Мінцифри — не стартап, Дія — не тетріс. Чому не можна нехтувати кібербезпекою

Охоронець у супермаркеті та начальник служби безпеки на підприємстві можуть сказати одне і теж слово "безпека" і мати на увазі дуже різні речі, не кажучи вже про думку таксистів, діджиталізаторів і кур'єрів із доставки піци.

І поки ви читаєте про білінійні спарювання в групах їжаків і вужів, до вас в акаунт може залізти колишня (тут достатньо поставити сильний пароль), а може і шахрай.

У другому випадку, на додачу до сильного паролю, бажано не натискати на підозрілі посилання. А може залізти і Моссад, і тоді не допоможе нічого, але ви їм нецікаві.

Хоча, не знаю як у вас, але після того, як ФБР вилучило вміст моєї поштової скриньки, СБУ віджала комп'ютери, а ФСБ накидає в ефірі "Росія 24", я б уже не був такий впевнений. Й у мене немає ілюзій з приводу власної значущості, адже в Україні є цілі й цікавіші, зокрема і для Моссаду.

Важливо

Думати, як злочинець. Як за 5 кроків зламати "Дію" і вкрасти чужу особистість

Збиток від інцидентів становить 1-5% світового ВВП (дивлячись як рахувати і те й інше), приблизно стільки ж (еквівалентні суми) витрачають на безпеку великі компанії.

Але крадіжка інтелектуальної власності — аж ніяк не єдиний ризик. Зрозуміло, що землетруси, цунамі, економічні кризи і твіти Ілона Маска можуть труснути сильніше, але з ними (крім Маска) люди звикли жити з часів неоліту, а з комп'ютерними погрозами — не дуже.

Якби Федоров, Вискуб і підозріло мовчазний Chief Information Security Officer Мінцифри дочитали б статтю математика, доктора наук Ендрю Одлижко "Cybersecurity is not very important" до кінця, враховуючи контекст, то почали б фіксувати системну інформацію про роботу Інтегрованої системи електронної ідентифікації.

Тієї самої, на сервери якої заносяться всі дії користувачів / програм, щоб знайти відповідального за цифровий підпис "Biden Joe", не влаштовували б коротке замикання в реєстрах, а архітектор "Дії" Ілля Родін не покладався б на security through obscurity (security through obscurity — "безпека через незрозумілість", — принцип, який використовується для гарантування безпеки в різних сферах діяльності.

Важливо

Цифрові маніпуляції. Що не так із критикою додатку "Дія"

Основна ідея полягає в тому, щоб приховати внутрішній устрій системи або реалізацію для гарантування безпеки, — Ред.). Тим паче, що в obscurity теж потрібно вміти, якщо про obscurity говорить доктор наук, то він має на увазі зовсім не розсилання битих файлів замість документації, і не липові сертифікати КСЗІ.

Так, серед експертів є й така думка, що збігається з назвою статті Одлижко ("Cybersecurity is not very important" — "Кібербезпека не дуже важлива") й із сумно відомою цитатою Михайла Федорова, який сказав, що "роль кібербезпеки перебільшена".

Але навіть шановні фахівці з цієї самої кібербезпеки мають на увазі зовсім не те, про що говорить міністр і його прибічники. Одлижко говорить про те, що ми зможемо пережити "електронний Перл Гарбор" (потужна атака, здатна паралізувати діяльність у масштабах країни, — ред.), тому що вже пережили Перл Гарбор звичайний — людство пристосовується до штучних катаклізмів точно так само, як і до природних, але це не означає, що безпекою можна знехтувати повністю. Тим більше не в приватному, а в публічному секторі.

Міністерство цифрової трансформації уявляє собі кібербезпеку, ніби вони стартап, який збирається випустити нову версію тетрісу, а не державну систему, побудовану на довірі та взаємодії мільйонів людей (а взагалі не серверів із телефонами).

І що навіть очевидні (поки) перебільшення на кшталт "цифрового Перл Гарбора" не тільки можливі, але й рано чи пізно відбудуться, поки Мінцифри намагається убезпечити від загоряння власний зад (єдиний вид безпеки, який їх по-справжньому цікавить).

Зараз Мінцифра з бездумною "діджиталізацією", недоумкуватим оптимізмом і негативною ефективністю сама собою загроза національній безпеці.

Першоджерело.

Публікується за згодою автора.