Сьогодні виповнюється рівно 5 років знаменитому інтерв’ю, яке Михайло Федоров дав виданню LB.
Знамените воно епохальною фразою, яка мимоволі вирвалася з пана Михайла, але яка позначили його концепцію, бачення та довготривалу стратегію державного урядування в Україні: «Роль кібербезпеки дещо перебільшена».
Пройшло більше 5 років, під час якої колишній дрібний онлайн-шахрай та партія його однодумців мали максимальну повноту влади в Україні і мали реальні можливості реалізувати буквально будь-які ідеї.
Тому сьогодні я навожу деякі (далеко не всі) факти про наслідки підходу «роль кібербезпеки перебільшена» за 5 років абсолютної влади над сферою технологій в Україні. Сідайте зручніше, беріть собі чашку з чимось гарячим, адже навіть сильно скорочена версія є досить об’ємною.
Отже, почнемо спочатку.
Восени МЦТ одразу заявило, що віднині саме це міністерство відповідальне за кібербезпеку країни.
▪️У лютому 2020 було запущено додаток Дія: сервіс, який відпочатку протирічив усім принципам кібербезпеки та захисту персональних даних. Зауваження фахівців ігнорувалися, а очевидні дірки латалися по мірі їх настання. А дірок на старті було просто безмежна кількість.
Також одразу було проанонсовано, що додаток Дія невдовзі стане засобом голосування на загально-національних виборах: парламенту та президента.
Ці наміри підтверджувалися кожен рік різними провладними політиками. Останнім часом вони ці наміри заперечують, але віриться не дуже, оскільки особисто Зеленський наголошував на цьому у публічних промовах.
Наприкінці лютого 2020 було сфабриковане кримінальне провадження проти ГО УКА, яка активно критикувала безграмотність державних борців за кібербезпеку.
▪️Одночасно було запущено процес активного заведення в Україну російського Телеграм: він стає офіційним каналом комунікацій практично усіх органів державної влади. До того це був маловідомий месенджер.
Восени 2019-го Федоров заявляв про наміри знищити Держспецзв’язок як структуру, а вже у жовтні 2020-го на ток-шоу Сави Шустрого заявив “Сертифікат КСЗІ – це як Оскар в кібербезпеці”.
▪️У липні 2020-го на посаду Голови Держспецзв’язку Федоров призначає Ю. Щиголя – людину, яку вже затримували на спробі отримання хабаря у 2015. Але цей факт ніяк не змінив рішення Федорова призначити його керівником регулятора технічного захисту інформації в Україні. Бо навіщо різати золотоносну курку?
▪️У червні 2021 авторизований та верифікований громадянин України Joe Biden підписав петицію на сайті Президента України про відставку Татарова.
Цей інцидент показав, що влада має можливість прямо впливати на довірчі послуги, причому незаконними методами.
Вже з весни 2020 р. шахраї почали оформлювати через Дію кредити на ім’я нічого не підозрюючих жертв. Попри великий резонанс, громадян протягом півтора року не могли захистити від цієї злочинної схеми.
▪️Жовтень 2021: підконтрольний Федорову Держспецзв’язок видав вельми підозрілий атестат відповідності КЗСІ на Дію, але інформацію про документацію по КСЗІ - засекретили.
▪️Листопад 2021 Нацполіція повідомила про несанкціонований доступ до електронних систем МЦТ. Іншими словами: внутрішні системи МЦТ хакнули.
▪️Кінець грудня 2021
«США та Британія таємно направила до України експертів з кібервійни, щоб допомогти Україні захиститися від кібератак»
Вочевидь, МЦТ та Держспецзв’язок не були здатні захистити країну.
▪️14 січня 2022 було атаковано більше 100 державних веб-сайтів.
МЦТ було здатне лише коментувати наслідки.
▪️22 січня 2021 стався масштабний злам Дії: російський хакер виклав майже 30 гігабайт даних про громадян України. На форумі raidforums-крапка-com дехто FreeCivillian («ВільнийЦивільний») за 15.000 доларів пропонував до продажу базу з даними 13 млн. громадян України під назвою Ukrainian Leaks 2022
Факт витоку Федоров та МЦТ заперечують й донині.
▪️На фоні цього протягом січня-лютого 2022 відбувалися масштабні DDoS-атаки проти Ощадбанку, Приватбанку, порталу Дія та багатьох інших державних установ, і МЦТ не були в змозі це припинити.
▪️На початку повномасштабної агресії, «з міркувань безпеки» у перші ж дні російського вторгнення Федоров віддав розпорядження вимкнути усі державні реєстри та бази даних. Це прямий доказ того, що за 4 роки перебування при владі, міністерство, «відповідальне за кібербезпеку» - не змогло їх захистити.
Відновлювати реєстри почали лише за півроку, але й дотепер не всі працюють у нормальному режимі.
▪️Липень 2023
Згідно опитування, 67% вважають Дію «засобом централізованого стеження за населенням».
▪️20 листопада 2023 НАБУ повідомило підозру Голові Держспецзв’язку Ю. Щиголю та його заступнику В. Жорі. Вони намагалися вкрасти 62 млн. грн. на закупівлях для Дія.Engine
▪️5 грудня 2023 новим Головою Держспезцв’язку раптово призначено Юрія Мироненка – людину, яка абсолютно нічого не розуміла у тому що таке Держспецзв’язок і як воно працює.
▪️З кібератакою проти Київстар 12 грудня 2023 МЦТ також нічим не змогло допомогти українцям.
▪️У лютому 2024 найбличжі друзі Михайла Федорова - Естонія - відмовилися використовувати Дію як основу для свого державного мобільного додатку mRiik та оголосила закупівлю робіт на його розвиток.
▪️У вересні 2024 Велике Журі суду штату Меріленд винесло обвинувальний акт від 5 вересня 2024, згідно якого у січні 2022 року Дію було хакнуто, та викрадено дані 13,5 мільйоні громадян України. Федоров та МЦТ продовжувало заперечувати цей факт.
▪️У жовтні 2024 користувачам додатку Резерв+ почали надходити повідомлення з офіційного (!) Телеграм-каналу цього додатку з проханням завантажити шкідливий файл «для коректного внесення змін до реєстру».
▪️У листопаді 2024 у Михайла Федорова офіційно відсторонили від керівництва Держспецзв’язком і перепідпорядкували відомство напряму прем’єр-міністру.
А що ж змінилося у національній кібербезпеці за роки безперервного віце-прем’єрства М. Федорова?
За більш ніж 5 років у країні так і не з’явилося повноцінного Закону про кібербезпеку – попри наявність власного «цифрового комітету» у парламенті.
Також не з’явилося єдиного спеціалізованого органу з кібербезпеки, який міг би стати хоча б «єдиною точкою контактів».
Як не з’явилося й Кібервійськ у складі ЗСУ – попри відповідний Указ президента, виданий у серпні 2021-го.
Тобто попри створення окремого «цифрового» міністерства, якихось серйозних зрушень у сфері національної кібербезпеки – не відбулося. Певна напів-хаотична діяльність різних держструктур відбувається у межах застарілого та розкритикованого західними партнерами Закону «Про основні засади забезпечення кібербезпеки України», прийнятого ще у 2017.
У цьому дописі я зібрав далеко не всі наслідки «перевищеної ролі кібербезпеки», лише найбільш резонансні.
Дуже хотілося б, щоб колись, після виборів та зміни влади, нові люди в Уряді поставилися до кібербезпеки серйозніше. Державніше. Доросліше.
Хоча не маю стосовно цього іллюзій.
Адже популізм та невігластво все ще залишаються найбільш ефективною політичною стратегією в Україні.
