На днях в результате атаки попадали, как спелые груши на ветру, веб-сайты Офиса Президента, НАБУ, СВР, еще несколько десятков госструктур.
Не стал исключением и сайт ведомства, которое якобы (на бумаге) ответственно за кибербезопасность государственных учреждений - Госспецсвязи.
Традиционно, о своих провтыках чиновники дружно молчат. Громко кричат о мелких и незначительных достижениях, но признавать ошибки - вот еще, не царское это дело, мы же власть, ошибаться не можем в принципе.
Только через 16 часов после устранения последствий инцидента Госспецсвязи опубликовало сообщение , в котором фактически перевела вину за DDoS-атаку на интернет-сервис-провайдеров. Которые, безусловно, все имеют аттестаты соответствия КСЗИ от той же Госспецсвязи, хотя всем (кто разбирается в тематике) известно, что те аттестаты - только коррупция и филькина грамота, и ни от чего не защищают.
Интересно, что пиарщик ГСССЗИ некий Артем Дорофеев сделал 30 перепостов этого сообщения в разных группах с одним и тем же комментарием: «О ситуации, которая произошла вчера с сайтами государственной власти."
Хотя стоп, в тридцать первый перепост включил таки креатифф: «Защита киберпространства государства в надежных руках».
В этом случае дело не в том, что криворукие горлопаны не подумали об элементарном - нормальное резервирование каналов (а не VLAN против DDoS).
И не о известной фразе Фйодорова «Мы всех уволили, но все работало».
И даже не о школьниках-хакерах из Бангладеш BD Gray Hat Hackers, которые ради развлечения на полдня положили украинскую критическую инфраструктуру.
Дело в том, что официальные лица (за наши же деньги) регулярно и нагло врут и буквально писает нам в глаза о реальном состоянии кибербезопасности в стране и своей «роли» в этом.
Вот несколько примеров.
"... государство смогло сформировать ядро национальной системы кибербезопасности» - это цитата из последней Стратегии кибербезопасности Украины, утвержденной СНБО в мае 2021 года.
Должен отметить, что на это самое «ядро» и была направлена достаточно средней сложности, но успешная DDoS-атака.
Осознавая свою ущербность, чиновники от кибербезопасности ищут хотя бы кого-то, кто бы их похвалил, и поэтому яростно гордятся 25-м местом Украины в "индексе кибербезопасности", вымышленном мутной эстонском конторкой "Академия электронного управления" https://cutt.ly/AnEtx3a https://bit.ly/38yiQHQ.
Вместо реального развития сети центров реагирования на киберинциденты, этот процесс только имитируется, причем очевидно бездарно.
При Госспецсвязи создан игрушечный «совет киберекспертив».
Сами себя они называют «Найміцніший проєкт України» (ггг).
И о себе написали: «Мы собрали лучших специалистов для реформирования и совершенствования стратегий, механизмов и законодательной базы в области кибербезопасности.»
Из госбюджета тратятся огромные деньги «на национальную кибербезопасность» :
Госспецсвязи: 155 миллионов.
Минфин: 152 миллиона.
Минюст: 112 миллионов.
На кибербезопасность критической инфраструктуры Украины (а эти вебсайты, безусловно, являются критической инфраструктурой) правительство США выделило аж 38 млн бесполезных долларов.
Между прочим, самого «донора» недавно жестко хакнули запоребрики.
Да и вообще, кибербезопасность государства Украина финансируют многочисленные международные фонды и организации: Программа EGAP, Фонд Восточная Европа, TAPAS, UNDP Ukraine / ПРООН в Украине, KfW, EU4DigitalUA, SACCI, FIIAPP, SURGe, Support to Ukraine’s Reforms for Governance. И еще много других, я не обо всех знаю.
При Госспецсвязи и Минцифры уже давно существуют так называемые «общественные советы», которые непонятно чем занимаются и зачем вообще нужны. Они не могут даже потребовать отчет об одном-единственном малозначительном вчерашнем инциденте. О громких мощных инцидентах национального масштаба «кейс Байдена» и «кредит через Дію» я даже и не заикаюсь, потомучто члены местных громарад, пожалуй, обмочились бы от страха при мысли хлопнуть кулаком по столу на чиновников. Хорошо, что такие мысли их никогда не посещают.
О многочисленных провтыках разной степени фееричности малограмотных государственных «кибер-защитников» можно собрать полноценную двухдневную конференцию, реально. И только во время волонтерского патриотического движения #FRD (октябрь 2018 - февраль 2020) было собрано материала на полноценную книгу. Поэтому не буду перечислять сотни фактов ужасающего непрофессионализма работников государственного сектора кибербезопасности и их же пафосных заявлений вроде «Защита киберпространства государства в надежных руках!».
У меня простой вопрос ко всем этим «советам экспертов», «общественным советам», «эстонским кибер-индексам», к СНБО, Минцирку, Госспецсвязи, USAID, TAPAS, EU4DigitalUA, EGAP:
И что, помогло?
Как оно там вообще, а не на вершинах бумажного кибер-Олимпа, норм?
Министерства и должности создаются, деньги активно тратятся, гранты пилятся, а кибербезопасность страны как была в заднице - так там и остается.
Передаю вам лучики добра, мои бубочки.
Пока в государственном секторе царит кумовство, тотальный непрофессионализм, неоправданные понты и поголовная коррупция (это главное) - пока подобные инциденты будут происходить регулярно.
И это еще пока сидят в засаде всякие кремлевские АРТ28, АРТ29 и другие Cozy Bear.
А пока в течение полу-дня всей государственной машиной удалось отбиться только от школоты из Бангладеш, которая хакнула сотни сайтов чисто "по приколу" - потому что это легко.
Как говорил классик: «Роль кибербезопасности немного ...» что?
Отож.
Kонстантин Корсун, опубликовано на странице автора в Facebook