«МИ ВСІХ ВАС ПОСАДИМО!»: невитравна поліцейщина української національної кібербезпеки, - Костянтин Корсун

«МИ ВСІХ ВАС ПОСАДИМО!»: невитравна поліцейщина української національної кібербезпеки, - Костянтин Корсун

Моя спроба пояснити чому поліцейщина – це погано і чому це не працює у кібербезпеці загалом і у кібер-проектах національного рівня зокрема


У п’ятницю 25 вересня заява секретаря РНБО пана Олексія Данілова про нібито “взяття на облік усіх користувачів «Вконтакті» і що вони начебто «матимуть клопіт з Нацполіцією та силовими структурами» сколихнула не лише кібер-спільноту, але й усе суспільство.

М'яко кажучи, дивна заява від одного з найбільш притомних топ-політиків чинної політичної влади.

Якщо б таке заявив, скажімо, якийсь Федоров чи його кишеньковий Вискуб – я б не був здивований. Ці діячі відомі своєю некомпетентністю у питаннях кібербезпеки та її роллю (яка, як відомо, «перебільшена»).

Але від Мячеславовича такого не очікував. Відчутно пахнуло КДБ, Соловками, 1937 роком та Запорєбріком.

Некоректна, непродумана та недалекоглядна теза.

 

Перший аспект: юридичний.
З контексту зрозуміло, що мова йде про масове слідкування за користувачами Інтернет. Без кримінального провадження, без правових підстав, без рішення суду.

Щоб отримати технічні дані для ідентифікації користувачів соціальних мереж, потрібно отримати їх у провайдера або у кількох Інтернет-сервіс-провайдерів (ISP). А провайдер ввічливо, але наполегливо попросить відповідне рішення суду. 

Враховуючи, що кількість українських користувачів вконтакт-бридоти може сягати мільйонів, у поліції просто принтери погорять друкувати таку кількість постанов та ухвал. Та і людей у них стільки немає. 

Скільки у країні більш-менш кваліфікованих кібер-поліцейських, кілька сотень? Ну, нехай разом з ДКІБ СБУ – до тисячі на всю країну. Виходить десь щонайменше по тисячі постанов на кожного поліціянта. Навіть якщо по 10 за день, то це більше 3 місяців безперервного 12-годинного робочого дня. За такого розкладу правоохоронцям просто не вистачить часу займатися ніякими іншими справами: тими, заради яких створювали Кіберполіцію. І тоді, коли її створювали, завдання стежити за користувачами соцмереж – точно не планувалося.
Розуміючи усе це, та маючи політичне замовлення від чинного режиму напередодні прийдешніх виборів («всєх бабміть»), у поліції (чи вже краще навивати їх вже «міліцією»?) є два шляхи вирішення проблеми: або радикально збільшити кількість кібер-поліціянтів або автоматизувати процес слідкування.


З першим шляхом все зрозуміло, Аваков вже розказав як це буде. На думку Того-За-Якого-Ми-Всі-З-Дитинства, більше поліцейських = більше безпеки. Глибокого хибна думка, але не відволікаємося.

Цікавіше (і страшніше для нас з вами) – це автоматизація.

І це вже технічний аспект заяви пана секретаря РНБО.

Автоматизувати процес підлгядування та підслуховування за власними громадянами – давня волога мрія і предмет заздрісних зітхань вітчизняних «таваріщей майорів». 

Суть її полягає у тому, щоб поставити у кожного провайдера свої «чорні скриньки» і не злізаючи з крісла, мати миттєвий доступ до трафіку будь-якого українського користувача Інтернет. Без ухвал всяких там судів, без слідчих, прокурорів та іншої неприємної бюрократії.
При чому за кошти самих провайдерів. А це, на хвилиночку, десятки мільйонів доларів. «Таваріщ майор» буде висувати свої «хатєлкі» до відповідного обладнання, а провайдери будуть зобов’язані купляти конкретне обладнання у конкретного виробника. Корупція? В Україні? Та не може бути такого!

Але ж гроші – це лише частина пазлу вирішення проблеми автоматизація стеження за українцями.
Головне – законодавче врегулювання. Наприклад, Законом України. Щоб нагнути користувачів Інтернет та провайдерів офіційно, по закону.

І такі спроби робилися вже тричі: двічі законопроектом #6688 у 2017 та 2018 роках, і цього року законопроектом #4004. 

У 2017 та 2018 громадянське суспільство разом з кібер-спільнотою відбили цю атаку на наші свободи, але цього року щось поки не чутно про долю законопроекту, начебто він поки ще проходить комітети. Напевно, вирішили почекати слушного моменту, коли суспільство на хвилинку відвернеться і тоді тихенько пропхнути.

Подібні системи автоматизованого стеження за користувачами Інтернет давно розгорнуті та працюють у РФ, Китаї та інших далеких від демократії країнах.

Вітчизняні «таваріщі майори» їм заздрять та намагаються наслідувати «старшим братам». Але поки не вдається, на щастя.

Сьогодні намагаються блокувати руськомірні лайно-помийки, але якщо такий варіант прокатить, то завтра цей самий інструмент буде застосований і проти інших соціальних мереж, незгодних сайтів, опозиційних платформ та порталів, занадто принципових блогерів, громадянських активістів, небайдужих громадян. 

Точно вам кажу. Якщо у вас в руках молоток – ви обов’язково знайдете цвях, по якому бемцнути з усієї дурі.
Але ж гарантовані Конституціє України права та сводоби громадян України – на порядок важливіша річ, ніж боротьба зі злочинністю. Боротьба зі злочинністю ведеться якраз задля реалізації прав та свобод громадян, ні в якому разі не навпаки. Але правоохоронці часто-густо про це забувають і плутають зоряне небо з його віддзеркаленням у нічному ставку.
Періодично їм про це твердо нагадувати, беручи за шкірку і тицяючи пикою у їхнє лайно  – наш вимушений обов’язок як громадянського суспільства.

Загалом-то я здогадуюся звідки «ростуть ноги» цієї дивної заяви пана секретаря РНБО.

Справа у тому, що заступником пана Данілова працює генерал поліції, колишній очільник Кіберполіції пан Сергій Демедюк. Людина загалом непогана, але має сильно однобоке уявлення про кібербезпеку.

Він усю своє життя провів у міліції та поліції: з 1994 року і аж до призначення заступником секретаря РНБО у 2019. 

Тобто 26 років свого активного життя безперервно провів виключно у державних бюджетних установах. Усе свідоме життя лише витрачав кошти платників податків, не маючи уявлення як їх заробляють. Як у старому анекдоті про бандита та бізнесмена: «Тебе у школі вчили складати та множити, а мене – лише віднімати та ділити».

Мені відомо, що пан Сергій в провладних колах вважається найкращим фахівцем з кібербезпеки (і мабуть так воно і є, з обмовкою «як для госухи»), тому саме він фактично керує усім кібер-напрямком в РНБО. Наприклад, додаткове фінансування та спроба розвитку Національного координаційного центру кібербезпеки при РНБО – цілком його заслуга.

Так от, я певен, що секретар РНБО Данілов проголосив тези, які йому «вкладає у вуха» Сергій Демедюк. Бо кібербезпека - це якраз «вотчина» Демедюка, його «зона відповідальності».

А Демедюк, за усієї повагои, усі свої 26 років роботи в правоохоронній системі він знає лише міліцейсько-поліцейські методи роботи, і знає їх досконало. Він просто не знає як інакше вирішувати проблеми. Ну так вже якось склалося.

Але ці методи не працюють, принаймні для організації кіберзахисту національної критичної інфраструктури. 

Ловити кібер-злочинців - це настільки ж мізерна складова національної КБ, як і один листочок для всього лісу. Так, цим необхідно займатися, і робити це потрібно якісно, але це все одно, що майстерному та відповідальному штукатуру доручити спроектувати хмарочос.

А стосунки влади та суспільства докорінно змінилися після 2014 року. Українці вже не готові терпіти поліцейщини в управління державою, ціну свободи ми вже визначили життями патріотів і не припустимо повторення мусорського свавілля.
 

Але що ж маємо на сьогодні у національній кібербезпеці?
Кібербезпека сама по собі є складною високотехнологічною дисципліною, яка не припускає дилетантства та недостатньої кваліфікації.

А кібербезпека усієї нації  вимагає не тільки високого рівня технічних знань, але й практичного досвіду з юридичних, організаційних, адміністративних та купи інших питань. Необхідний практичний досвід роботи як у приватному секторі, так і в державному, як на національному рівні, так і на міжнародному. З усіх боків мати уявлення, а не тільки з одного.

Чомусь кожен з нас хоче піти лікуватися до професійного лікаря, а не до чиновника з МОЗ, еге ж?

Але чому національної кібербезпекою у нас займається хто завгодно, лише не професіонали – досі загадка.


На моє глибоке переконання, займатися кібербезпекою національного масштабу повинні виключно професіонали, і причому найвищого рівня. А де у нашій (та й у інших) країні найкращі професіонали? Прааальна, у приватному секторі. Чи хочуть вони займатися цією чиновницькою мутотою? Звісно, не хочуть. Навіщо працювати на порядок більше та тяжче, у нудотних умовах чиновницького тераріуму за набагато скромніші гроші? Звісно, бажаючих нема.

І така ситуація абсолютно влаштовує чиновництво.

Але то вже інша окрема історія, не відволікаємося.

Так от, по факту Національним координаційним центром кібербезпеки РНБО керує поліцейсько-міліцейський генерал, більша частина кар’єри якого припала на 90-ті, 2000-ні та 10-ті роки. З відповідними методами та специфічним підсвідомим ставленням до «комерсів», «бариг» та інших «бізнесюків».

І тому цілком зрозуміло, чому боротьба за кібербезпеку громадян України буде вестися переважно проти самих громадян та бізнесу: заборони, обмеження, обшуки, арешти. Бо інших методів вони просто не знають. Ворога ми перемогти не можемо, тому будемо бити своїх. Типово поліцейсько-ментовський спосіб мислення. І тому все більшому числу співгромадян стає очевидним, що захищатися потрібно не тільки від кібер-злочинців, але і від рідної «держави».

Саме тому цього літа я започаткував власний курс відео-уроків «Кіберзахист від держави».

А з урахуванням чіткої тенденції до «ментовізації» та «аваковізації» нашого буття, актуальність подібного кібер-само-захисту лише зростатиме. Навчитися захищати самих себе від «таваріща майора» не складно, безкоштовно і це точно колись знадобиться у житті. Аби було бажання.

І ще одна порада: читайте усі офіційні новини про кібербезпеку, подумки добавляючи перед заголовком слова: «Всупереч здоровому глузду…». 

І тоді все стане на свої місця.
«Всупереч здоровому глузду, бенефіціаром американської програми кібер-допомоги стало Міністерство цифрової трансформації України»;
«Всупереч здоровому глузду, керівником Держспецзв'язку стала людина, яку колись спіймали на отриманні хабаря»;
«Всупереч здоровому глузду, віце-прем’єр-міністр Федоров вважає, що роль кібербезпеки трохи перебільшена».


Що з цим всім робити, кажете?
Це настільки регулярне питання, що я його одразу відчуваю.
Щось робити точно треба, хоча спроб це «щось» змінити нами, кібер-спільнотою, було зроблено немало. Але усі вони розбивалися об безпросвітну тупість чиновників. Без яких, на превеликий жаль, будь-який проект національного рівня приречений на фіаско.

Але є одна гарна новина: мене буквально минулого тижня відвідала Муза Натхнення з новою Ідеєю, більш прагматичною.
Зараз я її ще думаю, потім буду її обговорювати з топ-професіоналами галузі, разом ми її причешемо та долижемо і далі, напевно шо почнемо потихенько реалізовувати. Але цього разу треба бути обачнішими та не анонсувати публічно суть задуму аж поки це не буде абсолютно необхідно. Все одно чиновники нас не зрозуміють і не підтримають. Але натомість спотворять ідею та спробують вкотре дискредитувати її ініціаторів.
Адже суть ідеї залишиться незмінною – професіоналізм, горизонтальні зв’язки, об’єднання стейкхолдерів, масове навчання, мінімум примусу, максимум довіри. І жорстка спрямованість на швидкий кінцевий результат, а не на безкінечний «процес заради процесу», який маємо зараз.

Тому залучати чиновників потрібно лише на певному етапі, і при чому у такий спосіб, щоб вони не змогли «включити задню». 

Ну і досить інтригувати. Думаю, ще цього року ми вже вийдемо з новою цікавою ініціативою. Хоча до цього мусимо якісно попрацювати головою.

Отже, я спробував пояснити чому поліцейщина – це погано і чому це не працює у кібербезпеці загалом і у кібер-проектах національного рівня зокрема.
Але хочу наголосити, що поліцейщина – не найголовніша проблема національної кібербезпеки та кіберзахисту.
Найголовніша проблема – наднизька кваліфікація людей, які беруться її вирішувати. А з урахуванням складності та масштабів проблеми, вирішувати її мали б люди з протилежного кінця вертикалі компетентності. І у такому разі стане очевидно, що чиновники нам взагалі не потрібні, навіщо тоді ми їх утримуємо?

 

Тому ось мій прогноз на найближче майбутнє:
- чиновники й надалі проголошуватимуть ідіотські гасла; 

- кількість таких чиновників також неухильно зростатиме;
- поліцейські сили все істеричніше топитимуть за тотальний контроль комунікацій;
- кошти «на кібербезпеку» продовжать (і навіть збільшать) виділяти, як з бюджету, так й від іноземних добрих дядь та тьоть;
- деякі кібер-компанії вже хочуть відкусити шматочок від тих солодких грошей, але від цього «державно-приватне партнерство» не стане дійсністю - тому що переважно це схематози і тому що мова йтиме виключно про бабло, не про ідеї;
- співпраця з кібер-ком’юніті , як і раніше, не розгядатиметься «державою» як варіант виходу з кібер-кризи. «Ніколи не дружили, тож не варто й починати».

Але, не зважаючи на усе це -  нам своє робить.
Бо хто ж як не ми? Шо вітчизняні чиновники, шо «західні партнери» старанно ігнорують думку професійної кібер-спільноти. Ну штош.
У 2014 ми самі відновили обороноздатність нашої країни, то що, не відновимо національну кібербезпеку?


І наостанок, повертаючись до «кіберзахисту від держави»: якщо сам вмієш захищати себе у кіберпросторі, тоді заяви чиновників типу «ми всіх вас посадимо» сприймаються із саркастичною посмішкою. Як оце у мене зараз.
Поліцейщина не призведе до посилення кібербезпеки країни, але точно наблизить нас до тоталітаризму.

А поки що політ нормальний – стабільно падаємо.

P.S.: на цю ж тему раджу почитати гострий, дотепний та, як завжди, блискучий допис Шона Таунсенда.

 

Костянтин Корсун

 

Поделитесь с друзьями в соцсетях:

 

 

 

- Расслабьтесь... Зеленский просто показывает вам кино... Но он одномерный и думает, что всех обманул, - Чаплыга
- А может, введем набсоветы в Кабмин, Раду, суды?
- В "Слуге народа" призвали Раду поддержать роспуск Конституционного суда, инициированный Зеленским
- Елена Лукаш: Это "шкурняк". КСУ регулярно принимает решения с защитой прав себя любимого и своих судей
- Михаил Саакашвили: Украинцы дали Зеленскому мандат избавиться от старого политического класса. ВИДЕО
- Полное видео жуткой аварии на Майдане, где погибли двое, а еще несколько - получили телесные повреждения
- ЗЕ против КС: Украина сползает в глубокий кризис — DW
- Анатолий Шарий: Мы что, отщепенцы и уроды, которые постоянно выпрашивают у Евросоюза безвиз? ВИДЕО
- Без украинизации, но с амнистией. В "ДНР/ЛНР" назвали семь законов Украины для реинтеграции Донбасса
- Весь вой соросят - не о борьбе с коррупцией, а о внешнем управлении
21:06Сентябрь, 27 2020 829

► РЕЗОНАНС 
недели
месяца