Кібербезпека: Коли від чиновницького проекту за кілометр тхне корупцією
Продовжуємо захопливу подорож лабіринтом недалекості, некомпетентності та жадібності чиновників, які продовжують спроби регулювати галузь, у якій майже нічого не розуміють.
Так, мова йде про черговий регуляторний опус.
Цього разу на арені знов Держспецзв’язку з новим хітом: проектом Постанови КМУ «Вимоги щодо проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури».
Почати черговий лонгрід для фахівців хочу словами мого давнього товариша по волонтерському руху Льоні Скрипченка:
— Куме, чим відрізняється корупція в Україні і в Європі?
— В Європі, Куме, у державній системі є корупція, а в українській корупції є державна система.
Одразу скажу, що від зазначеного проекту за кілометр тхне корупцією.
Але давайте вже занурюватися у нудотні завулки чиновницької думки.
Спочатку – про те, чому цей нормативний документ такий важливий?
Після мега-інцидента з не-пєтьою в суспільстві дуже серйозно постало питання забезпечення кіберзахисту найбільш важливих кібер-ресурсів країни, під загальним терміном «об’єкти критичної інформаційної інфраструктури», скорочено – ОКІІ.
Зрозуміло, що питання ці адресувалися, перш за все, органам державної влади та управління.
Тому, що ми їх найняли працювати у наших з вами інтересах.
Ці люди займають крісла міністрів, прем’єр-міністрів, президентів, депутатів, мерів, суддів, прокурорів, поліцейських та інших чиновників меншого калібру.
Яким ми платимо і яким ми надали певні повноваження.
Так от, оті уповноважені органи спочатку народили кривенький Закон Україні про основні засади кібербезпеки, де худо-бідно визначили кілька термінів, у тому числі що таке ОКІІ.
У тому ж Законі йдеться про те, що на отих ОКІІ має проводитися незалежний аудит кібербезпеки, і при чому регулярно, не рідше разу на рік.
Одразу після прийняття того Закону кібер-громадськість саркастично та скептично оцінювала перспективи запровадження саме «незалежного» та якісного, справжнього аудиту. А не звичайних паперових тигрів типу КСЗІ (комплексна система захисту інформації від Держспецзв’язку).
Аж ось Держспецзв’язку перевершила найскептичніші очікування наймізантропічніших песимістів своїм проектом Постанови КМУ «Вимоги щодо проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури».
Що ж в ньому не так?
А ось що.
Спочатку про термінологію.
У проекті Постанови наведено такі терміни як “вразливість” та “ризик”.
Терміни дуже слабкі, м’яко кажучи. Пояснювати чому вони слабкі не буду – то довго і позбавлено сенсу.
І ще тому, що міжнародним стандартом ISO/IES 27000 (відданість якому також декларується у тому ж проекті Постанови) розумні люди вже давно написали ці терміни. Над цими термінами дуже довго працювало багато найкрутіших спеців. Вони багаторазово обговорювалися у найпросунутіших колах міжнародної кібер-спільноти. Вилизувалися, шліфувалися та полірувалися до ідеального блиску.
Але Держспецзв’язку на то начхати.
Який такий ISO 27000? Ні, не чули. Та ну їх. Ми самі розумні.
Так от, порівняємо.
У ISO 27000 таке формулювання терміну «ризик»:
Risk: effect of uncertainty on objectives
Тобто, «ефект невизначеності у відношенні об'єктів (цілей)»
Держспецзв’язку визначає ризик як «функція імовірності реалізації певної загрози, виду і величини завданих збитків;»
Знайшли хоча о одна спільне слово? Отож.
Чого вартує лише чарівне «ризик є функцією». Подайте математикам відро валер’янки.
А «вразливість»?
Згідно з ISO 27000 це:
vulnerability
weakness of an asset or control that can be exploited by one or more threats
(приблизний переклад: слабкість активу (ресурсу) або контролю, яка може бути використана однією або кількома загрозами).
Але ж Держспецзв'язку вважає, що це «нездатність системи протистояти реалізації певної загрози або сукупності загроз».
Знов не зовсім збігається з термінологією міжнародного стандарту, еге ж?
Скажу більше: зазначене визначення мудреців з ДСС331 набагато краще описує саму систему Держспецзв’яку.
А що, якраз уся система Держспецзв’яку не здатна протистояти реалізації ворожих кібератак, укупі з інформаційною війною проти України.
Висновок: Держспецзв’яку є вразливістю.
А що, точно згідно з визначенням терміну.
Акцентую: люди, які мали б професійно займатися (та очолювати!) кібербезпекою усієї величезної країни у самому центрі сучасної Європи, не читали основоположний міжнародний стандарт індустрії?
З вивчення якого починають першокурсники? Без знання якого не отримаєш найпростішого професійного міжнародного сертифікату? Про незнання якого навіть соромно признаватися у пристойному товаристві?
Серйозно?
Щоб завершити про терміни (там ще багато інших перлів), наведу цитату з того ж таки Проекту Постанови КМУ (про який оце тут і зараз я саме пишу):
«3. Аудит ІБ проводиться згідно з нормами чинного законодавства України, національних стандартів та з урахуванням рекомендацій міжнародних стандартів аудиту ІБ.»
Завіса. Поклон. Кінець першого акту.
Але далі набагато цікавіше.
Далі починається Її Величність Корупція.
Обов’язковою вимогою Держспецзв’язку до компаній, які матимуть право проводити аудити ОКІІ є те, щоб такі компанії очолював лише «аудитор ІБ».
Більше того, частка у статутному капіталі такої фірми має належати «аудиторам ІБ» не менш, ніж на 70%.
Поясню на простих аналогіях.
Керівником мережі ресторанів має бути виключно повар з двома мішленівськими зірками.
Керувати фермерським господарством має право лише агроном з вищою освітою.
Більше двох третин засновників футбольного клубу обов’язково повинні бути футболісти вищої ліги.
Амм... Пфф... Еее... Не можу добрати слів.
Звідки таке взагалі береться у їхніх головах?
І знаєте звідки? Ви не повірите.
З корупційних зв’язків із фірмами, які ці вимоги і включили до проекту Постанови.
Тобто у якійсь фірмі, тісно пов’язаній з Держспецзв’яку, є директор-аудитор та засновники-аудитори, і саме у таких пропорціях: 70%.
Інакше цю маячню ніяк пояснити не можна. Інакше вона поза межами здорового глузду.
Але ж іще залишається ключове питання головоломки: а хто ж і яким чином може отримати гордий титул “аудитор ІБ”?
Ось тут починається туман-туман:
“аудитор інформаційної безпеки (далі – аудитор ІБ) – фізична особа, яка підтвердила кваліфікаційну придатність до провадження аудиту інформаційної безпеки на об’єктах критичної інфраструктури та внесена до реєстру аудиторів інформаційної безпеки та аудиторських фірм в сфері інформаційної безпеки”.
Де підтвердила? Хто ті люди, які будуть підтверджувати?
Які до них самих вимоги та критерії професійної придатності та кваліфікації, достатньої, щоб оцінювати інших колег?
Хто і на основі чого розроблятиме критерії для «суддів»?
«А судді хто?» – писав десь колись якийсь дядько про країну тотального рабства.
На ці питання відповідей нема. Нема навіть натяку, на те, де вони можуть колись бути.
Тобто відсутня точка відліку, від якої і на якій базуються подальші посилки.
Ще є один пункт, який яскраво демонструє тотальну необізнаність чиновників з вул.Солом’янської у тому що таке взагалі аудит (кібер)безпеки та що таке тест на проникнення.
Цитата: «Під час аудиту ІБ обов’язково проводиться тестування на проникнення з використанням апаратно-програмних засобів пошуку та аналізу вразливостей».
Це речення писала людина, яка ніколи не проводила тестування на проникнення. Або ж проводила його дуже неякісно, формально, для папірця.
Насправді у реальному світі усе відбувається приблизно так:
- спочатку у компанію приходять аудитори, які з’ясовують загальну ступіть песця у мережах, виявляють шо де не так, де неправильно побудована архітектура, де взагалі нема безпеки, де паролі валяються у відкритому вигляді, де радісно світить у Світ безпарольний мережевий диск, і багато всього іншого;
- потім аудитори пишуть звіт, де визначають проблеми за пріоритетами та ступенем песця;
- потім керівництво компанії вирішує шо з тим усім робити – або ж просто забити (якщо ризики невеликі і приймаються);
- якщо вирішили таки шось робити, а не забити – тоді виділяється бюджет, проводяться роботи з виправлення ситуації, закуповується необхідні софт/залізо, пишуться політики безпеки, моделі загроз, проводиться навчання співробітників, створюється внутрішній SOC/CERT, і далі аж до заобрію – наскільки вистачить натхнення та бюджету;
- і аж тоді, коли усе наче гаразд, усі необхідні заходи проведені, завдання виконані, люди навчені, політики написані, а софт придбаний та налаштований і уся система наче працює – аж тільки тоді запрошуються фахівці (дуже бажано – зі сторони), які проведуть тестування на проникнення. Тобто перевірять на міцність систему захисту, яка ось щойно була героїчними зусиллями побудована.
Але у Держспецзв’язку цього не знають. Але цей сумний факт не заважає їм писати дурниці у постановах КМУ.
У Держспецзв’язку вважають, що заправляти літак паливом необхідно одночасно з посадкою у аеропорті призначення.
Що викладати квантову фізику категорично потрібно одночасно з вивченням алфавіту.
І що вишеньку на торт просто безумовно треба класти одночасно з випіканням першого коржа.
Усі інші моменти проекту Постанови є вторинними і так чи інакше витікають із основних векторів, про які я оце тут написав.
Висновки очевидні: корупція та войовнича некомпетентність у сфері регулювання галузі інформаційної та кібербезпеки набувають в Україні критичних форм.
Якщо це не зупинити, матимемо чергову порцію мертвонародженої регуляції, яка працюватиме виключно на кишені окремих чиновників та близьких до них компаній.
Але жодним чином не сприятиме підвищенню кібербезпеки ОКІІ та інших не менш важливих інформаційних ресурсів країни.
Держспецзв’язку продовжує розбудовувати власні правила у своєму вигаданому світі, де нібито існує якась там система кіберзахисту.
Щоб даний проект Постанови КМУ не став жахом наяву, треба всього нічого – написати пропозиції та зауваження ось сюди:
- Адміністрації Державної служби спеціального зв’язку та захисту інформації України:
поштова: вул. Солом’янська, 13, м. Київ, 03110; тел. (044) 281-88-51;
електронна: ddk@dsszzi.gov.ua;
- Державна регуляторна служба України:
поштова: вул. Арсенальна, 9/11, м. Київ, 01011; тел. (044) 254-56-73, факс (044) 254-43-93;
електронна: inform@dkrp.gov.ua
Ми вже маємо позитивний приклад впливу на некомпетентне, але нахабне чиновництво з їхнім диктаторським законопроектом #6688, тому я не маю нічого проти, якщо мої вищенаведені тези будуть взяті за основу колегами для “пропозицій та зауважень до проекту постанови”.
Можна дослівно, можна перефразувати. Можна особисто від себе, можна від компанії. Головне – донести суть.
І найпростіше буде просто написати електронного листа на дві адреси: ddk@dsszzi.gov.ua та inform@dkrp.gov.ua з темою – Зауваження до проекту постанови Кабінету Міністрів України «Про затвердження Вимог щодо проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури та Порядку проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури».
Текст може бути простий і короткий, наприклад, такий:
«Терміни у проекті Постанови КМУ не відповідають вимогам міжнародного стандарту ISO 27000, зокрема терміни “вразливість” та “ризик”;
Проектом постанови КМУ не передбачається механізму підтвердження кваліфікаційної придатності аудитору ІБ, методики проведення підтвердження кваліфікаційної придатності аудитору, не визначено підтверджуючого органу, принципи та склад його формування, мінімальні вимоги до рівня професійних знань та навичок посадових осіб такого органу, принципів та процедури прийняття рішення щодо підтвердження кваліфікаційної придатності аудитору ІБ та ряд інших важливих аспектів.
Без чіткого та однозначного визначення зазначених аспектів виникають передумови до корупційних зловживань шляхом «ручного» або позанормативного керування процесами підтвердження кваліфікаційної придатності аудитору ІБ.
Вимоги п.6 проекту Постанови щодо обов’язковості керівництва фірмою ІБ виключно аудитором ІБ є надлишковим та створює штучні переваги певним суб’єктам підприємницької діяльності. Керування фірмою вимагає перш за все адміністративних, організаційних, менеджерських навичок; навички спеціалізації фірми є бажаними, але не можуть бути обов’язковими.
Аналогічно дискримінаційними та корупційними у відношенні інвесторів (засновників) є п. 5 щодо вимог до засновників фірми ІБ.
Ефективність роботи фірми ІБ залежить перш за все від кваліфікації її виконавців, а також від сумлінності керівного складу фірми при роботі з клієнтом. Кваліфікація інвестора (засновника) впливає майже ніяк на ефективність роботи фірми ІБ, у засновників дещо інші завдання.
Вимоги п. 5 проекту Постанови є надлишковими та створює штучні переваги певним суб’єктам підприємницької діяльності.
Вимоги п. 12 проекту Постанови є непрофесійними та такими, що протирічать одне одному, оскільки тести на проникнення проводяться лише після аудиту інформаційної (кібер-) безпеки (аудиту безпеки ІТ-інфраструктури).
У зв’язку з цим пропоную даний пункт видалити з проекту Постанови».
Якщо не надіслати свої зауваження та пропозиції, рішення буде прийнято без нас. І воно буде погане.
Не виключено, що і з нашими зауваженнями Постанова все одно буде прийнята у теперішньому безграмотному і беззмістовному вигляді.
Але це навряд чи. Вже не ті часи.
Чиновник вже потроху здогадується, хто насправді у хаті хазяїн і що не варто його аж занадто дражнити.
Повідомлення про оприлюднення.
Дякую Олексію Барановському за привернення уваги до проекту Постанови.
Бережімося.
Костянтин Корсун
FB
реклама