Корупція та кібератаки: чи є зв'язок?

Що ж відбулося вчора, і що це значить для нас.
Нагадаю коротку фабулу: було атаковано понад 70 веб-ресурсів центральних органів виконавчої влади України, у тому числі портал Дія. Зловмисники (скоріш за все з країни-агресора) скористалися давно відомими вразливостями у системах наповнення сайтів (CMS). Атакували також за давно відомою схемою – хакнули постачальника (supply chain attack).
А достатньо було просто оновитися. Хоча там й інших дірок повно, ці були на поверхні.

Геополітично це виглядає як «привіт із Запорєбріка», сенс якого нескладно вловити: «дивись, я ще й не таке можу» та як елемент трогів на перемовинах з США.
Власне, все як у 2014 з «картинкою Яроша», як у 2015 з Прикарпаттяобленерго, як у 2017 з Медком. Мордорська тактика залишається незмінною: кібервійна як складова загальної агресивної війни проти України.

Із зовнішнім фактором начебто більш-менш зрозуміло та очікувано. Принаймні в експертному середовищі.
Але як стосовно внутрішнього фактору? Чому Україна знов виявилася неготова до цілком прогнозованих кібератак країни-агресора? Чому попередній досвід не був врахований? Чому уроки залишилися не вивченими? І про які внутрішні проблеми це свідчить?
А свідчить це про відсутність національної системи кібербезпеки - саме як системи.
Про те, що я та деякі мої колеги говоримо, пишемо, кричимо (а дехто навіть матюкється) вже більше п’яти років. І вже давно захрипли.
Замість реальної довгої, складної, кропіткої роботи з побудови працюючого системного рішення, наші кібер-чиновники займаються корупцією, імітацією бурхливої діяльності, розпилами та міжвідомчими інтригами.
В країні дев’ять (дев’ять, Карл!) держструктур, які відповідають за кібербезпеку, кожен у своєму куточку. В усіх них немає нормальних фахівців, зате повно «поважних людей з самого кварталу».
Усі ці держструктури просять (і отримують) немаленькі кошти «на кібербезпеку» з різних міжнародних «програм допомоги». Але займаються лише пустими балачками та брехливими звітами. Та й того толком робити не вміють.
Тотальна корупція, всеосяжне невігластво, поголовне кумівство, весільні фотографи, квартал95, вотетовсьо. Все як ми любимо.
Але не кібербезпека.

Стосовно «західної допомоги» скажу окремо.
Хто слідкує за моїми дописами, той знає як відчайдушно протягом останніх півтора року я намагався докричатися, що американська урядова програма допомоги українській критичній інфраструктурі USAID Cybersecurity Activity – це банальна пилорама, неприкрита та ламерська, яка жодним чином не сприяє підвищенню справжньої кібербезпеки української критички. На цю тему я написав більше 20 лонгрідів (хештег #CyberUSAID), але усі мої зусилля жодним чином не змінили характер програми. Жодним, запевняю. Зі мною ніхто навіть не захотів поговорити. Poker face.
Більше того, я написав листи в різні американські контролюючі організації (ось лише в ФБР не писав) – нуль реакції.
Напевно, 38 мільйонів доларів – занадто велика сума, щоб непокоїтися про якусь там репутацію.
Приблизно те ж саме стоcується й усіх інших «програм кібер-допомоги»: від Естонії, Канади, Швеції, Німеччини, від ЄС, CRDF та EU4DigitalUA: примітиdна ширма для фінансових оборудок, які ніхто ніколи не буде розслідувати.
Але нульова неефективність витрачених на «кібер-допомогу» коштів, як то кажуть, - на табло. Яскраво продемонстрована вчорашнім сайтопадом.

Складається враження, що Захід не дуже зацікавлений у зміцненні кібербезпеки країни. Бо для них Україна – це полігон, з якого вони можуть дізнаватися про нові технології кібервійни та практики їх застосування. Побачити та проаналізувати семпли, методики та тактики in the wild (у дикій природі). Шикарна практика для хірурга у польовому госпіталі просто на полі битви. То навіщо самим знищувати свій полігон?
А ми ж пам’ятаємо, що буквально три тижні тому США та Британія прислали в Україну своїх експертів, нібито «допомогти Україні захиститися від кібератак»?
Ну і як, допомогли?

Виходить, вони ще тоді вже щось точно знали про атаки і їх приблизний час, але аборигенам не сказали. Тобто у них в голові існує чітка різниця між «допомагати» та «імітувати допомогу», і Україна підходить лише для другого.

Але ж не всіх в Україні такий розклад влаштовує. Мене, наприклад, не влаштовує.
Українці повинні перш за все самі про себе дбати, вірно? Ніхто нас не захистить крім нас самих, авжеж?
Начебто так. Начебто очевидно.
А от ви знаєте, скільки коштів держбюджету передбачено на розбудову національного кіберзахисту згідно Стратегі кібербезпеки України на 2021-2025 роки?
А я вам скажу.
Рівно нуль. Нуль цілих хрін десятих. «В межах видатків, передбачених державним бюджетом».
Але при цьому “Україна зробить кібербезпеку одним з основних питань своєї міжнародної діяльності». Хаха.
(Відео виступу з оглядом Стратегії тут)
Та сама Велика Британія, наприклад, під реалізацію своєї першої Стратегії кібербезпеки (на 2013-2015) заклала 1 мільярд фунтів, а під імплементацію другої, (на 2016- 2021) – майже 2 мільярди тих самих фунтів.
А от держава Україна чомусь не бажає фінансувати свою кібербезпеку.
Ну і що, що з 2014 по 2018 проти країни велася наймасштабніша кібервійна за всю історію людства?
А для українських чиновників це був лише привід розпиляти іноземні гранти (які є єдиним джерелом фінансування національної кібербезпеки) та набрати у штат лояльних собі, хоча й низькокваліфікованих чиновників, які аж ніяк не технічні фахівці. Пропозиції ж справжніх українських кібер-фахівців, які навіть розробили власне бачення реформування національної кібербезпеки – свого часу було просто проігноровано. Якісь вони дурнуваті, оті кіберексперти: як це без провідної ролі держави? Ну і шо, що найкращі фахівці у приватному секторі? Все одно ми повинні усім керувати і розподіляти кошти, надавати вказівки, вигукувати команди, надувати щоки та тріщати крилами на трибунах. Буде або так, або ніяк, йдіть собі.
Ну ок, сказали експерти, - і пішли собі. Їм і так є чим зайнятися. І чиновники тому дуже зраділи – не заважатимуть пиляти гранти та брехати.
От тільки у мене питання залишається: коли ж чиновницька зграя вже нажереться? Звісно, влада завжди буде красти в Україні (у цьому столітті), але хоча б половину можна було б витрачати на дійсно потрібні країні речі? Якось же це працює у Голландії, США чи Британії?

І до речі, повноцінного Закону про кібербезпеку у нас теж немає. Попри постійну кібервійну з 2014 року.
Лише оті криві милиці «про основні засади забезпечення кібербезпеки», які з 2017 року навіть не оновлювали. Прийнятий «злочинними папередниками», ага.
Та навіть це Г. ніяк не впливає на реальну кібербезпеку країни - одна лише корупційна фікція.
Але враховуючи інтелектуальний рівень депутангів теперішньої зе-Ради питання про новий та працюючий Закон про кібербезпеку виглядає просто смішним (в англійській є більш точне слово: ridiculous).

І про наслідки.
Думаєте, хтось тепер понесе реальну відповідальність за беззахисність країни перед кібер-агресором?
Дуже сумніваюся.
Та і кого карати? Вся відповідальність розмазана мікронним шаром між десятком держустанов та сотнями/тисячами чиновників. Вони усі «відповідальні» за кібербезпеку, - але лише тоді, коли мова йде про владу, бюджети, західну «допомогу» та повноваження. А от коли йдеться про взяття на себе провини за конкретні провтики – тут усі «відповідальні» десь зникають, нікого не знайдеш.

Агов, НКЦК РНБО, ви ж вважаєте себе головними в країні за національну кібербезпеку, вірно? Типу кібер-координатор всєя країни, як в отому законі написано?
Не хочете вийти на трибуну і покаятися? Можна вдвох з ДССЗЗІ, за компанію.
А повернути дарма витрачені кошти вашим друзям з CRDF не маєте бажання?
Ні? А шо так? Ви тільки брати гроші вмієте, відповідати – то не ваше?

Але деякі наслідки від цієї кібератаки, безумовно, будуть. Не зовсім ті, які потрібно, але будуть.
Наприклад, викопають та реанімують труп стюардеси, тобто проект закону про Національну службу кібербезпеки.
Або вигадають посаду ще одного віце-прем’єра з питань кібербезпеки. Чергового веселого СММ-ника на неї призначать, або троля-депутата, або якогось вискуба дурнуватого. Когось дуже тупого та непрофесійного, але дуже Зе-лояльного.
І ще закидати проблему грошима – завжди гарна ідея. Виділити ще більше грошей усім «основним суб’єктам забезпечення кібербезпеки» - це ж просто класика жанру. Не тільки від добрих західних тьоть і дядь, але ще й з держбюджету. Без Прозоро, без закону, без обґрунтування - просто рішенням РНБО, як у нас тепер модно. Ще й на Корсуна будуть посилатися, мовляв, той дорікає, що Стратегія кібербезпеки не профінансована. (Тяжко зітхає, втомлено хитає головою та торкається долонею обличчя, бурмоче дблблд).
Впевнений, що вже у понеділок топ-чиновники побіжать до своїх західних спосорів з отакими сльозами: «Дядечки, нас ображають кляті м---лі, дайте ще бубільйончик-другий попиляти». І дадуть, і знов попилють, і знов буде сайтопад, і знов побіжать по гроші, і знов попиляють. І знов, і знов, і знов. Це замкнутий цикл, його неможливо розірвати. Уроборос.

Ну і кібервійська, звісно. Не зрозуміло нахіба, і чи будуть вони когось захищати чи нападати, і чи буде це ефективно. Але ви дайте нам гроші та генеральські посади, а ми потім якось вже розберемося.

Що робити, кажете?
За поточного політичного циклу нічого зробити не можливо – серйозна вам кажу. Рішення остаточне, оскарженню не підлягає. Пофарбувати та викинути. Немає навіть з ким розмовляти.
Що буде у наступному циклі – не знаю, але очікування тривожні. У будь-якому разі про це зарано говорити, щоб не розчаруватися у сподіваннях, як це було восени 2019-го.
Але загальна схема дій для докорінного реформування сектору національної кібербезпеки України, як завжди, залишається актуальною, хоча і не затребуваною «державою»: припинити красти, відмовитися від тотального вертикального диктату, перейти на «горизонтальну» модель, почати об’єднувати усіх стейкхолдерів, боротися за їхню довіру, залучити нормальних фахівців, започаткувати основи для реального державно-приватного партнерства. І це лише передумови до початку першого етапу.
Далі розказувати не буду – я про це вже 100500 раз розказував, набридло.
Кого цікавлять деталі – ост тут я виклав усі свої дописи за 2021 рік, по темам. Про реформування галузі кібербезпеки, про USAID та іншу профанацію, про «дієвих» та багато всього іншого стосовно кібербезпеки України я писав також у 2020

А я пішов їсти свій шикарний іменний торт та міркувати про перевищену роль кібербезпеки.
А, і ще. Офіційно заявляю, що вчорашні кібератаки та мій день народження – то лише співпадіння. Правда. Не люблю я вітчизняну госуху, але ж не настільки. Це ж «наш сукін син».