Вечірній лонгрід про злого та доброго поліцейського кібербезпеки

Вечірній лонгрід про злого та доброго поліцейського кібербезпеки.

Скидається на те, що наразі в Україні досить чітко сформувалося два державні осередки, які мають намір щось там розбудувати в плані національної кібербезпеки.

Злим поліцейським є віце-прем’єр М. Федоров, який має у своєму підпорядкуванні Міністерство цифрової трансформації (Мінцифри) та Держспецзв’язку. Фахівців у Мінцифри немає взагалі, а ті, які досі не втекли з Держспецзв’язку у приватний сектор, мають досить невисоку кваліфікацію. Ключовими меседжами М. Федорова є наступні: «роль кібербезпеки дещо перевищена» та «ми звільнили кібер-фахівців і нічого не сталося». Заявляють, що «з вересня 2019 роки ми відповідальні за кібербезпеку, ТЗІ-КЗІ», але якщо дивитися у законодавство, то це геть не так. «Брати участь у..» і «бути відповідальним за..» – це сильно різні речі. Тим більше, що постанова Кабміну не має влади змінити вимоги Закону України.

Добрим поліцейським є Рада національної безпеки і оборони України (РНБО) на чолі з її Секретарем Олексієм Даніловим. З фахівців кібербезпеки має лише свого заступника Сергія Демедюка, який кілька років до того очолював Кіберполіцію. І Данілов, і Демедюк чесно визнають відсутність висококваліфікованих кібербезпечників у державних інституціях або недостатній рівень їх кваліфікації. Через це відкриті до спілкування з приватним сектором кібербезпеки та кібер-ком’юніті. У серпні 2019 РНБО було організовано кілька робочих зустрічей із залученням як фейкових, так і справжніх кібер-експертів, з метою напрацювання пропозицій стосовно реальних позитивних змін у кібер-сфері.

Обидва табори прагнуть отримати «кібердопомогу» від західних донорів та, напевно, її отримають. Обидва не мають власних кваліфікованих кібер-команд, але сподіваються їх швидко створити. Обидва покладають великі надії на мудрих західних партнерів, які прийдуть і все розкажуть-покажуть і буде їм щастя.

Говорити про «злого поліцейського» очевидно немає особливого сенсу через нездатність та небажання розібратися у бардаку під умовною назвою «національна система кібербезпеки», тому хотів би обкашляти «доброго поліцейського».

Добрий поліцейський має ознаки адекватності і поки не ставить себе у позицію «я начальник – ти дурак».
Але не можна залишити поза увагою деякі тези з останньої заяви РНБО про кібербезпеку від 14 грудня 2019, https://tinyurl.com/wmrplnw

«У наступні п’ять-десять років кіберзброя стане номером один у світі, навіть ядерна зброя відійде на другий план» – перепрошую, але це вже перебор.
Навіть у світі професійних кібербезпечників-параноїків не чув я такого апокаліптичного сценарію. Запорєбріка вже б ніхто не боявся з їх іржавим ядерним арсеналом. 5% ВВП вже зараз би виділялося на кібер, а не на оборону та звичайні озброєння. У професійних колах такого роду висловлювання називають «професійна деформація» (зазвичай трапляється у проміжок між 5 та 10 роками роботи у КБ), але почути таке від людини, яка зовсім нова у кібербезпеці – дивно та незвично.

«Секретар РНБО України повідомив про роботу над оновленою Стратегією кібербезпеки,…»
По-перше, Стратегія кібербезпеки розробляється на основі Стратегії національної безпеки, якої поки що немає (нової себто). А Стратегія нацбезпеки розробляється за дорученням Президента України протягом 6 місяців після його ступу на пост. Тобто термін розробки минув 20 листопада 2019, про затвердження нової я не чув.
Таким чином, розробляти Стратегію кібербезпеки немає на основі чого. І тут два варіанти: або пан Данілов трошечки збр…, еммм, злукавив, або в РНБО працюють поки що вхолосту.

«…і зазначив, що в Апараті РНБО України триває робота над розбудовою Національного координаційного центру кібербезпеки (НКЦК) відповідно до сучасних викликів, головним завданням якого визначено, зокрема, прогнозування і виявлення потенційних та реальних кіберзагроз, а також забезпечення РНБО України аналітичними матеріалами.»
Наша пісня гарна-нова, починаєм її знову. Вже Секретар РНБО Турчинов щось таке пафосно відкривав на початку лютого 2018 року на базі Держспецзв’язку. Мега-супер-пупер-кібер-центр, який наприкінці виявився лише картонною декорацією та ширмою для пілорами промислових масштабів.
Ми є усі пам’ятаємо, що РНБО приникало собі 18 мільярдів гривень на невідомі цілі, можливо, і на цей ще один кіберцентр.
Також пам’ятаємо, що згідно досі чинного кривого-косого та непрацюючого Закону України про основні засади забезпечення кібербезпеки України», «Національний координаційний центр кібербезпеки як робочий орган Ради національної безпеки і оборони України здійснює координацію та контроль за діяльністю суб’єктів сектору безпеки і оборони, які забезпечують кібербезпеку”.
Якщо новий кіберцентр РНБО розбудовується якраз на виконання цього закону, то тоді кіберцентр цей має координувати лише сектор безпеки та оборону.
Іншими словами, стосуватиметься не усієї країни, а лише правоохоронців, військових, військово-промислового комплексу. Більшість критичної інфраструктури, наприклад, стосується безпеки і оборони аж ніяк (натяжки в розрахунок не беруться). Про звичайних користувачів годі й говорити.

Якщо ж під прикриттям пункту 2 статті 5 Закону, РНБО хоче створити головний кіберцентр країни, то тут мушу розчарувати: його спіткає сумна доля усіх інших державних кіберцентрів.
Для ролі національного кібер-координатора потрібна, перш за все, велика довіра з боку тих, кого планується координувати. А у нас в Україні таких організацій сотні тисяч: підприємства критичної інфраструктури, державні установи, органи місцевого самоврядування, приватні компанії, неурядові організації, медіа, кібер-індустрія кінець кінцем.
А довіра до державних установ в українському суспільстві наразі близька до нульової.

Можна і без довіри, звісно. Примусити, зарегулювати, пригрозити штрафами та санкціями – це наша держава любить і вміє. Але у такій делікатній галузі як кібербезпека без довіри тобі просто не даватимуть інформацію. Цінну, важливу, релевантну інформацію.
«Нема» – скажуть. Нічого не трапилося. Інцидентів у звітний період не зафіксовано.
Можна примусово поставити СБУ-шні сенсори на серверах міністерств та урядових компаній, але неурядові організації (яких набагато більше) просто не дозволять цього зробити у своїх мережах. Через недовіру.
І знов, як завжди, новий та красивий генеральний штаб з генералами імітуватиме бурхливу діяльність за відсутності військ та солдат. Високопосадовцям на великих моніторах показуватимуть якісь графіки, миготіння лампочок з показниками відбитих атак, пульсуючу карту Світу, але по факту не буде кого координувати і реальної картини аж ніяк не відображатиме.

А кіберцентр, який «координує» лише державний сектор не може називати себе Національним. В Україні чиновниками є лише 1/170 частина мешканців.
Усі найбільш резонансні атаки Запорєбріка проти України стосувалися якраз недержавного сектору: приватні енергетичні компанії (BlackEnergy, GreyEnergy), приватна бухгалтерська компанія (NotPetya), приватні медіа, приватні телекоми, приватні поштові служби, комунальні водоканали, приватні клініки, невійськові аеропорти, тощо.
І ще інформаційні операції у соціальних мережах (абсолютно не державних).
А у волонтерських битвах Українського кіберальянсу та Інформнапалму держава Україна взагалі не бере ніякої участі, хоча активісти діють в інтересах всієї країни.

Звісно, були атаки проти державних установ: ЦВК, Мінфін, Казначейство, Пенсійний фонд, Укрзалізниця, Ощадбанк. Але останні дві установи «державні» досить умовно, та, у порівнянні з усією іншою країною та її економікою, доля атак проти державного сектору є невеликою. З урахуванням високого рівня латентності кібер-злочинів. Тобто про більшість атак знають лише їх жертви.

Але повернемося ще до цитат з повідомлення РНБО.

«Заступник Секретаря РНБО України Сергій Демедюк детально поінформував про завдання НКЦК, зазначивши, що у ньому працюватимуть потужні фахівці.»
Це добре, що представників Сенату США детально поінформували про завдання НКЦК. А як стосовно поінформувати українських платників податків, які, скоріш за все, фінансуватимуть цю задумку?
Наприклад, мені анічогісінько не відомо про завдання НКЦК, крім того, що написано у Законі.

І ще скажу про «потужних фахівців». Сумніваюся я.
На потужних фахівців потрібен потужний бюджет, оскільки саме люди є основою успішності будь-якого проекту. Про 18 мільярдів пам’ятаю, але державна установа просто фізично не може платити зарплати вище бюджетних обмежень, от ніяк. Тим більше до рівня «потужних фахівців», який сильно вище максимально можливих бюджетних зарплат.
Знаю про популярні зараз схеми з ГОшками, західними донорами, підрядниками-суб-підрядниками та зарплатами в конвертах. І це досить сумнівно як з точки зору законності, так і з точки зору «шоб не кинули».
До того ж, у владних кабінетах досить викривлене уявлення про доступність необхідних фахівців. Чомусь чиновники вважають, що якщо вони платитимуть ринкові зарплати – до них ломанеться увесь цвіт нації. Які до того сиділи і чекали.
Фатальна помилка. За фахівців високого класу в Україні йде справжнє полювання. Як тільки фахівець рівня senior звільняється з однієї приватної компанії – у той же день починає працювати у іншій, але вже на кращих умовах. Зазвичай це зарплата, але не тільки і не завжди.
А щоб залучити такого фахівця до роботу у державній структурі, треба йому запропонувати взагалі щось космічне. Далеко не кожен професіонал хай-класу захоче опинитися у токсичному середовищі «упав-віджався, мовчати, я вас питаю»; так само мало буде бажаючих подавати декларації про свій майновий стан та підкорятися начальнику-невігласу. До того ж, зарплати у конвертах або по мутних схемах ніякими документами не фіксуються, тому одного дня можуть просто показати дулю, посередині проекту. А це ще не йдеться про бюрократичні процедури, формальні конкурси, папери та довідки.
Тому теза про «потужних фахівців» здається мені перебільшенням та видаванням бажаного за дійсне.

Заради справедливості зазначу, що керівництво Апарату РНБО набагато ближче до розуміння реальності та головних проблем національної кібербезпеки, ніж та сама Мінцифра. Але поки що рухається у бік старих граблів попередньої влади.
Наскільки я розумію, проект НКЦК рухатиме і очолить Сергій Демедюк.
І це поки що єдиний і найсильніший козир у руках Апарату РНБО. Чотири роки керівництва Кібеполіцією, без сумніву, дають уявлення що таке кібербезпека.
Але разом з тим: пан Сергій ніколи не працював ніде, крім державних організацій, усе життя у міліції/поліції. До того ж, робота кіберполіції полягає у розслідуванні кіберзлочинів, які вже сталися і про які повідомили. Про деякі технічні аспекти кібербезпеки уявлення дає, але далеко не про всі. Скажімо, як зробити так, щоб кіберзлочину не сталося. Які існують для цього організаційні та бізнес-моделі. Які існують на ринку ефективні засоби і як їх ефективно застосовувати, та навіть мінімізувати витрати. Чому бізнес не хоче співпрацювати з державою. Що таке довіра і як її добитися. Як можна залучити до співпраці різних стейкхолдерів окрім маскі-шоу, обшуків та погроз кримінальним провадженням. І ще багато чого не-поліцейського, суто цивільного.
Сергій Демедюк людина розумна та досвідчена, достойна поваги, але мені важко уявити приватний бізнес та звичайних громадян, які б повністю довіряли генералу українською поліції у такій чутливій галузі як кібербезпека.

І щоб закінчити на позитивчику: Мінцифри вважає, що «роль кібербезпеки трохи перебільшена», а РНБО вважає, що «сфера кібербезпеки є ключовою складовою національної безпеки», та «захист інформації є вкрай важливим».
Як думаєте, чия позиція мені ближче? Правильно. Та, яка ближче до реальності. Але це якщо обирати між РНБО та Мінцифри. Хоча більше нема з кого обирати, на превеликий жаль.

Бережімося.