Хактивист про кибербезопасность Украины: Нельзя повысить эффективность пустоты

На прошлой неделе, 4 июля, комитет Верховной Рады по вопросам нацбезопасности и обороны рекомендовал народным депутатам принять в первом чтении законопроект, который позволяет временно блокировать информационные ресурсы. И сразу же вкруг него закрутился лихой вихрь событий: шквал критики, заявления в поддержку документа, отказ народных депутатов рассматривать законопроект в первом чтении. В Организации по безопасности и сотрудничеству в Европе призвали Раду пересмотреть законопроект, СБУ призвала парламент его принять. Законопроект №6688 действительно стал весьма резонансным, но далеко не самым необходимым для обеспечения кибербезопасности государства.

Как выглядит борьба с угрозами безопасности в информационной сфере и почему законопроект №6688 никак на нее не повлияет – 24 каналу объяснил хактивист, спикер Киберальянса Шон Таусенд.

Хактивист Шон Таусенд – о том, что делать с угрозами кибербезопасности

Почему закон 6688 – это больше про цензуру, чем про кибербезопасность?

Блокировки не могут ничего исправить в кибербезопасности. Начиная с того, что атаки в сети протекают настолько быстро, что просто не хватит времени, чтобы принять соответствующее решение и привести его в исполнение. Так же существующие технологии фильтрации не позволяют заблокировать отдельную страницу, отфильтрован будет весь сайт целиком. Что в случае с платформами-гигантами, такими как Facebook или Google, приведет к катастрофе.

Читайте также: Блокировать интернет: кому и как угрожает новый законопроект 6688 по информбезопасности

С точки зрения кибер- и информационной безопасности блокировки крайне не эффективны. Однако, их можно использовать для проведения кибератак, нечестной конкуренции и цензуры, в первую очередь – политической. СБУ, МВД и прокуратура чуть ли не ежедневно задерживают коррупционеров. Что может быть проще, чем найти какую-нибудь "зраду" на сайте политической партии или СМИ, например, в комментариях, и подкупив следователя, добиться включения неугодного сайта в реестр запрещенных материалов?

По Вашему мнению, почему этот закон поддержали в СБУ?

Законопроект существенно увеличивает полномочия правоохранительных органов. Не исключен и сговор между крупными операторами (они могут себе позволить покупку крайне дорогостоящего оборудования, а провайдеры поменьше – нет, что дает крупным игрокам дополнительное конкурентное преимущество) и/или производителями оборудования. Законопроект несёт значительные коррупционные риски, не говоря уже о том, что ловить "крамолу" в сети и "запрещать" ее (вместо того, чтобы искать исполнителей и организаторов) гораздо приятнее и проще, чем раскрывать настоящие преступления.

Возможно ли обеспечить информационную безопасность страны путем запретов или блокировки чего бы то ни было?

Нет.

Блокировки работают медленно, и ни кибератаку, ни информационный вброс таким способом остановить нельзя – не хватит времени на принятие решения. С технической точки зрения блокировки недостаточно эффективны для того, чтобы что-нибудь запретить по-настоящему, но достаточно разрушительны, чтобы нарушить нормальное функционирование сети.

Даже если бы они работали так как задумано, то это, по сути, страусиная позиция – вместо того чтобы раскрывать преступление, правоохранители прикрывают его цензурной ветошью и делают вид, что все в порядке.

Хватает ли правоохранителям сейчас инструментария для того, чтобы обеспечить кибербезопасность в стране или действительно нужно заполнять какие-то пробелы новыми законами?

Как показывает практика системный подход к кибер- и информационной безопасности в нашей стране просто отсутствует. У нас есть соответствующие доктрины и один закон. Не буду сильно придираться, в них прописано много правильных вещей, но, в целом, они носят декларативный характер – за все хорошее против всего плохого.

На практике, в ходе флешмоба FuckResponsibleDisclosure Украинскому Киберальянсу и независимым исследователям за несколько месяцев удалось выявить целый ряд уязвимостей и реальных атак (в том числе со стороны Российской Федерации) против органов власти. Включая около десяти министерств, областные администрации, структуры относящиеся к Администрации Президента, СНБО, Верховной Раде, полиции, Министерству обороны, объектам критической инфраструктуры, в том числе доступ к автоматизированным системам управления объектов водоснабжения и энергетики до ЗАЭС включительно. Результаты были получены исключительно законными методами, без использования хакерских инструментов.

Чтение доктрин вслух не помогает, значит, предстоит еще долгая кропотливая работа над ошибками. Более того, хотя субъектами кибербезопасности в законе 2126а названы СБУ и Национальная полиция, их задача заключается не в обеспечении кибербезопасности, а в раскрытии и профилактике преступлений.

Хотя законы регламентирующие деятельность правоохранительных органов без сомнения нуждаются в улучшении, в целом существующих средств более чем достаточно для проведения оперативной деятельности, а ситуацию в области кибербезопасности закон 6688 все равно не только не может улучшить, но даже ухудшает ее.

Есть ли, по Вашим наблюдениям, у украинских госслужащих понимание того, что такое "кибербезопасность" и что нужно делать, чтобы ее обеспечить?

Государственная служба специальной связи и защиты информации Украины стала одной из первых жертв нашего флеш-моба. Одна из военных частей пару месяцев назад разместила тендер с контактным адресом на yandex.ru. Министерство энергетики было взломано школьником из Марокко, который не в состоянии написать одно предложение без ошибок. "Кибербезопасность" которую мы заслужили. Регулировать можно только то, что у тебя есть. Нельзя повысить эффективность пустоты.

Я убежден в том, что, во-первых, необходимо упростить действующее законодательство, отменить правила которые не могут работать в принципе (если кто-то читал НДТЗІ к веб-сайтам, меня поймут), убрать пережитки прошлого такие как например контроль криптографии и "специальных технических средств", и начинать строить систему безопасности не "сверху-вниз" приказным порядком, а "снизу вверх", находить работающие решения (best practices) и пытаться их распространить шире, от отдела к департаменту, от департамента к министерству. Действовать не только палкой (хотя прямые запреты вполне допустимы в государственном секторе), но и советом, и поощрением.

И конечно, необходимо понимание, что безопасность – это непрерывный процесс, своего рода "естественный отбор", не стоит рассчитывать, что удасться предотвратить все атаки, но и быть готовыми к быстрому восстановлению после "форс-маржора" (resilience).

Что реально нужно делать, чтобы эффективно противостоять угрозам национальной безопасности в информационной сфере?

Прежде всего, необходимо четко обозначить цели – какой мы хотим видеть нашу страну и ценности (какие методы допустимо использовать для достижения поставленных целей), политика должна быть последовательной. Хаотическое движение в случайных направлениях не приближает нас к победе. У нас введена блокада оккупированных территорий, но обмен товарами и услугами по-прежнему идёт через линию разграничения, у нас введены санкции, но и обычные граждане, и чиновники продолжают пользоваться запрещенными сервисами – будь-то почта на mail.ru или "Яндекс деньги". Вместо того, чтобы постоянно усложнять правила и закручивать гайки, необходимо наоборот упростить отдельные законы и добиться их исполнения, иначе вся наша "безопасность" так и останется на бумаге. А бумажная защита защищает только от бумажных угроз.