Стратегія кібербезпеки України: Який план заходів з її реалізації ми маємо? - 26.07.2018 20:05 — Новини Укрінформ
Стратегія кібербезпеки України: Який план заходів з її реалізації ми маємо?

Стратегія кібербезпеки України: Який план заходів з її реалізації ми маємо?

1473
Ukrinform
Чому в Україні традиційно ігнорується думка професійної спільноти?

Цікавий документ від КМУ, якій слід прокоментувати:

«План заходів на 2018 рік з реалізації Стратегії кібербезпеки України»

Складний, нудний, але дуже злий лонгрід для вузького кола вузьких фахівців з кібербезпеки.

Скидається на те, що План готувався у нетрях Держспецзв’яку: по тексту видно, що підгрібають під себе усі «важелі впливу» і перетягують ковдру на себе.

Але давайте по порядку, по пунктах.

«…розмежування кримінальної відповідальності за злочини у сфері використання електронно-обчислювальних машин (комп’ютерів), систем та комп’ютерних мереж і мереж електрозв’язку, вчинені щодо державних та інших інформаційних ресурсів, об’єктів критичної інформаційної інфраструктури та інших об’єктів, а також відповідного розмежування підслідності»

Фактично вже виконано, оскільки СБУ та Нацполіція вже узгодили це питання між собою і залишається лише закріпити змінами у Кримінально процесуальний кодекс України, якими б підслідність злочинів розділу 16 (так звані «комп’ютерні злочини») у відношенні об’єктів критичної інфраструктури (ОКІ) віддали б СБУ. Бо без прямої підслідності вони так мучаються, доводиться порушувати кримінальні справи через прокуратуру чи поліцію. Я про те вже докладно писав не так давно.

«…підвищення рівня відповідальності посадових осіб державних органів, установ та організацій за порушення вимог щодо інформування в установленому порядку про несанкціоновані дії (кібератаки) стосовно державних інформаційних ресурсів»

Ніачьом. Тобто пункт, який можна виконати лише формально. 

По суті нічого не зміниться, хоч смертну кару вводь. Але можна «закрити пункт плану» подачею заздалегідь неможливих пропозицій, або ж таких, які ніхто не буде виконувати. Типу направленням від імені КМУ якогось грізного, але беззмістовного циркуляра усім чиновникам про «звернути особливу увагу керівників всіх рівнів на питання кібербезпеки…»

«...визначення Держспецзв’язку органом, відповідальним за збереження резервних копій інформації та відомостей державних електронних інформаційних ресурсів»

Питання клопітке – спробуй отримати від усіх резервні копії всього, на це піде не один рік, і не два, і не три – але, крім того і дуже ризиковане.

Лише уявіть собі усі резервні копії усіх органів влади: райради, обл- та райдержадміністрації, усілякі агентства, академії нОук, держані установи, держпідприємства, поліція-прокурватура-податкова-суди. А ще Мін'юст з їх реєстрами прав власності, реєстраціями компаній, земельних ділянок і багато іншого цікавенького.

Як безпечно побудувати процес передачі такої важливої інформації без її «втрати», «загублення», «не дійшло за призначенням»? 

Та ніяк. 

Усі бази будуть весело продаватися на хакерських форумах і не тільки.

Але навіть якщо нафантазувати собі, що усі бази передані до ДСС331 безпечно, місце їх зберігання буде ціллю №1 для усіх зацікавлених кіберкримінальних сторін.

Якщо тільки не зберігати їх у підземному бункері, на SDD у сталевих сейфах з автоматниками по периметру без локальної мережі і без доступу до Інтернет.

Але і тут є купа ризиків, які рано чи пізно призведуть до глобального витоку величезних масивів важливої (чи то критичної) інформації. Пошукове слово: Stuxnet.

«..встановлення обов’язкового погодження з Держспецзв’язку завдань (проектів) Національної програми інформатизації, а також проектів (завдань) створення і розвитку інформаційно-телекомунікаційних систем державних органів, підприємств, установ та організацій державної форми власності»

Чиста корупція у квадраті. 

Чому у квадраті?

Сама ота програма інформатизації є чистою корупцією, а тут іще ДСС331 буде від неї свій шматок відкушувати. 

Колись давно, здається за часів Кучми, шось таке було, але тоді ще не було Держспецзв’язку як самостійного відомства. Але то інша історія, але якщо коротко – не злетіло.

А ще і погодження побудови мереж усіх держорганів. 

Матибожа, та у них і мереж як таких практично немає, грошей на їх побудову також, усе «на колінках» (у абсолютній більшості держструктур, які не мають власних коштів).

Тобто навіть якщо голова ОДА виділив трохи бюджету «на комп’ютери», вже домовився з кумом як його (бюджет) попиляти, через його фірмочку, а тут такий місцевий керівник з Держспецзв’язку: «Нє-нє-нє, сєкундочку, ми не погоджуємо! Ось вам наші фірми, які усе кльово зроблять, лише тоді погодимо». 

Воно і так на реальну справу пішло б менше половини, а з отима «погодженнями» взагалі якщо процентів десять дійде – і то хліб.

Про якість побудови мереж за такою схемою взагалі не йдеться.

«…заборони державним органам, підприємствам, установам та організаціям державної форми власності, крім закордонних дипломатичних установ України, закуповувати послуги (укладати договори) з доступу до Інтернету в операторів (провайдерів) телекомунікацій, у яких відсутні документи про підтвердження відповідності системи захисту інформації встановленим вимогам у сфері захисту інформації»

Історія ця дуже давня, коли держустановам забороняють підключатися до будь-яких провайдерів (здається, така заборона досі діє), але лише для тих, що має сертифіковану КСЗІ.

Про КСЗІ і що воно таке я теж вже детально писав (і Укрінформ зашарив ту статтю у себе на блозі).

Але для тих, хто пропустив, дуже коротко: КСЗІ (комплексна система захисту інформації) – це такий Сизифів камінь, який дуже тяжко і довго пихати в гору, але коли допихаєш – нагородою тобі (як провайдеру) буде лише право надавати послуги підключення держструктур. 

У більшості випадків зусилля з «побудови» та «погодження» КСЗІ абсолютно не адекватні потенційним бенефітам, тому мало хто на таке наважується.

А значить – треба усіх примусити, взяти палку і погнати сраних комерсів на поклон до чиновників на вул. Солом’янську, Залізняка чи Мельникова. А то геть від рук відбилися, не хочуть, бачте, грошей нести.

«..впровадження обов’язкових вимог стосовно здійснення державними органами, підприємствами, установами та організаціями державної форми власності ідентифікації та автентифікації джерел отриманих оновлень до програмного забезпечення, яке використовується для обробки державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, та встановлення цілісності таких оновлень»

Ось тут трохи недопойняв. 

Пункт явно навіяно подіями з НеПетею та відповідним розробником бухгалтерського софта у червні 2017.

Перечитав кілька разів цей пункт і зрозумів десь так: щоб уберегтися від атак типу “supply chain” (до речі, лише одного з багаточисельних типів атак), Держспецзв’яку розробить якісь єдині та непорушні “вимоги” для типу-безпечного оновлення додатків, програм, антивірусів, офісних пакетів, операційних систем, джави, флеша та отого усього.

Несамовито ржу. Лише на оцю окрему тему можу написати ще два таких лонгріда. 

Але якщо у двох словах – повна дурня.

Срібна куля. Золота пігулка. Ліки від усіх хвороб. 

Не працює і не працюватиме. Ніде і ніколи. 

Особливо в кібербезпеці.

Пункт писався на вимогу когось типу РНБО чи Президента «унеможливити у подальшому …». 

Тобто як і попередні пункти – просто щоб було у плані («ну ми ж відреагували») і щоб можна було той пункт чимось «закрити». Наприклад, якимось всеосяжними «вимогами», які застарівають одразу після написання, або які неможливо виконати, або вони такі розмиті, що ДСС331 може приходити куди завгодно і «дрючити» кого завгодно і коли завгодно.

«..застосування посадовими (службовими) особами державних органів, підприємств, установ та організацій державної форми власності електронного цифрового підпису під час використання електронної пошти для виконання посадових(службових)обов’язків»

Оце перший пункт, який я повністю підтримую. Про те, як воно буде насправді реалізовано (і чи буде взагалі) – то вже згодом, поки що говоримо лише про План заходів.

«..визначення порядку передачі, збереження і доступу до резервних копій інформації та відомостей державних електронних інформаційних ресурсів для потреб державних органів, насамперед суб’єктів сектору безпеки і оборони, фінансового, енергетичного, транспортного секторів»

Вище я вже окреслив масштаби песця, який очікує держсектор у разі реалізації деструктивного проекту єдиного централізованого сховища усіх резервних копій усіх державних баз даних та інформації.

Але ж цього замало – виявляється, увесь цей колосальний масив інформації можна буде цілком офіційно передавати усім іншим держорганам. 

Це песець у квадраті. А може й у кубі. 

Хаос помножений на безкінечність.

Тобто чому СБУ чи МВС може знадобитися резервна копія, скажімо, умовного Енергоатому до того, як його зламали пацаки – це зрозуміло.

Не зрозуміло нащо Енергоатому доступ до інформації НБУ (або навпаки), чи там Мінагрополітики запросить дані про Укрзалізницю.

Тобто аргументи будуть виглядати досить переконливими, але ж хто і як буде визначати чи достатньо ці аргументи вагомі – ось у чому питання.

Думаю, відповідні чиновники швидко між собою порозуміються (гроші ж ніхто не відміняв?), а шанс продажу баз на кіберринку зросте приблизно у тисячу разів.

«…формування переліку об’єктів критичної інформаційної інфраструктури»

Окремо цитую: «Строк виконання – липень»

О-О_о_о.

Та невже. 

Невже вже за два тижні у країні нарешті таки з’явиться такий жаданий і такий обговорюваний перелік ОКІІ?

Може, йдеться про липень 2019? Та наче ні.

Вангую, що затвердженого КМУ переліку об’єктів критичної інформаційної інфраструктури не з’явиться ані в липні, ані в серпні, ані у вересні. Може під Новий рік, але теж навряд.

А ще можливо, що у серпні-вересні щось таке кострубате з’явиться, але викличе просто шквал критики і скандалів, з усіх боків. І перш за все з боку керівників таких об’єктів.

«…визначення порядку формування та забезпечення функціонування державного реєстру об’єктів критичної інформаційної інфраструктури»

Питання більше технічне та технологічне, не хочу витрачати на нього час.

«…визначення вимог до проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури»

А ось тут давайте детальніше, тут корупційна яма невігластва розміром з воронку від ядерної бомби.

Перше і найголовніше питання: «а судді хто?»

Поки що ситуація виглядає так, що не дуже успішний і безвідповідальний старшокласник буде визначати вимоги до формування професорського складу у виші. Бо у його тата є гроші.

Держспецзв’язку вже багаторазово демонструвала суспільству і всьому Світові свою некомпетентність та неспроможність забезпечити захист хоча б лише державних інформаційних ресурсів. Про усі інші інформаційні ресурси країни навіть не йдеться. 

Найцінніше, що є у цього відомства – CERT-UA – чи не перший попав під роздачу акції з виявлення та оприлюднення кричущої кібер-безграмотності #FuckResponsibleDisclosure.

І оці люди будуть визначати вимоги до проведення аудиту? Та що вони взагалі знають про аудит? І чи знають взагалі що це слово означає у контексті кібербезпеки? (Підказка до усіх цих риторичних питань: «так-майже_нічого-наврядчи»).

Друге питання: як буде забезпечена «незалежність»? 

Незалежність кого від чого? 

Міністерства від аудитора? Чи аудитора від Держспецзв’язку? Чи і те, і те? А може, або те, або інше?

А кого можна буде назвати «аудитором»? У кого є PCI DSS? Так то для банків та фінансових установ (хоча і там є багато питань). 

У кого є ISO2700_? Ваще не критерій. 

У кого є КВЕД зі словами “аудит” чи “аудиторська діяльність”? 

Ото буде взагалі треш. Бухгалтерсько-аудиторські фірми будуть перевіряти атомні електростанції на кібербезпеку. Брр.

«…створення єдиної інтерактивної бази даних про кіберінциденти для потреб Міноборони, Держспецзв’язку, СБУ, Національної поліції, Національного банку, розвідувальних органів»

В цілому, нічого поганого у цьому не бачу. Щось подібне має бути між силовиками.

Питання в тому наскільки професійно та безпечно це буде реалізовано.

І наскільки вони один одному довіряють. 

І наскільки важливу інформацію будуть туди заливати.

І коли у цій системі з’явиться свій Сноуден))

І, звісно, сильно укріплена фортеця з великими скарбами манитиме усіх кіберзлочинців на чолі з руськєміром набагато більше, ніж кров манить акул посеред океану. 

І такі фортеці довго не витримують. Треба або скарби ховати, або фортецю, або ж здаватися. 

Друге - найефективніше.

«…організації обміну інформацією про кібератаки на об’єкти критичної інфраструктури (насамперед енергетики, транспорту, банків)»

Звучить наче правильно.

Обмінюватися інформацією про кібератаки життєво необхідно, причому ще років двадцять тому.

І цим мав би займатися CERT-UA, якби його керівники знали що це таке і навіщо і як тим керувати (окрім як їздити за кордон на конференції за бюджетні кошти та пафосно віщати загальновідомі слова на нікому не відомих «круглих столах»).

Але CERT-UA цим не займається як слід, на жаль.

Бо якби займався, то не було б потреби включати цей пункт до цього Плану заходів.

І якби ця робота проводилася б якісно – не треба було б акцентувати особливу увагу на ОКІІ. Сьогодні мережа не є об’єктом критичної інфраструктури, а завтра – опппа – і є. Або ж сьогодні не є – а завтра потрапила у Перелік. 

Якби CERT-UA виконував те, для чого він створювався – важливі об’єкти були б його першими клієнтами. Неважливі об’єкти прийшли б до нього пізніше за інших або взагалі б не прийшли. Просто запитайте як це робилося у Фінляндії.

Не хочете їхати до Фінляндії – вони самі до вас приїдуть, за власні кошти. Можу поклопотати)

Є купа країн, які пройшли цей шлях до нас, треба просто якось примусити себе трохи попрацювати та не набивати власні гулі. Роками і мільйонами гривень. Наших, до речі, гривень.

«…Узгодження проектів (завдань) Національної програми інформатизації, виконання яких передбачено у 2018 році, з Адміністрацією Держспецзв’язку та Державним агентством з питань електронного урядування»

Вище у цьому пості вже йшлося про НПІ та узгодження її з Держспецзв’язку, не буду рвати собі серце ще раз. 

Але тут ми бачимо ще одного гравця цієї корупційної п’єси – Держагенство з е-урядування. Загадкова структура, взагалі. Хз чим там вони займаються і чому про них нічого не відомо в інформаційно-кібербезпековому просторі країни. Але свій кусок відкатного пирога він теж відкусять, no doubts.

“… Удосконалення нормативно-правової бази шляхом: 

подальшого впровадження норм міжнародних стандартів, стандартів ЄС та НАТО у сфері електронних комунікацій, захисту інформації, інформаційної безпеки та кібербезпеки»

Тут теж нє всьо так адназначна.

Про які саме стандарти взагалі йдеться? 

«Міжнародні стандарти» не усі однаково корисні, не усі можуть бути застосовані в Україні, не всі є сучасними, не усі є беззаперечними. Та хоча б той самий славнозвісний GDPR. Особисто я не хочу таких “міжнародних стандартів” у моїй країні.

А ті стандарти, які давно слід було б запровадити – чомусь не запроваджуються. 

Дивно, чому?

Може тому, що у разі їх запровадження деякі держструктури виявляться непотрібними?

Черговий пункт плану «ні про що». За все хороше проти всього поганого.

«..імплементації Директиви (ЄС) 2016/1148 Європейського Парламенту та Ради ЄС від 6 липня 2016 р. щодо заходів з підвищення загального рівня безпеки мереж та інформаційних систем в ЄС» 

- не знаю про що йдеться. 

Чому Україна має впроваджувати те, що передбачено суто внутрішнім документом іншої держави (якщо розглядати ЄС як над-державу)? 

Чи впроваджує Монголія накази КМУ? Сумніваюся, що Ангола впроваджує розпорядження НКРЗ. 

Але все ж таки я не в курсі про що там написано. У кого є час та натхнення: ось почитайте.

«…Розроблення механізму залучення фізичних і юридичних осіб до виконання завдань кіберзахисту державних електронних інформаційних ресурсів у рамках державно-приватного партнерства на умовах аутсорсингу»

Дуже хочу дожити до тієї світлої миті, коли це запрацює так само красиво, як ось тут написано.

Термін «Державно-приватне партнерство» зараз такий популярний, що навіть отримав власну абревіатуру – ДПП. 

Якщо ти політик або чиновник і жодного разу у виступі не сказав ці три магічних слова – ти лошара, не рубиш фішку і взагалі твоя кар’єра під загрозою.

Що ж до реальних перспектив втілення цієї фантастичної мрії у життя – буде «як завжди».

Кілька пригодованих та близьких до Держспецзв’язку фірм назвуть себе «аудиторами», вони матимуть «допуск до держтаємниці» (тобто залізну кімнату з решітками, металевий сейф з печатками, паперові журнали обліку та дідуся-відставника), отримають якісь там простенькі професійні сертифікати, заснують свою власну «професійну асоціацію найкращих аудиторів кібербезпеки України та Світу» та й гайда пиляти бюджетне бабло.

Про усякі там тендери, прозорро і таке інше.

Відповідально та категорично заявляю – у кібербезпеці це геть ніяк не працює.

Тендери у 99% випадків виграють за критерієм найнижчої ціни.

Найнижча ціна у кібербезпеці – зазвичай то найнижча якість або ж її відсутність.

За найнижчу ціну покупець отримує найнижчу якість.

Не факт, що за найвищу ціну буде найвища якість, але це предмет зовсім іншої дискусії. 

Ще раз – пропозиції стосовно Prozorro у даному контексті будуть ознакою повного невігластва та некомпетентності. Але щось мені підказує, що саме такі пропозиції і будуть взяті за основу «вирішення питання».

З власного багаторічного досвіду знаю, що навіть у великих комерційних компаніях ситуація з кібербезпекою просто жахлива через те, що на внутрішніх тендерах виграють найдешевші пропозиції.

«Розвиток Національної телекомунікаційної мережі, врегулювання питань порядку надання послуг та їх тарифікації»

Цю тему ніяк не домучать вже років з 15-20.

Якщо на двох пальцях, дуже грубо: Держспецзв’язку роками хоче нав’язати усім держорганам купувати у них доступ до Інтернет «через них». 

Для цього побудовано велика оптоволоконна мережа, раніше вона називалася НСКЗ (національна системи конфіденційного зв’язку), зараз, мабуть, назвали «Національна телекомунікаційна мережа».

Але щось ніхто до них особливо не хоче. Чи то ціни удвічі-утричі вищі, ніж на ринку, чи то сервіс хріновастенький, чи то мережа не досить надійна – хтозна.

Але не купують, падлюки.

Тому треба знов брати у руки дрючок та бити потенційних клієнтів по хребту. 

Так-то воно ефективніше, ага.

«…Проведення модернізації ситуаційних центрів з кібербезпеки Держспецзв’язку та СБУ шляхом залучення допомоги НАТО в рамках реалізації Трастового фонду Україна — НАТО з кібербезпеки»

Іншими словами – «робіть, хлопці, те, що й робили раніше, все норм»

Власне, мені більше нічого до цього добавити. Тема наче потроху рухається, але боюся наврочити.

«..Забезпечення розвитку організаційно-технічної моделі кіберзахисту, зокрема утворення центру реагування на кіберзагрози, а також розвиток системи захищеного доступу державних органів до Інтернету»

«Што?»(С) Ще один «центр кіберзахисту»?

Вдруге ставлю питання – а навіщо вам CERT-UA? Це ж і є центр реагування на кіберзагрози. 

Нагадаю розшифровку абревіатури: Computer Emergency Response Team – Команда реагування (!!!) на комп’ютерні загрози. У сучасних термінах – Центр реагування на кіберзагрози. 

Що ж до ЗВІД (Захищений вузол Інтернет-доступу) – то цій темі також вже років двадцять. Усі ці роки чиновники намагаються загнати усі держструктури під одну супер-захищену (нібито) парасольку. 

І все ніяк. 

З тих самих причин – неефективність, ненадійність, поганий сервіс, дорого. 

До того ж, немає такого вузла, який не можна зламати. 

Якщо скласти усі яйця в один супер-кошик – переможець цих змагань отримає усе. 

Загрози сильно переважають можливі вигоди. Про це багато писали авторитетні фахівці, усе розклали по поличках, не буду повторюватися.

Погана ідея, але наполегливо, рік за роком насаджується державними функціонерами. Аргументи експертів до уваги не беруться. Так само наполегливо.

«..Опрацювання питання щодо утворення тренінгового кіберцентру в інтересах суб’єктів забезпечення кібербезпеки» 

Ммм, тобто мається на увазі постійно діючий тренінговий центр для працівників Держспецзв’язку-СБУ-Кібеполіції? І щоб прям кібер-навчання проводити? 

Ідея непогана, в цілому.

Але знов-таки: хто і на які кошти буде організовувати такий Центр? Хто у ньому буде працювати? Яка буде кваліфікація тренерів? І якщо це будуть справжні професіонали – хто їм заплатить? Волонтерство тут не конає, вибачте мою французьку. 

Нехай НАТОвці приїдуть раз-два на місяць, а хто буде навчати у решту часу?

Питань багато, тому «опрацьовувати» є багато чого, опрацьовуйте.

«…Вдосконалення механізму взаємодії з Національною академією наук та її профільними установами з метою проведення наукових досліджень та спільних науково-практичних робіт у галузях кібербезпеки та кіберзахисту критичної інфраструктури»

Особисто я маю дуже низьку оцінку спроможності НАН проводити більш-менш релевантні дослідження у галузі кібербезпеки. Як і в більшості інших галузей, власне.

Хіба що сісти прочитати, зрозуміти та проаналізувати пости фахівців рівня Sean Brian Townsend. Та зробити якісь адекватні висновки. 

На більше ті дідугани не спроможні. Хіба шо запиляти бюджетні гроші “на дослідження”.

Щоб робити подібні дослідження треба мати високу кваліфікацію (нема), бути у всіх сучасних трендах (дуже сумніваюся), мати доступ до живий практичних кейсів (хе-хе), постійно бути не зв’язку з колегами зі всього Світу (такий контакт є, наприклад, у того ж CERT-UA, або у приватних SOCів та CERTів, у кібер-компаніях, тощо).

Але НАН живе у своєму паралельному світі, який з реальним не перетинається.

«Забезпечення діяльності Центру кіберзахисту Національного банку, удосконалення кіберзахисту і кібербезпеки банківської системи України та у сфері переказу коштів»

Завжди корисно написати у плані пункт, який вже і так виконано.

НБУ вже давно опікується цим питанням, не чекаючи дозволів чи рішень КМУ чи Держспецзв’яку. І (мабуть) має певні успіхі. 

Тому що як воно там у них насправді влаштовано і як працює - на широкий загал ніде ніколи не виноситься, лише у внутрішньо-банківських колах. 

Може воно так і краще. 

Хоча насправді ні.

Але НБУ живе за власним Законом України і скоріш за все тактовно та у рамках чинного законодавства пошле Держспецзв’язку разом з їх «планами заходів» куди подалі. Їм треба реальну справу (тобто гроші) робити, а не займатися дурною писаниною з нульовим результатом.

«…Розроблення методики формування та визначення основних показників ефективності реалізації Стратегії кібербезпеки України з урахуванням досвіду європейських і світових практик»

Ага, ось і до KPI добралися. 

Key Performance Indicator є стандартною хворобою великих західних і особливо великих вітчизняних компаній. 

Кожна така компанія на певному етапу намагається оцінити ефективність праці свої працівників. Зазвичай це більш формальна, але не дуже ефективна процедура, яка дає широке поле діяльності кадровикам, але здебільшого заважає людям працювати та заробляти гроші для фірми.

Не маю уявлення як розробляти КРІ для оцінки реалізації Стратегії кібербезпеки.

Коли немає реального результату, починають вигадувати усілякі критерії оцінки роботи. 

Якщо немає результату, виникає питання «А чим ти увесь цей час займався?»

«Ти вивчив вірш? – Я вчив..»

«..Участь у заходах щодо зміцнення міжнародного співробітництва шляхом утворення спільних двосторонніх або багатосторонніх груп для здійснення розслідувань кіберзлочинів, а також проведення спільних операцій, обміну інформацією та досвідом»

Пункт, який буде виконано без будь-яких особливих зусиль з української сторони.

FBI, ІСЕ, Secret Service чи NCSC напишуть запит, пришлють фахівців, нададуть матеріали розслідування – і побіжать наші правоохоронці виконувати - аж гай шумітиме, нікуди не дінуться. І у звіті про виконання плану буде що написати.

«..Організація та проведення конференцій, семінарів, форумів, засідань круглих столів, тренінгів, навчань з питань кібербезпеки та кіберзахисту на державному і міжнародному рівнях»

Ой, не смішіть мої джавеліни. 

«Круглі_столи», «семінари», «науково-практичні конференції» – вони навіть не в курсі, що такі слова з пізнього совка вже майже ніхто хто не вживає, хіба що дідугани з НАН. 

А конференції Держспецзв’язку типу Пущі-Озерної краще взагалі не проводити: класичне «унилойе Г», формат дуже схожий на партійні збори радянських часів (я ще пам’ятаю ту бридоту).

Конференції «на міжнародному рівні» від вітчизняних держустанов взагалі страшно собі уявити. Брр. Чур мене.

«..підготовка фахівців тактичного та оперативно-тактичного рівня за напрямом “кібербезпека”»

«…підготовка, атестація, переатестація та підвищення кваліфікації фахівців у сфері кіберзахисту для потреб державних органів, військових формувань і правоохоронних органів»

Відповідальний – Адміністрація Держспецзв’язку. 

Недайбоже щоб наших військових навчали ігсперти з Адміністрації Держспецзв’язку. Їх самих треба навчати, причому починати з основ.

«Проектування захищеного дата-центру (центру обробки даних) для потреб державних органів, насамперед суб’єктів сектору безпеки і оборони, фінансового, енергетичного, транспортного секторів»

Знов про той ЗВІД, вже вдруге у одному плані. 

Можу зкопипейстити мій абзац трохи вище, але не буду. Хто мав сили дочитати аж до цього місця – той вже, мабуть трохи втомився. Але якщо такі є – будь ласка, посміхніться, я вже закінчую.

«Здійснення заходів щодо утворення Національного центру оперативно-технічного управління телекомунікаційними мережами України»

Не зовсім зрозуміло про який центр йдеться, мабуть про щось ближче до провайдерів, міжнародних каналів передачі даних, магістральних каналів, НКРЗ, крадіжки телекомунікаційного обладнання, контроль над усіма існуючими мережами чи близько до того. Олександр Федієнко має знати про то більше.

Ось такий вийшов огляд.

Забагато, але по кожному пункту.

Знаю, таке цікаво одиницям, але має прямий стосунок до кібербезпеки моєї коханої країни, і тому не можу не поділитися що я про все це думаю.

Як і все, що роблять найняті нами чиновники у сфері кібербезпеки, той план заходів – таке собі, на четвірочку за 12-бальною шкалою. Чисто позначити, що вони шось там нібито роблять для кібербезпеки.

Класичне бюрократичне окозамилювання.

Звісно, показовіше було б коментувати результати виконання цього плану, але, думаю, нам його не покажуть. Бо там буде ще смішніше. Чи то, перепрошую, сумніше.

Сам план можна побачити ось тут.

Я не проти вважати цей лонгрід «суспільним обговоренням» «Плану заходів на 2018 рік з реалізації Стратегії кібербезпеки України», хоча дядькам, які його писали, на то начхати. Тим більше, він вже затверджений Кабміном.

Думка професійної спільноти (до якої я маю честь належати) в Україні традиційно ігнорується. Вивчається, немає сумніву, але ігнорується. І комусь колись доведеться за це відповідати.

Бережімося.

Костянтин Корсун
FB

* Точка зору автора може не збігатися з позицією агентства
Розширений пошукПриховати розширений пошук
За період:
-
*/ ?>