Бюрократія чи кібербезпека країни?

Героїчно відповіли на росіянські кібератаки в НКЦК РНБО: потужними звітно-виборчими зборами. Купа паперів, прапор, сурйозні пики – все як положено. Всі один одного похвалили, але й трішечки вказали на «окремі недоліки» - об’єктивність же ж.
Дружно вирішили, що кібер-агресія ЕрЕф була спрямована на «…дискредитацію усіх надбань у галузі цифрової трансформації нашої держави..”. Ага, щоб запорєбріки скоріше зруйнували те, що самі не встигли зруйнувати. Абидна, да.

«Секретар РНБО України підкреслив важливість гармонізації комунікації як з громадянами, так і з міжнародною спільнотою з боку Міністерства цифрової трансформації, МЗС, Держспецзв’язку, СБУ та НКЦК у питаннях протидії кіберзагрозам.»
Як можна гармонізувати те, чого в принципі не існує? Ви для початку хоча б між собою «гармонізуйтеся». А то різні відомства метуть протилежні версії. Робити нічого не вмієте – то хоча б домовтеся щоб брехати однаково. Хоча це важко зробити, коли сильно зайнятий палацовими інтригами НКЦК-МЦТ-ДССЗЗІ-СБУ.

Цікавий звіт про роботу НКЦК РНБО за 2021 рік, який озвучив фактичний керівник НКЦК Демедюк.
Пан хвалився смішною, зате неробочою Стратегією кібербезпеки (на фінансування якої передбачено 0 гривень з державного бюджету), а також проведенням 14 семінарів. За 12 місяців. Чотирнадцять семінарів. Оце так досягнення. І аж один «семінар» на місяць – дійсно напружена робота 30 співробітників НКЦК. Більшість з яких (семінари) - абсолютно марні і організовані придворними ГОшками та фірмочками на західні гранти. Не перетрудилися, лапочки? Мабуть ледве доходите до ліжка вечорами.
«25 українських фахівців вперше отримали престижну сертифікацію від SANS Institute» - оце я не в курсі, яку ще «сертифікацію отримали»? Пройшли повний курс та успішно здали іспити? А сертифікат покажеш? А ну, поплигай.
Якось це на відверту маніпуляцію схоже.

Стратегія кібербезпкки – це взагалі треш, хоч би не позорилися.
Криво зліплені нагуглені фрази, вкрадені ідеї, величезна купа наскирдованих побажань, приховуваних очікувань, відвертих фантазій та нездійсненних вологих мрій більшості українських «суб’єктів забезпечення кібербезпеки». По суті даний документ є безсистемним довідником всього, що повинно було б бути у національній кібербезпеці, але навряд чи буде.
Стратегією цього франкенштейна назвати досить складно.

І кібервійська, звісно ж, кібервійська.
Бравурно, під звуки переможного маршу, у серпні 2021 було надано команду «створити кібервійська, ать-два». Але пройшло півроку – а поки щось ані звуку на цю тему. Усі війська лише на папері та у солодких снах міноборонівських генералів. У будь-якій незрозумілій ситуації кричи «Кібервійська!» - і всьо, завжди будеш головним захисником від кіберагресії.

Але і жорстка самокритика теж була детектована, бо як же ж без цього: демократична ж країна, йоптить.
«Водночас заступник Секретаря РНБО України наголосив на «недостатньому засвоєнні» уроків 2017 року (атака NotPetya).»
Читає мене пан Данілов, ох читає. Про «невивчені уроки» я і писав, і виступав на конференціях, і говорив журналістам починаючи з 2017 року. Аж самому вже набридло. Від того уроки не стали більш вивченими, але відчуваю, що тепер оцей вираз – «невивчені уроки» - це новий канцелярський стандарт для бюрократичних доповідей. Сумнівний привід для гордості.

Голова СБУ та заступник міністра закордонних справ повідомили радісну новину: «згідно з оцінками міжнародних партнерів реакція українських державних органів на кібератаку, яка сталася проти ночі 14 січня ц.р., була на належному рівні.»
Ну а як же ж може воно могло бути інакше. Попереду планети всієї. Це перемога, адназначна.  А тим часом США та Британія тихенько, не ставлячи до відома успішний українських кібер-борцунів, відправляють своїх власних кібер-експертів, щоб уважно спостерігати як Мордор розриває українську критичну інфраструктуру та фіксувати реальну картину. Не з НКЦК РНБО ж їм брати інформацію, вірно?

«Партнери з ЄС відзначили, що Україна стала інституційно спроможною. – сказав І. Баканов.»
Дуже мені цікаво хто саме це сказав, коли, у якій сауні, чи існує відповідний документ. І чи не «вирвано з контексту» часом. Бо може так статися, що «партнери з ЄС» подібну заяву не підтвердять, якщо їх прямо спитати. Чи вони «не те мали на увазі».

«М. Федоров наголосив на важливості посилення координації дії суб’єктів забезпечення кібербезпеки і звернув увагу на необхідність вдосконалення кіберзахисту базових державних реєстрів.»
Сказав чувак, який на претензії до Дії завжди пожимає плечима “Тю, так це не до нас, це до власників реєстрів”. І який взагалі не має стосунку до кібербезпеки – він же SMM-никНавіть не ІТ-шник. Свою ідею-фікс - Дію - ніяк не може допиляти, щоб вона хоч якось працювала. І щоб її не використовували шахраї, беручи кредити на довірливих громадян.
Ой, ледь не забув: це ж він автор крилатої фрази “Я вважаю, що роль кібербезпеки дещо перебільшена”.
А потім Федоров подумав і добавив: “щотижня на його (НКЦК) базі проводити наради постійно діючої робочої групи, створеної з фахівців та експертів,..”
А я згоден. Гоніть своїх бестолкових Securtiy-Through-Obscurity щотижня на наради – хоч якась видимість роботи буде. Зберуться такі, наголосять на необхідності посилити/розширити/поглибити, суворо так порухають бровами, позиркають переможно – а там і кінець робочого дня. Фуух, ледве врятували Батьківщину, які ми молодці.

Загальна ідея засідання: так-то воно все суперово, всі просто кросаучеги, просто треба трі-і-шечки ретельніше.
Власне, точно так все було і після атаки на «Прикарпаттяобленерго» у 2015-му, і після NotPetya у 2017-му, і після вимкнених Мінфіна та Казначейства, і після десятків подібних кібератак проти України.
І саме тому в Україні ніколи не буде національної кібербезпеки.
Нічого. Ніколи. Не змінюється. Нам пороблено на кібербезпеку.
Пафосні чиновники з надутими щоками метуть люту дічь з якогось паралельного всесвіту і хвалять один одного. Займатися реально справою ніхто не хоче - і не вміє. Зате  попиляти західну «допомогу» - тут черга аж до обрія, усі одразу «експерти» та «досвідчені фахівці», біжать, гублячи капці.

Навіщо та вся буффонада їм знадобилася – хтозна. Імітація «ух як ми славно попрацювали»?
Так ні. Ледве на п’ятий день зібрали все докупи. І це при тому, що ніхто не заважав спокійно відновлюватися– атаки припинилися.
НКЦК РНБО взагалі стояло десь збоку та робило вигляд, що чимось там керувало, поки інші металися як під час пожежі в борделі.
Хоча стоп, в НКЦК мужньо переклали з англійської на українську повідомлення кіберцентру Майкрософт про атаки стосовно України – це ж майже подвиг, всім по ордену. Тим більше що якщо єдина кібер-грамотна людина якраз була у відпустці за кордоном.
Щось дійсно намагалося робити з розслідування кібератаки лише CERT-UA, але це не точно. Загального та технічного звіту «що_ж_насправді_сталося» - досі немає, і я сумніваюся, що взагалі буде. Тобто як завжди. Як там «кейс Джо Байдена», до речі? Звіт все ще пишете? А, ну пишіть, пишіть.

Зате тепер, коли воно само вже якось розсмокталося – тепер можна вилізти на трибуну і гордо заявити: засідання славетного НКЦК РНБО оголошується відкритим! Ура таварісчі!