чому силовики проштовхують #6688, чому судові «печерські вовки» забороняють Інтернет в Україні, чому пресують кібер-активістів і чому Держспецзв’язку досі існує.
А тому, що в якості «експертів з кібербезпеки» на юридичних конференціях виступає хто попало – тільки не справжні експерти.
Які шось десь чули про кібербезпеку або постояли поряд, поки хлопці курили кібербезпеку. Хто нахапався загальної риторики на псевдо-кібер-конференціях і хвацько жонглює пустими фразами про те, як космічні кораблі бороздять простори большова театра: «у сучасному суспільстві розвиток кібербезпеки є пріоритетним напрямком», «посилення ролі та відповідальності», «приватно-державне партнерство», бє-бє-бє. Вони незмінно присутні і виголошують ті ж самі шаблони на усіх засіданнях-комітетах-громадських радах-робочих групах. «Це ж поважні люди» кажуть про них чиновники – наші та західні – і пофіг що вони профани у КБ.

Я особисто знаю принаймні зо три десятки крутих профі, які заслуговують називатися експертами з кібербезпеки.
Але чомусь не вони є авторитетами для безграмотних чиновників, не вони впливають на кібер-законодавство, не їх запрошують на ось такі типу-кібер-конференції для юристів.
Хоча саме вони, справжні експерти, мали б нести Слово Істини про кібербезпеку народові України.
Замість того повну ахінею несуть «ігсперти», внаслідок чого дискредитовано чудове слово expert, від латинського expertus — досвідчений.
А кібербезпека в Україні тим часом залишається на тому самому рівні: на один-два сантиметри вище дна.

Маю дуже обережну надію, що нові люди у новій владі почнуть якось повертати тему до реального життя.
Але, знов таки, бачу, що залучаються здебільшого «ігсперти»-засєдатєлі-аферисти, тому поки що утримаюся від позитивного прогнозу.

А тому – бережімося.

Костянтин Корсун

Голова Ради Громадської організації Українська група інформаційної безпеки, директор компанії з кібербезпеки Berezha Security.