30 марта, 2022 17:14

НКЦК при РНБО: чому не злетить солом’яний літак

НКЦК при РНБО: чому не злетить солом’яний літак

Десь тиждень тому бравурні фанфари сповістили суспільство про «генеральний штаб» захисту держави від кіберзагроз” (С), маючи на увазі Національний координаційний центр кібербезпеки (НКЦК). Чому НКЦК не може і, відповідно, не буде нікого захищати (тому що є “солом’яним літаком”)

.. але при цьому (поки що) залишається останньою барикадкою здорового глузду у картонному тілі колОсу державної кібербезпеки – розкажу лише вам, мої любі поціновувачі TL;DR.

Спочатку трохи формалізму: НКЦК є робочим органом Ради національної безпеки і оборони України, утвореним відповідно до рішення РНБО від 27 січня 2016 року «Про Стратегію кібербезпеки України», уведеного в дію Указом Президента України від 15 березня 2016 року № 96.

Створений за часів “шоколадних бариг”, між іншим. Але сьогодні не про це.

Я ще тоді не вірив у міф, що суто інформаційно-аналітичний та канцелярсько-чиновницький додаток до РНБО колись зможе хоча б щось суттєве зробити із надскладним клубком взаємовиключних протиріч у сфері національної кібербезпеки.

Читайте также: Київ може вимагати видачі українців-“вагнерівців”, яких затримали в Білорусі, – Кривонос

Не вірю і зараз. І тепер спокійно та не поспішаючи поясню чому саме.

Спочатку трохи матчастини, для ретроспективного розуміння.

РНБО взагалі в Україні ніколи не був чимось ефективним чи самодостатнім. Це завжди була така собі “рада бояр при царі”, яку цар інколи збирає нагенерувати корисних думок, але визначальною їхня думка ніколи не була. Цар завжди вирішував все сам. А коли рішення було занадто непопулярне – кивав “так це ж бояри (себо – РНБО) так вирішили, а я шо, я нічо”. В усі часи РНБО було таким собі “ротом для царевих вух без ніг та рук”, на який цар спихував провину якшо шось піде не так. І так робили усі царі без виключення, і завжди.

Хоча інколи деякі царі у ручному режимі наділяли РНБО додатковими повноваженнями або неформально давали усім зрозуміти, що це прихований центр прийняття важливих рішень. Але то були ситуативні неформальні маневрові диспозиції, тому що реальних владних повноважень у РНБО не було і немає. У кожного з вищих чиновників, які входять до складу РНБО є і потужна влада, і повноваження, і важелі впливу, і реальні можливості керувати країною. А от саме РНБО як організація нічого такого ніколи не мало і не має. Такий парадокс. Потужній гравці складають слабку команду.

Але повернемося до наших баранів, тобто до кібер-амбіцій РНБО.

Ситуація у сфері національної кібербезпеки наразі доволі цікава.

Попередня влада зляпала у Законі України «Про основні засади забезпечення кібербезпеки України» паперового кібер-тигра у вигляді шести суб’єктів забезпечення кібербезпеки (майже усі вони — силові відомства) плюс РНБО як координатора тих намальованих монстрів. Якогось закону «про кібербезпеку» вимагали західні партнери («а то грошей не дамо») і вони його, звісно, отримали. З лайна та паличок, кривий-косий-кульгавий і непрацюючий, але у заголовку було слово «кібер», ага.

Усі шість «суб’єктів» під таку справу кинулися лихо пиляти кошти «на кібербезпеку», і чемпіоном у цьому був Держспецзв’язку; тупо вкрадено було аж ніяк не менше 3,3 мільярди гривень. І більша частина айсбергу досі залишається під водою.

А от РНБО ніякої участі у цих змаганнях не брав, взагалі. При тому, що РНБО начебто мав би відкусити найбільший шматок, адже ж вони типу начальники (координатори) усього того корупційного балагану.

Попередня влада і без РНБО цілком успішно пиляла бюджети через Держспецзв’язку та його ДЦКЗ, тому й не парилася.

Нова влада вирішила дистанціюватися від законтаченого корупцією ДССЗЗІ і , як здавалося донедавна, вирішила перекинути потоки на РНБО, тим більше, що якраз американці з USAID дають Україні 38 мільйонів доларів «на кібербезпеку».

Але останніми тижнями з’ясувалося, що Мінцифра (в подальшому – мініцифра, так правильніше) веде запеклу війну проти РНБО у частині розподілення фінансових потоків «на кібер». Але про це пізніше.

Педалювати тему кібер в РНБО був запрошений у статусі заступника секретаря РНБО колишній керівник кіберполіції Сергій Демедюк, поліцейський генерал.

Читайте также: Данилов: Мы понимаем, с кем мы можем иметь войну — с Россией. Преуменьшать ее силы — большая ошибка

За часів керівництва кіберполіцією пан Сергій заслужив репутацію людини, яка дослухається думок професійної кібер-спільноти, що було нетипово як «для тоді», так і «для зараз». Щоправда, на початку йому довелося заарештувати пару активістів, потім «врятувати», бо інакше вони дружити ніяк не хотіли. Але то ж дрібниці, вірно?

За часів «злочинної влади» Демедюк став керівником кіберполіції та отримав генеральські лампаси, що не завадило за нової зе-влади отримати підвищення аж до заступника секретаря РНБО і очолити загальнонаціональну програму порятунку кібербезпеки. Принаймні, саме так цей смішний двіж позиціонують в РНБО.

Смішний тому, що він лише імітує те, що насправді потрібно робити. Що ж потрібно робити, я розказував ще у 2018 році https://tinyurl.com/y3t3gtn2

Кому ліньки читати мій допис дворічної давнини, нагадаю лише кілька ключових моментів:

1) Існуючу систему полагодити неможливо.

2) Руйнувати існуючу систему поки що недоцільно (у ній є кілька непоганих напрацювань)

3) Будувати нову, «правильну» систему слід паралельно існуючій

4) Люди – наше все

5) Головна мета – відновлення/напрацювання довіри суспільства

Перший пункт Демедюк просто проігнорував. Тому що все життя провів на державній службі і справді не розуміє як взагалі людське стадо може існувати без «керівної ролі держави», надзору та контролю, жорсткої пірамідальної централізації, безкінечних нарад, пустографок, квартальних звітів. У нього в житті ніколи не було по іншому. А чинна «система» складається лише з неприродних фантазій державних органів.

Колись один мій приятель казав багато років тому: «Не люблю я Туреччину, мені в Криму дуже подобається. Питаю: а ти хоч раз відпочивав у Туреччині? – Ні, але все одно не люблю».

Другий пункт Демедюк взяв у якості головного гасла. Типу «то просто були погані хлопці, а ми хороші хлопці, тому нічого міняти не треба, треба лише скрізь призначити хороших хлопців, і все стане прекрасно». Такий підхід практикувався усі 29 років незалежності. І призвів до повної руйнації. Тобто до того, що маємо (чи то не маємо) зараз. Ні до чого не привів коротше. Це якщо не рахувати мільйонів вкрадених наших та чужих грошей. «Не руйнувати» у жодному разі не означає «зберігти та не чіпати». Це означає, що окремі корисні речі треба залишити, а більшість усього іншого – викинути до бісової матері і забути як страшний сон. Думаю, у Демедюка свідомо «включають дурку» з цього приводу.

Третій пункт «Будувати нову, «правильну» систему слід паралельно існуючій» — також проігнорований. Зі зрозумілою причини: нащо будувати щось нове, якщо мені дали головну посаду в існуючій системі? Щоправда, не дали повноважень, та і інструментів (грошей) теж поки не дали. Але ж колись дадуть, правда ж, Олексій Мячеславович, все ж так і буде, як Ви обіцяли? Замсекретаря – це ж правда звучить круто, так же?

Пункт четвертий «Люди – наше все» взятий до уваги, але зовсім не так, як треба. Неочікувано.

Вибито 30 додаткових посад. Нібито звучить позитивно. Раніше було 3 посади, а тепер тридцять. Круто, чо.

Але. Зарплати там цілком госушні, на які можна найняти лише дрібних чиновників, що і було зроблено. А ще посади заповнили кумами, братами, сватами, кентами, корешами та іншими «позвоночними» (це ті, яких беруть на роботу «по дзвінку»). Про справжніх фахівців у складі НКЦК я поки не чув. Якщо хтось таких знає – спрямуйте на них прожектор суспільної уваги, будь ласка. Тому що оці сумнозвісні «30 невідомих експертів» від зе-команди без прізвищ та без облич – це вже не смішно.

Хоча ні, один справжній експерт все ж таки працює в НКЦК. Звати його Олександр Галущенко, він дійсно експерт та патріот, і є одним із засновників ГО «Український кіберальянс». Але є одне але. Сашу призначено на посаду дрібного клерка, який анічогісінько не вирішує, впливу не має, примусити інших не займати хньою чи проконтролювати розпили не має ніяких практичних можливостей. Також жодним чином він не впливає на те, кого та за якими критеріями наймають до команди, яка кваліфікація кандидатів, скільки та якої спеціалізації фахівці потрібні, під які завдання, тощо. Саме експерт на посаді дрібного клерка. Просто щось порадить, але чи врахують його думку чи ні – залежитиме від зручності начальства.

Зате можна поставити галочку навпроти пункту плану «взяти когось відомого з кібер-спільноти». Які мотиви прийняти цю непристойну (закреслено) недостойну пропозицію рухали відомим та авторитетним кібер-експертом – маю власні припущення, і це може колись стати темою для окремого логнгріду. Але не зараз.

Ідея «люди – наше все» передбачає набрати суто професійну команду фахівців різного рівня, яким не соромно назвати своє ім’я та показати своє резюме. Справжнім фахівцям нема чого приховувати, тому що вони не брешуть і не прикидаються фахівцями. Вони ними просто є. Скажу більше: такою командою необхідно публічно вихвалятися. Люди, яких ви закликаєте об’єднуватися, довіряють лише речам, які можна перевірити. А де й коли працювала людина, якими проектами займалася, чого досягла чи не досягла – перевірити дуже легко. Цей Світ занадто тісний, усі один одного знають за пару рукостискань.

І стосовно особи керівника проекту.

Формально ним є Секретар РНБО Олексій Данілов.

Але фактично керує усім Сергій Демедюк, заступник керівника НКЦК.

Іта навіть якщо не звертати уваги на цю маленьку, але відверту брехню, залишається питання і до пана заступника.

У хаотичному скупченні замкнутих кіл та гордієвих вузлів національної кібербезпеки неможливо розібратися без глибоких спеціалізованих знань та специфічного досвіду. А особливо якщо ти все життя служив у міліції-поліції, а переважна більшість об’єктів критичної інфраструктури – приватної форми власності. І це принципово різні світогляди. Ну і, звісно, усі ми знаємо як у нас працює поліція і наскільки їй можна довіряти.

Це як в анекдоті з 90-х: «Бандюк пояснює бізнесмену: чуєш, тебе у школі навчали складати та помножувати, а мене – лише віднімати та ділити».

Так і пан Демедюк вже ніколи не зможе зрозуміти чому приватний бізнес до нього ніяк не приєднується. І не тільки тому, що генералу поліції якось стрьомно довіряти (хоча це само по собі є вагомим аргументом). Генерал поліції ніколи не зможе подивитися на проблему очима приватного бізнесу, оскільки ніколи не мав такої можливості. Є таке прислів’я: «краще один раз побачити, ніж сто разів почути». Так оце саме воно.

От коли Данілова звільнять внізпна та без пояснень (зелені таке люблять), то одразу виженуть на мороз і Демедюка (вже є купа прецедентів), і піде він шукати роботу у приватному секторі, і десь таки її знайде, і попрацює кілька років. І ось тоді почне розуміти як мислить бізнес. Але зараз поки що ніт, сорян. Цього у книжках не пишуть, це треба шкірою відчути.

Що чиновники колись зрозуміють пункт 5 – про відновлення/напрацювання довіри – я і не сподівався знайти розуміння серед чиновництва.

Тому що у нашій країні чиновнику довіряють лише тоді, коли немає іншого виходу.

І тоді це не довіра, а жорстокий життєвий примус, не зовсім з доброї волі та не власного бажання.

Але якщо ти адміністративно-силовими методами не здатний побудувати систему взаємної довіри (і ніхто не здатний), тоді треба її будувати на якійсь іншій основі. В нашій країні жодній державній структурі не довіряють, і не будуть довіряти ще років 30-40 (це був оптимістичний сценарій). Тому організація державної чи комунальної форми власності ніяк не може бути у центрі системи відносин, основаних на взаємній довірі. У кращому випадку – десь далеко скраю, де немає нічого критично-важливого. Але чиновники продовжують (цілком щиро, до речі) дивуватися: «тю, а чого вони до нас не біжать обійматися, ми ж РНБО! Дурні якісь ці комерси»

Тобто з п’яти ключових принципів, які я народжував у своїй голові кілька місяців, дотримано десь приблизно 0.1 (нуль цілих одна десята).

І тому рівно на нуль цілих одну десяту НКЦК ближче до того, що дійсно необхідно робити.

Тому проекту «НКЦК» я надаю статусу «Солом’яний літак»: красиво розмальований планер, з прапорцями та правильними гаслами на борту, всередині якого немає двигуна, системи керування польотом, життєзабезпечення, аеродинаміки теж нема, матеріали фюзеляжу – паперові. Зате командир у новенькому льотному комбінезоні гордо сидить у кабіні, привітно маше рукою і закликає усіх “приєднуватися”, тобто злітати слідом за ним, стати “ведимим” та помружитися у променях його величі та слави. Але сам чомусь злітати не спішить, і усі такі теж йому машуть, але чекають чи воно злетить, чи буде “як завджи”.

Але поки я довго писав цей текст, все раптово змінилося: мініцифра заявила, що 38 мільйонів доларів від USAID (американський урядовий фонд допомоги) переходить до них. І, таким чином, саме це непрофесійне та надумане відомство стає головним у системі національної кібербезпеки. Хоча його немає в Законі, та і взагалі у будь-якому кібербезпековому законодавстві. У них немає фахівців, немає знань, немає досвіду, нічого немає. І раптом вони забирають собі те, над чим так довго працювала ще попередня влада. Та ще й при цьому досягнення інших видають за свої: «більше року активної роботи, десятки складних переговорів…». Чуваки, більше року тому вас взагалі не існувало в природі. Ви хоч трохи думайТе, чи як цей процес у вашій голові називається.

Петицію до USAID http://chng.it/JB8VzNLh з проханням переглянути головного бенефіціара та склад імплементаційної команди підписало вже 527 людей. Під листом до USAID 28 липня 2020 підписалося півтора десятки найавторитетніших українських експертів з кібербезпеки. Слідкувати за цією історією можна тут: https://cutt.ly/Rs7BmVb і там ще апдейти додаються.

Але повернуся до НКЦК.

Демедюк & компанія, без сумнів, читали мої концепції побудови системи кіберзахисту держави:

https://tinyurl.com/yxja8w2u https://tinyurl.com/y5zmpe5c https://cutt.ly/Cs7MeJE https://cutt.ly/Ps7Mgy7

Читали, але мало що зрозуміли.

Тому вирішили просто скопіювати зовнішню форму окремих елементів.

Форму літака, з якого мають випадати тушонка, мука, віскі та скляні намиста.

І шаман сказав, що це точно спрацює, і у племені будуть їжа, напої, коні та жінки.

Точно.

Хотів був на цьому й закінчити цей безкінечний лонгрід, але ніт.

Ще одна новина мене догнала.

НКЦК РНБО підписало угоду з якимось ГО «Національна асоціація кібербезпеки», https://cutt.ly/bs72HZl

Ніколи не чув про таку. Про кіберковчеги, ваібіти різні та ніші паперові ГОшки чув, а про цих – не чув. Подивися на їх сайт – примітивна візитка, без прізвищ та інформації. ГО засновано у півроку тому, у січні 2020. Якраз після призначення Демедюка заступником секретаря. Думаєте, просто співпадіння? І може тому цю новину не ризикнули розмістити на сайті РНБО?

Для мене стало очевидно, що ГОшка робилася конкретно під НКЦК для імітації «залучення громадськості».

Слабенько, Сергію Васильовичу, примітивненько якось. Я розчарований. Так усі роблять, в усіх міністерствах, саме так формують підконтрольні собі «громадські ради». Здебільшого, для того, щоб громадськість не помічала корупції та розкрадань у органах влади.

І Ви туди ж? Ех…. А я якусь коротку муть сподівався, що нарешті справу почнуть рухати у вірному напрямку. Я помилився, сорі.

Тобто наразі у війні Мінцифра-ДКІБ-ДССЗЗІ проти НКЦК РНБО впевнено перемагають жижиталізатори. Чому – я не знаю, мабуть, Федоров має більшу вагу за Данілова для монарших вух.

І поки ця епічна битва триває, країна залишається беззахисною, як і у 2015 році та до того.

Отакий сумний висновок у п’яницю, але нічим не можу завадити, вибачте.

Костянтин Корсун, фахівець з інформаційної безпеки, організатор щорічної конференції з кібербезпеки UISGCON, співзасновник компанії «Бережа Сек’юріті»; , опубліковано на сторінці автора у Фейсбук

Проверьте

Президент Зеленский заявил, что шахтеры получили зарплату за октябрь и ноябрь

Долги по зарплатам шахтерам за октябрь-ноябрь уже перечислены на шахты. Об этом заявил президент Владимир …

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *