Прочитав законопроєкт про кібер резерв. Він називається «Про Кіберсили», але 50-60% тексту в ньому присвячено саме кібер резерву. Загальне враження неоднозначне, як про будь-який законопроєкт. Звісно, можна було набагато краще. Але з іншого боку, можна було набагато гірше.
В цьому дописі спробую обʼєктивно проаналізувати текст крізь призму фреймворка PETIO, в якому Макс Шмітз узагальнив основні компоненти національних кіберсил. Тобто зважувати законопроєкт будемо по таких параметрах:
- Персонал
- Експлойти
- Технології
- Інфраструктура
- Організація
Очевидно, перший пункт P:People, в законопроєкті викладений досить докладно. Це з одного боку плюс, адже саме персонал є ключовим ресурсом кібер сил. З іншого боку, в законопроєкт закладений явний перекос в бік питання генерації сил, а саме шляхом створення так званого кібер резерву.
Хоч в резерві як явищі нічого негативного немає, в законопроєкті йдеться не про резерв в звичайному розумінні. Тут йдеться про те, що людей без жодного досвіду після випробування та навчання зараховуватимуть одразу в резерв. З якого їх потім можуть висмикувати для виконання завдань. Робити це будуть військові частини напряму, керуючись власними потребами.
Навіть якщо брати до уваги очевидні ризики такого підходу, мушу зазначити, що в дійсності так воно не працює. Планка кібер резервіста, встановлена в законопрєкі, це айтівець після певного курсу навчання. В реальності між людиною, яка заробляла інтелектуальною працею повʼязаною з компʼютерами, і кібер оператором лежить не курс навчання, а місяці (бажано роки) участі в кібер операціях певної інтенсивності. Більше того, дистанціювання від такої діяльності бодай на пів року створює потребу додаткового навчання та реінтеграції в процес. Це добре описані в академічній та доктринальній літературі проблеми, розвʼязок яких в законопроєкті не закладений.
Отже, попри значну увагу приділену ключовій задачі кібер сил – генерації та підтримці кадрового ресурсу – ця задача не вирішена, а неявно поставлена командирам частин та майбутньому керівництву кібер сил. Скажу відверто: не заздрю та навіть співчуваю.
Йдемо далі. В наступних трьох частинах фреймворку, а саме E:Exploits, T:Tools, I:Infrastructure, законопроєкт торкається лише шляхів фінансування. Така низька увага до фундаментальних компонентів кібер сил дивує, але пояснень цьому може бути занадто багато, тому коментувати важко.
Решта тексту присвячена O:Organization. Широкими мазками визначена структура та підпорядкування кібер сил, а їм самим присуджена роль головного органу управління в усьому що стосується кібер операцій. Додатково визначено право на власну розвідку та здатність все це утаємничити.
Особливу увагу звернув на те, що в законопроєкті повторено помилку всіх кібер сил (точніше спроб їх створити) країн ЄС: поряд з наступальними та розвідувальними функціями прописано захисні. Тому не виключаю німецький сценарій: 10,000 кібер воїнів які крутять сієми та антивіруси.
Окремо доктринальну розсинхронізованість тексту з сучасним станом мислення про предмет підкреслюють згадування міфічного стримування та фантомних кібер операцій в електромагнітному спектрі.
Тепер поділюся думками про деталі, в яких диявол. В тексті є епізод, який я вважаю занадто ризикованим, щоб його оминали увагою профільні експерти, тому спробую цю увагу звернути. Він стосується компенсації військовослужбовців, в тому числі резервістів, призваних з резерву для виконання оперативних завдань. Щоб всі були в контексті, процитую фрагмент повністю.
4. Кожному військовослужбовцю та службовцю структури Кіберсил Збройних Сил України, які брали участь у плануванні та проведенні успішної кібероперації (кіберкампаній, кібердій), виплачується одноразова додаткова винагорода у таких пропорційних розмірах відповідно до розміру прожиткового мінімуму для працездатних осіб, визначеного законом про Державний бюджет України на відповідний рік:
1) за рішенням Президента України для кібероперації стратегічного рівня, задумом якої було запобігання збройної агресії проти України – 400;
2) за рішенням Головнокомандувача Збройних Сил України для кібероперації стратегічного та оперативного рівнів по військовим цілям противника (потенційного противника) та підтримку держав – союзників України під час особливого періоду – 100;
3) за рішенням начальника (командира) Кіберсил Збройних Сил України – 25.
Щоб спростити розрахунки, нагадаю, що в 2024 році 25 прожиткових мінімумів для працездатних осіб це 75,700 грн і в перспективі зменшуватися ця сума скоріш за все не буде. Тобто фіксуємо для себе, що мотиваційна частина кібер воїна складається з окладу і премій, а також ось цієї (хочу написати “одноразової”, але це в законопроєкті ніде не вказано) винагороди. Є там і більші суми, але давайте бути реалістами – система мінімізуватиме бюрократію та витрати.
Тут я мушу зазначити, що найбільш важливими та ефективними в кіберпросторі є операції кіберзбору, які забезпечують унікальними та ексклюзивними розвідданими як розвідоргани та сили оборони, так і вище військово-політичне керівництво країни. Тобто, легко здогадатися, що таким чином справді успішні кібероперації не закінчуються ніколи. Зафіксуйте собі цю думку, а я поки продовжу.
Далі, мушу відмітити, що така мотиваційна схема максимізуватиме стратегічно менш важливі кібероперації, тобто ті, які можна швидко провести і гарно відзвітувати. Це зазвичай руйнівні операції кібервпливу, які в стратегічній перспективі лише шкодять вам і виробляють імунну відповідь в противника, постійно ускладнюючи вам цілі. Два відомі способи виправдати операції кібер впливу – це досягти кумулятивного ефекту на важливі процеси ворога (логістика, бюрократія, зв’язок, виробництво, фінанси тощо) або сформувати наратив у публічному дискурсі країни ворога та спробувати розхитати громадянське суспільство. Через те, що публічного дискурсу та громадянського суспільства на болотах немає, лишаються кумулятивні ефекти в критичних галузях, які, вибачте за мій скепсис, не кожному по кібер силах.
Отже, напрошується висновок, що запропонована в законопроєкті схема компенсації військовослужбовців або
а) мотивує їх займатися операціями трохи складнішими за дудос, проте за які можна прозвітувати про успіх; або
б) зазначена винагорода не одноразова і виплачуватиметься, скажімо, щомісяця протягом тривалості справді важливої та успішної кібер операції.
Додаткові важливі деталі стосуються особливостей кібер операцій як явища. Наприклад, як бути з тим фактом, що кібер оператори та кібер аналітики, не кажучи вже про їхніх командирів, одночасно братимуть участь та плануватимуть значно більше, ніж одну операцію? Або з тим, що кожна кібер операція завдячує успіхом набагато більшому колу осіб – розробникам, системним адміністраторам, організаційним експертам тощо і тощо, – аніж тим, хто «брали участь у плануванні та проведенні успішної кібероперації»? Корисно знати, що в авторів законопроєкту є бажання гідно винагородити справді цінних фахівців, проте схема виглядає непродумано.
Гадаю, що справді дієвою була б компенсаційна схема, в якій держава в особі кібер сил могла б конкурувати з приватним сектором на ринку праці принаймні в сегменті молодих спеціалістів, а командирів різних ланок утримувала кар’єрними перспективами, стабільним майбутнім та іншими характерними для держслужби смаколиками. Проте хто я такий, щоб мене слухати?
Загальне враження від цієї законодавчої ініціативи: створити нарешті щось і далі це еволюційно покращувати. Якщо так, то ставлення до законопроєкту може бути лише і виключно компромісним. Краще хоч так, аніж ніяк.