Костянтин Корсун

Експерт з кібербезпеки. У 2000-2005 заступник керівника відділу боротьби з комп’ютерною злочинністю при Департаменті контррозвідки СБУ. Засновник та перший керівник CERT-UA. Колишній директор та співзасновник української кібер-компанії.

Редакція Цензор.НЕТ може не поділяти позицію авторів. Відповідальність за матеріали в розділі "Блоги" несуть автори текстів.

Ми більше не дізнаємося про кібератаки - засекречено

6 91645
Ми більше не дізнаємося про кібератаки - засекречено

Коли реєстри хакнуть наступного разу – ви про це вже не дізнаєтеся.
Тому що «слуги» тишком-нишком засекретили інформацію про кіберінциденти.

Згідно вже прийнятого за основу законопроекту 11290, «інформація про інцидент кібербезпеки ..щодо електронних систем об’єктів критичної інформаційної інфраструктури ..є інформацією з обмеженим доступом».
 Всьо, проблема кібербезпеки вирішена: ми просто забороняємо повідомляти про голи у наші ворота.
Фух, нарешті перемога.
Нахіба вирішувати проблему, якщо можна її просто засекретити? Геніально.

Тепер навіть сам факт інциденту заборонено розголошувати.
Вони і раніше не так шоб дуже говірки були, а тепер ще й законодавчу основу мають – ніззя говорити про проблеми, заборонено. Неча холопам забагато знати шо ми там вчергове «про#балі»(С)

А якщо хакнули «суб'єкт сектору безпеки та оборони» - то інформація про це тепер взагалі буде державною таємницею. До якою тепер віднесено“…стан, … заходи і порядок здійсення кібероборони, забезпечення кібербезпеки».
А зламаний ресурс – це і є поточний «стан кібербезпеки».
Тобто якщо гроші на кібербезпеку були виділені, але кудись закотилися – прутня тобі, а не інформація.
Якщо/коли рашн-хакерс вчергове хакнуть поштові сервери МВС - це вже державна таємниця і видавати її за журналістськими запитами ніяк не можна.

І що характерно, народні обранці називають своє голосування за ЗП 11290 – потужною реакцією на кібератаки проти реєстрів Мінюсту.
Для мене абсолютно ясно, що ніхто з проголосувавших не читав шо там написано – крім хитрого автора.
А якщо хтось і глянув – не мав клепки зрозуміти.
Скажу по секрету: навіть мені було непросто продертися через 38 сторінок старанно заплутаної казуїстики. Але я ж всього лише експерт з кібербезпеки з юридичною освітою, куди мені до інтелектуальної величі членів Парламенту.

У самому кінці законопроекту тихенько втиснута норма, яка дозволяє представникам «об’єднаної групи» - а це РНБО, Держспецзв’язку, Нацполіція та СБУ – «безперешкодний доступ до інформаційно-комунікаційних та технологічних систем військових формувань». Звісно, «з метою локалізації кібератак і інцидентів кібербезпеки, наслідки яких можуть призвести чи призвели до кризової ситуації». 
Ця ж норма була у законопроекті 8087, який ми усі разом тричі відбили. Цього ж разу спроба стала вдалою завдяки зміні тактики: непомітними абзацами, ретельно захованими серед величезної купи законодавчого непотрібу.

Але також у ЗП 11290 знайшлося місце і веселощам.
Так, Міністерство Імені Федорова тепер буде відповідальне за «безпечний Інтернет» в Україні, зокрема для дітей. Цитата: «…забезпечує формування та реалізацію державної політики у сфері безпечного користування Інтернетом та цифровими технологіями для захисту користувачів, у тому числі дітей, у кіберпросторі».
Тепер усім зрозуміло зрозуміло кому писати скарги на усі шахрайства в Інтернеті?

І до менш важливих нововведень: до переліку «основних суб’єктів національної системи кібербезпеки» добавлено МЗС.
І тепер разом з НКЦК РНБО їх стало 12.
Дванадцять няньок - і жодного відповідального, класно ж?
Просто раніше їх було 11, хоча тоді теж ніхто ні за що не ніс відповідальності.
А ось тепер, з дванадцятьма заживемо, еге ж? 

До речі, ще один прикол на цю ж тему. Один і той же законопроект 11290 нарізає дуже схожі завдання  «координації» з питань кіберзахисту двом різним організаціям: Держспецзв’язку та РНБО.
Ось, порівняйте.
Це завдання Держспецзв’язку:
«111) Координація діяльності об’єктів критичної інфраструктури з питань кіберзахисту у разі введення надзвичайного стану або воєнного стану;
110-112) Забезпечення функціонування національних систем реагування та обміну інформацією стосовно інцидентів кібербезпеки, кібератак, кіберзагроз.»

А це - завдання РНБО: «здійснює координацію суб’єктів національної системи реагування, зокрема під час функціонування національної системи обміну інформацією».

За словесними хитросплетіннями приховано бажання внести хаос та залишити систему загальної безвідповідальності – щоб у випадку серйозного інциденту кожен орган зміг перекинути провину на інший. Маючи на це законодавчу основу.

Отже, резюме: наші законодавці, у якості відповіді на росіянські кібератаки проголосували за а) засекречення інформації про кіберінциденти;
б) дозвіл силовикам втручатися у військові мережі та
в) посилення хаосу у і без того слабкому та протирічному кібер-законодавстві.

Я перепрошую: а це точно про «вивчення уроків» та «врахування помилок»?

Тому мені здається риторичним питання «чи слід очікувати наступного гучного інциденту» - як було з було з реєстрами, Медком, Прикарпаттяобленерго, Дією чи Київстаром.

Допоки кібербезпекою країни займаються агресивні смарагдові невігласи – потік кіберінцидентів залишатиметься стабільним, до ворожки не ходи.

Топ коментарі

  • Светлана Круп
    Мені одній здається, що при владі відкриті держзрадники і вороги України?
  • Vlad Kravets
    Ні, не одній і не здається.
  • Пересічний українець 3af2245a
    Цей закон 11290 в частині засекречування інформації про кібератаки "слуги" можуть засунути собі у дупу. По-перше, якщо знову зникнуть реєстри - це й так буде відомо. По-друге - знайдуть злиті бази даних у мережі - про це теж мовчати не будуть. По-третє - якщо реєстр зберігає особисту інформацію громадянина і вона була вкрадена - приховувати це від громадянина є досить серйозний злочин. Тож приховати інформацію можливо тільки про невдалі кібератаки, коли зламати реєстр не вдалося - але то таке... Довіри до державної "цифровізації" вже не буде ніколи - як би зелені гниди не крутилися.
Дивитись усі коментарі