Головна Блог Засідання робочої групи з питань реформування сфери забезпечення кібербезпеки в системі національної безпеки України
Засідання робочої групи з питань реформування сфери забезпечення кібербезпеки в системі національної безпеки України

Засідання робочої групи з питань реформування сфери забезпечення кібербезпеки в системі національної безпеки України

Сходив сьогодні в РНБО, на засідання робочої групи з питань реформування сфери забезпечення кібербезпеки в системі національної безпеки України.
Повернувся злий. Зараз розкажу чому (лонгрід).

Почати з того, що мене не хотіли пускати на територію, оскільки на посту охорони невірно вказали моє по-батькові. Прізвище: ок, ім’я: ок, а по-батькові – не те. Не пущати. Режимний об’єкт. Але швиденько (хвилин за 20) організатори зустрічі якось домовилися з суворими охоронцями і ми з хлопцями таки проникли на такий жаданий режимний об’єкт (іронія+сарказм).

Засідання вже почалося без нас.
Головував заступник секретаря РНБО пан Олексій Данілов, він же заступник керівника робочої групи. Подивився його біографію, ніякий зв’язків в кібербезпекою не виявив, але ладно: головне, що зібрав справжніх фахівців з кібербезпеки і готовий їх вислухати. І не просто вислухати, а взяти до уваги слушні міркування (скептична посмішка).
І ось тут виникла перша велика проблема: присутні (крім головуючого) були 22 людини, начебто експерти з кібербезпеки. Серед них людей, яких можна вважати спеціалістами саме з кібербезпеки (!) я нарахував лише десять. У тому числі керівники кіберполіції та ДКІБ СБУ. Сюди ж порахував не-кібер фахівців, але хоча б обізнані у загальній проблематиці. Можете самі порахувати, фото списку прикріпляю під постом.
Тобто більше половини запрошених кібер-експертів такими не є. Але хочуть і будуть формувати Стратегію кібербезпеки держави. Хех.
Не думаю, що є сенс обговорювати ключові питання національної кібербезпеки з особами, які практично нічого в цьому не петрять. Істина народжується лише у спорі мудреців (у нашому випадку – фахівців-професіоналів), а не просто у спорі.

Формат засідання був такий: кожен може кілька хвилин висловитися щодо поточного стану кібербезпеки, її проблем та шляхів вирішення.
Деякі виступи торкалися слушних, але точкових проблем кібербезпеки, деякі були за все хороше та проти всього поганого. Деякі були повною маячнею. Деякі були взагалі не про що. Аби щось ляпнути, замалюватися на крутій тусі. «Я теж в темі, я ж теж тут, як же ж без мене».
Але не почув майже нічого про саме Стратегію кібербезпеки, якій, власне, мали б бути присвячені збори.
Я-то прийшов підготовлений, з 15 конкретними пунктами, які хотів навіть не те щоб озвучити чи обговорити (жорсткий регламент не передбачав стільки часу), а хоча б просто повідомити про їх наявність у мене.
Зрештою я буквально видряпав наприкінці пару хвилин щось сказати, але про це пізніше.

Присутніх членів робочої групи я умовно розподілив на три групи: різного ґатунку чиновники, офіційні громадські активісти(по факту лоббісти) і купка фахівців з реального сектору кібербезпеки у кількості аж три персони (у тому числі я).
До чиновників я відніс і керівників кіберполіції та ДКІБ, до яких практично немає питань у розрізі Стратегії кібербезпеки: хлопці просто роблять свою роботу, більш-менш нормально (з деякими обмовками, типу #6688, вилучення серверів, тощо). Але їх завдання дуже вузькі і чітко визначені, їх думка стосовно Стратегії має враховуватися, але не має бути визначальною. На цю тему я детально виступав на UISGCON14, сьогодні не про це.

На виступ пана Данченка (поки що чинного керівника комітету Верховної Ради з питань інформатизації та зв’язку) я запізнився з відомих причин, але не дуже про те жалів.
Поки ще чинні народні депутати вже мали 5 років, щоб зробити щось корисне для кібербезпеки, але не зробили. Кривий, дірявий та корупційний Закону України «Про основні засади забезпечення кібербезпеки України» до досягнень панів народних депутатів зарахувати ніяк не можу. Тим більше, що це Закон практично не працює, як відпочатку і прогнозувалося. І про це також згадувалося на нараді.
Так що пану Данченку хвалитися особливо не було чим. І очікувати революційних пропозицій від топ-депутата також було б якось наївно.

Іще один поважний пан, близький до нової виконавчої влади, у своїх пропозиціях яскраво продемонстрував некомпетентність у питаннях КБ та її найболючіших проблемах. Зате був надзвичайно активним і постійно щось говорив.
Ось одна з його пропозицій: «необхідно зобов’язати усі об’єкти критичної інфраструктури проходити тестування на проникнення».
Ха.
Типовий меседж а-ля Держспецзв’язку. Що і відображено у Законі «Про основні засади..» (п. 5 ст. 8, https://tinyurl.com/y3w5hoy7). І що вже багато разів обговорювалося у професійному середовищі.
Без всяких аудитів і пентестів зрозуміло, що у абсолютної більшості суб’єктів критичної інфраструктури взагалі відсутня будь-яке поняття про кібербезпеку і ламати там, власне, нема чого (а пентест проводиться саме для зламу систем захисту). А якщо навіть якийсь захист існує, то зламати його можна навіть не подихом – поглядом. Підтвердження тому #FRD.
Пентест проводиться для вже досить зрілих систем, де є розуміння як захищатися, працюють професійні кібербезпечники, виділяються бюджети на захист периметру, навчаються співробітники, тощо. До виходу на рівень тестування на проникнення треба провести купу попередньої фахової роботи: здійснити аудит ресурсів, які треба захищати, визначити шляхи їх захисту, розробити модель загроз, провести оцінку ризиків, найняти відповідних фахівців, впровадити модель кіберзахисту і купу іще чого. А аж після того наважитися на пентест.
Державним кібер-регуляторам треба не перевіряти чи аудити проводити, а допомагати будувати, розповідати «як треба», надавати можливості навчатися кібербезпеці, давати фінансування і обладнання. Сприяти, а не перевіряти. Робити, а не контролювати виконання. Стати не наглядачем, а фаховою сервісною підтримкою.
Я взагалі не розумію, чому активного прибічника моделі, яку просуває наскрізь скомпрометоване невіглаством Держспецзв’язку, опинився у складі цієї робочої групи. Чи не для захисту інтересів чинних бюрократів з ДССЗЗІ?

До речі, представників Держспецзв’язку не було на зустрічі, і навіть не подано у список. Вже всьо, пакують валізи на Мальдіви? Чи сухарі сушать?

Оце вище я прокоментував лише одну «пропозицію» від одного учасника.
А подібних фейспалмів було ще кілька. Деякі наївні, деякі глибоко-помилкові.
Усе не буду коментувати, сподіваюся донести реальність віч-на-віч.
Хоча як пояснити незрячій людині що таке червоний колір? Чому літак летить, а крилами не маше?
Робоча група не повинна бути великою, але вона повинна обов’язково бути фаховою. Краще менше, зате якісніше.
Я б запросив до складу робочої групи кілька дійсно професіоналів, замість деяких ну зовсім популістів-непрофесіоналів. Але ж я сам там на пташиних правах і взагалі невідомо чому туди запрошений, тож навряд чи мої пропозиції будуть сприйняті серйозно.

Тим більше, що кожен з присутніх хотів щось сказати, і казав багато, і переважно не по темі. Ледве-ледве я видряпав собі пару хвилин наприкінці зустрічі, щоб швидко (але голосно) проголосити «Дерспецзв’язку – на мороз», «Кібер-гігієну в кожну хату», «У мене є 15 конкретних пропозицій», «Давайте міняти парадигму» після чого пан Данилюк припинив мій виступ «у нас обмаль часу». Зате після того дав слово ще кільком дуже поважним особам, які дуже поважно проголосили ще якісь гасла, і знов геть не по темі Стратегії кібербезпеки. Хоча з кількома тезами погоджуся, але ж я прийшов говорити саме про конструктив, про Стратегію, а не про безліч проблем, які усім і так відомі та занадто очевидні.

Підсумовував оце засідання пан Михайло Федоров, головний диджіталізатор країни. З його виступу я теж ніяких інсайтів не почув, крім дійсно ділового «а давайте ви усі надішлете нам свої пропозиції». Прозвучали ще слова «краш-тести», і що вони давно вже міжнародна норма, і усе це давно відомо. Можливо, це в СММ та девопс є такий термін, я не в курсі. В кібербезпеці такого не чув. Може, малися на увазі пентести? Якщо так, то тут також не усе зрозуміло і є що зауважити.

Загалом склалося неприємне враження, що старий чиновницький апарат, не розуміючи як можна діяти інакше, запросив крім традиційних аксакалів ще пару-трійку скандальних блогерів, які їх критикують. Чисто для реноме «ну ми ж такі сучасні, ми усі президенти, ось громадськість запрошуємо, дивіться».
Але я поки не побачив нового погляду і нового підходу.
Зате побачив бажання латати стару систему старими кадрами, старими методами, хоча і з залученням нових людей та нових ідей. Хоча якщо «нові люди» у кібербезпеці – це я, чи Sean Brian Townsend, чи Jeoffrey Dahmer – то більшість членів робочої групи з питань кібербезпеки ще не народилися або ходять до садочка.
Чесно кажучи, не помітив також особливого бажання щось робити не так, як наші діди робили.
Щоб розуміти що не так у системі і як то виправити, треба знаходитися всередині предмету обговорення, а не жонглювати поверхневої термінологією, нахапаною з популярних видань та доповідей західних партнерів. До речі, згадувалися 10 млн. доларів, ще плюс 16 млн. доларів на кібербезпеку від США і «якщо ми їх не використаємо до такого-то числа, то вони пропадуть, шеф, все пропало».

Стосовно ж моїх пропозицій до нової Стратегії кібербезпеки, то вони лежать у ФБ вже майже місяць: https://tinyurl.com/y5xtkq8y і в них нічого поки не змінилося. Ось це посилання і відправлю у якості пропозицій. Але цього разу вже офіційно, на email, а якжеж.

Серед позитву можу відмітити лише зауваження від незнайомої мені людини, здається на прізвище Зюзь: «Які два тижні до наступної зустрічі?! У нас обмаль часу, давайте хоча б раз на тиждень збиратися, давайте якось динамічніше, через гугл-докс чи месенджери якось, ви шо?». Мені імпонує такий енергійний підхід, бо оті збори два рази на місяць дуже схожі на усі бюрократичні «робочі групи» папередників.

Ось такі перші враження.
Чи піду я туди знов?
А піду. Якщо запросять після цього допису.
До останнього буду продовжувати намагатися навернути чиновників до світу реальності.
Буду ходити поки не виженуть. Або ж поки мене на влаштують прийняті рішення, що менш ймовірно.

Дякую тим нормальним людям, яким спало на думку запросити мене та ще двох громадських активістів у цю робочу групу.
До речі, пан заступник секретаря РНБО дуже хвалив роботу Ukrainian Cyber Alliancе, і, зокрема, #FRD. Казав, що це корисно і правильно, давайте продовжуйте, ми вас підтримуємо. Ну хоч тут є розуміння “де гаряче, а де холодне”.

Буду намагатися тримати в курсі громадськість щодо перебігу подій щодо розробки нового курсу кібербезпеки країни. Те, що можна буде повідомити публічно. Хоча допуску до держтаємниці у мене все одно немає, тому мені нічого такого і не скажуть. Так само список учасників робочої групи не може бути закритою інформацією, суспільство повинно знати хто для них розробляє концептуальні документи, «аби дурь кожного була на видноті».
А Стратегія є абсолютно публічним документом, тому поки не бачу причин щось приховувати.

Бережімося.

Костянтин Корсун

Голова Ради Громадської організації Українська група інформаційної безпеки, директор компанії з кібербезпеки Berezha Security.