РНБО проти вірусу Petya: сферичний дракон у вакуумі

06/07/2017 14:26
yes1111: (порох не ошибись)
[personal profile] yes1111



Про сумнозвісну атаку вірусу Petya останніми днями не писав, напевно, лише ледачий. І не тільки писали. Питання кіберзахисту та інформаційної безпеки піднімалося й на державному рівні. Апогеєм глибокої стурбованості державних мужів проблемами захисту державних установ від кіберлочинців стало засідання Національного координаційного центру кібербезпеки, яке відбулося кілька днів тому за участі голови РНБО Олександра Турчинова.

Питання на цьому високоповажному заході піднімалися, начебто, гострі й нагальні. Зокрема, пан Турчинов нарікав на те, що керівники державних установ проігнорували рішення РНБО та доручення Національного координаційного центру кібербезпеки.

"Хочу підкреслити, що це не просто відсутність дисципліни. Ця бездіяльність - злочин, за який посадовці, які не забезпечили інформаційну безпеку своїх установ, повинні нести, в тому числі, і кримінальну відповідальність", - вибухав правденим гнівом голова РНБО.



І далі він не менш справедливо нарікав на дуже низький рівень фахівців з кібербезпеки, які працюють в державних установах "через низький рівень зарплатні державних службовців, що не дозволяє залучати до цієї роботи висококласних професіоналів".

Що ж, важко заперечувати очевидні факти. Але чи відбудуться після цієї констатації справді дієві кроки, здатні перетворити дірявий сарай комп'ютерних мереж державних установ на справді міцну й захищену фортецю? На жаль, маю щодо цього серйозні сумніви.

По-перше, чи відомо вельмишановному пану Турчинову, яку реальну частку у відсотковому виразі складають державні установи, в яких посада системного адміністратора взагалі передбачена штатним розписом? Тобто, саме штатна посада, з відповідними документально зафіксованими службовими обов'яками та офіційно затвердженим посадовим окладом?

На жаль, у переважній більшості організацій та установ цю роботу де-факто виконують або випадкові люди ("ось хлопчик, начебто тямущий: навіть курси "Крок" закінчив - хай прийде й налаштує!"), або інженери, лікарі, наукові співробітники тощо, яким керівництво доручило роботу системних адміністраторів. Які змушені виконувати нелегку і ненормовану працю сисадміна часто-густо у вільний від своєї основної роботи час - після завершення досліджень і написання звітів. За жебрацьку зарплатню, а то й неповний робочий тиждень. Звісно ж, навіть якщо раптом станеться диво, і зарплату системного адміністратора, скажімо, відповідною постановою Кабміну буде піднято до пристойного рівня, цих людей воно жодною мірою не торкнеться. Бо юридично вони не є системними адміністраторами. І до їхньої зарплати ця гіпотетична постанова не матиме ніякого відношення.

Але чи тільки зарплатою єдиною визначається можливість залучити до справи захисту інформаційної безпеки установ усіх рівнів дійсно компетентних, креативно мислячих та ініціативних людей? На перевеликий жаль, тисячу разів ні. Бо в більшості установ системний адмінистратор (або людина, яка змушена виконувати його функції) перебуває у статусі "чєго ізволітє?", - тобто безропотно виконує волю керівництва, яке у кращому разі радиться з ним лише після того, як те чи інше рішення вже прийнято і остаточно затверджено до виконання. Навіть якщо це рішення є, м'яко кажучи, кричуще некомпетентним. Результати його втілення, звісно ж, будуть відповідними.

В результаті доходимо сумного висновку, що за існуючих умов ніякі рішення РНБО не матимуть жодних корисних практичних наслідків. Як героїчні потуги сферичного дракона у вакуумі.

То ж - чи можна взагалі зрушити з місця цього мертвого воза? Можна. Але:
 
- По перше, в кожній державній установі треба передбачити штатну одиницю системного адміністратора. З чітко затвердженими посадовими обов'язками і відповідним окладом - на який не соромно буде прийти людині з належним рівнем підготовки;

- По-друге, системний адміністратор має брати безпосередню й активну участь в обговоренні та прийнятті всіх рішень стосовно організації IT-структури установи, закупівлі того чи іншого обладнання, придбання та встановлення того чи іншого програмного забепечення тощо. З правом вето, якщо варіант, на якому наполягає керівництво, з фахової точки зору є заздалегідь нераціональним, невигідним або небезпечним. Можливо, варто закріпити ці ключові моменти навіть на законодавчому рівні. Аби застерегти деяких керівників від надмірного бажання "протиснути" потрібне їм рішення. Зрештою, не намагаються ж системні адміністратори повчати директорів, як їм керувати своїми конторами. То ж хай і керівництво не втручається в питання, в яких воно нічого не тямить. Перекладаючи згодом усю відповідальність на сисадміна.

Складно, скажете? Насправді - більш, ніж реально. Але тільки за однієї умови: наявності бажання. В першу чергу, з боку керівництва держави. Адже загальновідомим є факт, що доля більшості інновацій визначається насамперед тим, на якому боці грає адмінресурс: сприяє він змінам, чи навпаки опирається (активно або пасивно). Звісно ж, наївно чекати такої ініціативи від нинішніх зледачілих та наскрізь корумпованих очільників держави. То, може, дійсно настав час перевстановити систему?
 
Tags:
This account has disabled anonymous posting.
If you don't have an account you can create one now.
HTML doesn't work in the subject.
More info about formatting
 
Notice: This account is set to log the IP addresses of everyone who comments.
Links will be displayed as unclickable URLs to help prevent spam.

Profile

yes1111: (Default)
yes1111

June 2021

M T W T F S S
 123456
7891011 1213
14151617181920
21222324252627
282930    

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags