Альтернативна система кібербезпеки в Україні

Про те, що все погано з кібербезпекою в Україні, я неодноразово писав та говорив. Якщо дуже коротко: реалії сумні.

Кібервійна триває, а Україна в ній майже так само беззахисна, як і у 2014-му, і кіберщит країни напередодні виборів-2019 не побудовано. Існуюча в Україні система кібербезпеки «не відповідає сучасним викликам» та очікуванням суспільства.

У професійному середовищі експертів з кібербезпеки сильно сумніваються також у самому існуванні такої Системи. Замість Системи кволо імітують бурхливу діяльність кілька окремих відомств, які діють кожне на власний розсуд, без єдиного задуму та стратегії, без розподілення зон відповідальності, без єдиного керівного центру, без координації.

Детально про фактичну ситуацію з побудовою Національної системи кібербезпеки України я розповідав на UISGCON14.

Держава начебто хоче, але явно нездатна побудувати ефективну Систему кібербезпеки у масштабах країни. Кібербізнес та кіберком'юніті могли б, але не дуже хочуть (сумніваються?) та не мають владних повноважень. Розуміння між владою та бізнесом у цьому питанні також відсутнє, які б гучні заяви не робили про державно-приватне партнерство. Колективний Захід начебто і хоче допомогти, але спілкується виключно з чиновниками, які вішають їм локшину на вуха.

Чи є вихід зі, здавалося б, патової ситуації? (Спойлер: вихід завжди є, його не може не бути, природа не терпить порожнечі).

На UISGCON14 я розказував про так звану «систему» кібербезпеки в Україні. Резюме таке: де-факто наразі системи як такої не існує. Існують кілька нескоординованих точок активності, які працюють із різним ступенем інтенсивності. Більшість із них скоріше імітує активну діяльність, зате хвацько «освоює кошти».

У деяких (а, можливо, у багатьох) колег виникло питання: «о’кей, ми зрозуміли, що все погано і «ми всі помремо», але що ж робити? Як вирулювати від прірви, до якої нас несе?»

Тоді я відповідав натяками і неясними обіцянками «скоро все дізнаєтесь», але вже настав час відповісти на запитання чітко та однозначно.

У цьому лонгріді я пропоную загальну концепцію побудови альтернативної системи кібербезпеки України, яка змогла б ефективно протистояти сучасним загрозам, а її побудова та функціонування не руйнували б існуючих досягнень у цій сфері. По суті, це готова road map, або ж навіть бізнес-план, який, на моє переконання, цілком можливо виконати.

Тепер ближче до суті.

Як і будь-якому виді людської діяльності, головним драйвером успіху у побудові системи кібербезпеки є люди. Висококваліфіковані, мотивовані, які щиро та щосили прагнуть досягти чітко визначеного результату.

На жаль, наразі серед основних суб’єктів національної системи кібербезпеки — ДССЗЗІ (Держспецзв’язку), Нацполіція, СБУ, МО/ГШ ЗСУ, розвідка, НБУ — таких людей вкрай мало (читай — майже немає). Найкращі фахівці йдуть у кібербізнес, що, здебільшого, пов’язано з набагато справедливішою компенсацією. Зазвичай — матеріальною. Хоча є й інші: умови праці, атмосфера, цікаві задачі, можливості росту і т.ін. Але головний чинник – все ж таки гроші, будемо відвертими. Яких «немає». Нібито.

Держслужби начебто розуміють проблему і намагаються її вирішити. Але, через низку нормативних обмежень підтягти рівень зарплати найкрутішого працівника держустанови до рівня наймолодшого спеціаліста комерційної компанії — завдання практично mission impossible.

Приклад: талановитий джун в одній найпросунутішій (серед державних) державній установі на максимумі заробляє 22 тис. грн., тоді як той самий талановитий (підкреслюю – талановитий) джун в кіберкомпанії стартує від 33000-42000грн ($1200-1500).

Правду кажучи, схожа ситуація і в США, і в Німеччині, і в Британії. Але чомусь там побудовані доволі ефективні системи кібербезпеки, а у нас — щось ніяк.

Можна знайти кошти в держбюджеті, залучити допомогу західних партнерів, міжнародних організацій, заохотити вітчизняний бізнес інвестувати у розбудову систему національної кібербезпеки. На ці кошти найняти непоганих спеціалістів непоганого рівня для виконання, власне, не занадто складних завдань.

Але все це буде марно (і так доволі часто і відбувається), якщо гроші витрачаються без ідеологічно стратегічного бачення. Без концепції. Без великого розуміння. Коли багато грошей і мало розуміння — виходить ще гірше, ніж без грошей. Бо просто «нуль» — це краще, ніж «нуль», на який витрачено стотищмільйонів.

Але повернімося до стратегічного бачення та концепції.

З першого погляду, наразі в Україні немає людей, які з висоти Google Maps здатні осягнути увесь бурхливий океан проблем національної кібербезпеки, швидко і правильно визначити серед них ключові, придумати механізми їх розв’язання, окреслити чіткій покроковий план заходів, реалізувати цей план у визначений час і взяти на себе усю відповідальність за його виконання. Відповідальність реальну, а не «політичну».

Ці архітектори нової системи повинні мати великий практичний досвід у кібербезпеці, менеджменті, юриспруденції, державному управлінні, мати досвід міжнародного співробітництва з питань кібербезпеки, вільно орієнтуватися у сучасних світових тенденціях та найновіших підходах, міжнародних стандартах, практиках, досягненнях. Про вільну англійську навіть не згадую, без неї у кібербезпеці взагалі нічого робити.

І ще не боятися адміністративно-політичного тиску та не бути забрудненим причетністю до корупції.

Але якщо захотіти знайти таких людей — вони знайдуться, насправді. Інакше політикам ніхто не пояснить «на пальцях», що робити, куди рухатися і з чого починати, оскільки без такого пояснення не буде горезвісної «політичної волі». А буде «як зараз».

І поки таких людей ніхто навіть не намагається захотіти почати шукати, я спробую пояснити суть глобального задуму «як було б правильно».

Передусім слід визнати, прийняти та керуватися п’ятьма тезами.

1. Існуючу систему полагодити неможливо.
2. Руйнувати існуючу систему поки що недоцільно (у ній є кілька непоганих напрацювань).
3. Будувати нову, «правильну» систему слід паралельно існуючій.
4. Люди — наше все.
5. Головна мета — відновлення/напрацювання довіри суспільства.

Тепер до чистої прагматики: яким чином можна почати будувати альтернативну систему кібербезпеки з дотриманням попередніх п’яти тез.

Держава Україна (у особі КМУ, Мінфіну чи іншого суб’єкта виконавчої влади, крім Держспецзв’язку, звісно) разом з міжнародними донорами (ЄС, США, НАТО, ENISA, МВФ…) за участі найбільших гравців українського кібербізнесу (C---, I-----, F---, A-----…) започатковують неприбуткову організацію. Яку можна назвати якось типу Об’єднана Кібер Команда (ОКК), Joint Cyber Team (JCT). Назви можуть бути більш вдалими, але бажано не застосовувати слово «Центр», це вже буде якось не комільфо, затаскано.

Їх частки у такій організації можуть бути різні:

• уряд — 50%
• донори — 40%
• бізнес — 10%

або ж

• уряд — 40%
• донори — 40%
• бізнес — 20%

або ж навіть

• уряд — 30%
• донори — 60%
• бізнес — 10%.

Суть фінту в тому, щоб у держави не було контрольного пакету і уся затія не перетворилася на чергову державну агенцію (шлях у черговий глухий кут).

Але, разом з тим, частка держави має бути дуже суттєвою, не менше 30%. Хоч би там що казали, але держава є все ж таки найбільш стабільним елементом України і збанкрутує останньою. Тьху-тьху-тьху.

Чому організація має бути неприбутковою? Щоб зняти питання щодо можливого перетворення нового утворення на джерело збагачення чиновників, лобіювання інтересів великих гравців, відмивання міжнародних коштів та взагалі «заробляння грошей на проблемі».

Гроші можуть витрачатися тільки на власні потреби організації (зарплати, податки, оренда приміщення, обладнання тощо) та на статутну діяльність. Про неї трохи згодом.

Нагадаю пункт 5: «Головна мета — відновлення/напрацювання довіри суспільства».

Новоутворений ОКК (поки буду використовувати цю абревіатуру) не має жодних владних чи примусових повноважень. Це не є ще одна держагенція, міністерство чи правоохоронний орган, категорично.

Ще раз: «Головна мета – відновлення/напрацювання довіри суспільства».

Усі три стейкхолдери можуть делегувати до Наглядової ради 3-5 або більше представників, але всі вони разом матимуть лише один голос. Тобто всього буде три голоси від трьох засновників, незалежно від кількості представників від кожного із засновників.

Найважливіші рішення — створення та ліквідація юрособи, призначення та звільнення його керівника, фінансування — приймаються 100% голосів. Менш важливі питання вирішуються простою (вона ж конституційна :) ) більшістю голосів, тобто 2/3.

Ще є пропозиції стосовно внутрішньої організації відносин, але не буду перевантажувати подробицями.

UPD: Участь кібербізнесу в заснуванні ОКК планується не обов'язково грошима, а скоріше рішеннями, залізом, софтом, інфраструктурою, консалтингом, підтримкою тощо.

Перший етап проекту

Основна діяльність ОКК: безкоштовні кваліфіковані консультації з усіх аспектів кібербезпеки телефоном, месенджерами, електронною поштою, іншими каналами комунікації, а також із можливістю виїзду на місце (у виключних випадках, за офіційною заявкою).

Консультації доступні кожному мешканцю України, компанії, держустанові, правоохоронним органам, організаціям будь-якої форми власності на безкоштовній основі.

ОКК також масово популяризує основи кібергігієни в медіа, Інтернет, на білбордах, на сіті-лайтах, на листівках, на Майдані, серед бухгалтерів і лікарів, у школах та університетах, в держустановах та в комерційних фірмах, на конференціях і мітапах, у прямих ефірах та подкастах, на вебінарах та в Інстаграм.

Та хоч на сайтах знайомств.

ОКК рекомендує першочергові заходи з поліпшення кібербезпеки, починаючи з частоти оновлення антивірусу та don’t click shit, і (не) закінчуючи рекомендаціями стосовно SIEM, DLP, моделі загроз, корпоративних політик безпеки, SOC/CERT чи Threat Intelligence.

ОКК повинна стати постійним хостом будь-яких кібербезпекових заходів із кількістю учасників до 100 людей. Без-кош-тов-но. Великим конференціям — допомагати у міру сил.

ОКК повинна стати постійною резиденцією для локальних чи міжнародних CTF, мати постійно діючу інфраструктуру. Яку, до речі, можна також використовувати для справжніх кібернавчань та моделювання атак. Теж, звісно, безкоштовно.

ОКК не менше 4 разів на день публікує інформаційні бюлетені щодо поточних новин кібербезпеки, 7 днів на тиждень, без вихідних і святкових днів. Бо в кібербезпеки немає вихідних, це безперервний процес. Також публікуються оповіщення, аналітика, новини законодавства, індикатори компрометації і таке подібне. Щонайменше — щодня.

ОКК також може взяти на себе окремі питання нормалізації нормативної бази у сфері кібербезпеки на основі міжнародних стандартів, Директив ЄС, NIST — хоча б на рівні експертних консультацій для законодавців. Судячи з деяких законів України, наразі консультують законотворців одміни-трієчники.

ОКК повинен стати «точкою довіри» для громадян, бізнесу, держави, ком’юніті. Наразі ніхто з них не довіряє нікому у кіберпитаннях. Але якщо/коли з’явиться той, кому всі сторони будуть хоча б трошки довіряти — це стане містком для побудови системи взаємної довіри. А довіра є ексклюзивною основною для початку обережної побудови національної системи співробітництва у кіберсфері. Практичного співробітництва, не паперового. Щоб кожна людина, яка живе в Україні (та українці за її межами), знала, куди можна звернутися з питань кібербезпеки та отримати допомогу або ж хоча б напрям, де можна знайти допомогу.

Подальші напрямки роботи ОКК можливі за умови успішної реалізації першого етапу проекту.

Режим роботи ОКК: з 9:00 до 21:00.

Режим роботи аналітичної групи: цілодобово (один нічний аналітик).

Початковий склад команди (18 осіб, всі зі знанням англійської не нижче upper intermediate):

• керівник Команди
• заступник керівника Команди — керівник практики
• офіцер власної безпеки
• 5 інженерів групи практики та консультацій
• 3 аналітики (2 вдень, 1 вночі)
• PR-менеджер
• 5 співробітників колл-центру
• бухгалтер+HR

$40000/month

Обов’язки членів команди

Керівник ($7k)

Формальності щодо заснування Центру, спілкування зі стейкхолдерами та найбільшими клієнтами, щомісячні звіти про діяльність, адміністративні, фінансові та HR-питання, формування команди, розробка загальної стратегії та тактики роботи Команди, методик і практик роботи, виступи на публічних заходах, спілкування з журналістами, ЦОВВ, потенційними інвесторами тощо.

Несе персональну відповідальність за роботу всієї Команди. Відповідальність полягає у тому, що в разі негативної оцінки стейкхолдерами (100%) роботи команди вдруге протягом 3 місяців керівник звільняється без будь-яких виплат. І це має бути зафіксоване у відповідній трудовій угоді та особистому зобов’язанні кандидата при прийомі на роботу.

Заступник керівника Центру — керівник практики ($5k)

Забезпечення роботи групи фахівців, координація роботи групи інженерів, аналітиків, колл-центру та PR-менеджера, робота з найбільшими клієнтами, підбір персоналу групи фахівців, виступи на публічних заходах.

Несе персональну відповідальність за роботу групи інженерів, аналітиків, кол-центру та PR-менеджера. Рішення про звільнення заступника може бути прийняте 2/3 стейкхолдерів за поданням керівника Команди (який, власне, брав його на роботу).

Офіцер власної безпеки (підпорядковується Керівнику Центру, $3k)

Побудова та забезпечення безпеки внутрішніх мереж Центру, розробка, імплементація та контроль дотримання внутрішніх політик безпеки, патч-менеджмент, розслідування внутрішніх інцидентів, взаємодія з правоохоронними органами, організація та проведення тренінгів/навчання для співробітників.

Несе персональну відповідальність за власну безпеку Команди. Може бути звільнений рішенням керівника Команди.

Інженер/старший інженер групи практики та консультацій ($2,2-2,5k)

Безпосередня консультаційна робота з фізичними та юридичними особами, надання рекомендацій та практичних настанов по конкретних випадках, здійснення попередніх оцінок загального стану безпеки мереж клієнтів, практична допомога в розслідуванні інцидентів (в окремих випадках — з виїздом на місце в межах Києва), інформаційне забезпечення обізнаності клієнтів з питань кібербезпеки, рекомендації щодо подальших робіт з підвищення рівня безпеки систем і мереж клієнтів.

Аналітик ($2k)

Цілодобовий моніторинг подій кібербезпеки у світі, аналіз найбільш релевантних із них для українських мереж та її громадян, підготовка коротких аналітичних звітів (4 рази на добу), передача матеріалів PR-менеджеру для публікації, обмін аналітичною інформацією з групою практики та консультацій, участь у спільній роботі з інженерами групи практики та консультацій.

PR-менеджер ($1,5k)

Ведення акаунтів Команди у соцмережах, блогах, на YouTube-каналі та ін., безпосередня робота з журналістами, медіа, рекламними агенціями, організація публічних заходів Команди.

Бухгалтер+HR ($1k)

Ведення банківського рахунку Центру, підготовка передбаченої законодавством бухгалтерської та податкової звітності, підготовка фінансових звітів для стейкхолдерів (у тому числі для закордонних засновників), дотримання вимог законодавства про працю, підготовка відповідних документів, комунікація з фіскальними органами тощо.

Оператор колл-центру ($800)

Прийняття телефонних дзвінків і повідомлень електронними каналами (чати, e-mail, месенджери), їх відбір і фільтрація для передачі інформації до групи практики та консультацій.

Термін запуску першого етапу проекту: 4-6 місяців.

Бюджет на перші 12 місяців: $920000

У разі неконтрольованого успіху першого етапу (positive risk) повинен бути гарячий резерв фінансування у розмірі не менше чверті бюджету для залучення додаткових фахівців кол-центру та групи практики.

Калькуляція витрат

ЗП: ≈$40000/month + податки ≈40% = $56000 (щомісячно)

Медстраховка, спортзал, мобільний зв’язок: $10000 (на рік)

Оренда приміщення, Інтернет-канал, комуналка, прибирання, вода, кава: ≈$5000 (щомісячно)

Побудова інфраструктури (у хмарі), придбання лаптопів, софта, VoIP-телефонів, оргтехніки, канцтоварів, офісного обладнання, тощо: ≈$50000 (разово)

Витрати на PR: зовнішня реклама, реклама в Інтернет, соцмережах, медіа, організація публічних заходів (мітапи, семінари, вебінари, стріми, тренінги), запис підкастів та відеоінструкцій, участь у конференціях та круглих столах, тощо: $10000 (щомісячно)

Навчання співробітників: ≈30000 (на рік)

Мільйон доларів на рік: багато це чи мало?

На утримання Держспецзв’язку у 2018 році виділено 86 млн доларів (2338500000 грн). На 2019 рік Держспецзв’язку просить більше 125 млн доларів (3,5 млрд грн). Лише по одному з проектів міжнародної допомоги від країн ЄС U-LEAD профінансовано 5,75 млн євро. США планують виділити 10 млн доларів для підтримки кращих проектів із кібербезпеки в Україні. Після атаки на Держказначейство у грудні 2016-го КМУ миттєво знайшов 80 млн грн (майже 3 млн доларів США на той час), буквально наступного дня.

Тому не бачу особливих проблем витратити один із цих багатьох мільйонів на альтернативний, але амбіційний проект із великими перспективами. Було б бажання.

Другий етап проекту
(за умови визнання позитивними результатів першого етапу)

2.1. На основі отриманого кредиту довіри існуючих клієнтів, а також схвалення суспільства та широкої відомості ОКК як trusted point of contact, Центр бере на себе функції обміну інформацією про інциденти, які мали місце у мережах тих клієнтів, які вже співпрацюють з ОКК та погодилися брати участь у такому обміні.

Робота це складна та делікатна, навіть дипломатична, потребує напрацювання детальних запобіжників витоку чутливої інформації та наявності суворих, але прозорих правил для всіх учасників мережі обміну інформацією, з можливістю контролю.

Налагодження пілотної версії системи обміну інформацією про інциденти та її тестового запуску може зайняти 6-12 місяців. Терміни дуже приблизні.

2.2. Після позитивного результату етапу 2.1 необхідно поступово та обережно розширювати співпрацю зі дедалі більшим колом учасників, незалежно від форми власності. Паралельно налагоджувати співпрацю з іншими українськими та міжнародними командами реагування на інциденти: CERT-UA, Ситуаційний центр СБУ, приватними CERTами, Trusted Introduser, FIRST, та ін.; за потреби атестуватися до членства у відповідних міжнародних організаціях.

До звичайних витрат додаються витрати на відрядження за кордон — близько $30000-40000 на рік.

2.3. Завдання 1 та 2 етапів для ОКК — стати «оазисом» професійності та високої кваліфікації, майданчиком довіри та поваги, принаймні — не ворожою організацією. Таким чином буде формуватися основа для координації зусиль дуже різних учасників відносин кібербезпеки, а ще справжнього (а не паперового чи корупційного) приватно-державного партнерства.

Аналіз реалізації першого етапу проекту повинен внести корективи до складу та чисельності ОКК, а також щодо додаткових векторів його роботи. Скажімо, збільшити чи зменшити кількість співробітників колл-центру, залучення додаткових вузькопрофільних спеціалістів, позбавлення незатребуваних функцій тощо.

Термін запуску другого етапу проекту: 24 місяці від завершення першого етапу.

Бюджет другого етапу: $1916000 (на 24 місяці).

Третій та подальші етапи розвитку прогнозувати складно, у залежності від успіху реалізації попередніх етапів.

Фантазувати я люблю, але не в цьому випадку. Хоча все ж таки трохи пофантазую: ОКК стає новим NATO Center of Excellence, SOC-UA приймає та організовує регіональні Black Hat та DefCon, Настанови ОКК приймаються, адаптуються та імплементуються ЄС та США як нові стандарти, делегації інопланетних цивілізацій… стоп, це вже далеко зайшов.

Повернімося до прози життя.

Вартість проекту на 3 роки: близько 2,8 млн доларів, з урахуванням резерву на можливий занадто швидкий розвиток — 3,5 млн доларів. Тобто скільки витрачати — більш-менш зрозуміло.

А що ж отримають учасники проекту натомість?

Бенефіти для учасників проекту

Для Уряду України

Суттєвий прорив у загальній кібергігієні звичайних громадян, підвищення середнього по країні/лікарні градусу обізнаності у питаннях особистої кібербезпеки.

Відновлення довіри до державних структур як кваліфікованого та надійного партнера, якому можна і потрібно довіряти у питаннях кібербезпеки громадян, суспільства, бізнесу, держави.

За умови відновлення довіри — допомога та посередництво у створенні та координації реально працюючих горизонтальних зв’язків між суб’єктами кібербезпеки: приватний бізнес, критична інфраструктура, державні органи, міжнародні організації, правоохоронці, експертне середовище.

Консолідація (або хоча б створення передумов до...) суспільства у питаннях кібербезпеки та захисту національних інтересів України.

Приведення кібербезпекового законодавства до реальності та до норм здорового глузду.

Отримання адекватної та релевантної статистики щодо інцидентів, атак, векторів загроз, реального ступені захищеності країни по секторах, галузях, верствах тощо.

У перспективі — цілеспрямована, суто практична та ефективна система раціональної національної кібербезпеки, передусім за рахунок фахової координації дій різних її суб’єктів.

Для Донорів

Максимально ефективне витрачання кібердопомоги для України; при цьому забезпечується прозорість та цільове призначення коштів.

Отримання найсвіжіших «живих» даних про актуальні кіберзагрози, методи та техніки їх реалізації, засоби протидії, сили та засоби противника, перспективні методи нападу та захисту, тощо.

Про мотивацію донорів зробити Україну успішною і у кібервідношенні писати не буду. Про це написано за майже п’ять років більш ніж достатньо.

Для кібербізнесу

Участь компанії у великому національному проекті є сама по собі є потужної рекламою. Але є й більш комерційно цікавий момент: у статутних документах ОКК може (і повинно) бути закріплено положення, що в тих випадках, коли фахівці ОКК не матимуть відповідей/рішень в окремих складних випадках, ОКК рекомендуватиме звернутися до одного зі співзасновників ОКК.

У яких випадках та до кого саме направлятимуться запитувачі — повинно бути визначено чітко та прозоро, щоб не залишати можливостей для зловживань, як з боку співробітників чи керівників ОКК, так і з боку компаній-співзасновників.

Суттєве пожвавлення ринку кіберпослуг та кібертоварів. Зараз у країні проблема не в тому, що бізнес не має грошей на кібербезпеку, — гроші є насправді, – а в тому, що проблемі приділяють замало уваги і «кібер» фінансують за залишковим принципом. І часто питання вирішується купівлею антивірусу чи найманням додаткового «айтішніка».

За рахунок широкого розповсюдження базових принципів кібергігієни, існування «точки довіри» та умовного «еталону кваліфікації» нарешті можливо буде структурувати внутрішній український ринок послуг, щоб потенційному замовнику послуг було легше розібратися who is who в індустрії. Так само легше буде орієнтуватися на місцевому ринку і іноземним замовникам, які захотять отримати міжнародну якість кіберпослуг, але за українську ціну.

Для іноземного бізнесу з українськими представництвами може стати вигідно переносити комерційні SOC та інші кіберкоманди до України у зв’язку з вигіднішим балансом «ціна-якість» у місцевих спеціалістів та комфортної розвинутої кіберінфраструктури у межах країни.

І ще кіберкомпанії зможуть отримувати найсвіжіші дані про актуальні кіберзагрози, методи та техніки їх реалізації, засоби протидії, сили та засоби противника, перспективні методи нападу та захисту тощо для покращення своїх комерційних послуг.

Ось така приблизно концепція. Окремі її теоретичні положення можна конкретизувати, шліфувати та наповнити практичними механізмами. Поки що це загальне бачення, стратегічний погляд. Можливо, концепція не враховує чогось важливого — прошу коментарі експертного товариства. Як на мене, у запропонованому вигляді проект цілком можливо реалізувати, причому у відносно короткі терміни, але з «курковим ефектом» результату.

Так, починати треба «з нуля». «Починай з малого, думай про велике, рости швидко».

Так, необхідно дистанціюватися від скомпрометованих неефективних державних інституцій. Старого собаку не навчиш новим трюкам.

Так, треба твердо дотримуватися 5 головних принципів, повторю їх ще раз.

1. Існуючу систему полагодити неможливо.
2. Руйнувати існуючу систему поки що недоцільно.
3. Будувати нову систему слід паралельно існуючій.
4. Люди — наше все.
5. Головна мета – відновлення/напрацювання довіри суспільства.

І все вийде.

Було б бажання досягти результату, якого наразі бракує у державних інституціях. Зате є величезне бажання освоїти бюджетні та міжнародні кошти.

За принципом «У самурая немає мети. У самурая є Шлях».

І ще одне важливе застереження: якщо комусь закортить взяти викладені тут ідеї та видати їх за свої — будь ласка. Але за однієї умови: якщо від буде позитивний результат для Справи. Якщо буде збережено їх дух, мету та спрямованість.

Але якщо мої ідеї будуть експлуатуватися лише для чергового розпилу державних чи донорських коштів — ось тут я буду сильно і категорично проти. Якщо знов хлопчики-мажори з модними бородами та без найменшого досвіду в індустрії будуть хвацько керувати «департаментами цифрової інфраструктури» та створювати «Кіберцентри» за принципом згори вниз — буду люто цьому протистояти. План «вистрелить» лише в комплексі, з дотриманням усіх згаданих ключових принципів, за відчайдушного бажання досягти результату.

Інакше не спрацює.

Розумію, що до виборів-2019 навряд чи чинна влада захоче почати будувати справжню Національну систему кібербезпеки. Але коли гарячий мордорський півень почне припікати їм рожеві місця напередодні або під час виборів і почнеться вереск «спасітє_памагітє_шонамделать» — ось тоді питання актуалізується. До цього часу нам бажано мати вже опрацьований, відшліфований та готовий до використання план дій. А то теперішні чиновники люблять відповідати на критику «а ти якщо такий розумний — сам прийди і зроби».

А в нас вже буде План. І можна буде «приходити і робити». Але по-людські, по-правильному. І деяких людей, які зможуть це зробити, я вже знаю. Якщо у тебе є класний План – знайдуться і люди, і кошти, і політична воля. Тому закликаю долучитися до його розробки вже зараз.

Бережімося.