Зеленський і кібербезпека

Зеленський і кібербезпека.

Я навіть не знаю, чому поліз дивитися той список-100 від Зекоманди (тобто «Слуги Народу»). Мабуть, це було щось підсвідоме. А може чуйка, хтозна. У будь-якому випадку тримати це в собі я точно не можу і не буду.

Тепер по суті: 74 позиція списку, Боярчук Роман Михайлович
Людина з точно таким же ПІБ ще донедавна керувала Державним Центром кіберзахисту та протидії кіберзагрозам Держспецзв’язку.
І яка зовсім нещодавно звідти чомусь звільнилася, внєзапно. І ніхто не знав – чому і куди переходить. «Може, свою фірму відкриє» – буквально позавчора пліткували на BSides Kharkiv.
У співпадіння не вірю, тому вважаю, що це одна й та сама людина.

А тепер поясню чому мене розриває від алогічності ситуації.
Спочатку що таке Державний Центр кіберзахисту та протидії кіберзагрозам Держспецзв’язку (ДЦКПК), керівником якого останні кілька років працював пан Роман.
Сутність і смисл існування (та і створення) цього Центру є CERT-UA (Computer Emergency Response Team): міжнародно визнана урядова команда реагування на кіберінциденти. Міжнародно визнана задовго до приходу Боярчука і його команди молодої. CERT-UA є наразі найціннішим активом Держспецзв’язку, відомим усьому кібер-Світову.
Створювали CERT-UA у 2005-2008 роках моя команда і я. Ми ж забезпечили її міжнародну акредитацію.
У десятих роках досить успішно розвивав CERT-UA Igor Kozachenko з командою.
А потім прийшли Боярчуки.
Точніше, прийшов Гройсман, який призначив Євдоченка Головою Держспецзв’язку, який призначив Боярчука керівником Центру. Для цього їм довелося видавити з Центру команду професіоналів, включно з Козаченко.
Але коли це відсутність професіоналізму зупиняла чиновників від призначення «своїх людей»?

Аналогічної помилки припускалися у БПП, коли брали до себе як відомих моральних авторитетів, так і відвертих пройдисвітів типу Скрипта-Голубова, найвідомішого українського кіберзлочинця.
Не можу стверджувати, що пан Боярчук погана людина – не знайомий особисто, але подивимося на результати керування паном Боярчуком CERT-UA та відповідним Центром.

CERT-UA на сьогодні перебуває у маргінальному стані: організація, яка б мала бути лідером національної кібербезпеки, зовсім пропала з радарів і згадується лише у переможних реляціях чиновників Держспецзв’язку своєму керівництву.
А ще CERT-UA та його керівну роль протягли у Законі Україні “Про основні засади забезпечення кібербезпеки України». Усі ці бюрократичні трюки робляться виключно під здобуття фінансування з держбюджету, а потім гроші розчиняються по безкраїх закапелках бюрократичної машини Держспецзв’язку.
Ще гроші/техніку/навчання дають західні донори. Враховуючи, що західна кібер-допомога є суто формальною та геть не ефективна (ось тут розгорнуто чому саме так https://bit.ly/2F4Fl9w), а сам CERT-UA під керівництвом пана Боярчука не горів бажанням щось робити сам, то кількість нового західного заліза та софта ніяк не вплинуло на сумну ефективність CERT-UA.
Загалом CERT-UA будувався як головна довірена точка входу для більш ніж 200 команд зі всього Світу, а також для урядових та комерційних організацій за межами України.

Спочатку так воно і було. Але деградація останніх років досягла нечуваних висот.
Ось наприклад, щоб якось підтримати український CERT-UA, міжнародна організація FIRST вирішила провести в Києві минулого року один зі своїх технічних заходів FIRST Technical Colloquium.
Що з того вийшло: https://bit.ly/2XCrMVY
Мені було просто соромно за свою країну, чесно. Сидів на заході з рукою на обличчі.
І ще, мало не забув: керівники організації, яка є дійсним членом міжнародної організації з кібербезпеки не говорять англійською. Як???

А власний захист «головної команди країни з кібербезпеки» – то взагалі ржака.
Паролі до email у відкритому вигляді прямо у коді веб-сторінки – після таких епічних провтиків ще сто років тому офіцери стрілялися. Бо не могли перенести такої публічної ганьби. А тут нічого, навіть не помітили. Ну таке, не буває. Чоботар без чобіт. І класна аргументація: «А ви підіть попрацюйте на таку зарплату».

Крокуємо далі по граблям досягнень CERT-UA під керівництвом Боярчука Р.М.

На початку 2019 року фахівці авторитетної та всесвітньо відомої неприбуткової організації MITRE провели, на прохання Уряду США, оцінку ефективності функціонування заходів з кібербезпеки держави Україна.
Приїжджали і до Держспецзв’язку, і до CERT-UA. Були в Києві кілька місяців.
Звіту експертів з MITRE на бачив, але кажуть, що там у висновках фігурують переважно слова «профанація», «імітація», «некомпетентність», «окозамилювання». Якщо хто б мені злив той звіт, то я б розказав про нього детальніше. Бо ж звіт миттєво засекретили в Україні.
А ще на кошти NATO було створено ще один нікому не потрібний Центр кібербезпеки у складі Держспецзв’язку з функціями, які нічим не відрізняються від завдань CERT-UA. Це, правда, трохи інша історія, сьогодні не про неї. Хоча цей факт опосередковано доводить усвідомлення керівниками CERTу та ДССЗЗІ нульову ефективність CERT-UA у її теперішньому жалюгідному стані.

Якщо хтось колись захоче провести об’єктивні розслідування по діяльності CERT-UA у частині освоєння державних (тобто наших з вами, платники податків) коштів, то виявиться багато фактів, які важко буде пояснити. Думаю, претензії кримінального характеру будуть не тільки до тодішнього керівника CERT-UA, але також до керівників кількох державних підприємств, та навіть до вищого керівництва Держспецзв’язку.

І що ж виходить?
Розмірковуємо логічно.
Пан Боярчук включений до точно-прохідної частини списку партії «Слуга народу».
Згадана партія скоріш за все виграє вибори до Парламенту і буде делегувати людей зі свого списку до ВРУ, КМУ, інші важливі органи керування державою.
І пан Боярчук з великою ймовірністю піде працювати за своєю «спеціальністю»: Головою Держспецзв’язку або Головою Комітету ВРУ з питань інформатизації та зв’язку.
А ще пан Боярчук буде найголовнішим ігспертом з оцінки інноваційних проектів у Ліфті (цитата: «LIFT — це проект Команди Зеленського, що об’єднує в собі кваліфікованих спеціалістів та інновації. Він направлений на позитивні зміни в країні та її комплексний соціально-економічний та культурний розвиток.»).

Не знаю яким чином ставленик команди Гройсмана, який мужньо та професійно вщент розвалив доручену йому важливу справу опинився у списку «Слуги нарду», можу лише здогадуватися. Можливо, він «друг одного друга», може його кум/сусід/однокласник з Зекоманди знає його як «так ти ж програміст», а може пан Роман просто з Кривого Рогу – хтозна.
Але те, наскільки професійно ця людина буде працювати на нову владу на найвищих посадах – мені вже зрозуміло.
Зрозуміло також які шанси на покращення ситуації у царині державної кібербезпеки.
Буде все те саме, що і до цього, лише прізвища зміняться.

Disclaimer: Вже кілька раз протягом останнього місяця мене запитували про мої плани стосовно участі у політичному житті країни. Усім кажу одне: ні, на найближчі роки таких планів у мене немає. Є велике бажання щось (або все) покращити у національній системі кібербезпеки, але не настільки, щоб йти у політику. Тому заяви типу «це політичне замовлення» одразу ідуть у північно-східному напрямку в нецензурній формі.
Щонайменше, мені точно не по дорозі з такими персоналіями як кандидат від партії «Слуга народу» Р.М. Боярчук. Він не професіонал у кібербезпеці, хоча видає себе за такого. Він буде поганим слугою народу. Нашого народу.

Хоча є і гарні новини: 97 номер списку від топових слуг народу є Александр Федиенко – відомий блогер, досвідчений професіонал (переважно у телеком-галузі, але і в кібербезпеці розбирається), активіст та порядна людина. Не знаю як з такими якостями його занесло до топ-100 «Слуги народу», але з цим питанням нехай він спить наодинці. Думаю, для нього це шанс на позитивні зміни та примусу переходу від політики корупції-розкрадання на політику логіки і здорового глузду.
Звісно, Сашко цілком здатен нівелювати шкідливий вплив панів а-ля Боярчук, але ж чим більше ти б’єшся з внутрішніми ворогами, тим менше справ залишається на добрі суспільно-корисні справи.

Ось такі справи.
У нас скоро знов вибори.
Тож вирішуйТе.

P.S.: якщо раптом виявиться що Боярчук Роман Михайлович, який фігурує у списку «Слуги народу» не є колишнім керівником Державного Центру кіберзахисту та протидії кіберзагрозам Держспецзв’язку, а просто повний тезка – я видалю цей пост. Але зміст цього допису від цього не зміниться.