Ще одна спроба пояснити новій владі чому і як треба реформувати систему кібербезпеки країни
Ще одна спроба пояснити новій владі чому і як треба реформувати систему кібербезпеки країни.
Здається, наш маніфест https://tinyurl.com/y5zmpe5c залишився не зрозумілим чиновникам, які начебто мали б опікуватися тематикою кібербезпеки.
Розроблені досвідченими професіоналами цілі, принципи та основні ініціативи реформування галузі залишаються для Зе-більшості китайською грамотою. «Вгадав усі букви, але не вгадав слово». От буквально: читають слова та речення, але не розуміють їх значення.
Ладно, спробую пояснити на пальцях. Але це вже востаннє.
Спочатку визначу кому адресується цей нахабний лонгрід.
Наразі я можу ідентифікувати лише два осередка, які десь близько до кібербезпеки і мали б нею опікуватися: Комітет цифрової трансформації ВРУ та Міністерство цифрової трансформації. Держспецзв’язку вже не вважаю гравцем на цьому полі і вже ніколи не буду вважати.
Спочатку хотів би детальніше про ДССЗЗІ та і взагалі яка наразі загальна картина маслом («аналіз існуючої системи» вашою бюрократичною мовою).
Так от, ніякою системи не існує. Точніше, якась система нібито існує, але лише у вологих мріях окремих чиновників з Держспецзв’язку (Державна служба спеціального зв’язку та захисту інформації, ДССЗЗІ), які є наразі основними бенефіціарами існуючого хаосу, безсистемності, правового вакууму, безвідповідальності та криворукості.
Творцем, натхненником та керівником всього цього контрольованого саботажу є саме Держспецзв’язку, яке за 12 років свого існування написало під себе немаленьку нормативну базу і так само немало споживає наших спільних коштів (мільярди насправді) на імітацію «роботи з підвищення, поширшення та поглиблення» лютої пурги під умовною назвою «кібербезпека».
Ще одне важливе зауваження про поточну ситуацію: Закон України «Про основні засади забезпечення кібербезпеки України», який інколи згадують як «основу кібербезпекового законодавства», не працює від слова «зовсім». Писався він конкретними людьми під конкретні розпили конкретних фінансових потоків. Нічого «врегулювати» він не може, та і взагалі-то не мав такої мети, а його цінність як регуляторного акту практично нульова. Галузь залишається точно у такому ж стані, як і до нього. Жодних позитивних змін.
Держспецзв’язку за останні роки настільки скомпрометувала себе своєю корумпованістю, окозамилюванням, нахабною непрофесійністю, що шансів відбілити її репутацію просто немає. Точніше, це займе щонайменше десяток років, а ми не можемо так довго ждати. Та й нема кому цим зайнятися. Та і непотрібно.
Але повернемося до «аналізу існуючої ситуації». Ситуація ця така, що лагодити існуючу систему просто немає сенсу. Набагато швидше і дешевше буде зробити нову, на нових сучасних принципах, згідно з міжнародними стандартами, з новими обличчями та методами, які користується увесь цивілізований Світ.
І геть не обов’язково «да аснаван’я а затєм».
Можна все робити паралельно: потихеньку (або швидко) відрізати від Держспецзв’язку кібербезпекові функції, передаючи їх ….
І ось тут виникає питання «а кому передати?» Хто буде краще справлятися з цими завданнями? Чи не буде замість одного Держспецзв’язку створене інше, ще більше за розміром і ще менш потрібне?
Як зробити центральний хаб кібербезпеки країни дійсно професійним?
Як уникнути корупції, вертикальної залежності від фінансування з держбюджету, не допустити нецільового витрачання коштів, а також безконтрольності у питаннях фінансування загальнонаціональних програм з кібербезпеки?
Над цим питанням ми з колегами думали-думали і придумали. Точніше, щось підгледіли як це зроблено у Нідерландах, щось інше – у деяких інших країн, та і власний досвід у нас нівроку – і міжнародний, і управлінський, і громадський. Це якщо не рахувати чисто професійного досвіду практичної кібербезпеки, щонайменше 15 років у кожного.
Отже, якщо дуже коротко: потрібна принципово нова точка відліку, Експертна Рада.
Максимально професійна, висококваліфікована, досвідчена. Яку будуть дійсно поважати та довіряти. Яка буде найвищою та останньою інстанцією з усіх спірних питань, які мають стосунок до кібербезпеки.
Не державний орган з Міністром, а державно-приватно-громадська колегіальна Рада.
Не регуляторний орган, а експертна інституція, яку поважають та якій довіряють.
Не наглядач з батогом, а центр надання професійної допомоги. Безкоштовної.
Не годівниця для некваліфікованого чиновництва, а ідеологічний лідер галузі, її рушій.
Інституція, яка буде здатна організувати поступове (але швидке) зростання рівня кібербезпеки країни через навчання людей цієї країни. Оскільки країна складається саме з людей (від супер-хакерів до звичайних користувачів віндовз), які і є суб’єктами та об’єктами кібербезпеки.оли
Робочою назвою такого дива поки що обрано НЕНОК: Національна експертна незалежна організація з кібербезпеки.
Пройдемося детальніше яким оцей НЕНОК нам вбачається.
Чому колегіальний? Щоб більше розуміти ситуацію, більше залучати різних поглядів на різні проблеми, виключити зловживання, протекціонізм, корупцію (принаймні сильна порядок знизити її рівень), враховувати різні інтереси учасників кібер-соціуму.
Чому публічність? А щоб гроші не тирили, як це досі відбувається в Держспецзв’язку. Щоб уся галузь знала чим займається НЕНОК, чого досяг, які дедлайни, чому провтикали терміни, одним словом – KPI (Key Performance Indicators), як люблять панове диджіталізатори. І щоб гроші не крали.
Що значить «професійний»? Кожен з кандидатів у члени цієї Ради (НЕНОК) має довести свої особисті професійні досягнення в галузі кібербезпеки. Таким чином до головного експертного осередка не будуть допущені всілякі непрофесіонали-балаболи, які можуть продовжувати просторікувати по всяких кишенькових ГромРадах.
Чому «ніяких регуляцій»? Тому що регуляції у сфері кібербезпеки не працюють у сучасній Україні. Тобто позитивного ефекту не дають, зате викликають психологічне відторгнення та є передумовою для корупції.
Якщо аеропорт не має можливості або бажання найняти нормального фахівця з кібербезпеки, то ніякі регуляції та репресивні заходи не допоможуть. Треба приходити в той аеропорт і спокійно розказувати: чому вживати заходи потрібно, чим загрожуватиме невжиття заходів, розказувати як це роблять у інших країнах чи галузях, скільки то коштує, знайомити зі спільнотою, затягувати у процес. Безкоштовно. Без примусу. Без штрафів.
Для об’єктів критичної інфраструктури мають існувати рамкові галузеві вимоги, мінімальний набір заходів, обов’язкових до виконання. Але з можливістю їх виконати і з консультативною допомогою НЕНОК чи галузевого регулятора чи інших кібер-фахівців (якщо власного немає). Мінімальну безпеку можна зробити без великих фінансових витрат, майже безкоштовно, треба просто знати як.
Чому «галузевий регулятор» та делегування йому певних повноважень?
Світова практика розвинутих країн чітко вказує на те, що жоден найрозумніший та найдосвідченіший орган на може знати усе в усіх галузях економіки. Галузеві об’єднання та професійні спільноти скажімо, транспортної галузі знають про сотні галузевих нюансів та які мінімальні вимоги з кібербезпеки абсолютно необхідні, а якими можна знехтувати.
Тому краще буде, якщо формувати мінімально необхідний набір вимог з кібербезпеки для, скажімо, об’єктів критичної інфраструктури галузі енергетики, формувала НКРЕКП. У тих галузях, де немає формального регулятора, такі функції може виконувати професійна асоціація, галузевий CERT, або будь-яка організація, яка має авторитет та довіру більшості гравців галузі. Зрозуміло, що для цього Для цього у регулятора чи його аналога повинна бути команда кваліфікований професіоналів з кібербезпеки зі знанням особливостей конкретної галузі. І ця команда буде спілкуватися з іншими газузевими кібер-регуляторами, CERTами та іншими учасниками системи обміну інформацією про інциденти від імені підприємств галузі.
І тут логічним виглядає наступне питання:
Як координувати кібербезпеку всієї країни?
Якась координація на національному рівні все ж потрібна. Щоб ліва і права рука не робили одне й те саме, щоб не заважали один одному, щоб мали можливість довіряти одна одній та обмінюватися інформаціє про загрози та інциденти. Такими руками можуть бути ті самі галузеві регулятори, галузеві/регіональні команди реагування на інциденти (CERT), національний CERT, відповідні підрозділи ЗСУ-кіберполіції-розвідки-контррозвідки, приватні CERT/CSIRT/SOC, організовані команди вільних хакерів, кібер-підрозділи приватних компаній, науковці, освітяни, та і будь-які вільні художники за умови дотримання чітких правил співіснування. Розробку таких правил та контроль їх виконання має взяти на себе той, кого усі поважають та визнають його авторитет, у нашому випадку ним може стати НЕНОК. Хто не виконує правил – просто виключається з тусовки, з відповідними репутаційними втратами.
Чому «культ міжнародних стандартів»?
Тому що у багатьох галузях професійної кібербезпеки практика підтвердження професіоналізму кожного працівника відповідними сертифікатами міжнародного зразка є просто must have.
Керівник будівельної компанії не знається на кібербезпеці, але хоче найняти годного фахівця. Наявність у кандидата одного чи кількох професійних сертифікатів свідчить, що він, щонайменше, пройшов курс підготовки за здав по ньому іспит. Іспит, де неможливо дати хабаря, надурити викладача, подзвонити «я від Леоніда Олександровича» або тупо списати. За кожну спробу здачі та перездачі іспиту треба заплатити кругленьку суму. Сертифікат діє 2-3 роки і потім його треба перездавати. Тобто постійно тримати себе в тонусі, не вістрі сучасних знань індустрії. Ось що таке професійні сертифікати і чому у деяких секторах кібербезпеки без нього тебе просто не візьмуть на роботу.
І на кібер-кафедрах вишів треба навчати студентів не купі непотрібних предметів, а по програмі , скажімо, стандартного підготовчого курсу CEH (Certified Ethical Hacker, одна з найлегших сертифікацій). І не п’ять років, а максимум два, включаючи півтори роки інтенсивного вивчення англійської.
Те саме стосовно галузевих та національних стандартів: все найкраще давно придумано до нас. Причому придумано так, що рекомендації цих рамкових стандартів можна легко адаптувати до українських реалій.
Один колега з Верховної Ради дорікнув, що з наших пропозицій проглядають «вухи ISACA щоб робити міжнародну сертифікацію».
Оцю пред’яву хочу прокоментувати окремо.
Міжнародну сертифікацію «роблять» ще багато організацій, ISACA лише одна з багатьох. А взагалі-то здати на сертифікат можна самому, заходиш на відповідний ресурс, реєструєшся, платиш і погнав. Так, власне, більшість і робить. Тим, хто не знає де те все шукати, які кнопки натискати, як готуватися та здавати іспити – тим можуть допомогти організації типу Ісаки. Не бачу нічого поганого у популяризації міжнародних стандартів, хоча не маю жодного стосунку до ISACA.
Так само і аудити на відповідність міжнародним стандартам організацій, бізнес-процесів, управління ризиками, тощо, може проводити багато різних організацій, у тому числі ISACA. Маєш сертифікат аудитора – можеш проводити аудити, які питання.
Ще було питання «Прийняти нісовську директиву? Це стратегія?»
Так, NIS Directive – це стратегія. І дуже непогана. Достатньо просто її почитати, щоб це зрозуміти: https://tinyurl.com/y6l9qbk8
Цитата: « To that end, this Directive: …lays down obligations for all Member States to adopt a national strategy on the security of network and information systems”
По суті, NIS Directive має статус, обов’язковий до імплементації кожної з країн Євросоюзу на рівні національного закону. Фактично, це шаблон для кібер-стратегії для кожної з країн Євросоюзу. А якщо Україна все ще прямує до ЄС, то і ЄС-івські директиви нам так чи інакше доведеться виконувати. То чому б відпочатку не спиратися на них, якщо ми все одно повинні докорінно змінювати вітчизняне кібер-законодавство.
Якщо б національна кібер-стратегія була побудована на основі NIS Directive, я був би цілком тим задоволений. Були б іще питання до способів виконання, але як стратегія – цілком ок.
Сподіваюся, я достатньо зрозуміло розмалював яка інституція потрібна країні замість скомпрометованого Держспецзв’язку.
Але дуже розумній голові потрібні міцні руки щоб щось робити та швидкі ноги щоб кудись ходити.
Тому у підпорядкуванні НЕНОК має бути власний(!) виконавчий орган.
Щоб рішення НЕНОК не повисали у повітрі.
Щоб хтось готував аналітику для підготовки рішень, оцінок та рекомендацій НЕНОК.
Щоб був штат кваліфікованих працівників, які відповідатимуть на прості питання від звичайних користувачів, спілкуватимуться з працівниками ЦОВВ та критичної інфраструктури, з ЗСУ-кіберполіцією-розвідкою-контррозвідкою, приватними CERT/CSIRT/SOC, командами вільних хакерів, кібер-підрозділами приватних компаній, науковцями, освітянами та і будь-якими вільними художниками.
Спілкувався багато і часто, налагоджував горизонтальні зв’язки.
Обережно і лагідно створював умови для співпраці людей та організацій, які не довіряють одним одному.
А ще тому виконавчому органу треба розробляти та впроваджувати національну програму з кібер-гігієни, готувати спільні кібер-навчання, допомагати створювати галузеві та регіональні CERT/CSIRT/SOC, допомагати різним правоохоронцям та судам розібратися «де холодне, а де гаряче», спілкуватися та співпрацювати з закордонними колегами і ще багато важливих завдань. Наприклад, частиною виконавчого органу мав би бути CERT-UA.
Щодо фінансування НЕНОК та його виконавчого органу.
Це питання важливе і непросте, оскільки відомо, що хто платить – той і замовляє музику.
У ком’юніті немає спільного рішення про це, тому викладу лише своє особисте бачення.
Фінансування НЕНОК повинно бути стабільно-гарантоване щонайменше на 3-5 років. От щоб залізобетонна гарантія, яка не залежитиме від зміни чи емоційних рішень Уряду, Президента, чи Міністра АйТі.
Тут може бути кілька варіантів, від окремого рядку в Державному бюджеті, до повного фінансування за рахунок донорських коштів. Можливі якісь мікси, але з обов’язковим дотриманням кількох ключових умов.
Перше. Це НЕ повинна бути повністю державна установа чи бюджетна організація. Фінансування з держбюджету зв’яже руки для сплати ринкових зарплат кваліфікованим фахівцям. Тому що тарифні сітки, обмеження верхнього рівня оплати праці, інші обмеження у бюджетному секторі. Також можуть бути складності з оплатою рекламних кампаній, субпідряду аутсорсерів, організації конференцій, сплати відряджень, тощо. Багато зайвої бюрократії, яка сильно гальмуватиме основні процеси.
Якщо це буде повністю на державному фінансуванні, з одноосібним керівником, його заступниками, інтригами та боротьбою за щорічний бюджет, то рано чи пізно проект перетвориться на держспецзв’язку.
Друге. Витрачання бюджету НЕНОК має бути контрольованим як самою Експертною Радою (обов’язковий щомісячний звіт фіндиректора ЕксРади), так і громадськістю (часткове або повне оприлюднення фінансових звітів, як це роблять волонтерські проекти). «Немає ніякого кризису, вони просто ….» Як там далі у вас кажуть? Так от такого не повинно бути.
Як на мене, то я б фінансував цей проект на 51% за рахунок міжнародних донорів, які б слідкували як витрачаються їх гроші, вони це добре вміють робити. В ідеалі було 60/40 чи 55/45 у співвідношенні донор-держава. Але це мої приватні міркування, ніяких розрахунків не маю. Гіпотетично.
І третє. Участь держави у такому проекті все-таки обов’язкова. Без участі держави подібний проект також приречений. Останніми роками спостерігав кілька невдалих спроб створити «перший приватний національний CERT». Не працює.
Але участь держави повинна обмежуватися строго визначеними рамками: законодавча підтримка проекту, репутаційний «дах», залучення іноземної допомоги, податкові чи інші пільги, канал комунікації з держструктурами (яким потрібна кібер-допомога) та критичною інфраструктурою (які не визнають нікого, крім державних регуляторів). Допускати державу до прийняття професійних рішень чи то одноосібних кадрових призначень у Експертній раді – не можна категорично. Бо знов проект перетвориться на держспецзв’язку.
Де тут «принципи державного управління», спитаєте?
А нема їх. Є лише суто прагматичний підхід «як зробити так, щоб працювало».
Скажу більше, державу нашу рідненьку, треба тримати якнайдалі від такої складної та крихкої штуки як кібербезпека. Бо якщо вона своїм броньованим рилом почне насаджувати напрацьовані за 28 років «принципи державного управління», то залишить після себе лише дисципліновані уламки, розкладені паралельно-перпендикулярними рядками. У проекту побудові національної системи кібербезпеки повинні працювати принципи професіоналізму та здорового глузду, а не «державного управління». Не в цій сфері, сорі.
Що скажу наприкінці цього лонгріду.
Напрацьована концепція не є готовим планом дій, лише вектором напрямку руху. Професійна ком’юніті може показати як і куди рухатися, але детальна дорожня карта – завдання влади. Наростити на цей скелет м’яза, сухожилля, шкіру та почати рух у заданому напрямку – ось чим повинні зайнятися кібер-чиновники.
У мене (і ні в кого іншого) немає готових рецептів «а як зробити оте» і «як зробити оце». ДумайТе, ви ж верховна влада. Існує багато варіантів імплементації запропонованої теоретичної концепції, але то вже давайте якось самі. Якщо громадянське суспільство усе робитиме замість влади, то виникає питання: а за шо ми їм платимо і нахіба нам така влада?
Наразі ж кібер-країну лихоманить, а чаклуни, знахарі та екстрасенси намагається заробити на цьому свої 30 монеток та втекти. Кваліфіковані лікарі наразі займаються кожен своєю приватною практикою і не залучаються до боротьби за здоров’я нації. Хіба шо у вільний від поезії час, як оце я, пописуючі концептуальні лонгріди та ходячи на всякі «робочі групи».
Якщо і після цього розлогого пояснення залишаються неясні питання – можемо фізично зустрічатися, якось на жестах та картинках розказувати, можна навіть презентаціями спілкуватися, як ви любите.
Але одразу попереджаю: аргументи типу «ми цього зробити не зможемо, тому навіть не будемо обговорювати» я не сприймаю і приймаю. Краще навіть не планувати обговорення у такому форматі.
Події останніх років та особливо останніх виборів свідчать, що статися можуть найфантастичніші події, про настання яких навіть ніхто не мріяв. Скасовувати міністерства, створювати нові, змінювати вектор зовнішньої політики – можливо, як виявилося, будь що. Було б бажання.
Ще раз резюме, вибачте якщо повторююсь.
Ми з колегами придумали «як має бути у світі нормальних людей».
Ці пропозиції вже є розумним компромісом між високими ідеалами та сумною українською реальністю. Торгуватися ми (я – точно) не плануємо. Домовлятися про щось із владою – також не хочемо (більшість з нас).
Власне, це влада повинна домовлятися з експертним середовищем, а не навпаки.
Але поки що ситуація виглядає так, що влада сидить у м’якому кріслі (теплій ванні), з бокалом вина та сигарою, поклавши ноги на стіл і задумливо дивиться на вогонь у каміні. А навколо неї бігають та машуть руками й паперами купа пройдисвітів-непрофесіоналів, якихось броньованих військових, ГромРад та абщєственніц, які аж пищать так хочуть відкусити шматок солодкого пирога «на кібербезпеку». Професіонали від кібербезпеки також стоять тихенько у кутку цієї галасливого натовпу із своїми пропозиціями, але нічого не просять і на очі не лізуть. А влада продовжує дивитися на безодню. А безодня дивиться на владу.
Ми тут ще трохи постоїмо у кутку, потім залишимо на підлозі наші пропозиції і підемо собі займатися своїми справами. А ви як хочете. Якщо надумаєте робити щось, що працюватиме – покличте, може хтось іще матиме бажання пояснювати очевидне.
Наразі поки що таке бажання не зникло і ми ще готові пояснювати.
Але якщо наші пропозиції так і залишаться поза увагою і не викличуть інтересу – просто залишаємо усе як є, хай пливе за течією. Жодних проблем. Нехай щастить.
Будемо чекати на нові непрацюючі закони, дурнуваті розпорядження, невиконувані постанови, розпил-програми, «західну допомогу» з нульовою ефективністю, і всього того самого, над чим спільнота так весело ржала останні роки. Запаси попкорну у нас невичерпні.
А ще не забуваємо, що як тільки за порєбріком знов змінять статус Києва на «злочинна хунта», нас чекатимуть нові Прикарпаттяобленерго, Непетя, ПоганіКролики та Чорно-Сірі-Енергії. І тоді кожен буде сам за себе, а держава знов не зможе допомогти. Хоча був реальний шанс хоча б почати створювати ефективну систему кібербезпеки країни. Але не було мудрості визначити який шлях правильний. Чи бажання йти тяжким шляхом самурая.
Майбутнє покаже. Але ще є шанс змінити його на краще.
Бережімося.