Позначка: Notpetya

Три роки тому ви прокинулися з кращим розумінням того, з чим спеціалісти з кібербезпеки мають справу щодня. З кібератаки notPetya 2017 року кожен зробив свої висновки: хтось правильні, хтось не дуже. Одне можна стверджувати напевне: ця історія не залишила осторонь нікого з користувачів комп‘ютерної техніки та мереж. Але сьогодні, у День Конституції України, нас в першу чергу цікавить, які висновки зробив уряд нашої держави.

На мою скромну думку, не зроблено рівно нічого з того, що можна і варто було зробити.

Спочатку, я поясню свою точку зору на ситуацію, щоб було зрозуміліше, хто вам це все пише. Формально, я працюю в галузі кібербезпеки з 2007 року, фактично – з 2005-го. Через освіту та особливості професійного виховання, я маю досить широкий кут огляду, адже отримую інформацію в основному з англомовних джерел в реальному часі, поки менш підготовлені колеги чекають на переклади та аналіз місцевих оглядачів. Однак, до 2014-го року я, як і більшість українських колег на той час, був досить тісно інтегрований в російськомовну професійну спільноту. Але скоріш наповнював її контентом – вів блог, записував подкаст, виступав на конференціях тощо – ніж споживав його. Протягом 2014-го, як багато хто з моїх друзів, я повністю ізолювався від російськомовного впливу та перевів власну медійну активність на українську, зменшивши аудиторію приблизно в 10 разів. Шість років потому я вважаю це правильним вибором, який призвів до зовсім неочікуваних позитивних наслідків, таких як заснування власної компанії, створення конференції NoNameCon та інших поступових рішень. Підсумовуючи, ви можете вважати мене кібербандерівцем, який має багату спільну історію з російською індустрією кібербезпеки.

Тому коли у 2017 році нарешті бомбануло – я був до цього морально готовий. Чи був такий тотальний ефект спланованим, для мене все ще загадка, але ескалація була логічною. Росія щонайменше з 2015-го демонструвала готовність в разі чого «вирубати» щось важливе. З метою демонстрації сили, надсилання дипломатичного сигналу на Захід, або просто випробування нових наступальних тактик в кіберпросторі. Власне з огляду на ці прояви агресії я й «прокачав» на той час раніше невідому мені галузь знань з кібербезпеки – міжнародні конфлікти та захист критичної інфраструктури. Очевидно, українські чиновники від кібербезу, цього не зробили. Не те, щоб я сподівався, що це допомогло б їм краще протистояти російській агресії, ні. Але це дало б їм змогу скористатися кризою захисту для накопичення наступального потенціалу.

Бо на мій погляд, у 2017 році Україна була в ідеальній ситуації, щоб на урядовому рівні зробити три важливі речі:

1. Створити доктрину кібербезпеки, яка включає захисні та наступальні заходи. В ситуації, коли ми були жертвою тотальної агресії, міжнародна спільнота сприйняла б це схвально, і скоріш за все навіть допомогла б матеріально. Але ми не скористалися цим приводом, тому у 2020-му нарешті проводимо перші більш-менш підготовлені кібернавчання (до речі, організовані приватними особами), а не застосовуємо сучасні засоби отримання стратегічної інформації (також відомі як кібершпіонаж) в процесах прийняття рішень першими особами.
2. Здійснити «мобілізацію» професіоналів кібербезпеки навколо оборонних завдань держави та створити в професії культуру ефективної протидії стратегічним загрозам. Хвилю патріотичного піднесення в спільноті на той момент переоцінити важко: навіть найпрактичніші скептики погоджувалися, що робити це треба негайно, щоб наступного разу бути готовими не лише захищатися, а й завдавати удар у відповідь. Одним з приємних наслідків цього піднесення було створення першої редакції конференції NoNameCon, але увага державних діячів до неї була досить стриманою. Силовики, напевно, і досі вважають, що «науково-практичні» змагання з синхронного надування щік – це те, що допоможе їм підготувати кваліфіковані кадри.
3. Вийти на прямий діалог з хактивістами та іншими грейхетами усіх мастей та напрямків. Ви уявляєте собі, яким нереальним дивом є Український кіберальянс? Ні, ви майже напевно собі цього не уявляєте. Зібрати хакерів в групу – майже неможливо. Група хакерів це нонсенс, це як групова фотосесія котів. Редтімери занадто незалежні, щоб щось довго робити разом. В кожного є власна думка і майже ні в кого немає навичок добре поводитися в пісочниці. (Саме тому кожен раз, коли я чую вираз «хакерська тусовка» я внутрішньо посміхаюся.) І ось на тлі цього броунівського руху виникає не просто група патріотично мотивованих хакерів, — виникає альянс з кількох таких груп. І що ви думаєте, уряд радіє і починає використовувати цю громадську ініціативу в інтересах держави? Зовсім ні. Натомість, за Порошенка державні органи обмежуються мовчазною угодою про «повне взаємне ігнорування», а за Зеленського — переходять до репресій. Адже професія «хакер» небезпечна зокрема тим, що внаслідок моральної застарілості та недосконалості законодавства, «створити проблеми» можна будь-кому з нас – головне знайти достатньо енергійного слідчого та достатньо близькозорого суддю.

Україна мала шанс і вона ним не скористалася. Естонія мала схожий шанс за значно менш драматичних (читати: сприятливих) обставин – і скористалася ним по повній. Але в України інший шлях. Які були причини цього гальмування – мені не відомо. Можливо, в уряді просто не знайшлося людини, яка на належному рівні володіє предметом. Можливо, така людина знайшлася, але ініціатива обламалася через тодішню звичку перших осіб всі наступальні ініціативи спершу узгоджувати з «західними партнерами». А дарма – просити вибачення значно простіше, ніж дозволу.

Три роки по неПєті ми все ще не маємо належного захисту критичної інфраструктури та кваліфікованого кібервійська в країні, яка, напевно, найбільше цього потребує. Як я вже неодноразово казав, якщо світ кібербезпеки уявити собі дитячим майданчиком, то десь на лавочці Китай та Ізраїль грають в шахи, поруч з ними США, Британія, Німеччина, та інші союзники грають у шашки, десь збоку Росія, Іран та Пн. Корея грають в «Чапаєва», а посередині цього дійства сидить Україна і тримаючи лобзика в правій руці намагається відпиляти ним ліву.

З Днем Конституції.

або чому бізнес не змінив ставлення до кібербезпеки

Я нічого не писав про річницю неПеті, висновки що їх (не) зробила українська держава та бізнес тощо. Зокрема тому, що дуже хотілося почути думки колег і не тільки, а вже потім виносити свої спостереження на публіку. Свою думку щодо цього дуже часто висловлюю і журналістам, і колегам, і навіть клієнтам, але вони її чомусь далі не транслюють. Можливо, вона змушує їх задуматись, а може й ні. З огляду на таку реакцію, я собі зробив висновок, що моя позиція по цій темі непопулярна, хоча поки що ніхто не висунув цікавих контраргументів. Тому давайте-но я її озвучу широко.

Інцидент з неПетєю довів українській державі та бізнесу те, що вони і так знали: кібербезпека не така й важлива, та інвестувати в неї (в тому вигляді, як це пропонує робити ринок) немає особливого сенсу.

Звісно, є певні виключення: деякі компанії, які були геть не готові, нарешті почали робити хоч щось. Деякі компанії, яких зачепило сильніше, ніж конкурентів, зробили корисні висновки. Деякі компанії навіть зробили гасло “ніколи знову” частиною бізнес-стратегії. Але тут йдеться про десятки організацій, всім іншим — відверто все одно.

І з економічної точки зору вони абсолютно праві. По-перше тому, що тотальний інцидент, який накриває весь ринок (вертикаль/галузь/регіон) рівномірно, не складає аж такої великої загрози. Ось вам приклад: коли збитків зазнають всі конкуренти в певній ніші, жодного з них це особливо не топить, адже ніхто не втрачає клієнтів через брак альтернативи. Ця ментальність дуже поширена і з точки зору бізнесу вона вірна.

По-друге, будемо відверті: ніхто не вмер, нікому не відтяло кінцівку, нікого не посадили у в’язницю. Жодна компанія не повідомила про те, що в наслідок неПеті вона збанкрутіла та припинила існування. А недоотриманий прибуток — це просто гроші, їх можна потім заробити (чи як ви їх там здобуваєте). Ці думки заспокоюють бізнес, а безкарність заспокоює чиновників.

Щоб розділяти думку бізнесу треба трохи розібратися в економіці кібербезпеки, а не лише в кібербезпеці. Інвестиції в захист — це sunk cost, бабки які вже ніяк не вдасться повернути. А корисність цього вкладення дуже сумнівна, адже в найкращому випадку із вами просто нічого не станеться. Тому з точки зору керування бізнесом, реінвестиція в бізнес набагато ефективніша, ніж інвестиція в його захист. А через те, що нічого відмінного від інвестиції в захист “класичний” ринок кібербезпеки бізнесу запропонувати не може — тут я цілком на боці бізнесу.

Звісно, окрім захисту в кібербезпеці є ще два місця, куди можна інвестувати з метою уникнення чи зменшення ризиків: це побудова безпечних та живучих систем (security engineering) та підготовка до інцидентів (incident response). Перше дозволяє в процесі побудови зменшити ризики експлуатації систем, а друге — з меншими наслідками пережити атаку, якщо/коли вона відбудеться. Ці два напрямки інвестицій, навпаки, є досить дієвими і значно менш ресурсомісткими. Але “це складно”, чи принаймні складніше за побудову КСЗІ або придбання джентльменського набору фаєрвол + антивірус.

Ось такі в мене думки на тему неПеті. Дива не сталося, бізнес не “прозрів”, це цілком логічно і здебільшого правильно. Молодці ті, хто правильно підходить до інвестицій в кібербезпеку. Шкода тих, хто вишикувався в чергу за новими блимаючими скриньками. А для решти нічого не змінилося і звинувачувати їх немає в чому.

Бережіться розумно.

Якщо вам цікаво розібратися в тематиці фундаментально, почніть із цих публікацій:

• Measuring the Changing Cost of Cybercrime — WEIS 2019 (https://bit.ly/31jye6p)

Our conclusions remain broadly the same as in 2012: it would be economically rational to spend less in anticipation of cybercrime (on antivirus, firewalls, etc.) and more on response.

• Cybersecurity is not very important — dtc.umn.edu (https://www.dtc.umn.edu/~odlyzko/doc/cyberinsecurity.pdf)

There is a rising tide of security breaches. There is an even faster rising tide of hysteria over the ostensible reason for these breaches, namely the deficient state of our information infrastructure. Yet the world is doing remarkably well overall, and has not suffered any of the oft-threatened giant digital catastrophes. This continuing general progress of society suggests that cyber security is not very important.

для керівників вищої ланки

Мене тут увесь день питали, тому коротенько про висновки, які мають зробити біг-бада-боси, з усього, що сталося.

1. Інформаційна безпека (ІБ) це не антивірус і не фаєрвол. ІБ це агрегатний стан. Ви або в змозі триматися до купи, або розтікаєтеся по підлозі. Щоб не розтектися, треба ІБешить.
2. ІБшить мають ІБшники. ІБешники це професія; адмін, програміст, секретар, перекладач, кур’єр — це інші професії, їх не можна примусити ІБшить продуктивно.
3. Досвідчені ІБшники коштують дорого. Можна взяти молодого і виростити, але вийде ще дорожче. Оптимально буде взяти декілька досвідчених і нехай вирощують молодих.
4. ІБшникам треба давати бюджет. Не те, що лишилося від бюджету ІТшників, а окремий бюджет, який вони в змозі логічно обґрунтувати за допомогою оцінки ризиків та чинних норм законодавства. І не половину, не третину того що вони обґрунтують, а весь.
5. ІБшники повинні ІБшить, а не писати RFP на тендери, щоб найняти інших ІБшників, які будуть ІБшить замість них. Безпека це не прок’юрмент. Деколи ІБшникам потрібна допомога інших ІБшників ззовні. Деколи вона необхідна. Але коли ІБшники займаються виключно освоєнням бюджету — “на фіг” пишеться окремо.
6. Сертифікат це не доказ безпеки, це шматок зіпсованого паперу. Абсолютно непотрібна в побуті річ, тому що ламінована і погано гнеться. Комплаянс це не безпека (точніше, це безпека сраки керівника від гніву регулятора, не більше). Щасливий аудитор це не безпека. “Зелений” звіт про пентест це не безпека. Безпека це коли досвідчений ІБшник, який читає зранку під каву скорельовані логі, бухтить собі під ніс: “– Як малі діти, єйбогу.”
7. Безпека це головняк Генерального директора, чи як у вас там на візитці написано. Не ІБшників, не COO, не CFO, не борда, а вищої виконавчої влади в корпорації. Можна делегувати цю функцію, але не можна делегувати відповідальність за неї. Кіберполіція не прилетить на ракеті та не врятує вас від хакерів. Безпека — це +1 бізнес-процес та +1 параметр кожного бізнес-процесу.
8. Будьте готові до інциденту до того, як він настане. Нормальні ІБшники вас до нього підготують. Але майте під рукою плани Б і В, тому що вони знадобляться. Вас хакнуть. (Вас скоріш за все вже хакнули: якщо вас ще не хакнули, це означає, що ви робите щось дуже незначне та нікому не цікаве). Але якщо ви не вважаєте, що ваш бізнес повинен завершитися на першому ж зламі, будьте до нього готові.
9. Майте під рукою кризову піар-стратегію. “Ми нічого не знаємо” це не стратегія. “В нас все добре” це не стратегія. “Ми не винні” це не стратегія. “Майкрософт та інші вендори помиляються, а ми говоримо правду” це не стратегія. Стратегія, це: нас зламали — так; ми вибачаємося за це перед усіма, кому це завдало шкоди; і ми зробимо усе що в людських силах для того, щоб винести максимум уроків з цього зламу та не дозволити цьому повториться знов. Саме ваша піар поведінка під час кризи демонструє ваше справжнє ставлення до клієнтів.

Бережіться.