Цифрова частина урядового «Плану відновлення України»

Подивився я, у чому ж полягає цифрова частина «Плану відновлення України», який був представлений у Лугано цього тижня.

Багато маю чого сказати з цього приводу, тому це буде допис нумер раз.

Перше і загальне враження: Хаос. Пожежа у борделі. Виступ З—- (censored) без папірця.
Наскирдовані безсистемні хотєлкі купи зацікавлених у розпилах західних грошей осіб та організацій.

Перший приклад на підтримку цієї тези: один і той самий пункт про Національний центр резервування державних інформаційних ресурсів вказано двічі – на стор. 4 і на стор. 5.

Ось другий приклад: одне й те саме, але трохи різними словами, «розроблення рекомендацій щодо підвищення стійкості та надійності електронних комунікаційних мереж» двічі написано на сторінках 9 та 10.

Підганяли під красиву кількість пунктів? Можете не рахувати, їх рівно 100. Мрія маркетолога-SММника.

Скидається на те, що все писалося нашвидкоруч, в режимі тяп-ляп-продакшн, зібрані пропозиції якщо хтось і вичитував, то, скоріш за все, молодший персонал «з-9-до-18».

От що б, наприклад, міг означати наступний пункт: «Розвиток системи реєстрів взаємодії, реєстри, засоби» (стор. 6)? Про сенс початку фрази ще можна здогадатися, але як там опинилися інші слова?

Та і, загалом, зрозуміти, що мається на увазі по кожному проєкту-заходу, просто неможливо, пункти не «розкриваються». Розумій, як можеш. Навіть мені, сивому дядьку, який 22 роки у кібербезпеці, не зовсім зрозумілий термін «Тестбед-тулкіт платформа». Словосполучення «тулкіт» та «тест» доволі стандартні, але оте «бед» мене трохи бентежить, як і загальний сенс речення. Сумніви маю я.

Та й загалом, ніякого чіткого плану не проглядається, навіть якщо сильно захотіти.

От хоча б з самого початку: що означають загадкові клавіші-фільтри «Проєкт» і «Захід»? Типу, «проєкт» – це те, про щось ми лише мріємо, а «захід» – вже в процесі, докиньте грошенят, так чи шо? Але ні. Якщо відфільтрувати, натиснувши «Захід», і почитати, що написано, – з контексту стає зрозумілим, що це також якісь плани-бажання. Можливо, «Проєкт» – то ідея, а «Захід» – як хочуть ідею реалізувати? У такому разі виглядати це мало б геть по-іншому, а у теперішньому вигляді співставити «ідею» з «методом її реалізації» абсолютно неможливо.

У поточній редакції, наприклад, пункт про реагування на кібер-інциденти комфортно себе почуває поряд з пунктом про е-Туризм. Можливо, проєкти-заходи розташовано за абеткою? Теж ні.

То у чому різниця між «Проєкт» та «Захід»? І за яким принципом нахерачено вперемішку незрозумілі слова? Для мене це залишилося загадкою.

І між іншим, чи в курсі автори, що в українській мові слово «Захід» також може означати «західні партнери України», і дехто може зрозуміти це як зобов’язання, покладені на зарубіжних донорів? Хоча стоп, може, саме так і малося на увазі, а це лише я зрозумів слово «Захід» у сенсі «сукупність дій або засобів для досягнення, здійснення чого-небудь»?

Це був вступ до аналізу «цифрової частини Плану відновлення України», у наступних дописах буде трохи цікавіше: почну коментувати суть запропонованого.

* * *

Продовжую аналізувати цифрову частину «Плану відновлення України».

Перш, ніж коментувати найяскравіші місця, розкажу, чого немає у даному Плані, хоча мало б бути.

Немає – пабам! – кібербезпеки. Ні, вона начебто згадується у деяких пунктах, але її не видно як цілісної системи. Навіть тіні якоїсь системності не проглядається.

Якщо не рахувати дублі (їх згадав у попередньому дописі), то я знайшов 15 хаотично розкиданих по тексту позицій, які хоч якось можна вважати причетними до окремих моментів, пов’язаних з кібер.

«Перенесення державних інформаційних ресурсів до хмар, організація збереження інформації шляхом резервного копіювання» – передбачає План.
Боюся спитати: «А до хмар якої країни/юрисдикції?».

Бо поточна державна концепція полягає у виведенні усього, що є, у хмари кількох країн-союзників, які можуть раптом зменшити ступінь дружби з Україною. Наприклад, якщо внаслідок чергових виборів до влади прийдуть політичні опоненти нинішніх керівників.

Чи, може, планують будувати ті хмари в Україні? Так вони вже давно побудовані. Але є одне «але»: в український дата-центр може влучити умовний «калібр». І такого ризику при побудові дата-центрів ніхто чомусь не враховував.

То я знов повертаюся до першого питання: якщо в Україні будувати хмари небезпечно, до хмар якої юрисдикції хочуть переносити державні інформаційні ресурси?

Те ж саме питання стосовно «Створення державної хмарної сервісної платформи кібербезпеки».

Сам сервіс цей поки що виглядає якимось утопічним, відірваним від реалій. Якби це можна було зробити, і був би на нього попит, – бізнес би вже давно б зробив.

Але все-ж таки: у хмарах якої країни планується розгортати цей фантастичний кібербезпековий сервіс? Це ж не просто державна інформація, це її кіберзахист, свята-святих!

І добиває цей блок питань наступна пропозиція Уряду України до західних донорів: «Розроблення стратегії розвитку хмарної інфраструктури».

Еее, альо, так ви ж вже пропхнули через Раду цілий Закон України «Про хмарні сервіси» рівно за тиждень до початку Вторгнення, 17 лютого 2022? Шо, не працює закончик? Накосячили? А давайте пригадаємо, хто його розробляв, хто лобіював, хто пропихував?

Чи це знов продаж снігу ескімосам? Ви дайте гроші, а ми на них видамо старе лайно за нову розробку?

До цього ж схематозу відноситься пункт «Створення національної системи моніторингу кіберзагроз на базі сенсорної інфраструктури». Усі наближені до теми фахівці знають (по великому секрету), що ця «система сенсорів» активно створюється вже років 5-6, не менше. Цим хваляться на кожному держ-збіговиську, навіть у публічних звітах часто проскакує.

Смішно виглядає пропозиція «Розвиток системи активної кібербезпеки (системи оцінки вразливостей та тестування на проникнення, сервісів захисту веб-ресурсів (в т.ч. «Дія» і публічних електронних реєстрів)».

По-перше, активна кібербезпека – це дещо інше, ніж вказано у дужках. Активна кібербезпека – це наступальна безпека, offensive security. Дії атакувального характеру 🙂 .

А по-друге, нарешті Дія визнала, що треба регулярно тестувати не тільки її саму (алілуйя!), але також і реєстри, до яких вона має доступ. Хоча до цього етапу поки як до неба…

Так само смішно (але вже з відчуттям прихованої гордості «ми таки додавили») читається пункт «Впровадження комплексного захисту інформаційних ресурсів та технологічної інфраструктури «Дія» та послуг електронного урядування».

Смішно тому, що таким чином визнано лузерський принцип розробки Дії «спочатку швидко зляпаємо продукт, а потім на нього будемо якось натягувати кібербезпеку». Класика.

Ладно, сподіваюся цього достатньо, щоб зрозуміти, що не так із кібербезпекою у так званому «Плані відновлення».

Безсистемно накидані пункти, не пов’язані єдиним задумом, без усвідомлення, як їх виконати. Аби шось там було «про кібер». Стратегія кібербезпеки, яку я препарував рік тому, виглядає значно солідніше (хоча теж лише набір красивих фраз).

У наступному дописі прокоментую пункти про «реєстр реєстрів», відкриті дані, «ID-картка як електронний підпис» та про відверту фікцію у цифровій частині «Плану відновлення України».

* * *

Це заключна частина мого аналізу цифрової частини «Плану відновлення України», зляпаного на колінці “новими ліцами”. Початок та продовження – вище.

Ще одна річ, якої немає у цьому Плану, але мало б бути: нема навіть натяку на конкурси з призначення на «цифрові» («комунікаційні», «кібер») посади. В сучасній Україні на цих посадах комфортно розмістилися безліч тупих та корумпованих, дуже пихатих та агресивних, але відданих своїм політичним босам цифро-інфо-циган, які розбираються у галузях, якими «керують», приблизно ніяк. І цей розклад владу абсолютно влаштовує – то навіщо щось міняти? Просто дайте грошей «на відновлення», у тому числі того, що ми самі зламали.

Ще одним із заходів Плану є «Інтегрована автоматизована система державного нагляду (контролю) (ІАС ДНК)». Одразу виникає питання: система нагляду за чим? Над всім чи лише за цифровими активами? А за якими? Лише за державними? Чи не стане це Укркомнаглядом?

А ця пропозиція мене відверто лякає: «Спрощення використання електронних підписів та запровадження віддаленої ідентифікації». Невже численні шахрайства та зловживання зі «спрощеннями» та «віддаленою ідентифікацією» під час карантинів нічому нікого не навчили?

«Проведення рекламних кампаній для залучення іноземців здійснювати підприємницьку діяльність в Україні». Це про що взагалі? Який це має стосунок до “діджитал”?

«Розробка та проведення навчальних програм щодо підвищення знань та навичок роботи з відкритими даними» – ага, які не доступні в Україні.

“Створення онлайн-платформи, що міститиме освітню інформацію для самостійного захисту громадянами своїх прав в інтернеті” – тобто держава більше не буде робити вигляд нібито нас захищає в Інтернеті, вірно я зрозумів натяк? Принаймні, це чесна позиція: ми все одно не можемо вас захистити, то давайте якось вже самі.

«Створення довідника документів, довідника даних» – що це б&%& за н&%$? Це про що? Це точно про «відновлення цифрової держави»?!

Я завжди казав: не можна під час складання плану курити план.

На що взагалі розраховували ваяльники подібного «шедевру»? Що його ніхто з потенційних донорів не буде читати, обмежившись захопливим вигуком “Вау, у них є План”? А якщо й читатимуть, то не далі першої сторінки? Вони дійсно вважають, що таке Г можна продати за 750 ярдів?

Ляхамуха, от нічому не вчаться.

Із таких жаданих 750 мільярдів доларів вдалося наколядувати лише 1,9 мільярда (0,26% від запитуваної суми), з яких на «діджитал» піде начебто 250 мільйонів (0,033% – тридцять три тисячних відсотка).

І це не дивно. Під такий план я б теж нічого не дав. А якщо і «діджитал-лендліз», запропонований паном цифровим міністром найбільшим технологічним компаніям Світу, складений так само геніально, – плани «цифрової відбудови» доведеться розробникам таки скурити.

І це при тому, що 1,9 мільярда – це лише обіцяна сума, не отримана. А там хтозна, як ще буде після війни. Коли ми нарешті знищимо рашистську нечисть, а з фронту повернуться котики та зайчики, хтозна, кому тоді донори будуть знов обіцяти золоті гори «на відновлення». І навряд чи план буде такий самий. Віслюк, падишах або Ходжа Насреддін – щось обов’язково зміниться.

А поки що добре, що принаймні цифрову частину «Плану відновлення України» ніхто на Заході не розглядає всерйоз.