КиберУкраина-2021. Дипломатично и не очень

«Можете и дальше ставить смайлики. Может, это поможет», не очень дипломатично посоветовал мне Андрей Наджос. Это украинский дипломат, советник Представительства Украины при ЕС.

Знаете, к хамству отечественных чиновников я уже привык. Хотя от дипломатов такое вижу впервые. Но этот случай напомнил мне, собственно, о проблематике «киберпомощи от ЕС», о которой давно не было слышно.

Вполне похоже, что сейчас она вновь всплывает на поверхность после длительной паузы. Точнее — после ковидной спячки. А раз так, давайте разбираться. Интересно ведь, о чём идёт речь в этот раз.

В качестве первоисточника возьмёмстатью всё того же советника, Андрея Наджоса. Конечно же, очень глубоко мною уважаемого.

Сообщает нам дипломат, что в начале июня «состоялись первые кибердиалоги Украина –Евросоюз». И что «процесс был запущен на саммите Украина – ЕС в октябре 2020 года».

Если честно, я понятия не имею, что же имеют в виду под термином «первый кибердиалог с Украиной». Но знаю, что так называемая «киберпомощь» нашей стране поступает уже давно. Хотя её характер, к сожалению, более декоративный, чем эффективный, о чём я писал ещё в октябре 2018 года.

А ещё — в феврале 2019-го. И совсем чуточку — в июне 2020 года.

И если киберпомощь от ЕС уже давно началась, ещё и длится поныне — что же значит загадочная фраза «3 июня (2021 года?) состоялись первые кибердиалоги Украина – Евросоюз»? Честно, это больше напоминает мем о «первой всеукраинской конференции по кибербезопасности».

Остаются ещё несколько вопросов, ответов на которые так и нет до сих пор. Ребята, ау! Учтены ли результаты уже потраченной «киберпомощи» за последние годы? Десятки миллионов евро, между прочим. И как раз можно это обсудить во время июньского «кибердиалога».

Или, может, предыдущая «киберпомощь» была предоставлена без каких-то там предварительных диалогов, а потому была не очень эффективна — и в этот раз её решили обсудить до предоставления? И разве не становится ли первый «кибердиалог» свидетельством того, что предыдущие акты помощи не принесли никакой пользы?

Вопросы я и сам задать могу. Ответил бы кто.

«Украина вышла в первый раунд кибердиалогов, имея профессионально сформированные институциональные возможности и необходимую законодательную базу», — уверенно утверждает советник Представительства Украины при ЕС в своей статье.

Если комментировать этот тезис по-дипломатически, то заявление «не в полной мере соответствует действительности».

Наша законодательная база пребывает в довольно печальном глухо-угольном (это не об угольной промышленности) состоянии. Ключевые положения Конвенции по киберпреступности остаются не имплементированными с 2005 года.

Закона о кибербезопасности как не было, так и нет. В 2017 году были приняты временные костыли «Про основні засади забезпечення кібербезпеки України», которые по факту так и не заработали.

Позитивных изменений нет. Отечественное законодательство о киберпространстве остаётся наполовину советским. То есть скопировано с российских образцов, ещё и очень криво. Здесь законодательные акты противоречат друг другу, хотя устарели они примерно одинаково.

Киберполиция? У неё нет правовой основы для снятия цифровых доказательств. Потому она, как и 20 лет назад, продолжает выдирать со стоек сервера, выносит офисные компьютеры, смартфоны, роутеры.

Загребает всё, хотя бы отдалённо напоминающее электронику — авось, потом разберёмся. Очень профессионально. Ах да, а ещё фабрикует уголовные дела против киберактивистов, хоть это и немножко другая история.

И сейчас мне скажут: между прочим, новая стратегия кибербезопасности была принята ещё в марте.

Ну да, была. Спорить нет смысла. Вот только её до сих пор не подписал президент, да и окончательной версии этой прекрасной стратегии пока что никто в глаза не видел. А так-то без проблем, конечно же.

Всё это я напоминаю для того, чтобы подчеркнуть — нашу законодательную базу в сфере кибербезопасности ну никак не получится назвать «необходимой». То есть на самом деле она нам необходима. Но то, что существует в данный момент, давно устарело и не работает. Уж точно не отвечает европейским требованиям.

Например, NIS Directive. Как небо и земля, если говорить не очень дипломатично.

Нельзя назвать «профессионально сформированными» и так называемые институциональные возможности, что бы это ни значило на самом деле.

Государственные институции, которые должны заниматься кибербезопасностью нашей страны, построены на полной противоположности озвученным принципам. Непрофессионализм, например. И максимальная лояльность по отношению к действующей власти.

Согласно нынешнему закону, их целых девять, этих ваших институций. Пока что занимаются они тем, что перетягивают одеяло финансирования. Почему-то псы в одной упряжке никоим образом не желают взаимодействовать между собой.

Отсюда низкий уровень понимания проблематики. Отсюда же нехватка квалифицированного персонала. Отсюда растёт и нехватка финансирования для решения задач в киберпространстве. Кроме разве что Нацбанка, который всем этим располагает —непонятно лишь, насколько эффективно, поскольку живёт в наглухо изолированном мире банковской кибербезопасности.

СНБО, Госспецсвязи, Киберполиция, СБУ и другие «основные субъекты нацсистемы кибербезопасности» — об их нулевом профессионализме я писал уже многократно, и не вижу смысла ещё раз доказывать аксиомы.

Вся эта система не работает. СНБО формально что-то координирует, пока в реальности «субъекты» между собой открыто конкурируют за влияние, ресурсы и полномочия. Ах да, ещё добавился Минцирка (Минцифры. — Прим.ред.) в этот кибертеррариум. Но об этом как раз чуть дальше по тексту.

Итак, наш уважаемый дипломат вещает, что новая стратегия кибербезопасности «позволит значительно усилить уже существующие институциональные способности по противодействию киберугрозам».

Ха! Извините, не очень дипломатический возглас получился.

Из драфта этой стратегии, который был опубликован 4 марта вот здесь, я бы не рекомендовал делать настолько легкомысленные выводы.

Более того, окончательная версия стратегии остаётся неизвестной для широкой публики. Почему — тоже неизвестно. Почему президент её не хочет подписывать уже четвёртый месяц? А вот не знаем мы. В общем, видимость здесь нулевая, рановато блистать оптимизмом.

А поскольку нет финальной версии, нельзя делать выводы: что она позволяет укрепить, если документа нет? Что, кого, чем? Этого медведя надо хотя бы убить для начала, и уже потом измерять ценность его меха. Да простят меня зоозащитники.

Последний тезис господина дипломата, который мне хочется прокомментировать — «Появился новый мощный актёр — Министерство цифровой трансформации». Это самое министерство я обычно критикую за:

• отсутствие профессионализма;
• неоправданный авантюризм;
• склонность к распространению неправдивой информации (так называемое «враньё», если отбросить каноны дипломатии) по вопросам кибербезопасности.

Даже если назвать мою критику «эмоциями», чтобы чиновникам было чуть удобнее, давайте обратимся к сухим фактам. Точнее, к их отсутствию.

А ещё точнее — к отсутствию любых упоминаний Министерства цифровых иллюзий в несчастном, кривом, не работающем, но всё же единственном нашем законе «Про основні засади забезпечення кібербезпеки України». Нет никакого закона о Минцифры. Минюст  — есть. Минфин, Минобороны, МИД, другие  — есть, а этих просто нет.

Если прибегнуть к юридическим формальностям, ведомство существует вне нашего закона. Кроме того, в штате Минцирка отсутствуют специалисты по кибербезопасности. Ни одного. Если же существуют — их явно скрывают от профессионалов в этой сфере.

Напомню цитату министра Фёдорова, прозвучавшую в ноябре 2019 года: «Роль кибербезопасности немного преувеличена».

Мощный актёр — термин довольно точный, хоть и в другом контексте. Имитировать активную деятельность в профильной сфере Минцирка любит (и умеет). Профессионалам настолько паршивая игра заметна. Но вот целевая аудитория довольно-таки верит в «мощность» ведомства, причём без доказательств.

С чего я взял? Ребята, кто-то ведь устанавливает экспериментальную «Дію» себе в смартфоны.

Теперь надо бы обозначить, что в сообщении на официальной странице Евросоюза нет ни слова о «профессионально сформированных институциональных возможностях и необходимой законодательной базе Украины». И ничего об эффективности нашей новой стратегии. А ещё ни слова о «новом мощном» и так далее.

Дело в том, что эти слова господин дипломат написал чисто от себя.

Так что я вовсе не уверен, что статья Андрея как-то отражает позицию МИД Украины. Даже украинские государственные структуры, которые не связаны с киберпространством, часто делали акцент на нехватке квалифицированных кадров. То ли дело господа из Минцирка. Они уже не претендуют на «основную роль» по вопросам кибербезопасности.

Примечание редакции. А раньше так об этом кричали, ух!

Знаете, о чём на самом деле говорил ЕС в своём пресс-релизе? Об «обсуждении», «подтверждении намерений», «подчёркнутой важности». Всё действительно очень дипломатически, чтобы никого не обидеть. И конкретики никакой (пока что).

Ловите ещё один характерный момент. Со стороны Евросоюза в «кибердиалоге» принимала участие всего одна чиновница по вопросам безопасности и обороны, ещё один представитель — по вопросам кибербезопасности и политики цифровой конфиденциальности. Зато с нашей стороны присутствовал директор департамента ЕС и НАТО при МИД Украины.

Показательный штрих, хоть и маленький. Европейские бюрократы пытаются подойти к вопросу хоть немного профессионально. Они стараются ориентироваться в основных понятиях и принципах предмета, который приходится обсуждать.

Но нашим-то чиновникам эта практика пока что непонятна. Каждый госслужащий считает себя невероятно компетентным и квалифицированным, чтобы вести переговоры и строчить статьи по теме национальной кибербезопасности.

Ну а что тут такого? Вопросы ЕС и НАТО обсудили? Значит, и в вашем киберпространстве как-то разберёмся. Тоже мне бином Ньютона!

Да и… Скорость движения просто поражает. «Процесс» запустился в октябре 2020 года, первый диалог прошёл в июне следующего. Девять месяцев. Просто диалог: без специалистов, на уровне старших чиновников. Собраться, обсудить общеизвестные вещи, гривами покивать да поулыбаться.

Страшно представить, в каком же десятилетии произойдёт что-то конкретное.

Кстати, о конкретике напоследок. Какова цель всех этих «кибердиалогов»? Чтобы что? А в ответ тишина.

Кажется мне, что в далёком будущем появится ещё одна программа «киберпомощи» с шести- или семизначными суммами в евро. Если они будут выглядеть так же, только по пути сменят упаковку — нет смысла как-то на них надеяться.

Потому что деньги снова пойдут либо в президентскую вертикаль (СНБО), либо к Фёдорову (Минцирка или Госспецсвязи). Всё останется на том же уровне. Полный хаос. Просто кто-то станет чуточку богаче за счёт европейских налогоплательщиков.

Мне интересно, будет ли конкурировать новая программа ЕС с американской. Дружба дружбой, конечно. Но в геополитике их интересы далеко не всегда совпадают.

Всё это очень интересно, хоть и не очень полезно для украинской национальной кибербезопасности. Одни чиновники платят другим — в глобальном смысле задача состоит в процессе траты средств, а не в конкретном результате.

Но следить за развитием событий я всё же буду. Передайте кто-нибудь «Европейской правде»: отличная статья, спасибо большое! Как говорили когда-то на форумах, «Аффтар, пешы исчо».

Блог автора: Facebook