Хактивіст про кібербезпеку України: не можна підвищити ефективність порожнечі
Спікер Українського Кіберальянсу Шон Таусенд – про те, що робити з погрозами безпеки в інформаційній сфері, та про те, чому законопроект №6688 не має ніякого відношення до кібербезпеки.
Минулого тижня, 4 липня, комітет Верховної Ради з питань нацбезпеки і оборони рекомендував народним депутатам прийняти в першому читанні законопроект, який дозволяє тимчасово блокувати інформаційні ресурси. І відразу ж навколо нього закрутився лихий вихор подій: шквал критики, заяви на підтримку документа, відмова народних депутатів розглядати законопроект у першому читанні. В Організації з безпеки і співробітництва в Європі закликали Раду переглянути законопроект, СБУ закликала парламент його прийняти. Законопроект №6688 дійсно став досить резонансним, але далеко не самим необхідним для забезпечення кібербезпеки держави.
Як виглядає боротьба із загрозами безпеці в інформаційній сфері і чому законопроект №6688 ніяк на неї не вплине – 24 каналу пояснив хактивіст, спікер Кіберальянсу Шон Таусенд.
Хактивіст Шон Таусенд – про те, що робити із загрозами кібербезпеці
Чому закон 6688 – це більше про цензуру, ніж про кібербезпеку?
Блокування не можуть нічого виправити в кібербезпеці. Починаючи з того, що атаки в мережі протікають настільки швидко, що просто не вистачить часу, щоб прийняти відповідне рішення і привести його у виконання. Так само існуючі технології фільтрації не дозволяють заблокувати окрему сторінку, відфільтрований буде весь сайт цілком. Що у випадку з платформами-гігантами, такими як Facebook або Google, призведе до катастрофи.
Читайте також: Блокувати інтернет: кому і як загрожує новий законопроект 6688 щодо інформбезпеки
З точки зору кібер- та інформаційної безпеки блокування вкрай не ефективні. Однак, їх можна використовувати для проведення кібератак, нечесної конкуренції і цензури, в першу чергу – політичної. СБУ, МВС і прокуратура мало не щодня затримують корупціонерів. Що може бути простіше, ніж знайти яку-небудь "зраду" на сайті політичної партії або ЗМІ, наприклад, в коментарях, і підкупивши слідчого, домогтися включення небажаного сайту в реєстр заборонених матеріалів?
На Вашу думку, чому цей закон підтримали в СБУ?
Законопроект істотно розширює повноваження правоохоронних органів. Не виключена і змова між великими операторами (вони можуть собі дозволити купівлю вкрай дорогого обладнання, а провайдери поменше – ні, що дає великим гравцям додаткову конкурентну перевагу) і/або виробниками обладнання. Законопроект несе значні корупційні ризики, не кажучи вже про те, що ловити "крамолу" в мережі та "забороняти" її (замість того, щоб шукати виконавців і організаторів) набагато приємніше і простіше, ніж розкривати справжні злочини.
Чи можливо забезпечити інформаційну безпеку країни шляхом заборон або блокування чого-небудь?
Ні.
Блокування працюють повільно, тож ні кібератаку, ні інформаційні вкидання таким способом зупинити не можна – не вистачить часу на прийняття рішення. З технічної точки зору блокування недостатньо ефективні для того, щоб що-небудь заборонити по-справжньому, але досить руйнівні, щоб порушити нормальне функціонування мережі.
Навіть якщо б вони працювали так, як задумано, то це, по суті, страусина позиція – замість того, щоб розкривати злочин, правоохоронці прикривають його цензурним лахміттям і роблять вигляд, що все в порядку.
Чи вистачає правоохоронцям зараз інструментарію для того, щоб забезпечити кібербезпеку в країні чи дійсно потрібно заповнювати якісь прогалини новими законами?
Як показує практика системний підхід до кібер- та інформаційної безпеки в нашій країні просто відсутній. У нас є відповідні доктрини і один закон. Не буду сильно чіплятися, в них прописано багато правильних речей, але, в цілому, вони носять декларативний характер – за все хороше проти всього поганого.
На практиці, в ході флешмобу FuckResponsibleDisclosure Українському Кіберальянсу і незалежним дослідникам за кілька місяців вдалося виявити цілий ряд вразливостей і реальних атак (в тому числі з боку Російської Федерації) проти органів влади. Включаючи близько десяти міністерств, обласні адміністрації, структури, що відносяться до Адміністрації Президента, РНБО, Верховної Ради, поліції, Міністерства оборони, об'єктів критичної інфраструктури, в тому числі доступ до автоматизованих систем управління об'єктів водопостачання та енергетики до ЗАЕС включно. Результати були отримані виключно законними методами, без використання хакерських інструментів.
Читання доктрин вголос не допомагає, значить, попереду ще довга кропітка робота над помилками. Більше того, хоча суб'єктами кібербезпеки в законі 2126а названі СБУ і Національна поліція, їхнє завдання полягає не в забезпеченні кібербезпеки, а в розкритті та профілактиці злочинів.
Хоча закони, які регламентують діяльність правоохоронних органів, без сумніву потребують поліпшення, в цілому існуючих засобів більш ніж достатньо для проведення оперативної діяльності, а ситуацію в області кібербезпеки закон 6688 все одно не тільки не може поліпшити, але навіть погіршує її.
Чи є, за Вашими спостереженнями, в українських держслужбовців розуміння того, що таке "кібербезпека" і що потрібно робити, щоб її забезпечити?
Державна служба спеціального зв'язку та захисту інформації України стала однією з перших жертв нашого флеш-мобу. Одна з військових частин пару місяців тому розмістила тендер з контактною адресою на yandex.ru. Міністерство енергетики було зламано школярем з Марокко, який не в змозі написати одне речення без помилок. "Кібербезпека", яку ми заслужили. Регулювати можна тільки те, що в тебе є. Не можна підвищити ефективність порожнечі.
Я переконаний в тому, що, по-перше, необхідно спростити чинне законодавство, скасувати правила, які не можуть працювати в принципі (якщо хтось читав НДТЗІ до веб-сайтів, мене зрозуміють), прибрати пережитки минулого, такі як, наприклад контроль криптографії та "спеціальних технічних засобів", і починати будувати систему безпеки не "зверху вниз" у наказовому порядку, а "знизу вгору", знаходити працюючі рішення (best practices) та намагатися поширити їх ширше, від відділу до департаменту, від департаменту до міністерства. Діяти не тільки палицею (хоча прямі заборони цілком припустимі в державному секторі), але й порадою, і заохоченням.
І звичайно, необхідне розуміння, що безпека – це безперервний процес, свого роду "природний відбір", не варто розраховувати, що вдасться запобігти всім атакам, але і бути готовими до швидкого відновлення після "форс-маржору" (resilience).
Що реально потрібно робити, щоб ефективно протистояти загрозам національній безпеці в інформаційній сфері?
Перш за все, необхідно чітко визначити цілі – якою ми хочемо бачити нашу країну і цінності (які методи можна використовувати для досягнення поставлених цілей), політика має бути послідовною. Хаотичний рух у випадкових напрямках не наближає нас до перемоги. У нас введено блокаду окупованих територій, але обмін товарами та послугами, як і раніше, йде через лінію розмежування, у нас введені санкції, але і звичайні громадяни, і чиновники продовжують користуватися забороненими сервісами – чи то пошта mail.ru, чи то "Яндекс гроші". Замість того, щоб постійно ускладнювати правила і закручувати гайки, необхідно навпаки спростити окремі закони і домогтися їх виконання, інакше вся наша "безпека" так і залишиться на папері. А паперовий захист захищає тільки від паперових загроз.