Експерт: держспецзв’язку взялася «розпиляти» мільйон на імітацію заходів по кібербезпеці
Державна служба спеціального зв’язку та захисту інформації проводить тендер, умови котрого завідомо прописані під конкретну ІБ-компанію. В ДССЗЗІ не полінилися і в умовах тендеру на мільйон прописали наявність в керівника компанії-переможця наукового ступеня доктора наук та вченого звання професора у ВНЗ четвертого рівня акредитації.
На це звернув увагу експерт з кібербезпеки, засновник Української групи інформаційної безпеки Костянтин Корсун у своєму дописі на Facebook, передає InternetUA.
Мова йде про тендер на проведення досліджень щодо вимог до системи оцінки фахової підготовки аудиторів інформаційної безпеки, збору та аналізу інформації, отриманої під час аудиту інформаційної безпеки на об`єктах критичної інфраструктури та в системах обробки державних інформаційних ресурсів. Переможець тендеру має розробити технічне завдання, що міститиме технічні вимоги до інформаційно-аналітичної системи збору та аналізу інформації, отриманої під час аудиту інформбезпеки на об’єктах критичної інфраструктури та в системах обробки державних інформаційних ресурсів. Також на майбутнього переможця тендеру покладається завдання з розробки технічних вимог до апаратно-програмного комплексу підготовки та оцінки фахової підготовки аудиторів інформаційної безпеки, що міститиме тестові опитувальні листи з теоретичних питань та практичні завдання для визначення рівня знань аудиторів інформаційної безпеки з метою проведення ІБ-аудиту. Самі роботи мають пройти в два етапи – до вересня 2019 року мають бути розроблені технічне завдання та технічні вимоги до системи, а роботи з розроблення проектів тестових опитувальних листів з теоретичних та практичних завдань для визначення рівня знань аудиторів завершуються в грудні 2019 року.
– Згідно нового закону «Про основні засади забезпечення кібербезпеки України», усі об’єкти критичної інфраструктури та деякі державні органи зобов’язані проходити щорічний аудит, для проведення якого потрібно відібрати аудиторів, а для того, щоб їх відібрати, необхідно розробити вимоги до них. Для цього і проводиться цей тендер. Щоб показати, типу, «ось дивіться, ми не самі це придумали, це незалежна фірма-переможець тендеру так запропонувала». Типу «приватно-державне партнерство» і все таке. – пояснює Костянтин Корсун. – Чому на «дослідження» виділяється саме мільйон гривень, а не десять чи сто мільйонів – без поняття, no idea. Може, це просто скромність? Я знаю кілька серйозних компаній, які зроблять значно дешевше, рази в два-три-чотири дешевше.
Однак не лише очікувана вартість закупівлі привернула увагу експерта. За спостереженнями Костянтина Корсуна, для того, щоб тендер виграла потрібна фірма, у тендерній документації працівники Адміністрації Держспецзв’язку «виписали фантастичні умови» під, імовірно, заздалегідь відому компанію.
– Для «проведення досліджень» спочатку вимагається «наявність обладнання та матеріально-технічної бази». Насправді ж для такої роботи потрібні знання та досвід. Ноутбук та Інтернет. Нічого більше не потрібно, але заздалегідь визначений корупціонерами з Держспецзв’язку переможець явно має купу металобрухту у якомусь ангарі яка гордо іменується «матеріально-технічної база», – вважає засновник УГІБ.
Більше того, звертає увагу експерт, в тендері ДССЗЗІ прописала особливі вимоги до керівника та консультанта проекту. Справа в тому, що організатор тендеру вимагає, аби керівник проекту був «професійним проектним менеджером, що засвідчується сертифікатом Міжнародної асоціації управління проектами рівня «В» або «А» (або ж сертифікат РМІ – PgMP, PfMP, PMP».
– РМР – це нормально для проектного менеджменту. Але я перепрошую, з якого дива тут у нас намалювався якийсь проектний менеджер? Проект – це щось вже дуже конкретне, з визначеними строками, сумами, дедлайнами, критеріями, вимогами, стадіями і т.ін. І ось, наприклад, PfMP – це «професіонал управління портфелями». До чого тут «дослідження щодо вимог до системи оцінки фахової підготовки аудиторів інформаційної безпеки»? Що взагалі може знати управлінець портфелями про аудит інформаційної безпеки? На моє глибоке переконання, формувати вимоги з оцінки аудитора інфо(кібер)безпеки може людина, яка, перш за все, має відповідні професійні кібербезпекові сертифікації (CISA, CISM, CISSP), а також провела 30-60 успішних аудитів інформаційної безпеки, і може це підтвердити, обов’язково з рекомендаціями (не менше трьох, незалежних, по кожному проекту), – говорить Костянтин Корсун. – Тобто формувати вимоги до відбору аудиторів для оцінки критичної інфраструктури мають профі найвищого рівня, гуру, майстри своєї справи. А у даному випадку було зроблено просто copy/paste з рекламної презентації «потрібної фірми».
Більше того, в Держспецзв’язку вирішили, що керівник проекту повинен мати «науковий ступінь доктора наук в технічній сфері (спеціальності 05.13.06, 05.13.21, 05.13.22, 21.05.01)…та вчене звання професора у вищому навчальному закладі 4 рівня акредитації (науковій установі) в Україні».
– По-перше, вказані спеціальності – це про застарілі ТЗІ-КЗІ та сумновідому КСЗІ, які вже давно нікому не потрібні, але які вперто викладаються у вітчизняних вишах. По-друге: навіщо практикуючому аудитору «доктор наук» чи «професор»? Найкращі та найуспішніші фахівці з ІТ-аудиту ніколи не мали думки витрачати десятиліття свого життя на отримання оцих непотрібних псевдонаукових регалій, які потрібні лише для роботи у пострадянській системи вищої освіти. По-третє, одразу відсікаються усі іноземні фахівці, та хоч би і сам Брюс Шнаєр або ж якийсь американський розробник стандартів NIST, – пояснює експерт. – Та і взагалі: навіщо для даного суто практичного дослідження обвішаний регаліями аксакал-теоретик made in Ukraine, якщо мова йде про надсучасний світ транснаціональної області знань? І в якій вже сто раз все давно придумано? Зрозуміло, що ця вимога написана виключно під одну конкретну людину.
Останню здогадку Костянтин Корсун підтверджує ще однією вимогою, прописаною в умовах тендеру: «консультант (відповідальний виконавець) повинен мати науковий ступінь доктора наук (спеціальності 05.12.02, 05.13.06, 05.13.21, 05.13.22, 21.05.01) та власний науковий доробок у сфері кіберзахисту».
– Крім зазначеного раніше, хотів би лише спитати розробників тендерних умов: а чому не усі виконавці мають бути докторами-професорами? А чому керівник проекту не «академік-член-кореспондент-голова-профспілки-почесний донор-лауреат»? А чому не додано «у званні не нижче підполковника (генерал буде плюсом)»? Ну я ще багато можу таких питань нафантазувати, – іронізує ІБ-експерт.
До слова, найбільш вірогідним переможцем тендеру від Держспецзв’язку виступає ТОВ «Інформаційна безпека», засновником і директором котрого є Зайцев Сергій Васильович, який має ступінь доктора наук зі спеціальності 05.13.06 - Інформаційні технології. Компанія «Інформаційна безпека», за даними проекту Clarity-project, була учасником 33 процедур торгів і стала переможцем в 27 закупівлях (на даний момент, за даними проекту, підписано 26 контрактів на суму 3 мільйони 366 тисяч гривень). Більшість торгів були проведені на так звані «допорогові» суми. Саме під час проведення допорогових закупівель створення тендерної документації, застосування кваліфікаційних та інших вимог до постачальників є необов'язковим.
Згідно з інформацією про проведення процедури закупівлі на мільйон, кінцевий строк подання тендерних пропозицій – 21 червня. 24 червня розпочнеться аукціон, на якому і буде визначено переможця. Ми слідкуватимемо за даною закупівлею.