Експерт: в Україні неприпустимо нехтують заходами кібербезпеки

Щодня ми передаємо свої персональні дані державним і приватним компаніям, не замислюючись над тим, наскільки це безпечно. Хто відповідає за те, щоб ця інформація не стала доступною для зловмисників і що для цього роблять наші державні структури? Як легко хакер може отримати все, що йому потрібно знати про вас? 

Для того щоб розібратися в цих питаннях, Lenta.UA звернулися до співзасновника компанії Haсken і "Школи білих хакерів" Єгора Аушева.

Кібербезпека в державних структурах – чи достатньо дбають про неї? 

На початку грудня СБУ інформувала громадськість про блокування кібератаки російських спецслужб на сервери судової влади. Які наслідки могли бути, якби ця атака була успішною?

Усі ми знаємо, що в Україні зараз проходять реформи в різних напрямках. Візьмемо, зокрема, фінансові потоки, які раніше йшли в кишені наших старих політиків. Зараз ці процеси почали виводити на світло, у цифровому просторі, у такий спосіб зменшуючи кількість корупційних складників. І це багатьом не подобається. 

Якби така атака була успішною, то була б зламана електронна інформаційна система та деякі дані виплили б на поверхню. При цьому найбільший збиток, який міг би бути, – репутаційний. 

Зловмисники такими кібератаками намагаються нашкодити репутації. Щоб не було довіри у звичайних людей до реформ і цифрових технологій. Щоб усі повернулися назад до паперової системі. 

Щоб наші реформи пройшли успішно, люди повинні довіряти, а реформатори повинні грамотно вибудовувати всі процеси так, щоб ніхто не зміг скоритсатися слабким місцем у цій системі. 

Для цього потрібно робити це так, як і в усьому світі. Тестувати всі електронні програми, залучаючи не державні компанії, а третіх осіб або так званих білих хакерів, використовуючи для цього спеціальні майданчики, де за допомогою різних фахівців відбувається тестування.

Як тоді можна захистити нові системи зберігання даних?

Неможливо захистити нові онлайн-системи тільки за допомогою державних органів, виписавши якийсь папірчик про те, що ця система захищена. Для того щоб її дійсно захистити, потрібно відкривати програми, що дозволяють здійснювати постійне тестування системи, пошук вразливих місць. За таким принципом працюють усі світові компанії – і ФБР, і Пентагон теж належать до цієї групи. Усі вони наймають білих хакерів. 

Тому люди повинні хвилюватися, піднімати шум і створювати попит на безпечні системи. Сьогодні українці вносять в онлайн-системи свої особисті дані, і вони повинні бути впевненими, що ці системи ніхто не зможе зламати, і їхні персональні дані не потраплять до рук хакерів. Люди повинні питати, як у приватних компаніях, так і в державних, наскільки їхні ресурси та персональні дані захищені, що для цього зроблено й хто відповідає за безпеку?

Хто тоді повинен відповідати за безпеку? 

Найбільша проблема в Україні – за кібербезпеку ніхто не відповідає. І після кожної кібератаки, коли починаєш із цим розбиратися, приходячи в постраждалу від хакерів компанію, виявляєш, що за безпеку там відповідає якийсь айтішник, якому нормально не платять, а також директор, якому все байдуже. Поки директор, керуючий або відповідальний державний чиновник не почне нести відповідальність за кібербезпеку, буде тривати бардак у цій галузі як у державних установах, так і в приватних компаніях.

Зараз ви працюєте з державними структурами?

На сьогодні ми не працюємо з державними компаніями та організаціями, на жаль. Хоча хотілося б, щоб комунікація між нами була. 

Для того щоб ми могли протестувати безпеку українських систем, нам потрібно перевернути талмуди інформації. Але наші державні органи переживають, що ми можемо знайти уразливості в їхній системі або секретну інформацію і, відповідно, можемо цим скористатися. 

У свою чергу я їм відповідаю: якщо я зможу добути секретну інформацію ще й так, що ви про це не дізнаєтеся, і покажу вам це, то я повинен отримати винагороду за те, що продемонструю вразливість вашої системи, і, як наслідок, не дам хакерам знайти лазівку до неї, закрию її. Я готовий підписати всі можливі договори й дати паспорти людей, які будуть тестувати системи, тож можу гарантувати, що все буде «по-білому» зроблено. Але, на жаль, такої затребуваності в наших послугах зараз немає.

А що можете сказати про ставлення влади до забезпечення кібербезпеки?

В Україні схвалили перший закон, який хоч якось стосується кібербезпеки, він називається «Про засади кібербезпекі». Правда, там не написано нічого конкретного, але принаймні він може бути фундаментом для схвалення наступних законів про кібербезпеку. 

Я часто відвідую комітетські слухання у Верховній Раді і, звичайно, там іноді йде про це мова. Але це питання не є першочерговим, на жаль. Є, і це очевидно, інші питання, які більш фінансово вигідні та сильніше хвилюють законодавців, ніж питання кібербезпеки.

Державні органи бояться звертатися до послуг таких компаній, як ваша?

Їм це просто не потрібно. Так само, як це не потрібно й комерційним компаніям. І тих, і тих можуть зламати. У таких ситуаціях керівники повинні інформувати про це, акцентувати увагу на тому, що стався витік інформації, яка так чи так може бути небезпечною. Але це ж завдасть шкоди репутації і т. ін.. Так навіщо це робити? – міркують топ-менеджери. Адже можна просто нікому не повідомляти про проблеми, що виникають! Так і роблять. Наприклад, я знаю державні компанії, які постраждали від вірусу NotPetya, але нікому про це не розповідали. Мені про це стало відомо, скажімо так, з неофіційних джерел. Причому я та моя компанія готові були безкоштовно їм допомогти, але вони відмовилися. Загалом, якщо немає чітких правил гри, то кожен грає, як хоче.

Як часто відбуваються такі кібератаки на державні структури? І як можна захистити при цьому комерційні компанії?

В усьому цивілізованому світі для державних структур і для приватних створюються кібер-центри CERT (The Computer Emergency Response Team – Комп'ютерна група реагування на надзвичайні ситуації). Для того щоб захистити ту кількість державних органів, яка є в нашій країні, нам потрібні десятки таких CERTів. Для прикладу: у Чехії їх – 28, у Німеччині – 33, в Україні він аж один. Нарешті. 

Добре, що він зараз розвивається, але такі CERT повинні бути в банківській системі, судовій, медичній і т.ін.. Але поки в країні немає запиту на ці послуги. Запит з'явиться, коли будуть карати відповідальних осіб в організаціях. Поки ж їх не карають, це є другорядним питанням, на яке можна не звертати уваги. 

Відповідно, за відсутності таких CERTів ніхто нікого нормально не захищає. Особливо це проблематично для тих компаній, які зберігають персональні дані.

Улітку в Сінгапурі хакери зламали базу даних системи охорони здоров'я країни. Були викрадені дані пацієнтів, які відвідали клініки в період з травня 2015 по липень нинішнього року. Навіщо це було потрібно, як хакери можуть використовувати такі особисті дані?

Ну, припустимо, після зламування в хакерів могли виявитися дані кількох представників влади ... І ця інформація може бути використана проти них або для шантажу. Зламати таку систему може коштувати кілька тисяч доларів, а шкоди це може завдати непоправної, оскільки репутаційні ризики дуже високі. Скажімо, для претендента на пост голови уряду або держави, якщо перед виборами всі дізнаються, наприклад, на що він хворіє і від чого лікувався. 

Буквально кілька днів тому я повернувся з Сінгапуру, куди нас запросили допомогти з кібербезпекою. Зараз у Сінгапурі дуже серйозно зайнялися цим питанням. А фахівців у них не вистачає, і вони вирішили застосувати практику широкого залучення експертів у цій галузі з усього світу, зокрема запросили й нашу компанію, допомогти їм із заходами безпеки. І вже в лютому ми відкриваємо там кібершколу спільно з їх Університетом соціальних наук. Ми бачимо там великий потенціал у розвитку кібербезпеки, чого, на жаль, не скажеш про Україну.

Як у цій ситуації захистити свої персональні дані й узагалі захистити себе від подібних атак?

Людина, яка надає якійсь організації свої персональні дані, повинна питати, яким чином вони зберігаються. У Європі ввели GDPR (General data protection – Генеральний регламент про захист персональних даних) за його порушення та витік персональних даних загрожують величезні штрафи. 

І це розумно. Адже персональні дані – це вічна інформація про вас, яка з вами на все життя. На сьогодні саме персональні дані найцінніші у світі. 

Наприклад, у Британії є комісари інформації, які відповідають за персональні дані. І якщо зайти на сайти таких комісарів, то там є інформація про зберігачів персональних даних. Ви можете ввести своє прізвище й подивитися, у яких компаніях є ваші дані або подивитися, які саме дані про вас зберігаються в конкретній компанії. 

У нас же цим повинен займатися, напевно, омбудсмен. За своїми обов'язками він до комісара інформації найближче. Але, на жаль, у нас ці процеси не налагоджені та не працюють. Тому можу тільки порекомендувати обов'язково питати, як зберігаються ваші персональні дані.

Більшість людей уважають антивіруси найкращим способом захистити свою техніку та свої дані. Це так просто – установив таку програму – і ти в безпеці. Наскільки людина може відчувати себе захищеною після установлення такої програми? Чи потрібні додаткові запобіжні заходи?

Антивірус – це відмінний бізнес. Наприклад, Джон Макафі який перший створив антивірусну програму, спочатку вигадав сам вірус. Це, на мій погляд, якийсь вид шантажу, на кшталт того, що хтось вигадає якусь бомбу, а потім за окрему плату стане всім розповідати, як себе від неї убезпечити. 

Я не сперечаюся, що є багато хороших антивірусів, але є таке поняття – «нульовий день». Це коли вірусу ще немає й дня, і жоден антивірус не зможе з ним впорається, адже ще немає до цього вірусу написаного антивірусу. 

Будь-який антивірус працює тільки тоді, коли в нього внесені дані про конкретний вірус, – від нього він і захищає. Якщо виникає щось нове, а з'являтися воно може швидше, ніж оновлення в антивірусі, то ви не можете бути спокійні що вас захистить ваш антивірус. Отже, 100% захисту антивіруси не можуть дати.

А яким антивірусними програмами ви самі користуєтеся? Можливо, у вас є свої антихакерські "заслони", які ви застосовуєте у своїй компанії?

Я користуюся технікою Mac, і їхні антивіруси, на мою думку, найефективніші. Ще я та всі мої співробітники проходять двухфакторную ідентифікацію. Це коли ви іншим способом повинні підтвердити, що саме ви хочете зайти на пошту, у соціальні мережі або банкінг. При цьому використання смс повідомлень у зазначеному методі не зовсім добре працюють. Тому що дуже просто можна перехопити вашу смску, оскільки в операторів є недобросовісні співробітники, які за гроші готові допомагати хакерам. 

Тому на вашій пошті, у соціальних мережах або банкінгу не повинно стояти підтвердження через смс. Повинно бути підтвердження через спеціальний додаток, який ви можете завантажити собі на телефон, і який так і називається: «двухфакторна ідентифікація». Там кожні 5 секунд змінюється цифра. Коли ви заходите до себе на пошту, то повинні встигнути внести цю цифру, бо через 5 секунд вона вже зміниться. Сам додаток теж перебуває під паролем. Якщо ж ви хочете залишити підтвердження через смс, то обирайте європейського мобільного оператора, таке смс перехопити буде дуже складно.

Що ви можете порадити активному користувачеві смартфона й планшета від зламування та втрат?

1. Не підбирайте незрозумілі флешки на вулиці або в інших місцях. Там можуть бути віруси, які нашкодять вашим пристроям. 

2. Двухфакторна ідентифікація. 

3. Паролі потрібно міняти кожні 3 місяці. 

4. Пароль повинен бути такий, який ви не зможете "тримати" в пам'яті. 

5. Не можна використовувати один і той самий пароль на всіх сайтах і пристроях. 

6. Паролі повинні бути складними. Є спеціальні генератори паролів, які допоможуть вам створити потрібний пароль. 

7. Усі паролі зберігати в спеціальному додатку, не на робочому столі, і не під назвою «Паролі». 

Звичайно, я не рекомендую ставати параноїками та постійно боятися, що тебе хочуть зламати. Але дуже багато хто з білих хакерів справедливо вважає, що якщо будуть стояти два будинки, один – з гратами на вікнах, а інший – без, то злодій залізе туди, де решіток немає. 

Якщо хакери бачать, що в якійсь компанії або держструктурі постійно проходять перевірки, і там стоїть захист, то туди лізти вони не будуть. Тому що є інші 99% компаній і організацій, куди можна спокійно зайти та нажитися. 

Якщо говорити про телефони, то потрібно постійно робити чистку додатків, якими ви не користуєтеся. Особливо, якщо у вас є діти, які можуть завантажувати додатки, не замислюючись над тим, які дані отримує додаток з вашого телефону. Або ж в налаштуваннях перевірити, які доступи надаються цим програмам. 

Ще це відеокамери в ноутбуках, офісах, у розумних будинках і т. ін.. 

Потрібно хоча б закривати камери на ноутбуках тим же пластиром. Зовсім не складно підключитися до будь-якої відеокамери ноутбука й спостерігати за людиною.

Тетяна Нестеренко, спеціально для Lenta.UA