Кібербезпека: НАТО профінансувало СЦПК в СБУ, а чи буде вимога ділитися інформацією?

Блоги

Ситуаційний центр протидії кіберзагрозам СБУ (СЦПК). Враження від відвідування. Лонгрід.

По-перше, дякую за запрошення. Той факт, що написане у "всяких там ваших фейсбуках" має важливе значення для, зокрема, СБ України – то вже немало. Намічається контур зворотнього зв'язку від ком'юніті до державних інституцій, і це слід привітати.

По-друге, панове з кібер-департаменту були абсолютно не проти цілої делегації і не намагалися відфільтрувати склад учасників. Ще один плюс.

Тому ми разом з Volodymyr Styran, Vic Zh, Tim Karpinsky та Yehor Papyshev взяли паспорти та скористалися цікавою оказією подивитися на Центр зсередини, поспілкуватися з тамтешніми керівниками та працівниками, поставити прямі запитання та оцінити загальний рівень зрілості проекту.

Враження різні, але про все по порядку.

Приміщення не дуже велике, просто велика кімната, новенькі офісні меблі, багато моніторів на столах, один великий на стіні, то усе є на відео з сайта Служби. Нічого особливого, якщо чесно.

Але не за цим ми приходили.

Важливо було зрозуміти – за якими принципами працює Центр, які завдання ставить, яким чином їх вирішує і яка практична користь від цього усім нам – тобто Україні.

Наскільки я зрозумів, наразі запущено щось на кшталт пілотного проекту, який буде відкатуватися, допилюватися, покращуватися і т.ін.

Якщо "на пальцях", то суть полягає у наступному: у одному з ключових Міністерств України встановлена велика кількість сенсорів, які забирають інформацію про найбільш критичні процеси у мережі відомства.

За певними критеріями інформація з сенсорів направляється до MISP – софтверної платформи обміну, збереження та кореляції індикаторів компрометації тагетованих атак. Якщо простіше – такий собі просунутий аналітичний софт.

Якщо MISP виявляє ознаки атаки, то інформує про це свого оператора (метадані) та направляє жертві не тільки алярм, але й зміни до налаштувань політики безпеки. Існує навіть опція автоматичного застосування змін, без участі "приймаючої строни".

Не буду вдаватися в технічні подробиці, колеги напишуть про це краще за мене.

Мене більше цікавила ідеологія, стратегія, перспектива, практична цінність.

Чи не є це заміною CERT-UA?

Звідки береться вхідна інформація, і чи достатньо вона репрезентативна?

Як побудована система обміну інформацію, за якими принципами?

Якими бачаться перспективи приватно-державного партнерства у цій сфері?

З власного досвіду знаю, що традиційна слабість цивільних структур типу CERT/SOC/CSIRT полягає у:

1) неспроможності оцінити певні дії як кібер-кримінальний злочин відповідно до кримінального законодавства;

2) відсутності повноважень проводити офіційні розслідування;

3) відсутності оперативних підрозділів "на землі" та взагалі права ведення оперативно-розшукової діяльності.

Усе це є в СБУ.

Але через природну закритість структури – поки недостатньо досвіду публічного розповсюдження інформації про інциденти, взамодії з бізнесом, ком'юніті, залучення приватних компаній до вирішення завдань кібербезпеки країни та ще дечого.

Але вони вирішили спробувати.

Трохи інсайдів для тих, хто не в курсі підкилимової боротьби.

Ні для кого не секрет, що CERT-UA у теперішньому стані не відповідає сучасним вимогам та не дуже збирається це робити.

СБУ завжди займала дуже активну позицію у питанні "забрати" CERT-UA під своє крило та реанімувати.

Не вийшло.

Тому вони вирішили зробити щось своє.

І ось наче презентують результати.

Під час детальних та фахових пояснень Максима Літвінова спочатку склалося враження, що пілотний проект планується просто масштабувати на інших об'єктах критичної інфраструктури: скрізь поставити сенсори та аналізувати дані з них у MISP та інших системах.

Виявилося, що план дещо інший: СЦПК у перспективі бачить отримання даних від подібних до себе Центрів.

Яких ще не існує. Які ще треба тільки починати створювати. У галузі, відомстві, держпідприємстві мають колись бути свої власні невеличкі (або ж великі) Центри реагування, які б направляли інформацію до СЦПК, а той вже ділився б інформацією з усіма іншими Центрами такої системи.

Гм. Спочатку збудувати елеватор, а потім подумаємо де саджати зерна? Система "зверху донизу".

По цим граблям вже пробігся CERT-UA.

Але якщо подивитися на проблему з іншого боку.

У сучасній Україні людям з активною позицією, які прагнуть щось зробити вже зараз, марно чекати, поки цілі сектори економіки та об'єкти критичної інфраструктури побудують однотипні Центри реагування "знизу".

Забагато часу піде на вмовляння, роз'ясненя, вибивання бюджетів, навчання співробітників, систематизацію заліза та софта.

Неефективність та малоперспективність зусиль.

Практичніше побудувати щось діюче самому, відкатати методики на практиці, розробити типову працюючу модель і потім сказати: "роби як я".

Тобто це такий собі гібрид між "знизу доверху" (як по-хорошему мало б бути) та "зверху донизу" (не працює, прикладів безліч).

За відсутності інших варіантів це може спрацювати.

Подальша перспектива: створивши діючу мережу Центрів реагування для органів державної влади та об'єктів критичної інфраструктури, пропагувати долучення до такої мережі усіх бажаючих: приватний бізнес, громадські організації, об'єкти не-дуже критичної інфраструктури, тощо.

Схема в цілому правильна, головне, щоб "злетіло".

Щоб власники ресурсів повірили у ефективність Системи, мали до неї довіру, а приєднатися до неї не було занадто дорого навіть для маленького Інтернет-магазину чи кафе.

І щоб не боялися трьох чарівних літер С-Б-У.

А це важко.

Для цього треба дуже довго та наполегливо працювати: багато роз'яснювати, бути публічними, розповсюджувати корисну для користувачів інформацію, виступати на заходах, ділитися певними технічними даними та методиками вирішених інцидентів, пропагувати позитивний досвід і ще купа всього доброго і позитивного.

Особисте спілкування з керівниками та працівниками СЦПК СБУ дає підстави для стриманих оптимістичних сподівань у цьому напрямку.

У хлопців горять очі, оптимізм detected, пристуній здоровий прагматизм та розуміння реалій, є розуміння життєвої необхідності спілкування з ком'юніті та підвищення власної експертизи, рівень технічних знань – нібито достатній для цієї фази проекту, глибоко не перевіряли.

Загальний настрій – "Бачу ціль і не бачу перешкод".

Це вже немало, дає надію.

Трохи про гроші.

Уся система СЦПК побудована виключно за кошти одного з трастових фондів НАТО, вітчизняні чиновники навіть не бачили ніяких грошей, не замовляли сервери, просто окреслили завдання.

Тобто питання розпилу відпадає автоматично.

Зараховано.

Щодо побудови інших Центрів реагування, перш за все, у центральних органах виконавчої влади та на об'єктах критичної інфораструктури.

Це знов питання до трастових фондів і його будуть ставити.

Але для аргументації побудови нових Центрів, треба показати ефективність того, на що вже витрачено кошти.

На місці трастового фонду я б до цього питання підійшов дуже серйозно, з урахуванням поточних український реалій.

Окрема ремарка: хоча НАТО дало гроші на побудову СЦПК, ніяких вимог про надання інформації про інциденти не вимагається (зі слів керівництва СЦПК.

Більше того, право обмінюватися інформацією з аналогічними Центрами НАТО треба ще заслужити.

Загальне враження: а шо, може і злетіти.

Якихось явних косяків у ідеології та напрямку мислення не виявлено. Що незвично для державної установи.

На неприємні (а інколи відверто провокаційні) запитання відповідають прямо, визнаючи проблеми та не стадиючись просити про допомогу. Допомогу знанями-досвідом, практикою, напрацюваннями.

Багато і з захватом розповідають про проект, через що він пройшов і до чого дійшли. Видно, що "народжували" самі, в муках. Дуже пишаються тим, чого досягли.

Не скажу, що результати вражають, але це набагато більше, ніж нічого.

Особисто для мене найбільш спірним питанням є те, що проект започатковано на базі не просто силової структури, а ще й спецслужби. Яка має примусові повноваження, спецназ, оте усе.

У світовій практиці Центри реагування на кіберінциденти при силових структурах, зазвичай, працюють виключно в інтересах усіх силових структур країни та/або урядових структур, діляться інформацією з закордонними колегами, Інтерполом, міжнародними поліцейськими організаціями.

Щоб до такого Центру добровільно приєдналися громадські об'єднання, приватні компанії, громадяни – треба бути просто зразком непідкупності, прозорості, чесності та довіри. Найвищих професійних стандартів. Бездоганної репутації.

На жаль, про нашу сучасне СБУ поки що так сказати буде зарано.

Висновок: найближче майбутнє покаже живучість СЦПК.

Тут надзвичайно важливо не знижувати обертів, а лише їх нарощувати. Try hard.

А для цього у хлопців наче усе є.

Перш за все – явне і велике бажання правильно робти правильну справу.

Бажаю у цьому їм удачі.

Сподіваюся, так і буде.

Бо треба ж людині мати надію.

Бережімося.

Костянтин Корсун
FB
Використані фото Прес-центру СБ України