Global Cybersecurity Summit 2017: враження від відвідування
Про те, що якась нова “глобальна, ггг” конференція з кібербезпеки GCS 2017 відбудеться у червні 2017 року, українська професійна CyberSec-спільнота знала десь з квітня, переважно через активну (іноді нав’язливу) рекламу.
Хто це, що це і навіщо - ніхто не знав. Ціна за відвідування у 16к грн. була не те, щоб нереальною для сучасної України, а просто космічною і більше схожою на ціну квитка у Давос, тому ніхто йти не збирався. За пару тижнів до заходу ціну знизили вдвічі, але 8 тисяч — теж разів у десять більше того, за що інфосек-відвідувач готовий платити за відвідування конференції в Україні.
Забігаючи наперед скажу, що насправді людей на заході було доволі багато, приблизно до 200, включаючи спікерів та журналістів, але я не знайшов нікого, хто б заплатив за квиток з власної кишені (запитав десь 50-60 людей).
Тож викладаю враження лише від того, що бачив на власні очі і чув на власні вуха. Намагатимуся бути неупередженим))
Локація:
Парковий, колишній вертолітний майданчик Легітимича. Пафос і гламур. Жир.
Відмінний комплекс, сучасний, чудові види з величезної тераси, де можна було палити і де проходили усі кава-брейки, обід та міні-вечірка.
Дуже багато охоронців, кожен тебе сканує поглядом, це неприємне відчуття.
Головний зал великий, але інколи були проблеми зі звуком. Посеред якогось виступу піді мною зламалася спинка стула, і я просто впав на людей позаду. Пізніше аналогічну халепу спостерігав ще тричі (!) у різних залах.
Зала для воркшопів: маленька, десь на 20 людей, але рідко була заповнена хача б на половину.
Переклад
Перекладали Макс Козуб та Ігор Дубинський. Звісно, було блискуче, як завжди. Це просто такий клас, найвищий і майже недосяжний. А от у залі воркшопів синхрону не було, дівчина-перекладач перекладала після слів спікера і це уповільнювало спілкування. До того ж були деякі проблеми з перекладом професійних термінів, тому учасники часто просили не перекладати і спілкувалися зі спікером англійською.
Їжа та напої — непогано, ніяких зауважень.
Контент
Таак, тепер найцікавіше.
Повністю англомовна конференція у Києві — такого точно ще не було. Тобто, ведучі, модератори сессій, виступи, запрошені гості — усі говорили англійською. Крім тих спікерів, хто не говорить англійською.
Почали з гучного виконання Гімну України: круто, шалено респектую, молодці. Головний ведучий (респектабельний сивий англомовний чолов’яга, непогано говорить українською та російською) навіть підспівував. Дуже сподобалось.
Привітання зайняли майже дві години. Хоча виступали пані Посол США в Україні, колишній заступник Держсекретаря США, заступник Глави Адміністрації Президента України Дмитро Шимків, представники РНБО і Мінекономіки — круто, але ж кому цікаво слухати привітання протягом двох годин? Один лише колишній заступник Держсекретаря США Блінкін промовляв 40-45 хвилин.
Цікаво було слухати лише Шимківа — яскраво, емоційно, нешаблонні тези, майже без папірця. Рекомендую знайти на ТиТруба і послухати. Привітав і представник якоїсь Державної інновацційної кредитно-фінансової установи. Де вони, і де кібербезпека? Ну ок, виступають де можуть.
Заявлені у програмі Турчинов (“Кривавий Пастор”), Кубів (віце-прем’єр), Насалик (міністр енергетики) - не прийшли. Журналісти з цього приводу були розчаровані та тихенько бухтіли у кулуарах.
До речі, під час одного кава-брейку один знайомий розказав, що він придумав новий термін для електронних ЗМІ - “засоби масової комунікації й інформації” замість існуючого ““засоби масової інформації”. Суть у тому, що термін “ЗМІ” не передбачає зворотнього зв’язку з читачами, а предбачає односторонню передачу інформації. Може і так, але абревіатура ЗМКІ якась неблагозвучна.
Тож до виступів.
Більшість виступів мало формат “радіомовлення”: в одну сторону. На сцені сидять модератор і кілька “експертів” і спілкуються виключно між собою. Зал тільки слухає, спілкування відсутнє у принципі, не передбачається такої можливості.
У цілому в головній залі протягом двох днів лунали “гасла” (“лозунги”) на кшталт такого: “а давайте співпрацювати”, “бути багатим і здоровим краще, ніж бідним і хворим”, “сонце встає на сході, а сідає на заході”. Виступи переважно мали філософсько-концептуальний та нудно-стратегічний характер. Часто згадували погану ЄрЄф та сміливо обзивали їх “поганими хлопцями”. Тобто, говорили про те, що усі й так давно знають.
З помітних моментів виступів у головній залі:
- цікава преза від лондонського представника CloudFlare (по Скайпу): показав статистику атак на сайт Д.Трампа; ну і потужна реклама самого CloudFlare, звісно;
- посол Ізраїлю незвично розшифрував аббревіатуру CERT: Cyber Events Response Team, хоча зазвичай це означає Computer Emergency Response Team. Можливо, дядько помилився, але ідею при цьому збережено, прикольно;
- посол США у своїй промові згадала слово botnet. Показово. Може, скоро і українські політики будуть використовувати такі модні терміни?;
- голова комітету з питань інформатизації і зв’язку Верховної Ради України пан Олександр Данченко сказав таке, що я не повірив своїм вухам і аж підстрибнув. Дослівно: “у нас немає жодного Закону про кібербезпеку чи кіберзлочинність”. Шо, прааааавдааааа?? Навіть не маю слів прокоментувати, може якось окремим постом. Це для розуміння рівня обізнаності народних депутатів і керівників профільних (!) комітетів;
- той же Данченко: “і щоб наша критична інфраструктура мала такий же рівень захисту, як у ЄС”. Тобто рівень захисту критичної інформаструктури в ЄС є взірцевим? Шо, правда? І якщо стосовно деяких країн, можливо, так воно і є, але про єдині для ЄС системи захисту я шось не чув поки. А деякі країни-члени ЄС взагалі, мабуть, і не чули про таке;
- знов Данченко: “ідея форума з’явилася ще у грудні, і наш комітет підтримав цю ідею”. Ага, а ще ви винайшли колесо і кожного ранку підіймаєте нам усім сонце, руками, ага;
- і ще Данченко: “за результатами цього форуму ми хочемо отримати не теоретичні рекомендації, а реальні, передайте їх нам на папері і будемо думати, як їх реалізувати”. Ті, хто його слухав — погигикали;
- перед деякими виступами крутили відео про наступних спікерів у вигляді інтерв’ю — цікава ідея;
- Іван Пєтухов з “Адаманту” цікаво розказував про атаки у січні 2014 (кілька десятків Gbps), про розташований у Дніпрі (тоді ще Дніпропетровськ) ботнет, який атакував сайт ГПУ і як локалізовували атаку (спойлер — висмикнули патчкорд), про атаки до 100 Gbps у травні 2014 і про те, що 9 травня “спалили колектор” через його віддаленне нагрівання до 1500-2000 градусів С. Не в курсі, чи це можливо. Але було точно не нудно.
- на останній сесії другого дня було цікавіше за все: виступали Ігор Козаченко і Микола Коваль, розказували про те, як відбивали атаки під час виборів Президента України — багато цікавих подробиць. Поряд сиділи якісь англомовні хлопці і філософствували на тему “айяйяй, які погані москалі, що отримали доступ до поштових скриньок демократів....на результати виборів це не вплинуло, але сам факт атаки — айяйяй”. І тут вечір перестав бути томним, бо Колю прорвало на тему “шо за хня, для нас такі випадки взагалі другорядні, якби у вас було таке як у нас на виборах — ви б там повси%алися”. Ті аж очима закліпали, не очікували такого демаршу. Ще Микола щось добавив типу “харош триндіти про “взагалі”, давайте говорити про конкретику” і тут дівчина-модератор з Антантичної Ради (шо це, до речі?) кинулася рятувати ситуацію. Інцидент якось залагодили, Коля замовк і потім, вже в кулуарах, ще довго кипів з цього всього. Я його розумію, сам був таким))
Мабуть, наступного разу Миколу не запросять))
- Ігор Козаченко: “сценарії атак під час виборів у США і Франції були відкатані на президентських виборах 2014 року в Україні”. Щоб було зрозуміло: Ігор був головною відповідальною особою за захист усіх ресурсів під час тих росіянських атак, єдиний координатор, головнокомандувач кіберзахисту, так би мовити. Хлопці тоді кілька діб не виходили з будівлі ЦВК; ще був цікавий епізод коли “наші” виявили лінк і картинку (табличку), яку покажуть у руссо-ЗМІ (що нібито переміг Ярош) і після цього протягом буквально 40 хвилин “наші” переробили дизайн справжньої таблички з результатами голосування на сайті ЦВК. Тому коли на Першому россіянському показали фейкову табличку, вона вже суттєво відрізнялася кольорами і дизайном від справжньої, зі справжніми результатами;
- після усіх виступів хлопчина ходив по рядах і збирав у всіх візитівки; потім серед них розіграли, здається, Apple TV чи шось таке. Цікавий досвід, треба запам’ятати;
- під час спічей “закриття саміту” було нудно, тому рахував кількість людей у залі: близько 90. Насправді це непогана цифра як для останньої сесії другого дня.
Що було цікавого на воркшопах (тих, куди я потрапив)
- чувак з компанії Box весь воркшоп розказував які чудові послуги зі зберігання супер-критичної інформації вони надають, у тому числі Уряду та спецслужбам США; я його запитав: “як Ви вважаєте, чи є вразливою система виборів у США?” - “Так”. ОК, зрозуміло. “Наше прокляття і благословіння полягає у тому, що кожен муніципалітет захищає свою ділянку сам, єдиної системи захисту немає. Тому якщо зламають одну — це не домоможе отримати доступ до інших”. Неочікувано;
- а ще він сказав: “Що б там не казав пан Трамп, Україна є дійсно важливою для Америки”. Гг;
- і на панелях, і на воркшопах виступав такий собі Віктор Геверс з Нідерландів, якого позіціонували як “етичний хакер”. Мабуть, єдиний з команди “спікерів”, який орієнтувався у технічних термінах кібербезпеки. Так от, у нього з друзями є некомерційний проект: вони сканять усе, що є в Інтенет на низькому рівні на предмет незакритих вразливостей. Показував карту Світу з тисячами місць, де досі не закртита така вразливість як сумнозвісна HeartBleed, на слайді мигнули назви кількох банків з Німеччини та Нової Зеландії. Коли знаходять — інформують власника ресурсу і пропонують їм пропатчитися. Або ж у якості альтернативи пропонують свої (вже не безкоштовні) послуги з пентесту та аудиту безпеки. Цікавий маркетинговий хід. Сумнівно з точки зору етики, але, мабуть, ефективно. Ще Віктор розказав про цікавий різновид ransomware під загальною назвою Popcorn: якщо ти такі спіймав рансомварь, але не хочеш платити викуп — можеш розповсюдити її серед своїх друзів (або ворогів) і за це твої файли зловмисник розшифрує безкоштовно. ІМХО: серед друзів розповсюджувати — це моральна ділема, а от серед ворогів — ніхто навіть не сумніватиметься.
Були ще доволі суперечливі твердження, наприклад: it’s very easy to be successfull cybercriminal. Довго пояснювати, але — ні, це неправда. Бути успішним складно скрізь, у тому числі у кіберкримінальному андерграунді. Намагався це йому пояснити, але бачу, що сенсу немає - хлопчина просто не в темі.
Я і Володя Ткаченко запитали “етичного хакера” - OSCP маєш? Відповідь — “Ні, якось часу нема.” “Ок, а які маєш серти взагалі?” Чувак почухав потилицю, подивився на стелю, подумав і сказав щось на кшталт: “та мабуть якісь там маю, треба подивитися”. Поржіть хто в курсі.
Розказували, що на одній з панелей Віктор сказав ще таке: “якщо ви будете інвестувати у ваших хакерів, тоді ми (Захід) будемо інвестувати у вас”. Сам не чув, але кажуть, що саме так і сказав. Ну-ну;
- ще були дискусії на воркшопах на теми security vs privacy, і що шифрування — це кльово, підвищує і те, і друге. Симпатична білява американка сказала таке “...we need to regulate Government hacking activities...” Але, може, мені почулося, перепитати не мав можливості, бо якийсь хлопчина з поганою вимовою постійно задавав свої беззмістовні питання, більше схожі на загальновідомі твердження.
У холі ще були кілька стендів, але там не було нічого цікавого, а погане вже не хочу розказувати.
ВИСНОВКИ
Багато хто з відвідувачів ставив собі питання і не знаходив на них відповіді.
Головне серед них: “Для кого взагалі був цей захід?”
Для політиків? А при чому тут кібербезпека?
Для українських фахівців з кібербезпеки? Точно ні, бо тема була практично не розкрита, нічого особливо нового, загальні фрази.
Для американських фахівців з кібербезпеки? Так а таких просто не було. І чому в Києві, а не в Штатах?
Для преставників місцевого кібербезпекового бізнесу? Ні, задорого, витрати набагато-набагато перевищують можливі бенефіти.
Ще питання: чому такі атомні ціни у сучасній Україні, на яких мільйонерів розраховано? Кібербізнес зараз точно не жирує, зарплати фахівців падають, витрати “оптимізують”. Минулого року квитки на два дні цікавенного UISGCON коштували 750 грн., а деякі бухтіли, що це дуже дорого. А 8000 грн, виходить, не дорого? Не зрозуміло.
Багато питань, мало відповідей.
Але після завершення саміту я мав довгу і цікаву розмову з організаторами і отримав деякі відповіді. Дещо роз’яснилося.
Ідея проведення подібного саміту високого рівня була ініційована групою з кількох немаленьких американських та українських компаній у січні 2017 з метою посприяти входженню українських кібербезпекових компаній на ринок США і навпаки — інвестуванню американського бізнесу в український CyberSec-бізнес. Ідею проведення саміту підтримали в урядових колах США та України і перетворювати її на реальність почали лише у квітні 2017 року. А почати підготовку до конференції за два місяці до її початку зазвичай означає, що або подія буде скасована, або буде повне Г. Але можу сказати впевнено, що перший Global Cybersecurity Summit таки відбувся. Неідеально, але відбувася.
Ще однією метою організаторів було просто позначити себе, випекти “перший млинець,” щоб показати, що цей захід буде регулярним і кращим рік від року. Перший млинець вийшов як завжди, але організатори твердо запевняють, що усвідомлюють усі помилки, і наступного року буде набагато краще.
Насправді, в Україні конференції з кібербезпеки поки що ніхто не підіймав на такий вискоий політичний рівень. Можливо, такий формат дійсно буде затребуваний. Можливо. Хтозна.
Точно можу сказати, що такого формату не буде на UISGCON. Різні формати для різної аудиторії.
Жодної конкуренції.
І ще одне: організатори не мають ніякого стосунку до ринку кібербезпеки, просто не знають що це таке, і як воно працює. І не приховують цього. Дивно. Дуже дивно. Та і серед відвідувачів людей з кіберсек’юріті було ну процентів 30-40.
Пані Ярослава з Укрінформу запитала мне: “Яке ваше враження від заходу?”
Я не зміг відповісти тоді, не можу і зараз. Не те, щоб я у захваті, але й не можу сказати, що було погано. Щось було чудово, щось було ніяк.
Але в цілому можу сказати: гірше від саміту точно нікому не стало. Як для першого млинця, вважатимемо “більш-менш”.
Незважаючи на усі недоліки, я б бажав, щоб наступного року аналогічний захід відбувся, але з урахуванням усіх зауважень. За помірні гроші, із залученням місцевої спільноти і бізнесу, з дійсно цікавими темами і виступами. Бо ще одне місце, де ми можемо зустрітися і поспілкуватися — це завжди добре.
Я щиро бажаю Global Cybersecurity Summit розвиватися. Чесно, без сарказму.
І сподіваюся на наступну зустріч.
Костянтин Корсун
FB
реклама