28 січня Президент України Володимир Зеленський підписав Указ «Про внесення змін до Указів Президента України від 27 січня 2015 року № 37 та від 7 червня 2016 року № 242». Документ розширює штат Апарату Ради національної безпеки і оборони України та, як запевняють в РНБО, суттєво посилює можливості Національного координаційного центру кібербезпеки. Однак в експертному середовищі сумніваються, що зміни суттєво вплинуть на «болотний пейзаж національної системи кібербезпеки».
Експерт з кібербезпеки, із засновників Української групи інформаційної безпеки та один з ініціаторів створення урядової команди реагування на кіберзагрози CERT-UA Костянтин Корсун проаналізував Указ Президента та його вплив на ситуацію з кібербезпекою в країні. InternetUA публікує аналіз з дозволу автора. Далі – пряма мова.
Декому може здатися, що у протистоянні «Мінцифра проти РНБО» на полі битві за національну кібербезпеку РНБО отримало тактичну перемогу. Це не зовсім так. І не зовсім не так.
На безкрайому полі національної кібербезпеки однією зі сторін нарешті зайнята невелика, але стратегічно важлива галявина. З двома кривими деревами, дуже корисними копалинами та прихованими важелями впливу, які ще треба виколупати з-під землі. А ще з цього плацдарму буде дуже зручно розвивати подальший наступ аж до тотального домінування (хоча це навряд).
А тепер детальніше.
Формально, РНБО в цілому «за правом народження» відповідає за «сектор безпеки та оборони» та критичну інфраструктуру. До якої відносяться майже усі державні ресурси. Звісно, у кібербезпековій складовій.
Що це означає на практиці? З точки зору чинного Закону України «Про основні засади забезпечення кібербезпеки України», РНБО вже і так є «координатором» (з чиновницького сленгу можна читати «начальником») абсолютно усіх «основних суб'єктів»: Держспецзв'язку, СБУ, Кіберполіції, МО-ГШ, розвідок, НБУ. Це вже давно є в Законі, проте до вчора наявний потенціал ніяк не використовувався.
Але комусь стало не ліньки нахилитися і підняти мішечок з грошиками із землі.
Указ конкретизує деталі імплементації норм цього Закону, які дозволять його застосовувати на практиці. Поки Мінцифра «колупається в носі», носиться зі своїми смартфонами і не розуміє у чому взагалі «прикол цієї двіжухи» навколо кібербезпеки, в РНБО нарешті згадали, що їхнє тепле місце під сонцем вже і так їхнє, і давно, – його просто треба зайняти і намагатися максимально закріпитися. Звісно, в Апараті РНБО не досить ясно бачать усю картину «зверху» через брак практичного досвіду роботи у приватному секторі, але, принаймні, бачать набагато більше, ніж пасіонарні диджіталізатори. І цей Указі є якимось першим більш-менш практичним кроком.
Білий пішак нарешті пішов Е2-Е4. Але не поспішаймо аплодувати.
Сьогоднішній Указ лише зачесав» більш рівненько фразеологічні неузгодженості, через які буксувало Положення «Про Національний координаційний центр кібербезпеки», затверджене Указом Президента – увага – від 07.06.2016 року. За «злочинної шоколадної влади», ага.
Ще додалося кілька цікавих позицій типу «створення та функціонування відповідно до уніфікованих технічних вимог центрів обробки даних та центрів забезпечення кібербезпеки державних органів, а також об’єктів критичної інформаційної інфраструктури;». Себто, створення якогось стандартного шаблону для умовного державного органу або ОКІ. Звучить, начебто, притомно (з натяжкою), але якщо забути, що це частина пункту «5) розроблення концептуальних засад і пропозицій щодо:» Тобто в цілому пункт читати слід як «розроблення пропозицій зі створення умовно-стандартного державного SOC/CERT/кіберцентру». Розроблення пропозицій зі створення. Лише розроблення пропозицій. Які невідомо чи будуть колись кимось десь враховані, як дуже часто буває у нашій країні. Та майже завжди – держсектор на те «забиває» миттєво, а що вже казати про приватну критичну інфраструктуру.
Те саме стосується «створення…уніфікованих технічних вимог центрів обробки даних та центрів забезпечення кібербезпеки державних органів». Особисто я, сам-один, настворював стільки «пропозицій» та «концептуальних засад», що вистачило б на кілька національних кіберцентрів. А ще ми з колегами у серпні 2019 розробили глобально-стратегічно-концептуальний гайд по розбудові усієї системи національної кібербезпеки. І що? А нічого. Нуль. Пропозиції залишилися пропозиціями, які найвищі державні органи навіть не зрозуміли.
Але повернемося до Указу Президента України №27/2020 від 28 січня 2020 року. До цього я роздивлявся на світло казуістику та переформулювання пунктів типу «здійснення аналізу», «участь у розробленні», «прогнозування», «узагальнення», «участь у забезпеченні розроблення», «Інформаційно-аналітичне забезпечення» та інше бла-бла-бла. А тепер крок ближче до чогось дієвого.
Центр має право: «4) ініціювати проведення аудиту інформаційної безпеки державних інформаційних ресурсів та критично важливих об’єктів інфраструктури;» Не зрозуміло хто такий аудит проводитиме і хто буде платити за подібні роботи, і яка кваліфікація виконавців. Питань багато, але сам факт того, що теоретично після чергового факапу, виявленого під час, скажімо, #FRD чи чогось подібного, кіберцентр РНБО матиме формальну можливість ініціювати перевірку стану кібербезпеки аеропорту, АЕС, міністерства чи якоїсь «трембіти» – це вже трохи більше, ніж нічого. Ніколи не забуду випадок, коли після виявленого в ході #FRD «феєричного ППЦ» у одному з українських аеропортів, неназвані джерела в ДКІБ жалілися, що геть нічого не можуть з цим зробити. Немає підстав, немає повноважень, немає важелів впливу. І це в СБУ, на хвилиночку. А тепер, начебто, буде? Залишилися дрібниці – затвердити перелік об’єктів критичної (інформаційної) інфраструктури. Але ж за це КМУ відповідає, не РНБО. Але то таке.
А ще мене цікавить питання: а що буде, якщо РНБО аудит якимось чином «ініціює», а приватний суб’єкт такого аудиту скаже «а ідіть у дупу, шановні пані та панове, я не дозволяю проводити у мене на підприємстві аудит. Указ Президента – це підзаконний акт, який не має права втручатися у мою господарську діяльність». Що тоді? Погрози, вмовляння, телефонне право? Тому що законних підстав провести примусовий аудит у, скажімо, приватній енергокомпанії або компанії-розробнику бухгалтерського софту наразі не існує.
А ось наступний пункт Указу – мій улюблений. Про розпил. «5) організовувати проведення науково-дослідних, дослідно-конструкторських та інших робіт у галузі кібербезпеки та захисту критично важливих об’єктів інфраструктури».
Щоб ви знали, скільки таких НД-ДКР провело ДЦКЗ Держспецзв’язку… Якраз по ним зараз ДБР проводить розслідування, і попередньо виявили прямих розкрадань на 36 млн. гривень. А це лише шпиль верхівки того айсберга. Але якщо раніше РНБО виділяло гроші на Держспецзв’язку, а ті, в свою чергу, на ДЦКЗ, то тепер схема стає трохи коротшою: Апарат РНБО буде сам «пиляти», без посередників. Буде-буде, зуб даю. У нашій країні інакше з бюджетними коштами не буває, ніяк не можна без розпилу. Можу побитися об заклад.
Смішний пункт про Головний ситуаційний центр РНБО. Суть в тому, що кіберцентр РНБО має право використовувати можливості ситуаційного центру РНБО та усіх інших державних та приватних кіберцентрів. Але лише за їх згодою. Ще раз: має право використовувати, але якщо вони дозволять. А якщо не дозволять – то не може. Так «труси чи хрестик»? Маю право полюбити разок-другий королеву краси, але якщо вона погодиться. Навіщо було таке писати? От у чому прихований сенс?
А от прихований сенс пункту «абзац перший після слова «керівник» доповнити словами «заступник керівника»;» полягає у тому, що фактично керувати Центром буде генерал Сергій Демедюк, який наразі обіймає посаду заступника Секретаря РНБО, в недавньому минулому – керівника Кіберполіції, і більш відомий як «кібер-Демедюк». Про те, добре це чи погано я вже десь висловлювався досить розлого, тому скажу коротко – серед усіх наявних в строю чиновників топ-рівня пан Сергій розуміється у кібербезпеці найкраще. Звісно, далеко від ідеалу (поліцейський генерал, все-ж таки), але у порівнянні в нульовим рівнем всяких мінцифр – дуже добре.
Ще одним пунктом Указу до складу кіберцентру РНБО додали заступника міністра з Міністерства цифрової трансформації. У додаток до компанії заступників МО-ГШ, Голови СБУ, Голови СЗР, Нацполіції, НБУ, а також начальників ГУР МО, прикордонної розвідки та Голови Держспецзв'язку. Тобто це буде той самий непрацюючий псевдо-монстр, але тепер ще й з Мінцифрою та збільшеною на 30 осіб кількістю штатних працівників (про них – трохи згодом).
Ну і про гроші. «13. Інформаційно-аналітичне, експертне, організаційне, матеріально-технічне та інше забезпечення діяльності Центру здійснюється Апаратом Ради національної безпеки і оборони України». Пам’ятаєте про загадкові 18 мільярдів гривень у державному бюджеті на потреби РНБО? Думаю, це з цієї «заначки».
Що залишається від Указу у сухому залишку, без бюрократичної казуїстики та пересування меблів у нерентабельному борделі.
З реального це чотири речі:
1) Нарешті Національний координаційний центр кібербезпеки (НКЦК) при РНБО матиме власний штат у кількості 30 багнетів.
2) Тепер хоча б хтось, хоча б суто формально може ініціювати аудит на об’єктах критичної інфраструктури, де ситуація становить реальну та конкретну небезпеку для усіх нас.
3) Апарат РНБО тепер може сам пиляти гроші «на кібербезпеку», без посередництва Держспецзв’язку.
4) Фактичним операційним директором НКЦК буде генерал Демедюк.
Що змінилося «після Указу»? Глобально – майже нічого, крім загадкового «має право ініціювати проведення аудиту». Повноважень у кіберцентру РНБО не побільшало, і не могло побільшати. Хоча з'явився власний штат працівників, які, теоретично, могли б нагенерити досить притомний реалістичний план виходу з глухого кута, в якому знаходиться українська національна система кібербезпеки. Принаймні прочитати та спробувати зрозуміти дописи вітчизняних кібер-блогерів за останні пару років. А там і до критичного переосмислення недалеко.
Особа керівника кіберцентру поки що не викликає заперечень, але у правильно побудованій системі не повинна її коректна функціональність залежати від прізвища керівника. На початковому етапі це критично важливо, згоден, але у середній та дальній перспективі – ні.
Стоп, щось я забагато позитивного оце тільки що сказав про «державну кібербезпеку». Манікюр на лівому мізинці ще не робить з бомжа аристократа.
Сказати, чому усе це, як і раніше, не працюватиме? Точніше, – чому це не працюватиме як потрібно? А я скажу.
По-перше, тому що це стара добра «госуха», з усіма її застарілими невиліковними хворобами: негнучкість, суворий формалізм та зарегульованість, гнітюча атмосфера «я начальник, а ти – дурень», обмежені держбюджетом зарплати, обмеженість можливостей постійного безперервного навчання, непублічність-закритість-секретність, нездатність реагувати швидко, обмеженість у залучення зовнішніх професійних ресурсів і ще багато чого. Наприклад, пихатість та зверхність (зі слабо прихованою пролетарською ненавистю) до «с***их комерсів», яких можна і потрібно «нагибати» та «доїти». Це спадкова риса українського чиновництва, яка лікується дуже повільно та вимагає великих зусиль з боку небайдужих громадян та відповідального бізнесу.
По-друге, хто буде тими 30 спартанцями. Думаю, усі розуміють, що вони мають бути хоча б більш-менш кваліфікованими. В ідеалі – висококваліфікованими. Статус найвищого координаційного органу начебто має це на увазі за замовченням. Кваліфікованим кадрам треба платити відповідні гроші. Звідки їх взяти за бюджетними тарифними сітками? Як з Укрпоштою не вийде – з кожним окремий трудовий договір Кабмін не укладатиме. Навіть якщо оті 30 фахівців будуть отримувати «неофіційні» доплати до офіційної зарплати (зараз популярний варіант «експерт донорської програми») – залишатимуться питання легальності таких фінтів вухами, а ще неясно буде з пенсійними нарахуваннями та прихованими можливостями іноземного впливу на роботу РНБО.
Та і вічне питання втримання підготовлених кадрів, які можуть чкурнути у приватний кібер-бізнес. Та і де, власне, взяти ті кваліфіковані кадри? На українському ринку спробуй знайти толкового «мідла» або «сіньора». Їх просто немає, фізично. За будь-які гроші. Просто немає. Єдиний вихід для Апарату РНБО – набрати толкових «джунів» і самим їх навчити. Або взяти геть нульових, але розумних та перспективних «госушних» молодших аналітиків та теж чомусь навчити. Хто, як і чому навчатиме і який це займе час – питання, на які мені вже ліньки відповідати. Думаю, відповіді для багатьох очевидні.
Але навіть якщо наберуть якихось «джунів» з палаючими очима: хто і як буде оцінювати їх стартову кваліфікацію? І яка стартова кваліфікація взагалі вимагається? Писати бюрократичні папірці – тут проблем з кадрами не буде. Але ж, я так розумію, потрібні люди, які не тільки мають певний досвід та навички (таких немало), але можуть мислити стратегічними категоріями кібербезпеки, можуть «піднятися розумом своїм за хмари і там розумом своїм стати ще вище Лаврської колокольні»? Я таких знаю не більше десятка, і жоден з них не піде працювати в «госуху».
Мій скепсис стосовно тих 30 спартанців не те щоб упереджений, просто «ніколи такого не було і от знов». До цього було сто кейсів кадрових проблем у держсекторі, чому сто перший буде від них принципово відрізнятися? Просто не бачу до цього передумов. Нічого нового у кадрових питаннях цього Світу вже не вигадати, є стандартні проблеми і стандартні шляхи їх вирішення. Або не вирішення.
І останнє зауваження. Навіть якщо якимось чином до роботи НКЦК залучатимуться профільні компанії та окремі волонтери з професійної спільноти – знов залишається питання кваліфікації власної «координаційної» команди, тобто «приймаючої сторони». Розумні вам розкажуть, навчать та навіть щось вам зроблять – але чи буде здатен обдарований держслужбовець скористатися наданими порадами або здатен підтримувати працездатність побудованих систем і правильно використовувати результати їх роботи?
Як на мою скромну думку, у класичному трикутнику «люди-технології-процеси» перша ланка є найважливішою, а тому й найскладнішою. Люди – наше все. Без них не потрібні технології та процеси, просто не працюватимуть.
І зовсім наостанок: Указ Президента України №27/2020 від 28 січня 2020 року нічим особливо не змінив загальну сумну картину болотного пейзажу національної системи кібербезпеки. Десь у далечині тихо лопнула маленька бульбашка. Від цього болото не висохло і не перетворилося на квітучий сад. Просто на периферії відбувся якийсь рух. Чи призведе він до швидких позитивних змін – хтозна. Точно не до швидких. Можливо, за якийсь рік-два у локальному сегменті «державні органи – державно-напівдержавна критична інфраструктура» стане трохи краще. Це якщо буде перелік об’єктів критичної інфраструктури (сумніваюся), якщо гроші не крастимуть (утопія), якщо наберуть кваліфіковану команду (саркастична посмішка) за відносно кваліфіковані гроші (усе відносно), якщо буде політична воля, якщо керівники будуть горіти ідеями, якщо, якщо, якщо.
Але поки що намагаємося аналізуємо фактичні дані, будуємо конспірологічні теорії, висуваємо припущення, взагалі розважаємося як можемо. Адже прірва між держсектором і професійною кібербезпекою не зменшилася ані на міліметр.
А ще – беремо чергову миску попкорну і спостерігаємо. Далі точно щось буде.
