Костянтин Корсун: «нормативна база із захисту інформації в Україні є безнадійно застарілою та хаотичною»

Здавалося б, воєнний стан мав би стати потужним стимулом для рішучих реформ в інтересах безпеки та захисту країни, так?

Але це залежить від того, що розуміти під «рішучими реформами». Розповідає фахівець з інформаційної безпеки Костянтин Корсун.

У розумінні 30-річних «державників», рішуча реформа — це дати радикально більше повноважень старим неефективним держструктурам, перетворити на паперову фікцію національну кібербезпеку та остаточно поховати її у безконтрольній корупції.

Це була супер-коротка анотація на законопроект 8087 від 29.09.2022: https://cutt.ly/cBEoEFS

Мій розгорнутий розбір цього законопроекту (по найбільш резонансним пунктам), з поясненнями — вже доступний у Viber-каналі КіберКорсун https://cutt.ly/qJKCry0

А тут я викладаю лише загальні висновки.

Отже, що можу сказати в цілому?

ДССЗЗІ (Держспецзв'язку), чиї інтереси яскраво проглядають в законопроекті — і так вже стала величезним монстром: їм віддали навіть такі абсолютно невластиві їм функції, наприклад, контроль за концерном радіомовлення РРТ, «спеціальним поштовим» та фельд’єгерським зв’язком.

А тепер вони хочуть ще практично необмежену владу над усім, що хоча б здалеку схоже на «кібер». А «кібером» можна вважати буквально будь-що ІТ-шне чи «комп'ютерне» — за наявності бажання. А з бажаннями там все в порядку.

Чому влада буде необмеженою у разі прийняття 8087? Тому що вони самі формуватимуть власні критерії, самі контролюватимуть їх дотримання і самі ж каратимуть за невиконання. Слідство-суд-прокурор-адвокат-тюремник в одному флаконі.

До того ж не було, немає і не планується конкурсного відбору на керівні посади.

Не працює і не планується громадський контроль за діяльністю Держспецзв’язку, а особливо під час воєнного стану.

І ще існують багато причин чому ДСС331 наразі не є ефективною службою і якій не можна давати настільки безпрецедентні повноваження з контролю всього «кібер» у країні.

Але головна з них — ця служба банально не справилися з кіберзахистом країни.

Нагадаю, що на дане відомство вже більше 10 років покладалася функція захисту державних інформаційних ресурсів. Їхня повна назва, увага: Державна служба спеціального зв’язку та захисту (!) інформації. До слова, формально вони мали б опікуватися захистом не тільки державних ресурсів, аде й усіх недержавних, але то вже далеко за межами найсміливіших фантазій.

Але свою мінімальну задачу захисту хоча б лише «державної» інформації — вони повністю провалили. Повністю.(С)

Ось дивіться: після 24 лютого усі державні бази даних були або зламані кремлівськими кібер-бандами або з переляку тупо вимкнуті самими «захисниками». Метою ворожої DDoS-атаки є зробити ресурс недоступним для користувачів. Але коли ресурс роблять недоступним самі «захисники» — це ж просто бінго якесь для нападників, за них зробили всю «роботу». І це фактично підпис під власною неспроможністю щось захистити.

Сам Голова Держспецзв’язку з гордістю повідомив, що було одночасно хакнуто більше 70 (за іншими оцінками — близько 100) державних веб-сайтів. І це лише державних. При тому, що захист державних веб-сайтів є зоною прямої відповідальності його відомства: https://cutt.ly/rBEdrjK

Розписався, що не виконав свою роботу і поставив печатку «Підтверджую». Та ще й пишається тим.

Сотні попередніх гучних зламів 2014—2021 років Держспецзв’язком було або ігнорувало, або вони заперечувало, або знизували плечима: «так, а ми тут причому, відповідальність же несе власник системи».

Злив бази даних Дії у січні 2022 Держспецзв’язку ніяк не прокоментувала — мороз. Їхня участь у розробці додатку Дія звелася виключно у фальсифікації «атестату відповідності» https://cutt.ly/8BEdWZC Який видали з однією метою: переконати вимушених користувачів, що начебто «з кібербезпекою у Дії все класно, вірте нам на слово».

Та і загалом, нормативна база із захисту інформації в Україні, за яку «відповідає» Держспецзв’язку є безнадійно застарілою, хаотичною, протирічною та інколи взаємовиключною. Ані міжнародному, ані ЄС-вському законодавству — і близько не відповідає. І цей законопроект 8087 вносить ще більше ентропії, адже підготовлений людьми, які живуть у задзеркальному світі «державноцентричності», що є глибокою світоглядною помилкою.

Завдяки смішним зарплатам та вкрай некомфортним умовам праці (класичне «я начальник — ти дурак»), рівень кваліфікації працівників Держспецзв’язку — десь у проміжку між «низький» та «нульовий».

Але більшість працівників відомства мають статус «військовослужбовці», чим і скористалися його хитрі керівники, щоб з початком воєнного стану добровільно-примусово «мобілізувати» собі з десяток дійсно кваліфікованих фахівців з приватного сектору. Але «мобілізували» на дрібні, нічого не значущі посади, хоча й зі швидким присвоєнням молодших офіцерських звань, «за законами воєнного часу». Таким нехитрим способом середня кваліфікація по Держспецзв’язку була підвищена приблизно на 0,1% (як на мою скромну, суто суб’єктивну оцінку). Тому загалом проблема низької кваліфікації у цьому напів-військовому відомстві залишається актуальною і донині. І ще довго буде.

Але все це чомусь аж ніяк не зменшує амбіцій Держспецзв’язку претендувати на головну роль у системі національної кібербезпеки. При цьому всіляко уникаючи будь-якої відповідальності за конкретні випадки конкретних провтиків конкретних посадовців.

Більше того: амбіції лише зростають, про що свідчить законопроект 8087.

Є щось у ньому про державно-приватне партнерство? Ніт.

Є щось про об’єднання стейхолдерів? Нє-а. Про їхню рівність між собою? Ха-ха.

Може, щось про чіткі «правила гри», про механізми залучення кваліфікованих фахівців, про розділення повноважень, про громадський (чи будь-який) контроль за витрачанням коштів, про стимулювання приватної ініціативи, про професіоналізм або недайбоже прозорість?

Нічого подібного немає. Як і відповідальності за вірогідні непрофесійні дії чиновників.

Є лише одне — «дайте нам великий молоток, ми ним будемо лупити по власникам критичної інфраструктури, держструктурам та по усім їхнім постачальникам. І так переможемо.»

Не так будується національна кібербезпека. Так це — не працює. Поліцейським кийком довіра не досягається. А саме на взаємній довірі заснована будь-яка працююча система кібербезпеки. Навіть під час війни. Особливо під час війни.

Схоже, що існуючі проблеми національної кібербезпеки умніки з вулиці Ділової та Солом’янської мають намір вирішувати цементуванням пост-совкової системи вахтерів-корупціонерів: «от я вас зараз примушу Батьківщину любити, ать-два!»

Заодно притопити конкурентів. Наприклад, НКЦК РНБО, залишивши їм суто церемоніальні функції «типу координації», собі забравши усі практичні «важелі впливу».

Проблеми в українській національній кібербезпеці існують вже давно.

І так само давно країні потрібно відростити собі новий фаховий кібер-орган, який би працював на сучасних міжнародних принципах. Якому будуть довіряти і не матимуть сумнівів у кваліфікації його представників.

Але це точно не повинна бути Держспецзв’язку. Категорично. Ця система родом з 90-х, працює на застарілих адміністративно-командних засадах та не демонструє бажання змінюватися. Їх давно (ще років 8−10 тому) потрібно було «докорінно реформувати», залишивши єдине завдання: урядовий зв’язок. З якого вони, власне, і починалися.

А від кібербезпеки тримати подалі. Тому ще ця дерев’яна пост-совкова машина примусу ігнорує сучасні міжнародні практики, а за реальність видає свої корупційно-чиновницькі фантазії. Цей монстр нічого не «вкладає» і ні за що не несе відповідальності. Витрачає чужі — тобто наші — гроші. Натомість прагне усім керувати, забороняти-дозволяти, опускати-підіймати шлагбауми, примушувати собі коритися. Влада і гроші, гроші і влада — власне, чи варто чекати іншої мотивації від до сих пір нереформованого українського чиновництва?

Я переконаний, що у боротьбі проти тоталітаризму не можна користуватися тоталітарними методами. Тому що зрештою виникне питання: «А заради чого це все?»

If you give this man a ride sweet memory will die.

І одразу відповідаю на традиційні істеричні вскукареки від кібер-чиновників.

Щоб кожного разу не посилати за рюзьким кораблем розумників з воплями «критикувати легко, а ти зроби щось краще» — я вже давно дав відповідь на подібні провокації: https://cutt.ly/0OMXYL1