"Дива трапляються, я чув про це. Але жодного не бачив"...

21 апреля, 20:32
Каюсь. Я підписаний на дописи Держспецзв’язку у ФБ. І на дописи міні-цифри також підписаний, є такий гріх. Але маю для того причину: вони часто пишуть дурне і смішне, хоча це далеко не всім і не завжди очевидно.

Як ось у цьому випадку: бравурний щотижневий звіт CERT-UA Держспецзв’язку «про кіберінциденти» https://tinyurl.com/ybvlx3rx

Мабуть, у CERT-UA вважають, що таким чином показують свої досягнення та звитягу, але насправді я бачу лише слабість, безпомічність та розгубленість.

Поясню на прикладах.

“Зареєстрували 951 кіберінцидент, з них запитів іноземних CERT – 936”

Я вітаю чесність від CERT-UA: хоча б визнають, що 98,4% даних надходять з-за кордону.

Але тоді виходить, що зсередини 40-мільйонної країни, де лише державних мереж більше 100 тисяч - 1,6%. Я дивуюся, як так взагалі сталося, що хтось зсередини країни вирішив повідомити урядову команду про інцидент? Мабуть, то зовсім юні активісти-волонтери, які ще не в курсі, що співпрацювати з українськими державними агенціями доцільно лише тоді, коли немає іншого виходу.

Спитаєте, чому іноземні CERT так активно співпрацюють з CERT-UA? Це окрема довга історія, а коротка версія така: якісно налагоджена ще наприкінці нульових міжнародна взаємодія досі працює. Але зрушити хоч на крок далі з тих пір поки не вдалося, незважаючи на титанічні зусилля (смайлик сарказму).

Цитата:

«Протягом зазначеного періоду було посилено заходи безпеки в роботі 16 сайтів органів державної влади (сайт Луганської ОДА, Держспецзв’язку, МВС, Мінекономрозвитку, МОЗ, Мінфін).»

Я перепрошую: а це як «посилено заходи безпеки в роботі сайтів»?

Як взагалі усі ці слова співіснують у одному реченні? І навіть якщо припустити, що малося на увазі щось дійсно корисне (чого філологи CERT-UA просто не змогли скласти докупи), то що означає загадкове «підсилено»? Насуплено брови? Написано строго листа з проханням «ну зробіть хоча б щось, будь ласочка»? Проведена додаткова нарада? На сайт покричали і нажахали позбавити премії?

І чому CERT-UA Держспецзв’язку так регулярно рапортує про проблеми у роботі власного сайту Держспецзв'язку?

Китайці таке називають «втратити обличчя», у бізнесі кажуть «репутаційні втрати», а у футболі суддя у подібних випадках тримає кам’яне лице, навіть якщо розуміє, що був неправий.

Хоча з іншого боку воно зручно: самі пишемо код сайту, самі виявляємо, самі виправляємо, про усі ці досягнення рапортуємо – схема норм, чо.

І ще мені цікаво куди і наскільки далеко адмін сайту Луганської ОДА посилає CERT-UA.

Мужня кібер-команда Держспецзв’язку про цей ресурс звітує вже третій тиждень поспіль. Думаю, це така гра: CERT-UA постійно моніторить конструкцію з гівна та палок «сайт Луганської ОДА», пише у Сєвєродонецьк чергові писульки типу «ось ми героїчними зусиллями виявили, дайте нам медаль», адмін ОДА, хмикнувши та тицьнувши дулю у сторону Києва, видаляє той email, і ця гра продовжується по колу знов і знов. Пофіг, хто взагалі читає ті звіти CERT-UA (крім мене, звісно)?

Про сайт МВС навіть лячно запитувати, а то налетять маски-шоу з обшуками, віднімуть мій старенький лаптоп, підкинуть коронавірус, відвезуть у карантин, по дорозі оштрафують за його порушення. А дурники з міні-цифри спробують принагідно встановити свій поліцейський додаток «сиди-сука-вдома-досить-шастать», але не зможуть подолати FaceID.

Наступна цитата:

«Зафіксовано 34 факти DDoS-атак (серед них на сайти Офісу Президента України, ДБР, Держспецзв’язку).»

Це давня традиція українською державної кібербезпеки – фіксувати собі у книжечку і філософські спостерігати як воно буде далі. Чекати на труп ворога, коли він вже втомиться нас бити і здохне від старості. Розслідувати – то шлях слабака, а ми уважно спостерігаємо.

«Система кіберзахисту державних інформаційних ресурсів та об’єктів критичної інфраструктури зафіксувала 11138 підозрілих подій.»

По-перше, не існує ніякої системи, лише купа марних “сенсорів», розкиданих по серверах державних контор, на блимання яких усім абсолютно пофіг.

По-друге, кіберзахистом там і не пахне. Кіберзахист – це коли повний цикл: виявлення загрози, аналіз її актуальності, розробка заходів протидії, їх застосування, контроль ефективності, внесення в базу знань, повідомлення інших учасників про інцидент для його недопущення в подальшому.

У випадку CERT-UA існує лише перша половина першого пункту – виявлення підозрілих подій. Який серед них відсоток false positive (хибне спрацювання) – хтозна, насправді. Якщо не знаєш шо то було – пиши «мережеве сканування» або «виявлення нестандартних протоколів або подій».

Тому ні про який кіберзахист йтися не може – це фікція, фігура мови, ідіома.

Коректніша сказати – «Державний кібер-гідрометцентр попереджає, що, можливо, буде дощ, усім боятися, але може і не бути, але ми все одно працюємо, усім увага».

Стосовно «підозрілих подій».

В Інтернеті кожної секунди відбуваються мільярди подібних «підозрілих подій», і ініціюються вони, здебільшого, школярами та початківцями, які запускають простенькі сканери на предмет виявлення примітивних вразливостей у всіх мережах Світу. Звісно, щоб засунути у ті вразливості старезні троянчики часів журналу “Хакер» та провести тупенькі веб-атаки й отримати права адміністратора в автоматичному режимі, не відходячи від PlayStation. Рахувати такі події – це як йти по лісу та рахувати листя на деревах.

Думаю, тепер зрозуміло, який у мене вираз обличчя, коли я читаю щотижневі звіти CERT-UA. Кульмінація емоцій, звісно, приходиться на рекомендацію «Закликаємо всіх користувачів …. негайно інформувати урядову команду реагування на комп’ютерні надзвичайні події України CERT-UA Держспецзв’язку». OMFG.

І трохи позитиву наприкінці: ви пишіть, CERT-UA, пишіть. Все одно краще писати отаке, ніж повну дурню, або взагалі нічого не писати.

Я усе уважно читаю. Не завжди маю час та натхнення шось написати, але ви пишіть.

Не виключено, що колись настане той час, коли мені не буде над чим посміятися у «державній кібербезпеці».

«Дива трапляються, я чув про це. Але жодного не бачив». (Д. Аберкромбі).

(Картинка ні до чого, просто посміхнутися. А може і є якийсь таємний смисл, хз)