Категорія: Кібербезпека

Google, Facebook, Microsoft, Amazon, Verizon… всі компанії, які осягнули майбутнє цифрової економіки прагнуть до накопичення якнайбільшого об’єму поведінкових даних про населення Землі. Це почалося з того, що Google винайшов наглядовий капіталізм, який базується на “видобуванні” принципово нової сировини: поведінкових “надлишків”, або “вихлопів” використання людьми інформаційних продуктів, таких як веб- та мобільні технології.

Підйом наглядового капіталізму – вже історія, це не змінити. Зараз ми спостерігаємо новий якісний прорив: вторгнення у фізичну реальність цифрових алгоритмів, натренованих на поведінковому вихлопі нашої онлайн-активності. Провайдер мобільного зв’язку (що слідкує за користувачами через триангуляцію сигналу) купує прадавню пошукову систему, яка так і не підлаштувалася під нові реалії наглядового капіталізму. Інтернет-гігант, монстреозна корпорація (яка за багатьма ознаками “і є інтернет”), купує компанію-виробника трекерів людської біологічної активності. Компанія “типу таксі, але не таксі” занурює свої поведінкові та геолокаційні тентаклі в дані про наше пересування громадським транспортом, наші гастрономічні вподобання та господарські тонкощі нашого побуту. Компанії, які донедавна панували лише у “віртуальності”, захоплюють контроль над реальністю, розміщуючи в ній фізичні сенсори, об’єднані під романтичною назвою Інтернет Речей. І найпростіший спосіб приєднатися до цієї веселої компанії “інноваторів” – це розмістити на смартфоні користувачів свій мобільний додаток.

Український уряд успішно просувається стежкою, яку намітили йому Googe, Facebook та Microsoft. Мрія можновладців, “держава в смартфоні”, перекладається на мову наглядового капіталізму буквально як держава В КОЖНОМУ смартфоні. Встановивши на смартфони громадян навіть не дуже багатий на функціонал мобільний додаток, можна отримувати стільки поведінкового вихлопу, що виявлення настроїв та вподобань електорату стане тривіальною задачею та зрештою автоматизується. А передбачення дій громадян та маніпулювання їхньою волею здійснюватиметься за допомогою рядків в конфігураційному файлі.

Ця ідея провальна за своєю суттю, адже державам немає місця в майбутньому. Зрештою, контроль над населенням планети захоплять наглядові капіталісти, адже лише в них буде для цього достатньо багато даних, достатньо натреновані алгоритми, та достатньо освічені оператори. Коли я чую, що Китай виграє в Штатів гонку озброєнь у сфері штучного інтелекту, я подумки регочу, адже цю гонку вже виграв Google. Ця гонка завершилася до того, як хтось встиг до неї приєднатися. Зараз навіть найяскравіші інноватори, навіть загальний улюбленець Ілон Маск, можуть в кращому випадку намагатися знайти щось принципово нове, чим на початку століття був наглядовий капіталізм. Адже в усіх існуючих областях вже є переможці і змагатися з ними – марна трата часу.

В решті решт уряд України чекає або провал, або аутсорсинг політичного впливу одній з мегакорпорацій. Адже Facebook може зробити з коміка президента. Але блискучого політика – навряд.

Прочитав матеріал на Internetua і, як писав класик, “задумался” (С).

Отже, в Міністерство цифрової трансформації України, яке не займається кібербезпекою, адже нею займається The State Service for Special Communication and Information Protection, буде створено офіс реформ в галузі кібербезпеки?

І це ще не враховуючи той факт, що галузі кібербезпеки, яка вимагала б регулювання, в Україні де факто не існує. Є певна технічна метушня на сотні мільонів гривень на рік, яка в основному полягає у впровадження та оновленні різноманітних кібер-вундервафлей. А ось кібербезпеки як такої – нема. Не вірите?

Ну ось вам аргумент: сьогодні в нас майже грудень 2019 року, а Кабмін все ще не прийняв програму заходів з кібербезпеки, яку мала б розробити Держспецзв’язку. Тому остання зробила хід конем та подала план на два роки: 2019-2020.

І ще одне: держава в галузі кібербезпеки мала б в першу чергу опікуватись захистом критичної інфраструктури, правда? Щоб нам дистанційно взимку не вимкнули світло, не забруднили питну воду біологічними агентами, а на Міноборони не впав літачок тощо. Щоб не здійснилися оці всі хакерські страшилки і ще багато з того, що ми навіть не уявляємо. Так ось, щоб захищати щось, треба це спочатку визначити. Бачите до чого я веду? Ага, ви думало шо десь ща сімома замками під грифом “цілком таємно” є такий собі перелік об’єктів критичної інформаційної інфраструктури? Серйозно?

Тепер до питання “чому так”? Я коротко: тому що в USAID були цільові бабки і їх треба було освоїти. Хочеш швидко витратити необмежений об’єм бабла – замов якісний аудит. Це вам будь-який аудитор підтвердить. Тепер все складається в пазл? Добре, я радий, що ми витратили цей час не дарма.

Від себе хочу побажати Мінцифрі та новому офісу з реформування наснаги та успіхів. Повірте мені на слово: ми будемо дуже сильно на них чекати та дуже пильно за ними спостерігати.

Мінцифри звітує, що досвід України в протистоянні Росії в кібервійні — унікальний. І його треба використовувати і т.д. Не дуже унікальний гоу-гоу дансер від ІТ в коментарях скандує про інновації та про те, що Україна — країна стартапів і країна-стартап.

Наводжу різкість. Коли тебе п**дять, це не досвід. Це страждання. Досвід, це коли ти даєш здачі і дивишся, що з того буде. Кому треба, ті вже давно цей досвід напрацьовують та використовують. А держава Україна поки що лише з занепокоєнням та цікавістю роздивляється, як її б‘ють та скільки лайна вибивають. «Адже кал цікавий, а цікавість — то погляд в майбутнє», як казав класик.

Є в бізнесі така приказка, «fake it till you make it». Залежно від області застосування, це можна трактувати по-різному: від геніальної стратегії до цинічного на**алова. Наприклад, якщо у вас немає ані спеціалістів, ані досвіду, ані часу здобути перше і друге, то сунутись в державний тендер на закупівлю відповідних послуг лише тому, що засновники вашої фірми бухають в сауні із профільним замміністра — це буде цинічне на**алово. А ось претендувати на нову посаду, яка дещо складніша та амбіційніша за попередню — це геніальна стратегія. Головне в‘вязатися, а там розберемось. Безвихідь ситуації створить ідеальні умови для розвитку і ви це зробите. А поки що, посміхайтесь та удавайте, що все під контролем.

Fake it Till You Make It стало генеральною стратегією уряду Зеленського. Тому що, як не крути, а ця команда вміє та любить грати. Але за періодом удаваної готовності взяти відповідальність за долю країни неодмінно прийде час, коли цією долею доведеться опікуватися. І ані президент, ані уряд, ані парламентська більшість до цього не готові. Для трансформації з дешевих імітаторів у державних діячів було занадто мало часу.

Звісно, я суджу лише з того, що бачу, та в чому розбираюся. Але в тій темі, де багато хто вважає мене експертом, дії поточної влади не витримують жодної критики. І я маю нахабність екстраполювати ці спостереження на інші галузі. Якщо Україна це стартап, то мушу нагадати, що базовий рейт успішних стартапів це 2%. А ще класик казав, «навіщо вам погляд у те, чого у вас нема?»

У школі мого малого на вході до кабінету директора довший час висів портрет Порошенка і це мене дуже бісило. Тепер там висить горщик із квітами.

з шинкою та моцарелою

На тлі подій, які розгорнулися цього тижня щодо партнерства одного українського кібербезпекового івенту та російського журналу “Хакер”, в багатьох колег, а тим більше в людей з-поза меж “кібер-тусовки”, виникло багато питань. Я за останні два дні трохи втомився на них відповідати, але залишати їх без відповіді не можна. Тому ось вам невеличкий екскурс в українську хакерську геополітику.

Почнемо з того, що більш за все дезорієнтує стороннього спостерігача, який волею-неволею зіштовхується з так званою спільнотою кібербезпеки. Немає ніякої спільноти. Звісно, є досить велика група людей, які ведуть діяльність в спільній, хоч і досить різнобарвній, області знань. Але цілісної спільноти вони не утворюють. Скоріше, це декілька утворень, які мають різні погляди, інтереси та цінності. Розрізнити такі утворення можна за двома ознаками: яке в його учасників бачення індустрії кібербезпеки як явища, та які в його учасників етичні пріоритети.

Бачення спільноти в людей буває або одного з трьох типів, або поєднує ці типи в комбінації. Перші розглядають кібербезпеку як бізнес та бачать тут лише роботу або підприємницьку діяльність. Другі бачать в кібербезпеці професію, область знань та предмет вивчення й подальшого розвитку. Треті бачать в кібербезпеці певну субкультуру, яку називають хакерською. Типи сприйняття накладають відбитки на поведінку своїх носіїв, наприклад, перші вимагають один від одного певної ділової етики, другі інвестують час у допомогу менш досвідченим колегам, а треті створюють та розганяють тематичні інтернет-меми. Комбінації двох бачень трапляються досить часто. Цілком ймовірно, що хтось наб’є собі тату з лого Kali Linux та поїде так виступати по світових конференціях. Але поєднання всіх трьох світоглядів в одній голові зустрічається дуже рідко. Проте нерідкі випадки, коли носії одного світогляду успішно імітують інший або навіть інші два. Але в підсумку для когось з нас кібер це бізнес, для когось — спільнота однодумців, а для когось — хакерська субкультура. І цей світогляд певною мірою визначає нашу поведінку.

Етичні пріоритети, це відповідь на питання, що для вас важливіше із отакого короткого списку:
1. Бути хорошою людиною
2. Бути хорошим членом суспільства
3. Бути хорошим громадянином
4. Бути хорошим професіоналом та працівником
Давати означення категоріям вище я не буду, адже це марна трата часу: в людей, в яких вони мають суттєві відхилення від загальноприйнятих, все настільки запущено, що в чомусь їх переконувати не має сенсу, а в решти із цим все добре. Ключові відмінності в етичних пріоритетах настільки важливі, що можуть розділяти цілі цивілізації. Наприклад, представники західної цивілізації набагато більші індивідуалісти та менше довіряють державі, тобто для них 2>3. Мешканці Сходу навпаки — більші колективісти, а інтереси держави ставлять вище особистих, хоч і не завжди добровільно. Наші рішення залежать від того, в якому порядку в нашій свідомості розташовані ці іпостасі. Для когось професійна діяльність та бізнес важливіші за громадянську позицію, тому він може продовжувати вести справи із представниками країни-агресора в умовах війни. А для когось життя та свобода людини важливіші за професійні обов’язки, тому замість виконання обов’язків за контрактом він організовує пікет під будинком суду.

Тип світогляду та моральні пріоритети визначають як люди поводяться та як вони організовуються у групи. Важко уявити собі цілісну спільноту, в якій співпраця із резидентами країни-агресора одними учасниками схвалюється, а іншим піддається критиці. Тому професіонали гуртуються за спільними цінностями й утворюють спільноти, яким ці цінності характерні. Все починається із виникнення лідера або лідерів, які розділяють світогляд один одного, та закладають фундамент майбутньої спільноти. Далі до лідерів приєднуються перші послідовники, які становлять ядро спільноти. А далі до нової спільноти приєднуються всі інші охочі учасники, які розділяють її ідеологію.

В результаті, українська професійна тусовка розпадається на ізольовані групи, які більшість часу ігнорують одна одну. Групи несуть різну ідеологію, від відверто ватно-миролюбної, де вважається за честь підтримувати дружні стосунки із російськими колегами, відвідувати російські професійні конференції та навіть брати участь в їхній організації; крізь, наскільки це можливо, нейтральну, де процвітає віра в “хороших русских”, які не цікавляться політикою та не схвалюють дії свого уряду; до радикально антиросійської, де сама ідея спілкування із росіянами, запрошення їх у доповідачі на конференціях та будь-яка інша співпраця розцінюється в кращому випадку як невдала спроба пожартувати. Ці розбіжності з професійної та субкультурної площин перетікають в бізнесову: компанії, точніше їхні працівники, прискіпливіше обирають, яку із спільнот підтримувати матеріально, коли намагаються уникати асоціацій із певними ідеологічними принципами або їхньою відсутністю. Зрештою, світогляд та етика переплітаються в певний орнамент, який визначає характер спільноти та її успіх в цільової аудиторії. Народжуються символічні гасла та меми, як то “мы за дружбу”, “хакери вне политики” та “чей Крым?”, спільноти-носії яких явно себе ідентифікують, чим притягують нових членів та відштовхують ідеологічних противників. (Про всяк випадок розшифрую гасла: “мы за дружбу хакеров России и Украины”; “хакеры вне политики”, а той факт, що кібератаки становлять чи не найгарячіший домен геополітичного протистояння, ми ігноруємо; “чей Крым?” — і ви можете подумати, що відповідь на це питання визначить перспективу нашого подальшого спілкування, але скоріш за все ми просто над вами знущаємось).

Діяльність спільнот протікає в більш-менш спокійному темпі, допоки в діях однієї з них не виникне вчинок, який кардинально суперечить світогляду іншої або інших. Спільноти в різній формі обмінюються критикою, форма якої, як і реакція на неї, буває досить різноманітною та залежить від освіченості, вихованості та настрою лідерів та учасників спільнот: від “дякую за конструктивне зауваження” до “іди умнічай в своєму чаті”. Загалом, більшість часу все доволі тихо та взаємні випади максимально нівелюються небажанням розводити черговий срач в чатах та коментах. Але серйозні косяки викликають обурення, яке викликає рефлексію, а там і до ланцюгової реакції недалеко. Останнім часом такими косяками стають вчинки, які кидають тінь на усе умовне українське “ком’юніті”, якого, як я написав на початку, фактично не існує. І саме тому все більше людей та спільнот хочуть відмежуватися один від одного та зруйнувати цей стереотип про єдину спільноту.

Сподіваюся, наступного разу, коли ви будете читати статтю, що починається зі слів “експерт з кібербезпеки вважає…”, “українські хакери стверджують…” або “хакерська конференція запросила до партнерства…”, ви не станете узагальнювати та застосовувати її вміст до усіх представників нашої професії.