Вчора внаслідок атаки попадали, як стиглі груші на вітру, веб-сайти Офісу Президента, НАБУ, СВР, ще кількох десятків держструктур. Не став виключенням і сайт відомства, яке начебто (на папері) відповідальне за кібербезпеку державних установ — Держспецзв’язку.
Традиційно, про свої провтики чиновники дружно мовчать. Голосно кричать про дрібні та незначні досягнення, але визнавати помилки – ото ще, не царська це справа, ми ж влада, помилятися не можемо в принципі.
Аж за 16 годин після усунення наслідків інциденту Держспецзв’язку опублікувало повідомлення https://cutt.ly/gmmextP, в якому фактично переклала провину за DDoS-атаку на інтернет-сервіс-провайдерів. Які, безумовно, усі мають атестати відповідності КСЗІ від того ж таки Держспецзв’язку, хоча усім (хто розуміється в тематиці) відомо, що ті атестати – лише корупція та фількина грамота, і ні від чого не захищають.
Цікаво, що піарник ДССЗЗІ такий собі Артем Дорофеєв зробив 30 перепостів цього повідомлення у різних групах з один і тим самим коментарем: «Про ситуацію, яка сталася вчора із сайтами державної влади.”
Хоча стоп, у тридцять першому перепості включив таки креатифф: «Захист кіберпростору держави у надійних руках!»
У цьому випадку справа не в тому, що криворукі горлопани не подумали про елементарне – нормальне резервування каналів (а не VLAN проти DDoS).
І не про відому фразу Фйодорова «Ми всіх звільнили але все працювало».
І навіть не про школярів-хакерів з Бангладеш BD Gray Hat Hackers, які заради розваги на півдня поклали українську критичну інфраструктуру.
Справа у тому, що офіційні особи (за наші ж гроші) регулярно та нахабно брешуть та буквально дзюрять нам в очі про реальний стан кібербезпеки в країні та свою «роль» в цьому.
Ось лише кілька прикладів.
“…держава змогла сформувати ядро національної системи кібербезпеки» — це цитата з останньої Стратегії кібербезпеки України, затвердженої РНБО у травні 2021.
Мушу зазначити, що на це саме «ядро» і була спрямована досить середньої складності, але успішна DDoS-атака.
Усвідомлюючи свою ущербність, чиновники від кібербезпеки шукають хоча б когось, хто б їх похвалив, і тому люто пишаються 25 місцем України у “індексі кібербезпеки”, вигаданому мутною естонською конторкою “Академія електронного урядування” https://cutt.ly/AnEtx3a https://bit.ly/38yiQHQ
Замість реального розвитку мережі центрів реагування на кіберінциденти, цей процес лише імітується, причому очевидно бездарно https://cutt.ly/cnEZebW
При Держспецзв’язку утворено іграшкову «раду кіберекспертів» https://cutt.ly/NhgrfUC
Самі себе вони називають «Найміцніший проєкт України» (ггг).
І про себе написали: «Ми зібрали найкращих фахівців для реформування та вдосконалення стратегій, механізмів та законодавчої бази у галузі кібербезпеки.»
З держбюджету витрачаються шалені гроші «на національну кібербезпеку» https://cutt.ly/DnJNsSH
Держспецзв’язку: 155 мільйонів.
Мінфін: 152 мільйони
Мінюст: 112 мільйонів
На кібербезпеку критичної інфраструктури України (а ці вебсайти, безумовно, є критичною інфраструктурою) уряд США виділив аж 38 мільйонів даремних доларів https://cutt.ly/RnEjPVT
Між іншим, самого «донора» нещодавно жорстко хакнули запорєбріки: https://cutt.ly/gnEMsZ3
Та і взагалі, кібербезпеку держави Україна фінансують численні міжнародні фонди та організації: Програма EGAP, Фонд Східна Європа, TAPAS, UNDP Ukraine / ПРООН в Україні, KfW, EU4DigitalUA, SACCI, FIIAPP, SURGe, Support to Ukraine’s Reforms for Governance. І ще багато інших, я не про всіх знаю.
При Держспецзв’язку та Мінцифри вже давно існують так звані «громадські ради», які незрозуміло чим займаються та нахіба взагалі потрібні. Вони не можуть навіть затребувати звіт про один єдиний малозначущий вчорашній інцидент. Про гучні потужні інциденти національного масштабу «кейс Байдена» та «кредит через Дію» я навіть і не заїкаюся, бо члени тамтешніх громарад, мабуть, обмочилися б від страху від самої думки грюкнути кулаком по столу на чиновників. Добре, що такі думки їх ніколи не відвідують.
Про численні провтики різного ступеню феєричності малограмотних державних «кібер-захисників» можна зібрати повноцінну дводенну конференцію, реально. Та лише під час волонтерського патріотичного руху #FRD (жовтень 2018 – лютий 2020) було зібрано матеріалу на повноцінну книжку. Тому не буду перераховувати сотні фактів жахливої непрофесійності працівників державного сектору кібербезпеки і їх же пафосних заяв на кшталт «Захист кіберпростору держави у надійних руках!».
У мене просте питання до усіх цих «рад експертів», «громадських рад», «естонських кібер-індексів», до РНБО, Мінцирку, Держспецзв’язку, USAID, TAPAS, EU4DigitalUA, EGAP:
І шо, помогло?
Як воно там взагалі, не вершинах паперового кібер-Олімпу, норм?
Міністерства та посади створюються, гроші активно витрачаються, гранти пиляються, а кібербезпека країни як була у дупі — так там і залишається.
Передаю вам промінчики добра, мої бубочки.
Допоки у державному секторі панує кумівство, тотальна непрофесійнійсть, невиправдані понти та поголовна корупція (це головне) – допоки подібні інциденти будуть траплятися регулярно.
І це ще поки сидять у засідці всякі кремлівські АРТ28, АРТ29 та інші Cozy Bear.
А поки протягом півдня усією державною машиною вдалося відбитися лише від школоти з Бангладеш, яка хакнула сотні сайтів чисто “по приколу” — тому що це легко.
Як казав класик: «Роль кібербезпеки трохи…» шо?
Отож.
10 ответов
Специалист средней руки по кибербезопасности, получает в IT-конторе от 3000$. А государственные органы максимум могут привлечь студентов 2-3 курса, которые пилят им сайты, при этом списывают на этих яко бы “спецов” через левые фирмы миллионы денег, в реальности платя студентам по 5-7 тысяч гривень. Так что чего вы ожидаете?
Все вкрали — нама грошей
Зачем писать то, что в чем не разбираешься??? При чем здесь VLan к DDoS, VLan служит для организации структуры внутренней сети, а DDoS бьет запросами по внешним IP-адресам. “Отбиваться” от DDoS бесполезная затея, переход на другой канал ничего не решает, будут бомбить другой IP-адрес, а скорее всего изначально атакуют диапазон внешних IP провайдера. DDoS не бесконечен и не продолжителен ибо стоит денег. А если рассмотреть этот вопрос с маланской точки зрения, то почему бы не сделать маленькую DDoS-атаку, отрапортовать что победили и попросить много денег на организацию проекта по “защите” ключевой инфраструктуры от DDoS, а дальше звучит песня Ромы Зверя “Распилы, откаты…”
Навить омериканьськи сайти ломають як xyй об ладошку
А уж там руки понадийние будуть
Так що не мычить а повышайте профессионализм
Когда похерят эту Филькину грамоту — ксзи? Это набор бумажек который регламентирует создание этих бумажек. Где ,блять, шаблоны безопасности на офсайте дссззи? Модель загроз и модель порушника ??? Вы в каком веке ?
з ddos давно та успішно протидіяти навчилися у світі, але там де щось роблять, а не тупо пилять бабки. В Україні з кібербезпеки ніхто нічого не робить і це факт. ДІРи знаходяться у власності розпорядників, яким не має сенсу якої захищати їх. Бо таким чином можливо приховати свої втручання в ДІРи по за межами закону
То Петрова проделки
нах… звідси в свою паРашу
Бабки спизжены, бумаги подложены…все течет по плану, никому
ничего нах не надо…так в Украине, так в Параше, так много где,
только там где руководство при памяти есть якобы порядок, и то..не везде
Благодаря Раше вымирает нарот дамбаца: вырезаны заводы, вырежут и местных.