Як розкрадається американська кібер-допомога
Ось вам живий приклад як в Україні розкрадають американську допомогу.
Але про гроші - в кінці, спочатку доведеться послухати передісторію, бо інакше не буде зрозуміло суть.
А історія така: американський урядовий фонд USAID вирішив профінансувати створення в Україні «Каталогу продуктів з кібербезпеки».
На перший погляд Каталог вийшов великий та солідний, але це якщо ти ніц не шариш у професійній кібербезпеці. Щоб не забивати вам голову усіма косяками цього творіння, перекажу лише кілька ключових з них.
До Каталогу чомусь не потрапили найбільш популярні кібербезпекові продукти: лінійка рішень CheckPoint (займає до третини українського ринку), у категорії «Інформаційна безпека та управління подіями (SIEM)» відсутній ArcSight – мега популярний продукт в державному секторі, особливо у правопохеронців.
Серед «брандмауэрів веб-додатків (WAF)» відсутнє одне з найкращих у Світі рішень Imperva з найбільшою базою інсталяцій в Україні (он-прем).
А у розділі «Рішення захисту від DDoS» – немає Arbor (NetScout), який є буквально світовим лідером і займає перше місце по використанню в Україні.
В той же час в рекомендованих продуктах чомусь опинився нішевий Sophos, кількість інсталяцій якого можна перерахувати на пальцях однієї руки. З якогось переляку до «рекомендованих державою» SIEMів віднесли невідому хрінь LogPoint та Securonix (повністю хмарне рішення, яке в Україні не продається).
І до речі, держава Україна у особі Дія.Бізнес офіційно рекомендує кібер-продукти, які взагалі неможливо купити в Україні: Cyberhaven (американський стартап), Wallarm (який зовсім не WAF, а скоріше про АРІ security), CyberTrap (маловідома австрійська компанія), SNYK.
Розділ «Рішення інвентаризації активів» - дуже сильно притягнуто за вуха до кібербезу. Це як віслюка вважати бойовим скакуном. Розділ «мережеве управління» взагалі не має стосунку до кібербезпеки, хоча до нього внесли двічі хакнутий та тричі проклятий Solarwinds.
В розділ «Управління відповідністю та політикою безпеки» чомусь впихнули Symulate, який насправді є симулятором атак і це точно не про політики безпеки.
А деякі компанії, які рекламуються в Каталозі, так вже і не існують давно: Juniper Networks була поглинута HPE на початку 2024 року, а Smokescreen була викуплена Zscaler три (!) роки тому.
Розділ «Рішення керування паролями» авторитетно веде на «помилку 404».
Ну і вишенька: американський урядовий фонд та українська держава рекламують в Україні бразильську Senhasegura (яку чомусь назвали американською) як інструмент управління привілейованим доступом (РАМ). За порєбріком цей продукт активно продається та рекламується під гаслом «Бразилія не підтримує санкції США та ЄС».
Підсумуємо: при формуванні даного Каталогу не враховані ані міжнародні рейтинги (Gartner, Forrester), ані українські реалії, неясно які критерії застосовувалися, тому виглядає це смішно та по-ламерські. Таке враження, що каталог складався школярами за допомогою ChatGPT.
Однозначно не раджу для професійного використання.
І за всю цю низькоякісну поробку USAID заплатив українському виконавцю $100,000 (сто тисяч доларів США). Виконавець – людина відома, з ім’ям та прізвищем. Обличчя пана А. можна часто побачити на різних державних «круглих столах», хахатонах, нарадах та пафосних засіданнях.
Якби толковому студенту дали тисячу доларів – він зробив би цю роботу значно краще, та ще й довго дякував би за можливість легко заробити таку купу грошей. Дивно, що мільйон не роздерибанили під цей Каталог.
Бо в Україні можна під любу хрінь розпиляти буквально любу суму. Головне – притулитися поближче до влади, яка розподіляє гранти іноземних донорів для своїх гнучко-хребетних сраколизів.
Так, товариство. Сумна реальність сьогодення полягає у тому, що іноземні фонди типу USAID фінансують не ті проєкти з кібербезпеки, які дійсно корисні для країни, а ті, на які вкаже пальцем недолуга корумпована українська влада. Голоси протесту – ігноруються. «Корупція – це тільки в Україні», ага.
Заради об’єктивності варто зауважити, що деякі продукти з Каталогу дійсно варті уваги. Хоча окремі з них потрапили туди, скоріш за все, за «матеріального стимулювання» окремих вендорів.
Але давайте чесно: чи варто довіряти «державним рекомендаціям», якщо точно знаєш, що деякі з них сумнівні, деякі проплачені, багато неактуальних та є навіть відверто безглузді? Тому не даю лінк на все це неподобство.
А хто хоче повідомити владі США про розкрадання американських грошей в Україні – вам сюдой
Я це вже робив у липні-серпні 2020, надсилав детальні дані, але результат виявився повністю нульовим, тому я пас, в такі ігри більше не граю.
P.S.: Впевнений, що після цього допису рукожопи кинуться переробляти свій мутний Каталог, але скрінкаст поточного стану зафіксовано та збережено (можу його надіслати людям, налаштованим серйозно).
