Фен-шуй бордельних ліжок: добавити ще тридцять. Для тих, хто скучив за лонгрідами, TL;DR

29 января, 10:43
Обкашляю свіженький Указ Президента України №27/2020 від 28 січня 2020 року про збільшення штату Апарату РНБО на 30 людино-одиниць для «підвищення та посилення кібербезпеки»

Декому може здатися, що у протистоянні Мінцифра-РНБО на полі битві за національну кібербезпеку РНБО отримало тактичну перемогу.

Це не зовсім так. І не зовсім не так.

На безкрайому полі національної кібербезпеки однією зі сторін нарешті зайнята невелика, але стратегічно важлива галявина. З двома кривими деревами, дуже корисними копалинами та прихованими важелями впливу, які ще треба виколупати з-під землі. А ще з цього плацдарму буде дуже зручно розвивати подальший наступ аж до тотального домінування (хоча це навряд).

А тепер детальніше.
Формально, РНБО в цілому «за правом народження» відповідає за «сектор безпеки та оборони» + критична інфраструктура. До якої відносяться майже усі державні ресурси. Звісно, у кібербезпековій складовій.
Що це означає на практиці?
З точки зору чинного Закону України «Про основні засади забезпечення кібербезпеки України», РНБО вже і так є «координатором» (з чиновницького сленгу можна читати «начальником») абсолютно усіх «основних суб'єктів»: Держспецзв'язку, СБУ, Кіберполіції, МО-ГШ, розвідок, НБУ. Це вже давно є в Законі, але до вчора наявний потенціал ніяк не використовувався.
Але комусь стало не ліньки нахилитися і підняти мішечок з грошиками із землі.
Указ конкретизує деталі імплементації норм цього Закону, які дозволять його застосовувати на практиці. Поки Мінцифра колупається в носі, носиться зі своїми смартфонами і не розуміє у чому взагалі прикол цієї двіжухи навколо кібербезпеки, в РНБО нарешті згадали, що їхнє тепле місце під сонцем вже і так їхнє, і давно. Його просто треба зайняти і намагатися максимально закріпитися. Звісно в Апараті РНБО не досить ясно бачать усю картину «зверху» через брак практичного досвіду роботи у приватному секторі. Але, принаймні, бачать набагато більше, ніж пасіонарні диджіталізатори. І цей Указі є якимось першим більш-менш практичним кроком.
Білий пішак нарешті пішов Е2-Е4.

Але не поспішаймо аплодувати.
Сьогоднішній Указ лише зачесав більш рівненько фразеологічні неузгодженості, через які буксувло Положення «Про Національний координаційний центр кібербезпеки», затверджене Указом Президента – увага – від 07.06.2016 року. За злочинної шоколадної влади, ага. https://tinyurl.com/s23w4oh

Ще добавилося кілька цікавих позицій типу «створення та функціонування відповідно до уніфікованих технічних вимог центрів обробки даних та центрів забезпечення кібербезпеки державних органів, а також об’єктів критичної інформаційної інфраструктури;».
Себто, створення якогось стандартного шаблону для умовного державного органу або ОКІ.
Звучить, начебто притомно (з натяжкою), але якщо забути, що це частина пункту «5) розроблення концептуальних засад і пропозицій щодо:»
Тобто в цілому пункт читати слід як «розроблення пропозицій зі створення умовно-стандартного державного SOC/CERT/кіберцентра». Розроблення пропозицій зі створення. Лише розроблення пропозицій. Які хз чи будуть колись кимось десь враховані, як дуже часто буває у нашій країні. Та майже завжди.
Держсектор на те забиває миттєво, а що вже казати про приватну критичну інфраструктуру.
Те саме стосується «створення…уніфікованих технічних вимог центрів обробки даних та центрів забезпечення кібербезпеки державних органів».
Особисто я, сам-один, настворював стільки «пропозицій» та «концептуальних засад», що вистачило б на кілька національних кіберцентрів. А ще ми з колегами у серпні 2019 розробили глобально-стратегічно-концептуальний гайд по розбудові усієї системи національної кібербезпеки: https://tinyurl.com/y5zmpe5c
І шо? А нічо. Нуль, зіроу, мінцифра. Пропозиції залишилися пропозиціями. Які найвищі державні органи навіть не зрозуміли.

Але повернемося до Указу Президента України №27/2020 від 28 січня 2020 року.

До цього я роздивлявся на світло казуістику та переформулювання пунктів типу “здійснення аналізу”, «участь у розробленні », «прогнозування», «узагальнення», «участь у забезпеченні розроблення», «Інформаційно-аналітичне забезпечення» та інше бла-бла-бла.

А тепер крок ближче до чогось дієвого.
Центр має право: «4) ініціювати проведення аудиту інформаційної безпеки державних інформаційних ресурсів та критично важливих об’єктів інфраструктури;”
Не зрозуміло хто такий аудит проводитиме і хто буде платити за подібні роботи, і яка кваліфікація виконавців – питань багато.
Але сам факт того, що теоретично після чергового факапу, виявленого під час, скажімо, #FRD чи чогось подібного, кіберцентр РНБО матиме формальну можливість ініціювати стан кібербезпеки аеропорту, АЕС, міністерства чи якоїсь трембіти – це вже трохи більше, ніж нічого.
Ніколи не забуду випадок, коли після виявленого в ході #FRD феєричного ППЦ у одному з українських аеропортів, неназвані джерела в ДКІБ жалілися, що геть нічого не можуть з цим зробити. Немає підстав, немає повноважень, немає важелів впливу. І це в СБУ, на хвилиночку.
А тепер, начебто, буде? Залишилася фігня - затвердити перелік об’єктів критичної (інформаційної) інфраструктури. Але ж за це КМУ відповідає, не РНБО. Ну то таке.

А ще мене цікавить питання: а що буде, якщо РНБО аудит якимось чином «ініціює», а приватний суб’єкт такого аудиту скаже «а ідіть у сраку, шановні пані та панове, я не дозволяю проводити у мене на підприємстві аудит. Указ Президента – це підзаконний акт, який не має права втручатися у мою господарську діяльність».
І шо тоді? Погрози, вмовляння, телефонне право? Тому що законних підстав провести примусовий аудит у, скажімо, приватній енергокомпанії або компанії-розробнику бухгалтерського софта наразі не існує.

А ось наступний пункт Указу – мій улюблений. Про розпил.
5) організовувати проведення науково-дослідних, дослідно-конструкторських та інших робіт у галузі кібербезпеки та захисту критично важливих об’єктів інфраструктури».
Шоб ви знали, скільки таких НД-ДКР провело ДЦКЗ Держспецзв’язку… Якраз по ним зараз ДБР проводить розслідування, і попередньо виявили прямих розкрадань на 36 млн. гривень. А це лише шпиль верхівки того айсберга: https://tinyurl.com/sfhuve7
Але якщо раніше РНБО виділяло гроші на Держспецзв’язку, а ті, в свою чергу, на ДЦКЗ, то тепер схема стає трохи коротшою: Апарат РНБО буде сам пиляти, без посередників.
Буде-буде, зуб даю. У нашій країні інакше з бюджетними коштами не буває, ніяк не можна без розпилу. Можу поспорити на пляшку Macallan 10YO (користуючись нагодою, хочу ще раз подякувати моїм хлопцям за шикарний подарунок, я досі в захваті).

Смішний пункт про Головний ситуаційний центр РНБО. Суть в тому, що кіберцентр РНБО має право використовувати можливості ситуаційного центру РНБО та усіх інших державних та приватних кіберцентрів. Але лише за їх згодою.
Ще раз. Має право використовувати, але якщо вони дозволять. А якщо не дозволять - то не може. Так труси чи хрестик? Маю право полюбити разок-другий королеву краси, але якщо вона погодиться. Нахіба було таке писати? От у чому прихований сенс?

А от прихований сенс пункту “абзац перший після слова «керівник» доповнити словами «заступник керівника»;” полягає у тому, що фактично керувати Центром буде генерал Сергій Демедюк, який наразі обіймає посаду заступника Секретаря РНБО, в недавньому минулому – керівник Кіберполіції, більш відомий як «кібер-Демедюк». Про те, добре це чи погано я вже десь висловлювався досить розлого, тому скажу коротко – серед усіх наявних в строю чиновників топ-рівня пан Сергій розуміється у кібербезпеці найкраще. Звісно, далеко від ідеалу (поліцейський генерал, все-ж таки), але у порівнянні в нульовим рівнем всяких мінцифр – дуже добре.

Ще одним пунктом Указу до складу кіберцентру РНБО добавили заступника Міністерства цифрової трансформації. У додаток до компанії заступників МО-ГШ, Голови СБУ, Голови СЗР, Нацполіції, НБУ, а також начальників ГУР МО, прикордонної розвідки та Голови Держспецзв'язку.
Тобто це буде той самий непрацюючий псевдо-монстр, але тепер ще й з Мінцифрою та +30 штатних працівників. Про яких трохи згодом.

Ну і про бабло.
«13. Інформаційно-аналітичне, експертне, організаційне, матеріально-технічне та інше забезпечення діяльності Центру здійснюється Апаратом Ради національної безпеки і оборони України».
Пам’ятаєте про загадкові 18 мільярдів гривень у державному бюджеті на потреби РНБО? Думаю, це з цієї заначки.

Що залишається від Указу у сухому залишку, без бюрократичної казуїстики та пересування меблів у нерентабельному борделі.
З реального це чотири речі:
1) Нарешті Національний координаційний центр кібербезпеки (НКЦК) про РНБО матиме власний штат у кількості 30 багнетів. Аллілуйя.
2) Тепер хоча б хтось, хоча б суто формально може ініціювати аудит на об’єктах критичної інфраструктури, де ситуація становить реальну та конкретну небезпеку для усіх нас;
3) Апарат РНБО тепер може сам пиляти гроші «на кібербезпеку», без посередництва Держспецзв’язку.
4) Фактичним операційним директором НКЦК буде генерал Демедюк.

Що змінилося «після Указу»?
Глобально майже нічого, крім загадкового «має право ініціювати проведення аудиту».
Повноваженнь у кіберцентру РНБО не побільшало, і не могло побільшати.
Хоча з'явився власний штат працівників, які, теоретично, могли б нагенерити досить притомний реалістичний план виходу з глухого кута, в якому знаходиться українська національна система кібербезпеки. Принаймні прочитати та спробувати зрозуміти дописи вітчизняних кібер-блогерів за останні пару років. А там і до критичного переосмислення недалеко.
Особа керівника кіберцентру поки що не викликає заперечень, але у правильно побудованій системі не повинна її коректна функціональність залежати від прізвища керівника. На початковому етапі це критично важливо, згоден, але у середній та дальній перспективі – ні. Але поки що ок.

Стоп, щось я забагато позитивного оце тільки що сказав про «державну кібербезпеку».
Манікюр на лівому мізинці ще не робить з бомжа аристократа.

Сказати, чому усе це, як і раніше, не працюватиме? Точніше, чому це не працюватиме як потрібно. А я скажу.

По-перше, тому що це стара добра госуха, з усіма її застарілими невиліковними хворобами: негнучкість, суворий формалізм та зарегульованість, гнітюча атмосфера «я начальник-ти дурак», обмежені держбюджетом зарплати, обмеженість можливостей постійного безперервного навчання, непублічність-закритість-секретність, нездатність реагувати швидко, обмеженість у залучення зовнішніх професійних ресурсів і ще багато чого. Наприклад, пихатість та зверхність (зі слабо прихованою пролетарською ненавистю) до «сраних комерсів», яких можна і потрібно нагибати та доїти. Це спадкова риса українського чиновництва, яка лікується дуже повільно та вимагає великих зусиль з боку небайдужих громадян та відповідального бізнесу.

По-друге, хто буде тими 30 спартанцями.
Думаю, усі розуміють, що вони мають бути хоча б більш-менш кваліфікованими. В ідеалі – висококваліфікованими. Статус найвищого координаційний органу начебто має це на увазі за замовченням. Кваліфікованим кадрам треба платити відповідні гроші. Звідки їх взяти за бюджетними тарифними сітками? Як з Укрпоштою не вийде, з кожним окремий трудовий договір Кабмін не укладатиме.
Навіть якщо оті 30 фахівців будуть отримувати «неофіційні» доплати до офіційної зарплати (зараз популярний варіант «експерт донорської програми») – залишатимуться питання легальності таких фінтів вухами, а ще неясно буде з пенсійними нарахуваннями та прихованими можливостями іноземного впливу на роботу РНБО.
Та і вічне питання втримання підготовлених кадрів, які можуть чкурнути у приватний кібер-бізнес.
Та і де, власне, взяти ті кваліфіковані кадри? На українському ринку спробуй знайти толкового мідла або сіньора. Їх просто немає, фізично. За будь-які гроші. Тупо немає.
Єдиний вихід для Апарату РНБО: набрати толкових джунів і самим їх навчити. Або взяти геть нульових, але розумних та перспективних госушних молодших аналітиків та теж чомусь навчити. Хто, як і чому навчатиме і який це займе час – питання, на які мені вже ліньки відповідати. Думаю, відповіді для багатьох очевидні.

Але навіть якщо наберуть якихось джунів з палаючими очима: хто і як буде оцінювати їх стартову кваліфікацію? І яка стартова кваліфікація взагалі вимагається? Писати бюрократичні папірці – тут проблем з кадрами не буде. Але ж, я так розумію, потрібні люди, які не тільки мають певний досвід та навички (таких немало), але можуть мислити стратегічними категоріями кібербезпеки, можуть «піднятися розумом своїм за хмари і там розумом своїм стати ще вище Лаврської колокольні»? Я таких знаю не більше десятка, і жоден з них не піде працювати в госуху, стопудів.

Товариство, мій скепсис стосовно тих 30 спартанців не те щоб упереджений, просто ніколи такого не було і от знов. До цього було сто кейсів кадрових проблем у держсекторі, чому сто перший буде від них принципово відрізнятися? Просто не бачу до цього передумов. Нічого нового у кадрових питаннях цього Світу вже не вигадати, є стандартні проблеми і стандартні шляхи їх вирішення. Або не вирішення.

І останнє зауваження.
Навіть якщо якимось чином до роботи НКЦК залучатимуться профільні компанії та окремі волонтери з професійної спільноти – знов залишається питання кваліфікації власної «координаційної» команди, тобто «приймаючої сторони». Розумні вам розкажуть, навчать та навіть щось вам зроблять – але чи буде здатен обдарований держслужбовець скористатися наданими порадами або здатен підтримувати працездатність побудованих систем і правильно використовувати результати їх роботи?
Як на мою скромну думку, у класичному трикутнику люди-технології-процеси перша ланка є найважливішою, а тому й найскладнішою. Люди – наше все. Без них не потрібні технології та процеси, просто не працюватимуть.

І зовсім наостанок: Указ Президента України №27/2020 від 28 січня 2020 року нічим особливо не змінив загальну сумну картину болотного пейзажу національної системи кібербезпеки. Десь у далечині тихо лопнула маленька бульбашка. Від цього болото не висохло і не перетворилося на квітучий сад. Просто на периферії відбувся якийсь рух.
Чи призведе він до швидких позитивних змін – хтозна. Точно не до швидких. Можливо, за якийсь рік-два у локальному сегменті «державні органи – державно-напівдержавна критична інфраструктура» стане трохи краще. Це якщо буде перелік об’єктів критичної інфраструктури (сумніваюся), якщо гроші не крастимуть (утопія), якщо наберуть кваліфіковану команду (саркастична посмішка) за відносно кваліфіковані гроші (усе відносно), якщо буде політична воля, якщо керівники будуть горіти ідеями, якщо, якщо, якщо.

Можливо, на деякі питання з цього допису відповіді будуть надані вже 20 лютого на CISO DX Day 2020: https://tinyurl.com/th8ajn4
Але поки що намагаємося аналізуємо фактичні дані, будуємо конспірологічні теорії, висуваємо припущення, взагалі розважаємося як можемо. Адже прірва між держсектором і професійною кібербезпекою не зменшилася ані на міліметр.
А ще беремо чергову миску попкорну і спостерігаємо. Далі точно щось буде.