Сразу скажу, что кибербезопасностью всё не так уж и плохо. Но нынешняя spez-operazionnaya обстановка заставляет обратить пристальное внимание на этот вопрос. Лучше заранее проверить слабые места на наличие проблем, чем потом осуждающе вытряхивать из государственных штанов последствия ошибки.

Меня в комментариях к недавнему посту (извиняюсь за ссылку на Дзен-канал) спросили, сколько же тратят на VPN западные госкомпании? Я начал искать и не нашёл ответа. Пришлось побеседовать со знакомыми безопасниками, которые много удивительного рассказали. Далеко не всё понял, но как получилось запомнить и записать, передаю вам. Думаю, тут на Пикабу много специалистов, поэтому ваше мнение, дополнения и критику будет важно услышать в комментариях.

Что такое VPN? Virtual private network - виртуальная частная сеть. Проще говоря - это возможность безопасно обмениваться информацией, не выкладывая её куда-то в общий доступ. Например, если сотрудник сидит на удалёнке у себя дома и ему нужно подключиться к облачному сервису, который находится на серверах компании.

Важно! VPN НЕ гарантирует полную безопасность. Он лишь защищает передачу данных, но можно, например, взломать компьютер пользователя, который сидит дома на удалёнке, и через него воспользоваться внутренними ресурсами компании.

Почти весь мир пользуется либо VPN решениями от топ-4 брендов: Cisco, CheckPoint, Fortigate, Palo Alto. Либо это облачные VPN IPSEC (Azure, AWS, GKS), либо это в принципе какой-нибудь опенсорс на базе OpenVPN. Наши коммерческие организации тоже отдают предпочтение вышеперечисленным вариантам. Интересно, почему?

Российское правительство, как всегда, идёт своим путём. У нас есть свои скрепные "Континент" и ViPNet. Они точно так же сделаны на базе Линукса и Опенвпн, только в качестве шифрования используют ГОСТовый алгоритм. И, конечно же, сертифицированы через ФСБ (точнее, через специальные центры, которые следуют протоколам спецслужбистов).

Ни один западный сервис для работы с российскими госслужбами не сертифицирован. ФСБ, очевидно, не хочет показывать западным компаниям ключевой элемент криптографии, которому должны проктолы ВПН соответствовать - таблицу подстановки. Западные компании не хотят раскрывать свои внутренние алгоритмы и протоколы. Поэтому все полтора-два миллиарда, которые расходуются на защиту коммуникаций госучреждений, уходят в две-три российские конторы.

А как в западных странах? Я нашёл много коммерческих предложений VPN for government, но никаких больших централизованных закупок. Возможно, конечно, я не знаю, где искать в англоязычных источниках такую информацию.

Но из общения с безопасниками и просмотру офферов у меня сложилось впечатление, что каждая госструктура в западных странах сама выбирает себе поставщика VPN, исходя из рекомендаций (это важно!) и своих представлениях о необходимом уровне защищённости.

При этом западные VPN-сервисы не должны сертифицироваться у конкретных спецслужбистов. Они регулируются своей деловой репутацией, оценкой профессиональной среды, стандартами ассоциаций, проверками коммерческих центров и саморегулируемых организаций и (еще раз) рекомендациями от спецслужб о необходимых элементах защиты.

Очевидно, что монолизация рынка приводит к ухудшению качества и увеличению цены. Так же понятно, что единое простое решение может быть более защищенным, чем зоопарк из различного софта. Так какой подход лучше? Тут мы подходим к ключевой проблеме, которую я обозначил ранее.

VPN закрывает только малую долю проблем безопасности. В России, к сожалению, вся инфраструктура безопасности дырявая, непатченые сервисы, нет проверки исходных кодов, контролеры доменов и политики не настроены, операционные системы работают по дефолту в большинстве организаций и прочее, прочее, прочее.

Причина этого - бумажная безопасность важнее, чем реальная. Любая госструктура озабочена только тем, чтобы соответствовать протоколам и проверкам, которые им централизовано назначают их соответствующих служб. Но качество этих стандартов безопасности крайне низкое.

Кто идёт на работу в айти-безопасность госструктуры? Зарплата... 30, ну 40 тысяч. Если станешь начальником, то 50-60к. Квалифицированный специалист в коммерческой фирме за такие деньги даже задницу себе чесать не будет.

А теперь добавим еще кривое распределение ответственности. Если ты, работая безопасником в госструктуре, предложишь какое-то новое и качественное решение, то на тебя ополчатся там все. «Зачем суетишься, нагнетаешь, создаёшь всем сложности, если приказа не было? Вот бумажка сверху придёт, тогда и будешь работать!» Но если что-то произойдет, то безопасника оштрафуют, хотя он мб и предлагал заранее решение.

Не нужно идеализировать Запад. Там в госструктурах похожая ситуация, но из-за того, что в целом рынок больше, богачее, менее централизован и с большим числом внутрипрофессиональных связей, то среднее качество там выше. Хотя всё равно безопасность страдает.

Что мы получаем в российских госструктурах? Плохие специалисты работают по плохим протоколам, повторяя как обезьянки решения интеграторов, закупая не самый лучший софт у монопольных поставщиков, главная задача которого - соблюдение требований бумажной, а не реальной безопасности.

Но тут нам помогает проверенность и простота решений, которые сейчас внедрены. Плюс запуганность сотрудников госслужб, которые боятся сделать шаг вправо-влево. Я не могу оценить, насколько сильно сейчас подвергаются атаке наши государственные сервисы, но то, что «Госуслуги» стабильно работают, показывает, что пусть дорого, частенько топорно, но защитить цифровую часть государства получается.

Разумеется, это прям очень краткий обзор крайне большой и важной проблемы - при централизации управления критичным становится качество менеджмента на вершине иерархии. Но при этом любая организация (включая государственное управление) достигает стадии бюрократизации, когда бумаги становятся важнее реальных дел.

Выхода из этого всего два - либо постепенная смерть организации, либо эволюция, когда происходит уничтожение части бюрократии и «аристократии» внутри организации, повышение децентрализации управления и принятие нового вызова для развития.

А что вы думаете об этом? Как вы видите дальнейшее развитие бюрократической иерархии? Есть ли другие сценарии? Поделитесь в комментариях!

Хочу рассказать историю о печальном опыте работы с государственными органами.

Цель:

1. Возможно получить какую-то помощь от юристов в виде совета или консультации.

2. Предостеречь коллег

3. Просто рассказать и получить моральное удовлетворение по принципу «чтобы люди знали»

4. Маленькая надежда, что наш президент Касым-Жомарт Кемелевич по выходным читает Пикабу, и его искренне возмутит данная ситуация и он лично посодействует в ее решении.

Некоторое время назад департамент полиции (ранее ДВД) одной из областей Казахстана привлекли наше ИП на перевод большого уголовного дела с казахского языка на русский и наоборот. Сразу договор заключен не был, так как они сказали, что окончательная сумма неизвестна, но постановление о назначении переводчиком имеет все признаки договора и является полноценным основанием для работы. А договора будут заключаться по мере сдачи переводов, на конкретные суммы. Через месяц мы сдали 1 часть. После небольшого оспаривания за что платить а за что нет со стороны ДП области и сокращения суммы (в принципе приемлемо) был заключен договор и мы получили оплату. Продолжили дальше работать. Какое-то время бухгалтерия просила не сдавать материалы, так как у них был годовой отчет. Через пару месяцев мы сдали еще один объем, но начались какие-то непонятные споры. Отказаться от дальнейшего выполнения перевода мы не могли, так как постановление обязывает выполнить перевод всех материалов по данному уголовному делу. Закончили перевод мы через 5 месяцев и в итоге ДП области необоснованно отказались оплатить наши услуги сказав, что у них нет денег в бюджете, а потом, что вообще им переводы не нужны. Хотя они все получили и подшили к делу. Никакого диалога не получилось.

Мы обратились в суд. На момент подачи иска мы имели:

1. Постановление о назначении переводчиком, которое имеет все признаки договора. В нем указано, что мы должны делать и по какой ставке будет производиться оплата.

2. Все переводы уголовного дела в печатном виде с подписью старшего следователя на КАЖДОЙ странице о принятии (второй экземпляр для бухгалтерии, как подтверждение для оплаты) (12 коробок материалов)

На суде представитель ДП области даже не отказывалась от того, что услуги были выполнены. Судья готова была привести нас к компромиссу, однако прокурор резко перехватил инициативу и спросил был ли заключен договор через систему госзакуп. ДП области аргументировано ответили, что в данном случае такой необходимости не было. Однако прокурор все равно избрал отсутствие договора через госзакуп как основание для отказа нам в полном объеме и параллельно вынес предписание о нарушении в адрес ДП области. После суда ДП области дали письменный ответ (нам был тоже направлен один экземпляр), что нарушения не было и договор через госзакуп могли не заключать со ссылкой на статьи закона. То есть САМИ ЖЕ И ОПРОВЕРГЛИ основание, выбранное прокурором для отказа нам.

Апелляционный суд все это игнорирует и оставляет решение без изменений. Верховный суд отказывает в рассмотрении безо всяких обоснований.

Далее после всех судов я обратился в Администрацию Президента. В ответ на обращение ДП области пригласили меня и попросили сократить сумму. Я написал письмо, что в случае оплаты мне уменьшенной суммы претензий иметь не буду. Они направили запрос в МВД для выделения средств для оплаты мне (имею копию). После этого я получил официальный ответ на мое обращение от замминистра МВД с признанием задолженности и обещанием произвести оплату до конца года. Однако пару месяцев было тихо, и когда я снова обратился в ДП и МВД по поводу оплаты мне снова отказали. То есть теперь МВД игнорирует свой же официальный ответ и снова отказывается произвести оплату.

Вот такая вот ситуация. Это коротко, без эмоций, комментариев. Скажу, что на выполнение данной работы нанимали временно много людей. Понесли расходы. Мы со всеми рассчитались. Пришлось для этой цели взять кредит (недавно выплатили только)))))).

Предвосхищая комментарии о том, как так можно было и какой я «лошара», скажу, что на тот момент искренне не ожидал такого от государственных органов.

По опыту хочу сказать, что в такой ситуации не нужно обращаться в суд, а обратиться в Атамекен, Администрацию Президента. Так будет намного больше шансов.

Буду рад получить оценку ситуации и возможно какие-то советы, как решить данную ситуацию и все таки получить оплату.

Ждала пару ответов на электронную почту от Прокуратуры.
Утром сегодня, глаза открыла, беру телефон, лежу, листаю почту.
Как раз письмо от них.
Ну я сразу бегло читаю, первый абзац, он всегда "На ваше обращение, полученное, зарегистрированное, сообщаем, рассмотрено"...

Я ж сразу к сути....

Вот тут я и проснулась. Быстро. Прям будто и не спала.
С самого начала перечитываю, да что не так-то....!

Аааа..... Адресата перепутали.....
Следом на почте смотрю - уже мои письма, и одно "второе письмо вам направлено ошибочно".
С добрым утром, называется!)

Сначала растерялся, а потом приятно удивился. Видимо разрабы сайта любят Пикабу.
Интересно на других сайтах gov.ua тоже так когда они ложаться? (Все которые проклацал, то они работают)
Пруф (15:30 28.08.21, как сайт заработает, то скорее всего игра пропадет) https://tarutino-rda.odessa.gov.ua/