У чому небезпека "повністю цифровізованого постачання БпЛА"

Мене відверто лякають слова “ повністю цифровізоване постачання БпЛА” – про яке повідомляє підприємство Міністерства оборони “Державний оператор тилу” (скорочено ДОТ).

Особливо страшно звучить “Завдяки цифровим інструментам держава в режимі реального часу бачить рух засобів — від виробника до логістичних складів.”

Тому що якщо це може бачити ДОТ – це також зможе бачити і ворог.
Сучасний Світ влаштований так, що не існує систем, які неможливо хакнути.
І абсолютна більшість високо-професійних хаків відбувається так, що жертва про це не здогадується. І тому противник може роками (так, роками) тихенько сидіти в системі і збирати цінну розвідінформацію.

Тому перед запуском подібних супер-критичних цифрових платформ – абсолютно необхідно бути на 100% впевненим, що вони супер-надійно захищені. І що у разі зламу – не станеться витоку чутливих даних.
Чи було саме так зроблено у ДОТ МОУ? Не знаю. У мене немає інсайдів. Доступна лише публічно доступні дані.
Давайте разом на них подивимося.

Перше, що кинулося в очі – Geo Fence при вході на веб-сайт ДОТ.
Застосування гео-фенс - це перша ознака непрофесіоналізму, який так розповсюджений серед української госухи.
Ці обмеження абсолютно ніяк не захищають від професійних кіберлочинців, але ускладнюють легальним користувачам доступ до сайту з-за кордону.
Навіщо тоді англомовна версія на сайті?

Пам’ятаю як у році так 2020-му топи з мінцифри козиряли фразою “Ми захищаємося за принципом security through obscurity” – навіть не усвідомлюючи наскільки цим показують свою некомпетентність, рівня “бабулька біля під’їзду, яка почула модне іноземне слово”. Бахвалитися словами, незрозумілими для більшості “пересічних”.
Але та меншість, яка розуміла – падала від сміху від феєричної тупості мамкіних жижиталізаторів.
Так от, застосування Geo Fence - пряма ознака непрофесійності у кібербезпеці. Причому у даному випадку воно ще й працює якось дивно-вибріково: доступно з американських та німецьких ІР-адрес, але недоступно з бельгійських, ірландських чи італійських.

Друге.
Поклацавши по сайту ДОТ (робота для QA рівня junior), наткнувся на повідомлення We can't check the safety of this website right now. Це розділ “Доброчесність-Антикорупційне законодавство-Правовий статус викривача”.
Це буквально означає, що сайт ДОТ – не тестувався. Або тестувався “на відчепись”, формально, для галочки.

Ну і головне, що мене насторожило: підозрілий характер запевнянь про кіберзахищеність системи - у стилі “раннього Федорова”.
Перше, що напружує, це фраза: “ DOT-Chain має комплексну систему захисту інформації, розроблену відповідно до Cybersecurity Framework (CSF) 2.0 Національного інституту стандартів і технологій США (NIST)”.
Якщо це правда - покажіть звіт про аудит системи безпеки DOT-Chain. Або якийсь інший документ від солідної міжнародної організації. КСЗІ від Держспецзв’язку – не пропонувати, це фікція, яка легко купується за валізу чорного кешу.
Немає звіту/сертифікату? “Це секретно”? Тоді це голослівні твердження, які неможливо перевірити. Бравада гучними іменами без надання доказів. Іншими словами – маніпуляція.
Подібне жонглювання “міжнародними стандартами” я бачив після декоративного Big Bunty, яке організувала команда молодих “ефективних менеджерів” з мінцирку.
Кому цікаво – ось ця давня історія від грудня далекого 2020-го.

Аналогічне враження виникає від наступного твердження: “Розробник системи — ДОТ — також пройшов оцінювання на відповідність міжнародному стандарту інформаційної безпеки ISO 27001.”
Знов таки – а покажіть сертифікат. Опублікуйте на сайті. Щоб хто завгодно міг перевірити успішність оцінювання на відповідність ISO 27001 (“Система управління інформаціною безпекою”). Це вже точно не може бути секретним документом, оскільки проводиться за певною процедурою уповноваженими організаціями та згідно заздалегідь відомих міжнародних правил.
І навіть якщо розробник дійсно має такий сертифікат – важливо це він дійсно застосував ці знання при розробці системи. Іншими словами – а чи дійсно смачним є борщ, приготовлений шеф-кухарем з умовними “трьома мішленівськими зірками”.

На перший погляд уся ця історія про безпеку DOT-Chain Arsenal нагадує поняття “кіберциганство”: це коли авантюристи видають себе за справжніх фахівців, інколи досить довго та переконливо.
Півбіди якщо від того страждають персональні дані громадян – які у більшості їх навіть не цінують і факт відсутності захисту їх не дуже-то парить (“Дія”).
Але коли мова йде про постачання надважливою зброї у війні, яку ми не так шоб виграЄмо наразі – тут наслідки можуть і будуть значно тяжчими. На порядки.

Якщо ворог зможе шпигувати зсередини мереж “повністю цифровізованого постачання БпЛА” – то він зможе також проводити диверсії всередині неї, підміняти дані, дезорганізувати виробництво або повністю зупинити роботу системи. І узгодити подібні кібератаки з одночасною активізацією наземних та повітряних операцій. 
І це точно не піде нам на користь.

Мені дуже не хотілося б реалізації подібного сценарію у цифровому середовищі постачання БПЛА українській армії.
Але з того, що я бачу – він аж ніяк не може бути виключеним.