Три роки тому ви прокинулися з кращим розумінням того, з чим спеціалісти з кібербезпеки мають справу щодня. З кібератаки notPetya 2017 року кожен зробив свої висновки: хтось правильні, хтось не дуже. Одне можна стверджувати напевне: ця історія не залишила осторонь нікого з користувачів комп‘ютерної техніки та мереж. Але сьогодні, у День Конституції України, нас в першу чергу цікавить, які висновки зробив уряд нашої держави.
На мою скромну думку, не зроблено рівно нічого з того, що можна і варто було зробити.
Спочатку, я поясню свою точку зору на ситуацію, щоб було зрозуміліше, хто вам це все пише. Формально, я працюю в галузі кібербезпеки з 2007 року, фактично – з 2005-го. Через освіту та особливості професійного виховання, я маю досить широкий кут огляду, адже отримую інформацію в основному з англомовних джерел в реальному часі, поки менш підготовлені колеги чекають на переклади та аналіз місцевих оглядачів. Однак, до 2014-го року я, як і більшість українських колег на той час, був досить тісно інтегрований в російськомовну професійну спільноту. Але скоріш наповнював її контентом – вів блог, записував подкаст, виступав на конференціях тощо – ніж споживав його. Протягом 2014-го, як багато хто з моїх друзів, я повністю ізолювався від російськомовного впливу та перевів власну медійну активність на українську, зменшивши аудиторію приблизно в 10 разів. Шість років потому я вважаю це правильним вибором, який призвів до зовсім неочікуваних позитивних наслідків, таких як заснування власної компанії, створення конференції NoNameCon та інших поступових рішень. Підсумовуючи, ви можете вважати мене кібербандерівцем, який має багату спільну історію з російською індустрією кібербезпеки.
Тому коли у 2017 році нарешті бомбануло – я був до цього морально готовий. Чи був такий тотальний ефект спланованим, для мене все ще загадка, але ескалація була логічною. Росія щонайменше з 2015-го демонструвала готовність в разі чого «вирубати» щось важливе. З метою демонстрації сили, надсилання дипломатичного сигналу на Захід, або просто випробування нових наступальних тактик в кіберпросторі. Власне з огляду на ці прояви агресії я й «прокачав» на той час раніше невідому мені галузь знань з кібербезпеки – міжнародні конфлікти та захист критичної інфраструктури. Очевидно, українські чиновники від кібербезу, цього не зробили. Не те, щоб я сподівався, що це допомогло б їм краще протистояти російській агресії, ні. Але це дало б їм змогу скористатися кризою захисту для накопичення наступального потенціалу.
Бо на мій погляд, у 2017 році Україна була в ідеальній ситуації, щоб на урядовому рівні зробити три важливі речі:
- Створити доктрину кібербезпеки, яка включає захисні та наступальні заходи. В ситуації, коли ми були жертвою тотальної агресії, міжнародна спільнота сприйняла б це схвально, і скоріш за все навіть допомогла б матеріально. Але ми не скористалися цим приводом, тому у 2020-му нарешті проводимо перші більш-менш підготовлені кібернавчання (до речі, організовані приватними особами), а не застосовуємо сучасні засоби отримання стратегічної інформації (також відомі як кібершпіонаж) в процесах прийняття рішень першими особами.
- Здійснити «мобілізацію» професіоналів кібербезпеки навколо оборонних завдань держави та створити в професії культуру ефективної протидії стратегічним загрозам. Хвилю патріотичного піднесення в спільноті на той момент переоцінити важко: навіть найпрактичніші скептики погоджувалися, що робити це треба негайно, щоб наступного разу бути готовими не лише захищатися, а й завдавати удар у відповідь. Одним з приємних наслідків цього піднесення було створення першої редакції конференції NoNameCon, але увага державних діячів до неї була досить стриманою. Силовики, напевно, і досі вважають, що «науково-практичні» змагання з синхронного надування щік – це те, що допоможе їм підготувати кваліфіковані кадри.
- Вийти на прямий діалог з хактивістами та іншими грейхетами усіх мастей та напрямків. Ви уявляєте собі, яким нереальним дивом є Український кіберальянс? Ні, ви майже напевно собі цього не уявляєте. Зібрати хакерів в групу – майже неможливо. Група хакерів це нонсенс, це як групова фотосесія котів. Редтімери занадто незалежні, щоб щось довго робити разом. В кожного є власна думка і майже ні в кого немає навичок добре поводитися в пісочниці. (Саме тому кожен раз, коли я чую вираз «хакерська тусовка» я внутрішньо посміхаюся.) І ось на тлі цього броунівського руху виникає не просто група патріотично мотивованих хакерів, — виникає альянс з кількох таких груп. І що ви думаєте, уряд радіє і починає використовувати цю громадську ініціативу в інтересах держави? Зовсім ні. Натомість, за Порошенка державні органи обмежуються мовчазною угодою про «повне взаємне ігнорування», а за Зеленського — переходять до репресій. Адже професія «хакер» небезпечна зокрема тим, що внаслідок моральної застарілості та недосконалості законодавства, «створити проблеми» можна будь-кому з нас – головне знайти достатньо енергійного слідчого та достатньо близькозорого суддю.
Україна мала шанс і вона ним не скористалася. Естонія мала схожий шанс за значно менш драматичних (читати: сприятливих) обставин – і скористалася ним по повній. Але в України інший шлях. Які були причини цього гальмування – мені не відомо. Можливо, в уряді просто не знайшлося людини, яка на належному рівні володіє предметом. Можливо, така людина знайшлася, але ініціатива обламалася через тодішню звичку перших осіб всі наступальні ініціативи спершу узгоджувати з «західними партнерами». А дарма – просити вибачення значно простіше, ніж дозволу.
Три роки по неПєті ми все ще не маємо належного захисту критичної інфраструктури та кваліфікованого кібервійська в країні, яка, напевно, найбільше цього потребує. Як я вже неодноразово казав, якщо світ кібербезпеки уявити собі дитячим майданчиком, то десь на лавочці Китай та Ізраїль грають в шахи, поруч з ними США, Британія, Німеччина, та інші союзники грають у шашки, десь збоку Росія, Іран та Пн. Корея грають в «Чапаєва», а посередині цього дійства сидить Україна і тримаючи лобзика в правій руці намагається відпиляти ним ліву.
З Днем Конституції.