Корсун: Бойові звіти в Армія+ - тупість чи диверсія?

Версия для печати

Жижиталізатори продовжують розвалювати роботу ЗСУ зсередини.

Тепер Кабмін (тобто Федоров) своєю постановою №63 від 21.01.2025 доручає МОУ разом з МВС (?) налагодити подачу частинами та підрозділам ЗСУ звітів(донесень) про виконання бойових завдань – через портал Армія+.

Одразу виникає питання – а якщо доручення для МОУ та МВС, то чому у постанові не згадується, наприклад, Держспецзв’язку?

Шо, не мають бойових бригад і не виконують бойових завдань?

А чому тоді вважаються військовими та мають військові звання?

Чому гордо іменують себе «сектором безпеки та оборони»?

Але це було рефлекторне питання, автоматичне.

Головна проблема полягає в іншому.

Я мовчав коли йшлося про подачу рапортів через АрміяХрест.

І справа тут більше у моделі загроз та стратегічній оцінці ризиків. Якщо спрощено, то якщо ворожа розвідка перехоплює рапорти - вони отримають багато інформації про особовий склад підрозділів, звання та прізвища командирів, назви та номери військових частин – а це доволі затребувані дані для військової розвідки, особливо під час війни.

Але не критичні.

І тому баланс «ризики vs бенефіти» виглядав більш-менш прийнятним. Нічого хорошого, звісно, але, затуливши очі, можна прийняти цей чималий ризик.

Тому що навряд чи заради такої інформації (рівня ДСК) русня буде витрачати великі ресурси на злам системи Армія+ та/або протоколу TLS 1.2/1.3.

Але якщо у цій системі передавати звіти про виконання бойових завдань – то вже зовсім інший рівень ризиків.

Це вже супер-важлива та дуже критична інформація, з грифами «таємно», «цілком таємно» та «особливо важливо».

І тепер ціль – злам такої системи – виправдовує будь-які засоби.

А грошей і ресурсів у русні все ще вистачає, і вони колись неодмінно  хакнуть АрміяХрест – тому що це для них стає буквально «вежею зі скарбами», на штурм якої вони викладуть усі наявні козирі.

А успішно хакнувши – не будуть про це трубити на весь світ, а просто тихенько сидітимуть всередині та матимуть максимально точні та актуальні дані про бойову роботу ЗСУ – причому миттєво, в режимі реального часу. Бо ж все цифровізовано, круто, зручно, швидко, модно-молодьожно.

А, як відомо серед кібер-професіоналів, у цьому Світі не існує систем, які не можна хакнути. Питання лише у наявності у зловмисника достатньої кількості часу, людей, ресурсів та інструментів.

Відповідно, сучасна концепція кібербезпеки полягає не у питанні «чи нас хакнуть», а у тому «що ми робимо після того як нас хакнули».

Сильно сумніваюся, що про це відомо маріонеткам Федорова в МОУ.

До того ж, актуальними для додатку Армія+ залишаються усі ті ж проблеми, як і в Дії: невизначеність ступеню захисту додатку та надійність його архітектури, відсутність доступу до Інтернет на полі бою, незабезпеченість службовими смартфонами потрібного рівня сучасності, тощо.

Але головна й найбільш небезпечна подібність полягає саме у застосування формату «додаток у смартфоні користувача».

Наприклад, у Естонії проводить онлайн-вибори через комп’ютер/браузер ще з 2005 року, але категорично виключають можливість робити те саме через смартфон. Я про це розказував тут.

Але якщо Дія-хом’ячкам переважно пох на свої персональні дані та оці ваші ніпанятні «конфіденційність та приватність» – то витік бойових звітів через АрміяХрест прямо підриватимуть ефективність СЗУ та, відповідно, безпосередньо впливатимуть на життя/смерть цих самих хом’ячків.

Примітивний приклад: ворог проник до Армія+ та бачить звіт про 80%-ий некомплект мін та боєприпасів або їх непридатність до ураження на певній ділянці фронту. І наступного ж дня на цю ділянку кидають тисячу північно-корейців, але косити їх майже нічим і вже надвечір Дія-хом’ячки опиняються в окупації з великими шансами бути фізично «денацифікованими» у найближчій канаві.

Принагідно позначу кілька інших «про&балі» стосовно АрміяХрест.

По-перше, «портал Армія+» - це ніякий не портал, а сайт-візитівка з лінком на завантаження додатку Армія+ з офіційних магазинів. Портал – це зовсім про інше.

По-друге, на сайті-візитівці набрехали, буцімто Армія+ створили Міноборони спільно з Генштабом ЗСУ». Створили додаток Армія+ виключно в ГШ (а конкретно - в ЦМТР), а Міноборони (читай «Федоров та подавальниця чаю») пізніше примазалося, коли продукт був вже майже готовий – як завжди роблять ці жалюгідні цифрові щури.

По-третє, авторизація відбувається через суто цивільну систему BankID.

Ну і купа дрібніших питань, типу “що таке ICEI” та з якого переляку її можна вважати “безпечною платформою е-ідентифікації”.

Знаєте, нам сильно не повезло жити у наші найгірші часи під владою агресивних рукожопих невігласів.

Які вже не кажуть в інтерв’ю «роль кібербезпеки дещо перебільшена», але судячи з усього – продовжують мислити (та діяти!) саме у рамках цієї парадигми.

І складається враження, що пришвидшення скоєння ними обсягу злочинної тупості не хаотичне, а керується нашим ворогом."

Костянтин Корсун, експерт з кібербезпеки. У 2000-2005 заступник керівника відділу боротьби з комп’ютерною злочинністю при Департаменті контррозвідки СБУ. Засновник та перший керівник CERT-UA. Колишній директор та співзасновник української кібер-компанії; сторінка автора у Фейсбук

«Аргумент»

На цю тему:

• Корсун: Черговий пробнік онлайн-виборів з тріском провалився. Шо пішло не так?
• Костянтин Корсун: Чому майже тиждень не працює державна система електронного документообігу
• Корсун: Стратегії влади «роль кібербезпеки перебільшена» виповнилося 5 років
• Костянтин Корсун: Черговий злам Дії