(На днях) в результате атаки попадали, как спелые груши на ветру, веб-сайты Офиса Президента, НАБУ, СВР, еще несколько десятков госструктур.
Не стал исключением и сайт ведомства, которое якобы (на бумаге) ответственно за кибербезопасность государственных учреждений - Госспецсвязи.
Традиционно, о своих провтыках чиновники дружно молчат. Громко кричат о мелких и незначительных достижениях, но признавать ошибки - вот еще, не царское это дело, мы же власть [2], ошибаться не можем в принципе.
Только через 16 часов после устранения последствий инцидента Госспецсвязи опубликовало сообщение https://cutt.ly/gmmextP [3], в котором фактически перевела вину за DDoS-атаку на интернет-сервис-провайдеров. Которые, безусловно, все имеют аттестаты соответствия КСЗИ от той же Госспецсвязи, хотя всем (кто разбирается в тематике) известно, что те аттестаты - только коррупция и филькина грамота, и ни от чего не защищают.
Интересно, что пиарщик ГСССЗИ некий Артем Дорофеев сделал 30 перепостов этого сообщения в разных группах с одним и тем же комментарием: «О ситуации, которая произошла вчера с сайтами государственной власти."
Хотя стоп, в тридцать первый перепост включил таки креатифф: «Защита киберпространства государства в надежных руках».
На эту тему: Госпецсвязью руководит взяточник и жулик [4]
В этом случае дело не в том, что криворукие горлопаны не подумали об элементарном - нормальное резервирование каналов (а не VLAN против DDoS).
И не о известной фразе Фйодорова «Мы всех уволили, но все работало».
И даже не о школьниках-хакерах из Бангладеш BD Gray Hat Hackers, которые ради развлечения на полдня положили украинскую критическую инфраструктуру.
Дело в том, что официальные лица (за наши же деньги) регулярно и нагло врут и буквально писает нам в глаза о реальном состоянии кибербезопасности в стране и своей «роли» в этом.
Вот несколько примеров.
"... государство смогло сформировать ядро национальной системы кибербезопасности» - это цитата из последней Стратегии кибербезопасности Украины, утвержденной СНБО в мае 2021 года.
Должен отметить, что на это самое «ядро» и была направлена достаточно средней сложности, но успешная DDoS-атака [5].
Осознавая свою ущербность, чиновники от кибербезопасности ищут хотя бы кого-то, кто бы их похвалил, и поэтому яростно гордятся 25-м местом Украины в "индексе кибербезопасности", вымышленном мутной эстонском конторкой "Академия электронного управления" https://cutt.ly/AnEtx3a [6] https://bit.ly/38yiQHQ [7].
Вместо реального развития сети центров реагирования на киберинциденты, этот процесс только имитируется, причем очевидно бездарно https://cutt.ly/cnEZebW [8].
При Госспецсвязи создан игрушечный «совет киберекспертив» https: // cutt .ly / NhgrfUC [9].
Сами себя они называют «Найміцніший проєкт України» (ггг).
И о себе написали: «Мы собрали лучших специалистов для реформирования и совершенствования стратегий, механизмов и законодательной базы в области кибербезопасности.»
Из госбюджета тратятся огромные деньги «на национальную кибербезопасность» https://cutt.ly/DnJNsSH [10]:
Госспецсвязи: 155 миллионов.
Минфин: 152 миллиона.
Минюст: 112 миллионов.
На кибербезопасность критической инфраструктуры Украины (а эти вебсайты, безусловно, являются критической инфраструктурой) правительство США выделило аж 38 млн бесполезных долларов https: // cutt. ly / RnEjPVT [11].
Между прочим, самого «донора» недавно жестко хакнули запоребрики: https://cutt.ly/gnEMsZ3 [12].
На эту тему: СНБО: Украина тратила миллиард в год на российское ПО [13]
Да и вообще, кибербезопасность государства Украина финансируют многочисленные международные фонды и организации: Программа EGAP, Фонд Восточная Европа, TAPAS, UNDP Ukraine / ПРООН в Украине, KfW, EU4DigitalUA, SACCI, FIIAPP, SURGe, Support to Ukraine's Reforms for Governance. И еще много других, я не обо всех знаю.
При Госспецсвязи и Минцифры уже давно существуют так называемые «общественные советы», которые непонятно чем занимаются и зачем вообще нужны. Они не могут даже потребовать отчет об одном-единственном малозначительном вчерашнем инциденте. О громких мощных инцидентах национального масштаба «кейс Байдена» и «кредит через Дію» я даже и не заикаюсь, потомучто члены местных громарад, пожалуй, обмочились бы от страха при мысли хлопнуть кулаком по столу на чиновников. Хорошо, что такие мысли их никогда не посещают.
О многочисленных провтыках разной степени фееричности малограмотных государственных «кибер-защитников» можно собрать полноценную двухдневную конференцию, реально. И только во время волонтерского патриотического движения #FRD (октябрь 2018 - февраль 2020) было собрано материала на полноценную книгу. Поэтому не буду перечислять сотни фактов ужасающего непрофессионализма работников государственного сектора кибербезопасности и их же пафосных заявлений вроде «Защита киберпространства государства в надежных руках!».
У меня простой вопрос ко всем этим «советам экспертов», «общественным советам», «эстонским кибер-индексам», к СНБО, Минцирку, Госспецсвязи, USAID, TAPAS, EU4DigitalUA, EGAP:
И что, помогло?
Как оно там вообще, а не на вершинах бумажного кибер-Олимпа, норм?
На эту тему: Константин Корсун: «Существующая система кибербезопасности - живой труп» [14]
Министерства и должности создаются, деньги активно тратятся, гранты пилятся, а кибербезопасность страны как была в заднице - так там и остается.
Передаю вам лучики добра, мои бубочки.
Пока в государственном секторе царит кумовство, тотальный непрофессионализм, неоправданные понты и поголовная коррупция (это главное) - пока подобные инциденты будут происходить регулярно.
И это еще пока сидят в засаде всякие кремлевские АРТ28 [15], АРТ29 и другие Cozy Bear [16].
А пока в течение полу-дня всей государственной машиной удалось отбиться только от школоты из Бангладеш, которая хакнула сотни сайтов чисто "по приколу" - потому что это легко.
Как говорил классик: «Роль кибербезопасности немного ...» что?
Отож.
—
Kонстантин Корсун, опубликовано на странице автора в Facebook [17]
На эту тему:
Ссылки:
[1] https://argumentua.com/stati/politika/skandaly
[2] http://argumentua.com/stati/ze-shulerstvo-kak-monobolshinstvo-chuzhimi-rukami-pokhoronilo-reformu-sudeistva
[3] https://cutt.ly/gmmextP
[4] http://argumentua.com/stati/gospetssvyazyu-rukovodit-vzyatochnik-i-zhulik
[5] http://argumentua.com/novosti/khakeri-atakuvali-v-rusom-banki-ukrenergo-ki-venergo
[6] https://cutt.ly/AnEtx3a
[7] https://bit.ly/38yiQHQ
[8] https://cutt.ly/cnEZebW
[9] https://cutt.ly/NhgrfUC
[10] https://cutt.ly/DnJNsSH
[11] https://cutt.ly/RnEjPVT
[12] https://cutt.ly/gnEMsZ3
[13] http://argumentua.com/novosti/snbo-ukraina-tratila-milliard-v-god-na-rossiiskoe-po
[14] http://argumentua.com/stati/konstantin-korsun-sushchestvuyushchaya-sistema-kiberbezopasnosti-zhivoi-trup
[15] http://argumentua.com/stati/orgprestupnost-rossii-na-sluzhbe-kremlya
[16] http://argumentua.com/stati/russkie-grubo-delayut-svoyu-rabotu
[17] https://www.facebook.com/kostiantyn.korsun/posts/1709432292575198
[18] http://argumentua.com/novosti/ukrainskie-spetssluzhby-vylozhili-na-prozorro-dokumenty-s-grifom-sekretno-i-dlya-sluzhebnogo
[19] http://argumentua.com/stati/fiktivnyi-sait-fiktivnaya-sistema-rada-poltavskii-oblsovet-rabotaet-kak-chastnaya-lavochka
[20] http://argumentua.com/novosti/82-programnogo-zabezpechennya-v-ukra-n-ne-l-tsenzovane-business-software-alliance
[21] http://argumentua.com/stati/uvy-eto-ne-paranoiya-za-nami-sledyat
[22] http://argumentua.com/stati/gdpr-mify-i-realnost
[23] http://argumentua.com/stati/kak-rossiiskie-khakery-vzlamyvali-izbiratelnuyu-sistemu-ssha-sekretnyi-otchet-anb
[24] http://argumentua.com/stati/antivirus-kasperskogo-ugroza-dlya-gosudarstva-ukraina
[25] http://argumentua.com/stati/bitvy-velikoi-tekhnologicheskoi-kak-v-sovremennom-mire-srazhayutsya-za-mirovoe-gospodstvo