Ну от шо завжди не так з тим УкрОборонПромом? Пороблено там, чи шо.

Ну от шо завжди не так з тим УкрОборонПромом? Пороблено там, чи шо. Про це повідомляє Upmp.news з посиланням на офіційний блог Голови Ради Громадської організації “Українська група інформаційної безпеки”, директора компанії з кібербезпеки Berezha Security Костянтина Корсуна.

То він у 2017-му анонсує створення (з нуля, з пилюки на підлозі) супер-мега-кіберцентру, який дуже скоро стане найкрутішим та найавторитетнішим всередині концерна, потім – серед державних підприємств, згодом – в усіх держструктурах, після чого до них ломанеться приватний бізнес та усі інші. А там і до світового панування вже рукою подати.

Звісно, у реальному житті прожект тихенько собі здох. Потужно піарнулися, розпиляли кілька лямів, розійшлися. Звісно, УкрОборонПром списав на когось провину, але належних висновків не зробив.

Трохи більше про ті події тут: https://tinyurl.com/w96sbkk і ще трохи тут: https://tinyurl.com/u37yjs6

Потім у 2019-му УОП (УкрОборонПром) працевлаштовує у себе скандально-відомого мега-токсичного персонажа, який був одним з ключових фігур у масштабній афері з розкрадання коштів «на кібербезпеку», був усунутий з посади, проти нього почалося кримінальне розслідування, але він відкупився і справу поставили на паузу десь у надрах ДБР.

І чим цей кібер-прохіндей займався в УОП? Правильно, керував (чи досі керує) проектами з інформаційної та кібербезпеки. Пізніше його, начебто, звільнили, але це не точно.

Детальніше про ту історія можна побачити тут: https://tinyurl.com/u4kfhm2

І ось сьогодні УОП знов примушує мене торкатися руками обличчя (що заборонено наразі усім свідомим громадянам): https://tinyurl.com/qtk2bas

Вже назва статті прес-служби посміхає: «ДК “Укроборонпром” ініціював аудит готовності Концерну протидіяти кіберзагрозам.»
Ініціював? Сам собі? Звучить це приблизно так: «У діда Василя заболіли зуби і він ініціював відвідування стоматолога».

Але ладно, поки що облишу стилістичні нюанси епістолярщини державо-піарщиків.

Заборонені лікарями фейспалми продовжуються у другому абзаці: «Незалежна оцінка кіберпезпеки компанії буде проведена у період з 16 по 27 березня силами оновленої команди Державної служби спеціального зв’язку та захисту інформації України – єдиного державного органу, уповноваженого здійснювати подібний аудит для владних інституцій та державних підприємств.»

Оновлений в Держспецзв’язку лише Голова служби та керівник Держцентру кіберзахисту. Усі інші працівники ДЦКЗ, виконавці тобто – точно ті ж самі, які були до того. Точно вам кажу, я в курсі. Кращих поки не підвезли. Так що тут хтось когось явно надурив.

Стосовно «єдиний державний уповноважений»: по-перше, а з якого дива має бути лише державний? Хіба слово «державний» у когось якось асоціюється зі словом «якість»? Чи про якість не йдеться і ніколи не йшлося, лише «для галочки»? Ну ладно тоді.

По-друге, ДССЗЗІ у жодному разі не уповноважений проводити ніякі аудити. Тому що для цього необхідно бути атестованим аудитором. А відповідно до Закону України “Про аудит фінансової звітності та аудиторську діяльність” аудитор – фізична особа, яка підтвердила кваліфікаційну придатність до провадження аудиторської діяльності, має відповідний практичний досвід та включена до Реєстру аудиторів та суб’єктів аудиторської діяльності. Там 900 записів і Держспецзв’язку там немає, я перевірив.

Сайт Аудиторської палати України вам у допомогу, УкрОборонПром.

Про «незалежність оцінки» то взагалі смішно: одна державна установа, перевіряючи іншу, старанно робить вигляд, що оцінка «незалежна», хоча обидві установи фінансуються з одного джерела. У чому тоді «незалежність»?

Якби у прес-службі УОП працював хоча б один фахівець, який постояв поряд з кібер-фахівцем, він би написав приблизно так: …

Але ніт, не скажу як. Лише критика, глузування, знущання та стьоб. Жодної допомоги. Хай мінцифро-волонтери допомагають, покладіть десь їжу, вони прибіжуть на запах.

Сунемося далі по рекламному (закреслено – висеру) шедевру УкрОборонПрома.

«Щодня підприємства-учасники концерну та сам Укроборонпром відбивають безліч кібератак».

За оцей вираз «відбивати кібератаки», думаю, пора вже якусь адміністративну відповідальність вводити, чи шо. Придуманий ще за царя Панька якимось сиволапими совковими мужиками, за аналогією з савєцькою танковою атакою. «Фух, відбилися».

Оберт, придуманий людьми, які не мають ані найменшої уяви, як виглядає і на що візуально схожа справжня кібератака. Кібератаку можна упередити, не допустити, локалізувати, блокувати джерело, зупинити розповсюдження, мінімізувати наслідки, та ще багато шо можна зробити. Та хоча б просто виявити. Якщо знаєш, що то таке.

Але аналогові совкі, як і 20, так і 70 років тому, продовжують героїчно ломом «відбивати атаки» у давно цифровому просторі.

Окремо хочу поржати над цитатою з прес-релізу: «У результаті GAP-аналізу поточного стану кібербезпеки, який проведе Держслужба спецзв’язку, …».

Поясню, про що йдеться. Суть дуже проста: gap англійською означає розрив, пролом, провал між чимось і чимось. У корпоративній субкультурі вираз ґеп-аналіз означає всього лише пошук прогалин та неузгодженостей у чомусь. Для колишньої керівниці Майкрософт Україна це звичайний робочий термін, а для дуболомів з прес-служби УОП – магічні абревіатури, яке означають щось незбагненне зі світу небожителів. Заступниця гендиректора сказала так, як звикла завжди говорити у Майкрософт Україна, а недолугі піарники просто поклали святі слова начальниці у прес-реліз, щоб вумніше звучало.

Але що ж славетне, відоме своїми високо-кваліфікованими фахівцями (сарказм аж капає на клавіатуру) Держспецзв’язку видасть вже на початку квітня, тобто вже за тиждень?

Розгляне політику інфобезпеки, організацію системи інфобезпеки,
управління інформаційними активами, управління доступом, та інші аспекти фізичної та мережевої безпеки.

Ну, перші два пункти дійсно можна зробити за пару днів: «А покажіть вашу політику інформаційно безпеки. Нема? Ок, значить пишемо «розглянули». Система інфобезпеки не є чимось системним? Добре, теж зараховано».

Розглянути управління інформаційними активами та управління доступом.

А чи взгала хтось в УОП знає які у них є інформаційні активи? Та що це взагалі таке за штукенція «інформаційний актив»? Ось є Word Excel та компутери за серверами, це воно?

В системі УкрОборонПрому більше 130 підприємств, деякі з яких розміром з невеличке місто: ДП Антонов, Чугуївський авіаремонтний завод, Харківський автомобільний завод, ДАХК «Артем», харківський завод імені Малишева, Харківський бронетанковий завод.

Просто приїхати на кожне з цих підприємств командою фахівців та за пару днів та у турбо-режимі швиденько все переглянути займе, щонайменше, півтора року. При умові, що нема карантину і що керівники цих підприємств всіляко сприятимуть. А більшість з них точно не сприятимуть, категорично заявляю.

Про аспекти «фізичної безпеки» навіть мова не може йти: там крутиться і СБУ, і військові, і приватні охоронні служби, і поліція-нацгвардія, місцева влада та місцеві князі та князьки, куди там якомусь Держспецзв’язку з Києва, і близько не підпустять.

Тобто мова може йти лише про якусь оцінку окремих інформаційних активів лише центрального апарату УОП у м. Києві.

Маю підозру, генштаб УОП має слабке уявлення про реальну ситуацію на усіх підприємствах концерну (у частині «Інформаційних активів»), а наявна інформація не відображає реальної картини всього супер-монстра під загальною назвою УкрОборонПром.

Що маємо у сухому залишку: низько-кваліфіковані працівники ДержСпецНічого пару тижнів будуть старанно робити вигляд (чи вже закінчують), що розібралися з хаосом, потім видадуть якісь стандартні рекомендації а-ля «мийте руки з милом і буде зашибісь», під які УОП радісно витратить кількадесят мільйонів доларів. Згідно рекомендацій «єдиного уповноваженого державного органу», звісно ж.

Якщо в УОП кібер-проектами досі рулить Боярчук, то переважну більшість грошей розпиляють. Тому, що пан Роман висококваліфікований фахівець цієї справи, о да. З досвідом «як потім потушити кримінальну справу».

Наприкінці скажу про “круглий стіл з представниками експертного товариства та фахівцями з компаній, які займаються кібербезпекою. ”
Традиційне питання для подібних демонстрацій звучить як завжди: хто ті представники експертного товариства, прізвища? Чи точно вони експерти? Хто знає, що вони експерти крім них самих?

Багато компаній, які займаються кібербезпекою, дійсно не проти потримати УОП за солодке грошовите вим’я (наша – проти), але як далекий від кібербезпеки УкрОборонПром визначає які саме компанії запрошувати на круглий стіл і з ким «радитися»? Точно Боярчука звільнили з УОП чи то його привид досі вештається владними коридорами та актовими залами?

І головне – до чого був той круглий стіл, от навіщо? Прийшли-потринділи-розійшлися? Видимість чого намагалися створити? Типу, обговорили з кібер-громадськістю? Так а сенс у чому, якщо все одно «аудит» проводитиме безкоштовно Держспецзв’язку (ну, вже як може). Для досягнення якої мети було організовано фарс з круглим столом?

І, між іншим, карантин у країні оголошення 12 березня, а «круглий стіл» проведено 13-го. Це дрібничка, але вона демонструє ступінь поваги УОП (та і усієї зеленої влади) до вимог законодавства. Тут виконуємо, а тут – не виконуємо, потамушакакаяразніца.

Шо про все те сказати.
Знов брехня і окозамилювання. Знов загадкові знеособлені «30 експертів». Знов бажання розпиляти мільйони «на кібербезпеку». Знов войовничий непрофесіоналізм.

У порівнянні з 2014-2017 роками влада у нас анітрохи не помудрішала у питаннях кібербезпеки. Проте навпаки, зробила ще кілька стрибків у напрямку прірви, фабрикуючи кримінальні справи проти патріотичних кібер-активістів, які хотіли допомогти захистити критичну інфраструктуру. Private-Public-Partnership, Ukraine vision, ага.

Окремі чиновники в окремих державних інституціях десь намагаються зробити щось осмислене, але проти дурнів на самому верху боротися майже неможливо, а тому безперспективно.
Як, власне, і було завжди.