Про міжнародну кібер-допомогу («священна корова» української кібербезпеки)

Блюзнірський лонгрід

Як відомо, тезис «Україна є полігоном сучасної кібервійни» визнано усіма провідними державами та міжнародними організаціями, усім цивілізованим Світом.
На розслідування найрезонансніших кібер-інцидентів злітаються найкращі фахівці провідних кібербезпекових компаній Світу.
Необхідність допомогти Україні у побудові сучасної системи кібербезпеки не викликає сумнівів, особливо напередодні виборів Президента та Парламенту у 2019.

І така допомога надається.
Але яка саме та який від неї ефект?

Часто у новинах можна почути «США виділяє Україні стільки-то мільйонів доларів на кібербезпеку», «Європейський Союз вирішив виділити Україні ого-го скільки на кібербезпеку», «НАТО допоможе України у питаннях кібербезпеки», «Конгресмени схвалили проект “Закону про співпрацю з Україною з питань кібербезпеки”» і таке інше.

Але за гучними заголовками не зовсім зрозуміло яким чином буде надаватися (чи вже надається?) така допомога.
Наскільки вона буде дієвою.
І коли ми відчуємо наслідки такої допомоги.

Адже кібервійна триває вже п’ятий рік, а покращення якось не дуже помітне.

Усі ці питання донедавна не знаходили відповідей.
Аж ось до мене випадково потрапив один цікавий документ, який відкриває маленьку шпаринку у цій начебто прозорій, але неприступній стіні.
Заглянемо?

Disclaimer: ніяких NDA не підписував, інформація не таємна, тому можу поділитися.
Але сам документ не покажу, щоб не підставляти хороших людей.
Документ розроблено десь у бюрократичних глибинах Європейського Союзу, і сумніватися у його дійсності підстав нема.

Спочатку йде загальна оцінка ситуації і вона надана в цілому вірно: перераховані найвідоміші інциденти, коли вони сталися, їх наслідки.
Але потім читаємо веселу фразу: “Український Уряд в цілому добре обізнаний про загрози і вжив вагомих зусиль для посилення кібер-стійкості” (Ukraine’s government is generally well aware on the threats and has made considerable efforts to strengthen its cyber resilience)
Оце так. Шо, правда?
Це хто їм таке наспівав? Сам Уряд?
(Про всяк випадок зазначу, що у англійській мові під словом Governmentзазвичай мають на увазі будь-які органи державної влади, не лише КМУ.)

Далі надається роз’яснення, що під «вагомими зусиллями для посилення кібер-стійкості» розуміється те, що у травні 2015-го (за рік після початку кібервійни, на хвилиночку) у Стратегії безпеки України кібербезпека та інформаційна безпека визнані як одні з головних пріоритетів у протидії загрозам національній безпеці.

Також «вагомими зусиллями для посилення кібер-стійкості» визнається прийняття у жовтні 2017 (за три з половиною роки після початку кібервійни) кривого, безграмотного та непрофесійного Закону України «Про основні засади забезпечення кібербезпеки в Україні».

І що важливо: чомусь пани з ЄС вважають його «Законом про кібербезпеку»!
Це не так, шановні добродії, це вам набрехали.
ЗУ «Про основні засади…» є лише дуже далекою передумовою до повноцінного «Закону про кібербезпеку».

Виритий після получки нетверезим ескаваторником котлован ще не є сучасним бізнес-центром зі скла та бетону.
Детально Закон про «основні засади..» розрізано та препаровано ось тут: https://www.facebook.com/kostiantyn.korsun/posts/754436914741412

Також з подивом довідався, що Уряд «робив та направив на обговорення та остаточного схвалення Парламентом проект Закону про критичну інфраструктуру.»
Сумніваюся.
Станом на кінець жовтня у Верховній Раді не зареєстровано такого законопроекту.
Потім трохи правди:
«…Поточне становлення інституційної кібербезпеки ускладнюється через ряд факторів, перш за все через невідповідний та неефективний механізм координації, брак законодавчої визначеності та взаємної співпраці між відповідальними органами, а також через їх дублюючі компетенції»

І ще трохи правди:
“Брак чітких законодавчих визначень критичної інфраструктури та критичної кібер-інфраструктури створив складнощі для органів, відповідальних за кібербезпеку у встановленні стандартів кібербезпеки. Також має місце нестача ресурсів, як людських, так і технічного обладнання”

Ну, і досить правди, тепер можна трохи видати бажане за дійсне:
«Одним з державних органів, який грає лідируючу роль у забезпеченні кібербезпеки є Державна служба спеціального зв’язку та захисту інформації України».
Насправді ж ДСС331 є рудиментом пострадянської системи “нагляду та контролю”, непрофесійний, неефективний та корумпований.
Має великі проблеми з кваліфікованими кадрами, компетенціями та ресурсами.

Зате має великі (здебільшого безпідставні) амбіції національного масштабу на лідерство у питаннях кібербезпеки, а особливо у частині фінансових апетитів.
Як витрачаються кошти на кібербезпеку – невідомо.

Далі у документі вказані кілька положень, явно просто перекладених з законодавства про завдання та відповідальність Держспецзв’язку, наприклад: «вжиття організаційних та технічних заходів з попередження, виявлення та реагування на кіберінциденти та кібератаки, а також усунення їх наслідків»
Фраза взята цілком з п. 2) статті 5 Закону України «Про основні засади забезпечення кібербезпеки України»

Далі викладається цілком об’єктивна інформація про Державний центр кіберзахисту та протидії кіберзагрозам Держспецзв’язку, його підрозділ CERT-UA, Кіберполіцію, РНБО та їх завдання.
Просто змальовується хто за що відповідальний, відповідно до нормативних та законодавчих актів.
Не треба бути Шерлоком Холмсом, щоб перекласти загальнодоступне законодавство.

Наступний розділ документу перераховує що саме було зроблено Євросоюзом протягом останніх пари років.

Спочатку підкреслюється, що «Європейський Союз надає великої важливості ефективній співпраці з Україною з вирішення проблем гібридних загроз та продовженні зусиль з покращення кібербезпеки України та кібер-стійкості критичної інфраструктури”
Дякую, кеп.

«Так, протягом 2017-2018 ЄС здійснив ряд дій з технічної підтримки (через TAIEX) з просунення кібербезпеки в Україні.
Ці дії були сконцентровані у трьох напрямках:
1) Внесок у створення відповідного законодавства та рамкової структури політик (policyframework) в Україні;
2) Створення державно-приватного партнерства та просування організаційних аспектів структури національної кібербезпеки;
3) Підтримка технічних можливостей та навичок серед державних органів, відповідальних за кібербезпеку.»

По першим двом напрямкам успіхів якось не спостерігається: прийняте законодавство кульгаве, ДПП все ще відсутнє, організованості у структурі кібербезпеки України помічено не було.

По третьому напрямку– мабуть, певні досягнення існують, але публічної інформації про них мало, тому оцінити ефективність складно.
Наприклад, відомо, що за підтримки трастового фонду НАТО створено Ситуаційні центри при СБУ та Держспецзв’язку.
Але НАТО і ЄС – це різні організації.
Не усі члені ЄС є членами НАТО (Фінляндія).
І навпаки: не усі члени НАТО є членами ЄС (Туреччина).
Тож не треба приписувати собі досягнення НАТО.

А ось далі перераховуються практичні заходи, вжиті самим ЄС
З 24 січня 2017 по 22 травня 2018 було проведено вісім воркшопів, семінарів та тренінгів для депутатів Верховної Ради, працівників CERT-UA, слухачів з дежавного та приватного сектору, три з яких проводилися у Чехії, Естонії та Польщі (останній – виключно для депутатів ВРУ). Ну шо, з’їздили хлопці подивитися Європу, ну нехай. Мабуть, не менше половини «делегацій» складали з кумів-сватів-братів кібер-чиновників.
А наші депутати хоча б півдня були присутні на навчанні? А якщо були – чи хоча б щось зрозуміли? Бо по всьому виходить, що ні.

І ще виникає питання про «представників приватних компаній» – хто вони?
Люди з підприємств, підконтрольних Держспецзв’язку?

Може, мова йде про ті приватні компанії, яким дістався шматок пирога від якихось загадкових державних кібер-контрактів?
І саме вони скрізь виступають як «представники приватного сектору», «громадськості», «кібер-індустрії», «професійної спільноти»?
Чи може мова йде про українські відділення глобальних вендорів?

Вочевидь, що ефективність цих вісьмох тренінгів була досить низькою, поясню трохи згодом.

Цікава інформація про проект U-LEAD
«Проект призначений для розвитку та імплементації ефективних інформаційних та комп’ютерних архітектур, інформаційних систем та адміністративних сервісів.
Очікуваним результатом є підтримка до 600 адміністративних сервісних центрів до кінця 2020 року.
Проект є частиною української програми децентралізації; від ЄС у програмі U-LEAD беруть участь Данія, Естонія, Німеччина, Польща та Швеція.
Бюджет проекту: 5 756 249 євро.»

Проект дуже класний та корисний для України (без сарказму, серйозно), але прямого стосунку до кібербезпеки не має.

Найближчим часом ЄС також планує профінансувати проекти з посилення кібер-стійкості України напередодні виборів 2019 року.

Однак, у наших європейських партнерів є конкретні очікування – що має бути зроблено Україною до 2020 року.
Основні з них наступні:
– прийняття Стратегії або Плану дій щодо кіберзлочинності;
– створення дієвих підрозділів боротьби з кіберзлочинністю у правоохоронних органах;
– імплементація Будапетшської конвенції (про кіберзлочинність?);
– посилення захисту критичної інфраструктури;
– створення повністю працюючого NationalCERTзі сполученням з CERTами Євросоюзу;
– схвалення Стратегії Кібербезпеки на основі кращих практик та директив ЄС;
– покращення державно-приватного та міжнародне співробітництво з кібербезпеки.

З усіх пунктів на кінець 2018 року виконаним можна вважати лише один: схвалена Стратегія Кібербезпеки. Але схвалена вона лише однією з гілок влади – виконавчою, тобто Президентом України. Не знаю, чи зарахують у ЄС цей пункт без схвалення Парламентом.
Ага, ще створено «дієвий підрозділ боротьби з кіберзлочинністю у правоохоронних органах» – Кіберполіція. Чи може ЄС вважає його не досить дієвим? Не зрозуміло.

І ще у документі ЄС йдеться про діяльність «інших донорів».

Це, передусім, США, які активно задіяні в українській кібербезпеці.
«США допомагали РНБО створити політику кіберзахисту (гмм, а вона існує?)
Два американських експерта протягом шести місяців допомагали Держспецзв’язку у поточній кібербезпековій діяльності.
Кібер-діалог Україна-США відбувається на регулярній основі.
Неприбуткова американська проурядова організація MITRE провела аналіз слабкостей (gap-analysis) кібербезпеки в Україні та поділилася ним з іншими донорами» (дуже цікаво було б почитати той аналіз).

«Навесні 2018 серед різних міністерств США був запущений внутрішній запит пропозицій з бюджетом у 10 млн. дол.

Відібрано було 7 проектів, серед яких деякі єпродовженням вже підтримуваних активностей, наприклад безпека критичної інфраструктури в секторі енергетики, а також друга фаза НАТОвського трастового фонду з кібербезпеки.
Новими елементами є проект на 2 млн. дол. зкібер-гігієни, та підтримка кібербезпеки під час виборів (реалізується через IFES та OSCE).»

«Трастовий фонд НАТО з кіберзахисту був заснований у вересні 2014 та мав початкових бюджет (на першій фазі) близько 1 млн. євро., очолюється Румунією, призначений для допомоги надання Україні технічної, тренінгової та консультативної підтримки.
Метою було розвиток українських команд реагування на інциденти кібербезпеки та їх чітких захисних можливостей (CSIRT-типу), у тому числі лабораторій з розслідування кібер-інцидентів.»

«У 2015 році 5 тренінгових курсів було проведено Естонією як одним з восьми спонсорів Трастового фонду для української сторони у вигляді «натурального внеску» з фокусом на команди реагування на кібер-інциденти у частині тренінгів, тренінгів стратегічного рівня, та розвитку захисної кібербезпеки.
Основними отримувачами обладнання та технічної допомоги були СБУ та Держспецзв’язку.
Було засновано два Центри реагування на кібер-інциденти: у СБУ та Держспецзв’язку.
Також було надано обладнання та програмне забезпечення, необхідне для захисту інформаційної інфраструктури Міністерства закордонних справ України.»

На папері виглядає наче переконливо.

Але підсумуємо. Чи посумуємо?

Якщо коротко: допомога Україні від Європейського Союзу мізерна, формальна та неефективна.

Мізерна тому, що вісім воркшопів, тренінгів та семінарів протягом півтора року – це крапля в морі.
Причому п’ять з восьми заходів ударно проведено за чотири місяці: з серпня по листопад 2017р.
З урахуванням катастрофічної ситуації з кібербезпекою у державному секторі України, такі заходи слід проводити по 3-4 на тиждень, тобто майже щодня, для різних груп та рівнів підготовки.

Інакше кажучи: необхідно у 25 разів більше.

Формальна перш за все тому, що ми, українське суспільство, не відчуваємо результатів кібер-допомоги ЄС.
Наші європейські партнери фінансують переліт, проживання та проведення тренінгів для експертів з ЄС, які відбарабанили свій виступ і поїхали собі додому. У практичному застосуванні отриманих знань ніхто не зацікавлений.

Щодо участі наших рідненьких українських держслужбовців у навчальних заходах ЄС: тут все набагато складніше.

По-перше, (напевно) усі заходи проводяться англійською мовою. Бо українську тренери знають навряд чи, а викладати мовою агресора якось не політкоректно.
А з англійською в українських владних структурах геть біда-біда.
Хто володіє англійською мовою (а такий надзвичайно мало у держсекторі) – той не дуже розуміється на кібербезпеці.
Хто розуміється на кібербезпеці – слабенький у англійській. Принаймні, не достатньо для вільного спілкування.
Навряд чи на кожному заході присутні перекладачі з/на українську, але якщо переклад і забезпечено – не певен у його адекватності, специфіка кібербезпеки потребує спеціальних навичок перекладання.

І чому, власне, тренінги проводяться лише для державних органів, переважно для силових структур та депутатів ВРУ?
Чому б не провести тренінги для об’єктів критичної інфраструктури: Енергоатому, Укренерго, Укрзалізниці, хімічних підприємств, обленерго, водоканалів, лікарень?
Чому б не провести воркошопи для журналістів, публічних діячів, лікарів, молоді (які досі сидять по ворожим «фконтактікам»)?
Просто розказати про кібер-гігієну, як це працює в ЄС, що робити чи не робити, щоб не стати кібер-жертвою.

Але чиновникам в ЄС легше спілкуватися з такими ж чиновниками в Україні, а результати їх не піпкають аж ніяк.

Чиновника зі, скажімо, Словаччини має хвилювати лише думка громадян Словаччини, які його призначили на його посаду.
Кошти виділені і освоєні, ось документи. Які до нас питання?

Останні твердження стосуються якраз вже ефективності кібер-допомоги Україні.
Привезли спікерів, вони відпрацювали, походили пару годин по Києву, поїли борщу з пампушками – і додому.
Чи зрозуміла аудиторія про що йшлося на тренінгу, чи можна (і як?) застосувати отримані знання у повсякденній діяльності, чи воно їм взагалі потрібно – переважна більшість іноземних спікерів цим не переймається. Хоча справу вони свою роблять добре. Але що далі робити з отриманими знаннями?
Як їх застосувати на практиці?

На фоні ЄСівської допомоги допомога від США та НАТО виглядає на порядок більше цінною.
Два кваліфікованих офіцера з США шість місяців (півроку, Карл!) сиділи у Держспецзв’язку та заглядали кожному за плече. Судячи з усього, то не дуже допомогло, але тепер в США точно знають чому в Україні Національна система кібербезпеки буде ще нескоро, і безперечно знають чому саме.

Трастовий фонд НАТО (читай – США) купили усе обладнання та софт для двох (!) ситуаційних центрів.
Богудякувати, грошей в руки нашим чиновникам не давали, але купили усе згідно ретельно обґрунтованих пропозицій.
Два кіберцентра – це вам не вісім тренінгів провести. Хоча і тренінги американці проводили, і українських офіцерів в США приймали, все як треба (до слова, і наші офіцери показали себе якнайкраще, молодці, моє шанування).
Та і перспективні плани США виглядають щодо розвитку української кібербезпеки якось практичніше та ефективніше.

У цьому сенсі ситуація доволі схожа з війною на Донбасі та анексією Криму.

Євросоюз «глибоко стривожений», надсилає нам трошки спальників, сухпайків, стару форму, радіостанції, відправляє місію ОБСЄ, яка майже не впливає на ситуацію на фронті, накладає трішечки декоративних санкцій («поки на півроку, а там побачимо»), але за лаштунками тихенько мурчить про щось з Багряним Карликом і тишком-нишком укладає з ним торгівельні угоди та продовжу купувати нафту та газ.

Штати влупили 17 пакетів жорстких і дійсно дієвих санкцій, конкретно так розслідують вплив запорєбріків на вибори США, рівняють своїх політиків за зв’язок з кремлівськими щурами, деанонімізують та оголошують у розшук кремлівських кіберзлочинців, ГРУшників та ФСБшників.
І надають нам зброю.
Реальну, яка гарно нас захищає та боляче вбиває окупантів, яку ті тварюки бояться.

Згоден, я багато чого не знаю.
По одному випадково отриманому документу неможливо оцінити справжні обсяги кібер-допомоги Заходу, не виключено, що насправді усе набагато краще.
Але у відкритих джерелах інформації про ефект від західної кібер-допомоги критично мало.

А за відсутності інформації кожен має право висувати власні припущення.
Чим я, власне, тут і займаюсь.

І головне – де результати?
Як на мене, критерієм ефективності будь-якої допомоги є його результативність.

І це є головною проблемою.
Як і раніше, український кібер-простір залишається незахищеним від можливої кібер-агресії.
Як і раніше, ефективної Національної системи кібербезпеки не побудовано; паперові Стратегії та непрацюючі кібер-Закони нас від неї не захистять.
Як і раніше, кваліфікація державних кібер-захисників нижче нижнього професійного рівня.
Як і раніше, єдина точка політичної відповідальності за кібербезпеку країни досі відсутня.

Так, для цього потрібен час.
Але ж люди добрі, йде п’ятий рік кібервійни!
Такими темпами Імперія Зла скоріше сама розвалиться, ніж ми побудуємо свій кібер-щит.

До чого я веду?

Якщо наступного разу, прочитавши у медіа гучний заголовок «Закордон допоможе нам з кібербезпекою!» хтось пригадає цей мій лонгрід і зачекає з захопленими вигуками – значить я писав це не дарма.

Не слід забувати, що ЄС намагається лише пристойно виглядати у очах світової спільноти, «дивіться, ми ж допомагаємо».
Насправді захистити вони хочуть лише себе, Україна – просто прокладка між Західною Європою і Дикою Ордою.
Добре, якщо прокладка втримається якнайдовше. Але навіщо приділяти безпеці прокладки занадто багато уваги?
Айя-йяй, як там у вас не гарно, ми та-а-ак за вас переживаємо….ось вам кілька монеток, ви там тримайтеся.

Створювати власну кібербезпеку нам треба самим, а якщо нам хтось допоможе – подякуємо, але розраховувати слід виключно на власні сили.
На наших кваліфікованих фахівців.
На наших самовідданих кібер-волонтерів.
На відповідальних та контрольованих держслужбовців та правоохоронців.

На нормальне, людське, чітке та логічне, зрозуміле та яке можливо виконати кібер-законодавство.
На зваженість політичних рішень щодо кіберзахисту країни.

Нам своє робить.
А допомога – то лише допомога.
Додатковий бонус, не більше.

Бережімося.

Повна версія статті на Facebook:https://www.facebook.com/kostiantyn.korsun/posts/953527811498987