Цього разу нестримні веселощі спричинили чотири абзаци повідомлення на сайті РНБО.

Далі поясню чому це повідомлення - невігластво та взірцевий непрофесіоналізм. Скріншот - під постом, бо я їх знаю, перепишуть «заднім числом».

По-перше: Bug Bounty – аж ніяк не може бути навчальним заходом. Це як тестовий відстріл бронежилета: розумна людина потім зможе зробити висновки, але це точно не “навчальний захід”. Інакше усі виші треба замінити на одразу випускні іспити.
Що ж таке насправді Bug Bounty я розказував тут, тому не буду повторюватися.

По-друге: за п'ять днів навички проведення пентестів можна отримати лише у вологих мріях чиновників РНБО та захопливих фантазіях CRDF Global.

Якщо ти вже досвідчений пентестер, - тоді п’ять днів поспіль спілкування з такими самими досвідченими професіоналами (або ще кращими) матимуть дійсно позитивний ефект. Але сильно сумніваюся, що «представники основних суб’єктів забезпечення кібербезпеки України та працівники критичної інфраструктури” мають хоча б базове уявлення що таке пентест та нахіба він проводиться.

У самому ж РНБО навіть саме слово pentest (penetration testing) не можуть вимовити, у них поки що пАнтест виходить.

Щоб вважатися хоча б молодшим професійним пентестером – потрібно спочатку пройти міжнародний курс, здати відповідний іспит та отримати професійний сертифікат, потім не менше двох-трьох років успішної практичної роботи, під час якої ти  заробляєш собі відповідну репутацію і лише тоді (можливо) тебе візьмуть джуном у пристойну кібер-компанію.
Зрозуміло, що «представники основних суб’єктів забезпечення кібербезпеки України та працівники критичної інфраструктури» у цьому ланцюжку за шкалою «від 0 до 10» знаходяться приблизно на позиції «мінус один».
Тому можна було б і за 5 хвилин провести «навчальний захід Bug Bounty” – ефект був би точно такий самий.
Все те саме стосується і «створення комплексної системи захисту таких об'єктів»: щоб орієнтуватися у сучасних комплексах кіберзахисту, потрібно мати дуже багато практичних знань, довго цим займатися та постійно само-навчатися. А п'ятиденні курси лише печінку учасникам посадять.

І по-третє.

Поліцай-генерал Демедюк повідомив, що “обмін досвідом є запорукою великих спільних досягнень”. Тоді не зрозуміло – так це навчання чи все ж обмін досвідом? Чи може, то «навчання» не в сенсі лекцій-семінарів, а в сенсі симуляції бойових кібер-дій “сині проти червоних”, отетовсьо?
Але у наступному абзаці написано “здобуватимуть навички”, тобто це означає тип навчання “лекції-семінари”, оскільки у тактичних навчаннях змагаються між собою лише досвідчені кібер-фахівці, які вже мають усі необхідні навички, просто шліфують тактики та методики.
Так а який же тоді насправді формат отого заходу від РНБО та CRDF Global? Навчання, тактична гра чи все ж баг-баунті? Це три абсолютно різні речі, хоча вони ретельно переплутані у чотирьох коротких абзацах творчого генію прес-служби РНБО.

Що усі оці по-перше-по-друге загалом означають?

Дві речі: хтось в РНБО або знов тупить, або знов бреше.

І обидва варіанти просто катастрофічні для репутації Національного координаційного центру кібербезпеки (НКЦК) РНБО у ролі координатора «діяльності у сфері кібербезпеки як складової національної безпеки України”.

Для ефективної координації потрібно бути взірцем компетентності у цій сфері, бути точкою довіри та еталоном професіоналізму.

Нічого з цього в НКЦК РНБО точно немає.

І значить – вакханалія невігластва та примітивної урино-офтальмології вирує й надалі.

І ніхто не здатен її зупинити.
Ніхто.
Керують українськими кібер-держструктурами точно такі ж невігласи без будь-якого уявлення про реальну кібербезпеку. Їх дев’ять наразі і усі вони завзято воюють між собою за фінансування та повноваження. А ще міні-цифра самовільно стала десятою, хоча у Законі України “Про основні засади забезпечення кібербезпеки України” вона ніде навіть не згадується.

Така собі арена бійки приматів з владними боєголовками, але без будь-якої відповідальності за результат та супутню шкоду.

Іноземні донори давали і будуть давати усім тим 9+ невігласам гроші «на кібербезпеку» лише тому, що вони є законною владою в Україні. Хоча часто усвідомлюють, що поливають пустелю з відерця. Але продовжують давати гроші некомпетентним чиновникам.
І для донорів не має жодного значення ефективність використання донорських коштів: головне якось витратити гроші та підписати звіти про їх утилізацію. Спитайте у того ж USAID як вони планують витратити 38 мільйонів доларів американських платників податків (або пошукайте дописи з хештегом #cyberUSAID).
І спільні фоточки, а як же ж, це обов’язково потрібно докласти до звіту. Ба більше: здається, це залишається основним критерієм ефективності використання “кібер-допомоги”.

Я ще маю багато неприємних питань до НКЦК РНБО (на які, звісно, ніхто і не подумає відповідати), але ставити їх зараз вже не буду – вони ще неодноразово нададуть мені привід для саркастичних зауважень.

 

Moralité:

«Істинно кажу вам, … надходить Час Білої Стужі й Білого Світла, Час Шаленства й Час Погорди, Tedd Deireadh, Час Кінця…»
Aep Ithlinnespeath, пророцтво Ітлінне Еґлі еп Евенієн.

 

Консянтин Корсун

- Белый дом недоволен, но Украина на него хер положила!
- Каждому россиянину, взявшему в руки оружие должно быть страшно
- Помощь Украине от США. Чем Путин-Huylo может ответить?
- Несколько новостей, которые формируют глобальные тренды в мире
- Люди в основе своей — трусы и приспособленцы
- Батько наш Мандела или треск и нищета украинской пропаганды
- Как спикер Джонсон ярко "поимел" президента Байдена