President.gov.ua? gov.Ze? gov.no!

1.00

Нет

(На днях) в результате атаки попадали, как спелые груши на ветру, веб-сайты Офиса Президента, НАБУ, СВР, еще несколько десятков госструктур.

Не стал исключением и сайт ведомства, которое якобы (на бумаге) ответственно за кибербезопасность государственных учреждений - Госспецсвязи.

Традиционно, о своих провтыках чиновники дружно молчат. Громко кричат о мелких и незначительных достижениях, но признавать ошибки - вот еще, не царское это дело, мы же власть [2], ошибаться не можем в принципе.

Только через 16 часов после устранения последствий инцидента Госспецсвязи опубликовало сообщение https://cutt.ly/gmmextP [3], в котором фактически перевела вину за DDoS-атаку на интернет-сервис-провайдеров. Которые, безусловно, все имеют аттестаты соответствия КСЗИ от той же Госспецсвязи, хотя всем (кто разбирается в тематике) известно, что те аттестаты - только коррупция и филькина грамота, и ни от чего не защищают.

Интересно, что пиарщик ГСССЗИ некий Артем Дорофеев сделал 30 перепостов этого сообщения в разных группах с одним и тем же комментарием: «О ситуации, которая произошла вчера с сайтами государственной власти."

Хотя стоп, в тридцать первый перепост включил таки креатифф: «Защита киберпространства государства в надежных руках».

На эту тему: Госпецсвязью руководит взяточник и жулик [4]

В этом случае дело не в том, что криворукие горлопаны не подумали об элементарном - нормальное резервирование каналов (а не VLAN против DDoS).

И не о известной фразе Фйодорова «Мы всех уволили, но все работало».

И даже не о школьниках-хакерах из Бангладеш BD Gray Hat Hackers, которые ради развлечения на полдня положили украинскую критическую инфраструктуру.

Дело в том, что официальные лица (за наши же деньги) регулярно и нагло врут и буквально писает нам в глаза о реальном состоянии кибербезопасности в стране и своей «роли» в этом.

Вот несколько примеров.

"... государство смогло сформировать ядро национальной системы кибербезопасности» - это цитата из последней Стратегии кибербезопасности Украины, утвержденной СНБО в мае 2021 года.

Должен отметить, что на это самое «ядро» и была направлена достаточно средней сложности, но успешная DDoS-атака [5].

Осознавая свою ущербность, чиновники от кибербезопасности ищут хотя бы кого-то, кто бы их похвалил, и поэтому яростно гордятся 25-м местом Украины в "индексе кибербезопасности", вымышленном мутной эстонском конторкой "Академия электронного управления" https://cutt.ly/AnEtx3a [6] https://bit.ly/38yiQHQ [7].

Вместо реального развития сети центров реагирования на киберинциденты, этот процесс только имитируется, причем очевидно бездарно https://cutt.ly/cnEZebW [8].

При Госспецсвязи создан игрушечный «совет киберекспертив» https: // cutt .ly / NhgrfUC [9].

Сами себя они называют «Найміцніший проєкт України» (ггг).

И о себе написали: «Мы собрали лучших специалистов для реформирования и совершенствования стратегий, механизмов и законодательной базы в области кибербезопасности.»

Из госбюджета тратятся огромные деньги «на национальную кибербезопасность» https://cutt.ly/DnJNsSH [10]:

Госспецсвязи: 155 миллионов.

Минфин: 152 миллиона.

Минюст: 112 миллионов.

На кибербезопасность критической инфраструктуры Украины (а эти вебсайты, безусловно, являются критической инфраструктурой) правительство США выделило аж 38 млн бесполезных долларов https: // cutt. ly / RnEjPVT [11].

Между прочим, самого «донора» недавно жестко хакнули запоребрики: https://cutt.ly/gnEMsZ3 [12].

На эту тему: СНБО: Украина тратила миллиард в год на российское ПО [13]

Да и вообще, кибербезопасность государства Украина финансируют многочисленные международные фонды и организации: Программа EGAP, Фонд Восточная Европа, TAPAS, UNDP Ukraine / ПРООН в Украине, KfW, EU4DigitalUA, SACCI, FIIAPP, SURGe, Support to Ukraine's Reforms for Governance. И еще много других, я не обо всех знаю.

При Госспецсвязи и Минцифры уже давно существуют так называемые «общественные советы», которые непонятно чем занимаются и зачем вообще нужны. Они не могут даже потребовать отчет об одном-единственном малозначительном вчерашнем инциденте. О громких мощных инцидентах национального масштаба «кейс Байдена» и «кредит через Дію» я даже и не заикаюсь, потомучто члены местных громарад, пожалуй, обмочились бы от страха при мысли хлопнуть кулаком по столу на чиновников. Хорошо, что такие мысли их никогда не посещают.

О многочисленных провтыках разной степени фееричности малограмотных государственных «кибер-защитников» можно собрать полноценную двухдневную конференцию, реально. И только во время волонтерского патриотического движения #FRD (октябрь 2018 - февраль 2020) было собрано материала на полноценную книгу. Поэтому не буду перечислять сотни фактов ужасающего непрофессионализма работников государственного сектора кибербезопасности и их же пафосных заявлений вроде «Защита киберпространства государства в надежных руках!».

У меня простой вопрос ко всем этим «советам экспертов», «общественным советам», «эстонским кибер-индексам», к СНБО, Минцирку, Госспецсвязи, USAID, TAPAS, EU4DigitalUA, EGAP:

И что, помогло?

Как оно там вообще, а не на вершинах бумажного кибер-Олимпа, норм?

На эту тему: Константин Корсун: «Существующая система кибербезопасности - живой труп» [14]

Министерства и должности создаются, деньги активно тратятся, гранты пилятся, а кибербезопасность страны как была в заднице - так там и остается.

Передаю вам лучики добра, мои бубочки.

Пока в государственном секторе царит кумовство, тотальный непрофессионализм, неоправданные понты и поголовная коррупция (это главное) - пока подобные инциденты будут происходить регулярно.

И это еще пока сидят в засаде всякие кремлевские АРТ28 [15], АРТ29 и другие Cozy Bear [16].

А пока в течение полу-дня всей государственной машиной удалось отбиться только от школоты из Бангладеш, которая хакнула сотни сайтов чисто "по приколу" - потому что это легко.

Как говорил классик: «Роль кибербезопасности немного ...» что?

Отож.

—

Kонстантин Корсун, опубликовано на странице автора в Facebook [17]

На эту тему: