Эксперт: в Украине недопустимо пренебрегают мерами кибербезопасности

Каждый день мы передаем свои персональные данные государственным и частным компаниям, не задумываясь о том, насколько это безопасно. Кто отвечает за то, чтобы эта информация не стала доступной для злоумышленников и что для этого делают наши государственные структуры? Как легко хакер может получить все, что ему нужно знать о вас?

Для того чтобы разобраться в этих вопросах, Lenta.UA обратились к сооснователю компании Haсken и "Школы белых хакеров" Егору Аушеву.

Кибербезопасность в государственных структурах – достаточно ли заботятся о ней?

В начале декабря СБУ информировала общественность о блокировании кибератаки российских спецслужб на серверы судебной власти. Какие последствия могли быть, если бы эта атака была успешной?

Все мы знаем, что в Украине сейчас проходят реформы в различных направлениях. Возьмем, в частности, финансовые потоки, которые раньше шли в карманы наших старых политиков. Сейчас эти процессы начали выводить на свет, в цифровое пространство, таким образом уменьшая количество коррупционных составляющих. И это многим не нравится.

Если бы такая атака была успешной, то была бы взломана электронная информационная система и некоторые данные выплыли бы на поверхность. При этом самый большой ущерб, который мог бы быть, – репутационный.

Злоумышленники такими кибератаками пытаются навредить репутации. Чтобы не было доверия обычных людей к реформам и цифровым технологиям. Чтобы все вернулись обратно к бумажной системе.

Чтобы наши реформы прошли успешно, люди должны доверять, а реформаторы должны грамотно выстраивать все процессы таким образом, чтобы никто не мог воспользоваться слабиной в этой системе.

Для этого нужно делать это так, как и во всем мире. Тестировать все электронные программы, привлекая не государственные компании, а третьих лиц или так называемых белых хакеров, – используя для этого специальные площадки, где с помощью разных специалистов происходит тестирование. 

Как тогда можно защитить новые системы хранения данных?

Невозможно защитить новые онлайн-системы только с помощью государственных органов и выписав какую-то бумажечку о том, что эта система защищена.  Для того, чтобы ее действительно защитить, нужно открывать программы, позволяющие вести постоянное тестирование системы, поиск уязвимостей. По такому принципу работают все мировые компании - и ФБР, и Пентагон тоже входят в их число. Все они нанимают белых хакеров. 

Поэтому люди должны переживать, поднимать шум и создавать спрос на безопасные системы. На данный момент украинцы вносят в онлайн-системы свои личные данные, и они должны быть уверенными, что эти системы никто не сможет взломать, и их персональные данные не попадут в руки хакеров. Люди должны спрашивать, как в частных компаниях, так и в государственных, как их ресурсы и персональные данные защищены, что они для этого сделали и кто отвечает за безопасность?

Кто тогда должен отвечать за безопасность?

Самая большая проблема в Украине – за кибербезопасность никто не отвечает. И после каждой кибератаки, когда начинаешь с этим разбираться, приходя в пострадавшую от хакеров компанию, обнаруживаешь, что за безопасность там отвечает какой-то айтишник, которому нормально не платят, а также директор, которому все равно. Пока директор, управляющий или ответственный государственный чиновник не начнет нести ответственность за кибербезопасность, и будет продолжаться бардак в этой сфере как в государственных учреждениях, так и в частных компаниях.

На данный момент вы работаете с государственными структурами?

На сегодняшний день мы не работаем с государственными компаниями и организациями, к сожалению. Хотя хотелось бы, чтобы коммуникация между нами была.

Для того, чтобы мы могли протестировать безопасность украинских систем, нам нужно перевернуть талмуды информации. Но наши государственные органы переживают, что мы можем найти уязвимости в их системе или секретную информацию и, соответственно, можем этим воспользоваться.

В свою очередь я им отвечаю: если я смогу добыть секретную информацию, да так, что вы об этом и не узнаете, и покажу вам это, то я должен получить вознаграждение за то, что продемонстрирую уязвимость вашей системы, а в итоге - не дам хакерам найти лазейку к ней, закрою ее. Я готов подписать все возможные договора и дать паспорта людей, которые будут тестировать системы, и я могу гарантировать, что все будет «по-белому» сделано. Но, к сожалению, такой востребованности в наших услугах сейчас нет.

А что можете сказать об отношении власти к обеспечению кибербезопасности?

В Украине приняли первый закон, который хоть каким-то образом касается кибербезопасности, он называется «Про засади кібербезпеки». Правда, там не написано ничего конкретного, но, по крайней мере, он может быть фундаментом для принятия следующих законов про кибербезопасность.

Я часто бываю в Верховной Раде на комитетских слушаниях и, конечно, там иногда идет об этом речь. Но данный вопрос не является первоочередным, к сожалению. Есть, и это очевидно, другие вопросы, которые более финансово выгодны и сильнее волнуют законодателей, нежели вопросы кибербезопасности.

Государственные органы боятся обращаться к услугам таких компаний, как ваша?

Им это просто не нужно. Точно так же, как это не нужно и коммерческим компаниям. Да, и тех, и тех могут взломать. В таких ситуациях руководители должны информировать об этом, акцентировать внимание на том, что произошла утечка информации, которая в той или иной степени может быть опасной. Но это ведь нанесет вред репутации и т.д. Так зачем это делать? – рассуждают топ-менеджеры. Ведь можно просто никому не сообщать о возникающих проблемах! Так и поступают. Например, я знаю государственные компании, которые пострадали от вируса NotPetya, но никому об этом не рассказывали. Мне об этом стало известно, скажем так, из неофициальных источников. Причем я и моя компания готовы были бесплатно им помочь, но они отказались. В общем, если нет четких правил игры, то каждый играет, как хочет.

Как часто происходят такие кибератаки на государственные структуры?  И как можно защитить при этом коммерческие компании?

Во всем цивилизованном мире для государственных структур и для частных создаются кибер-центры CERT (The Computer Emergency Response Team – Компьютерная группа реагирования на чрезвычайные ситуации). Для того, чтобы защитить то количество государственных органов, которое есть в нашей стране, нам нужны десятки таких CERT-ов. Для примера: в Чехии их - 28, в Германии - 33, в Украине он аж один. Наконец-то.

Хорошо, что он сейчас развивается, но такие CERT должны быть в банковской системе, судебной, медицинской и т.д. Но пока в стране нет запроса на эти услуги.  Запрос появится, когда будут наказывать ответственных лиц в организациях. Пока же их не наказывают, это является второстепенным вопросом, на который можно не обращать внимания.

Соответственно, в отсутствие таких CERT-ов никто никого нормально не защищает. Особенно это проблема для тех компаний, которые хранят персональные данные.

Летом в Сингапуре хакеры взломали базу данных системы здравоохранения страны. Были похищены данные пациентов, посетивших клиники в период с мая 2015 по июль нынешнего года. Зачем это было нужно, как хакеры могут использовать такие личные данные?

Ну, допустим, после взлома у хакеров могли оказаться данные нескольких представителей власти… И эта информация может быть использована против них или для шантажа. Взломать такую систему может стоить несколько тысяч долларов, а урон может быть непоправимый, так как репутационные риски очень высоки. Скажем, для претендента на пост главы правительства или государства, если перед выборами все узнают, например, чем он болеет и от чего лечился.

Буквально несколько дней назад я вернулся из Сингапура, куда нас пригласили помочь с кибербезопасностью.  Сейчас в Сингапуре очень серьезно занялись этим вопросом. А специалистов у них не хватает, и они решили применить практику широкого привлечения экспертов в этой области со всего мира, в том числе пригласили и нашу компанию, помочь им с мерами безопасности. И уже в феврале мы открываем там кибер-школу совместно с их Университетом социальных наук. Мы видим там большой потенциал в развитии кибербезопасности, чего к сожалению, не скажешь про Украину. 

Как в этой ситуации защитить свои персональные данные и вообще защитить себя от подобных атак?

Человек, который предоставляет некой организации свои персональные данные, должен спрашивать, каким образом они хранятся. В Европе ввели GDPR (General data protection - Генеральный регламент о защите персональных данных) за его нарушение и утечку персональных данных грозят огромные штрафы.

И это разумно. Ведь персональные данные – это вечная информация о вас, которая с вами на всю жизнь. На сегодняшний день именно персональные данные самые ценные в мире.

Например, в Британии есть комиссары информации, которые отвечают за персональные данные. И если зайти на сайты таких комиссаров, то там есть информация о хранителях персональных данных. Вы можете ввести свою фамилию и посмотреть, в каких компаниях есть ваши данные или посмотреть, какие именно данные о вас хранятся в конкретной компании.

У нас же этим должен заниматься, наверное, омбудсмен. По своим обязанностям он к комиссару информации ближе всего. Но, к сожалению, у нас эти процессы не налажены и не работают. Поэтому могу только порекомендовать обязательно спрашивать, как хранятся ваши персональные данные.

Большинство людей считают антивирусы самым лучшим способом защитить свою технику и свои данные. Это так просто - установил такую программу - и ты в безопасности. Насколько человек может ощущать себя защищенным после установки такой программы? Нужны ли дополнительные меры предосторожности?

Антивирус – это отличный бизнес. Например, Джон МакКафи который первый создал антивирусную программу, сначала придумал сам вирус. Это, на мой взгляд, некий вид шантажа, – вроде того, что кто-то придумает какую-то бомбу, а потом за отдельную плату станет всем рассказывать, как себя от нее обезопасить.

Я не спорю, что есть много хороших антивирусов, но есть такое понятие – «нулевой день». Это когда вирусу еще нет и одного дня, и ни один антивирус не сможет с ним справится, так как еще нет к этому вирусу написанного антивируса.

Любой антивирус работает только тогда, когда в него внесены данные про конкретный вирус, – от него он и защищает. Если появляется что-то новое, а появляться оно может быстрее, чем обновление в антивирусе, то вы не можете быть спокойны что вас защитит ваш антивирус. Следовательно, 100% защиты антивирусы не могут дать.

А каким антивирусными программами вы сами пользуетесь? Возможно, у вас есть свои антихакерские "заслоны", которые вы применяете в своей компании?

Я пользуюсь техникой Mac, и их антивирусы, с моей точки зрения, самые эффективные.  Еще я и все мои сотрудники проходят двухфакторную идентификацию. Это когда вы вторым способом должны подтвердить, что именно вы хотите зайти на почту, в социальные сети или банкинг. При этом использование смс сообщений в данном методе не совсем хорошо работают. Потому что очень просто можно перехватить вашу смс-ку, так как у операторов есть недобросовестные сотрудники, которые за деньги готовы помогать хакерам. 

Поэтому на вашей почте, в социальных сетях или банкинге не должно стоять подтверждение через смс. Должно быть подтверждение через специальное приложение, которое вы можете скачать себе на телефон, и которое так и называется: «двухфакторная идентификация». Там каждые 5 секунд меняется цифра. Когда вы заходите к себе на почту, то должны успеть внести эту цифру, так как через 5 секунд она уже поменяется. Само приложение тоже находится под паролем. Если же вы хотите оставить подтверждение через смс, то выбирайте европейского мобильного оператора, такое смс перехватить будет очень сложно.

Что вы можете посоветовать активному пользователю смартфона и планшета от взлома и потерь?

1. Не подбирайте непонятные флешки на улице или в других местах. Там могут быть вирусы, которые навредят вашим устройствам.

2. Двухфакторная идентификация.

3. Пароли нужно менять каждые 3 месяца.

4. Пароль должен быть такой, который вы не сможете запомнить в уме.

5. Нельзя использовать один и тот же пароль на всех сайтах и устройствах.

6. Пароли должны быть сложными. Есть специальные генераторы паролей, которые помогут вам создать нужный пароль.

7. Все пароли хранить в специальном приложении, а не на рабочем столе, и не под названием «Пароли».

Конечно, я не рекомендую становится параноиками и постоянно бояться, что тебя хотят взломать. Но очень много кто из белых хакеров справедливо считает, что если будут стоять два дома, один – с решётками на окнах, а другой – без, то вор залезет туда, где решеток нет.

Если хакеры видят, что в некой компании или госструктуре постоянно проходят проверки, и там стоит защита, то туда лезть они не будут. Потому что есть остальные 99% компаний и организаций, куда можно спокойно зайти и поднажиться.

Еще, если говорить о телефонах, то нужно постоянно делать чистку приложений, которыми вы не пользуетесь. Особенно, если у вас есть дети, которые могут скачивать приложения, не задумываясь о том, какие данные получает приложение с вашего телефона. Или же в настройках проверить, какие доступы предоставляются этим приложениям.

Еще это видео камеры в ноутбуках, офисах, в умных домах и т. д.

Нужно хотя бы закрывать камеры на ноутбуках тем же пластырем. Совсем не сложно подключиться к любой видеокамере ноутбука и наблюдать за человеком.

Татьяна Нестеренко, специально для Lenta.UA