Основа національної кібербезпеки — це хоча б мінімальне розуміння та виконання її вимог кожним громадянином України
«Основа національної кібербезпеки — це хоча б мінімальне розуміння та виконання її вимог кожним громадянином України».
Необхідність кібергігієни, ризики диджиталізації України та проблеми з державними органами кібербезпеки.
Які найпроблемніші місця сьогодні у створенні комплексної системи захисту інформації (КСЗІ) на об’єктах критичної інфраструктури, яку пропонує Державна служба спеціального зв’язку та захисту інформації України (ДССЗЗІ)?
— Річ у тім, що після початку кібервійни 2014-го та атаки вірусу NotPetya 2017-го Україна зіткнулася з прогнозованою, але для більшості несподіваною проблемою: майже на всіх об’єктах критичної інфраструктури немає жодного захисту. Мова про державні органи, водопостачання, енергетику, харчову промисловість, транспортну галузь, банківський сектор, телекомунікації тощо. Після останньої найпотужнішої атаки минуло вже два роки, тоді кожне четверте українське підприємство потрапило під удар, а загальні збитки від NotPetya у світі, за підрахунками американського уряду, перевищують $10 млрд. Здавалося б, мали бути зроблені певні висновки. Але, на жаль, ми бачимо, що це не так. Підприємства або установи, які почали підходити до питання кіберзахисту серйозно, можна полічити на пальцях. Передусім це Служба безпеки України та Адміністрація президента (коли там працював Дмитро Шимків). СБУ займається цим давно й цілеспрямовано, має досить непоганий рівень, але то, так би мовити, скальпель, спектр завдань якого дуже вузький. Проблема в тому, що дуже багато об’єктів критичної інфраструктури належить до приватного сектору. Згадаймо те саме Прикарпаттяобленерго, приватну компанію, яка на той момент просто не бачила для себе ризиків і не виділяла на це кошти. Наскільки мені відомо, сьогодні питанню кіберзахисту дуже велику увагу приділяє ДТЕК, а також низка банківських установ та кілька ІТ-компаній.
За кіберзахист у країні відповідає ДССЗЗІ. І її ставлення після атак жодним чином не змінилося. Під тиском зовнішніх партнерів України вона спромоглася створити якісь нормативні документи, як-от Закон «Про основні засади забезпечення кібербезпеки», розробити стратегію. Формально на законодавчому полі щось робиться, для західних партнерів достатньо слів «кібербезпека» і «закон», а далі вже ніхто не заглиблюється. Свого часу я детально вивчив цей закон. Він кривий, корупційний і нічого не вирішує, але дає додаткові важелі ДССЗЗІ. А основний підхід лишається незмінним, йдеться про запровадження скрізь КСЗІ. Сама по собі ідея непогана, тобто в кожного об’єкта має бути власна система захисту інформації.
Чому вона тоді не працює?
— Тому що ідея застаріла ще років 10–15 тому. Люди, які з цим стикаються, розуміють, що це ні від чого не захищає, потребує надто багато часу, зусиль і коштів. Це фактично марнотратство, яке відкриває широке поле для зловживань ДССЗЗІ. Не може жоден стандарт чітко визначати, що треба робити, це радше певний рамковий документ. Серія стандартів із кіберзахисту ISO 2700 визначає загальні вимоги, замість того щоб вказувати, що конкретно треба зробити. Як і стандарт NIST (рекомендації із захисту інформації для підприємств США. — Ред.). Чому не може бути чітких інструкцій? Загрози постійно й дуже швидко змінюються. Натомість українська КСЗІ — це дивна суміш рамкових визначень і дуже чітких вимог, які не мають стосунку до сучасних викликів. Але будь-яка приватна компанія, наприклад інтернет-провайдер, який надає інформаційні послуги й хоче працювати з органами державної влади, повинен мати в себе КСЗІ, начебто захистити себе. У більшості випадків це формальність, «паперовий тигр», який захищає хіба що від перевірок ДССЗЗІ.
Скільки компаній має таку КСЗІ?
— Наскільки мені відомо, близько 17 провайдерів в Україні має в себе атестовані КСЗІ. А загалом по країні їх тисячі. Хоча сама по собі вимога щодо створення КСЗІ незаконна, вона ґрунтується тільки на указі президента, а не на законі. Водночас ніхто з бізнесу не хоче порушувати це питання, наражатися на проблеми. А в нещодавні розпорядження, зокрема в постанову Кабміну від 19 липня 2019 року № 518 «Про затвердження Загальних вимог до кіберзахисту об’єктів критичної інфраструктури», включено дуже багато корупційних, примусових та контрольно-наглядових положень.
Чому, на ваш погляд, виникають такі проблеми з ДССЗЗІ?
— Служба є класичною послідовницею радянської адміністративно-командної системи. Відомство, яке є наглядачем із батогом і яке може карати чи милувати. Це створює простір для корупційних зловживань. Хоча за рівнем кваліфікації фахівці ДССЗЗІ не витримують жодної критики. Молодь, яка туди приходить, здобуває трохи досвіду, навчається й дуже швидко втікає, переважно через низьку зарплату та погану атмосферу. Тому я послідовно виступаю за ліквідацію цієї структури. Спробуймо уявити: а що станеться, коли ранком ми прокинемося і дізнаємося, що ДССЗЗІ ліквідовано? Зважаючи на обов’язки цієї служби, нічого поганого. Частину потрібних функцій на кшталт фельд’єгерської пошти чи урядового зв’язку можна передати окремим підрозділам або в МВС чи СБУ. З погляду кібербезпеки єдиним корисним активом є CERT-UA. Цей підрозділ має достатньо досвіду, зокрема й у взаємодії з міжнародними партнерами. CERT-UA знають як точку входу в країну, як довірений контакт, до якого можна звернутися й дістати кваліфіковану допомогу. Решта в умовах гібридної війни ніяк не допомагає, радше, навпаки, заважає. Ринок послуг кібербезпеки без її регуляції чудово живе. Окрема проблема — для ДССЗЗІ не передбачена жодна відповідальність. Якщо, наприклад, на хімічному заводі виникне аварія внаслідок кібератаки й виявиться, що не було КСЗІ, за це покарають керівника заводу, а не ДССЗЗІ. Навіть самі представники Служби постійно це підкреслюють.
Залишати наявну систему кібербезпеки недоцільно. Це живий труп, там усе згнило, хоча він намагається кусати. Тому я за те, щоб приспати того монстра, залишити тільки ті речі, які ще можна й варто реанімувати. У нас, до речі, вже був такий прецедент, адже певний час існувала Державна служба захисту персональних даних. Вона мала опікуватися безпекою цих даних, штрафувати підприємства, якщо вони неналежним чином їх зберігали. Були черги, ажіотаж, увага преси. А потім службу скасували, і нічого в нашому житті не змінилося, небо на землю не впало. Хоча, можливо, її треба було б лишити в обмеженій формі без каральних функцій, щоб вона вела роз’яснювальну роботу чи розглядала скарги від споживачів. Такий прецедент варто повторити для ДССЗЗІ, але з урахуванням помилок.
Однак постає питання захисту критичної інфраструктури в умовах кібервійни. Як захиститися і хто має цим займатися?
— Так, критикуючи, пропонуй. Я вважаю доцільним інший підхід. Основа національної кібербезпеки — це хоча б мінімальне розуміння та виконання її вимог кожним громадянином України. Як користуватися смартфоном чи інтернетом, які доцільно використовувати месенджери, яку пошту можна відкривати, а яку ні. Ми називаємо це кібергігієною. Тому завдання держави — максимально поширити відповідні знання. На бордах, листівках, телефонною гарячою лінією, у навчальних закладах, на радіо чи телебаченні. Держава має допомагати, а не контролювати. Єдина її функція, яка взагалі затребувана в цій сфері, — сервісна. Наступне завдання — відновлення довіри до держави та її органів. Ключовим моментом національної системи кібербезпеки є обмін інформацією про інциденти. Якщо відбулася атака, припустімо, на банк, він має повідомити всім, як саме це сталося, усі технічні деталі, щоб решта об’єктів змогла підготуватися. У більшості випадків атаки типові й влаштовуються по черзі на всіх об’єктах. Тому вчасний обмін інформацією про такі інциденти значно знижує ефективність дій зловмисників і масштаби збитків. Але ґрунтується він на довірі, адже існують ризики розголошення чутливої інформації, що може завдати репутаційної шкоди. А надто якщо йдеться про передачу відомостей від приватних структур до державних. Немає довіри.
Я знаю кілька маленьких локальних прикладів на рівні кількох компаній, які об’єдналися й через довіреного провайдера створили власну систему інформування про комп’ютерні інциденти. Тому після першого кроку, кібергігієни, потрібен другий — створення організації, яка мала б найвищий рівень репутації та довіри, за участю держави та іноземних партнерів. Команда фахівців повинна отримувати ринкові зарплати, гроші можуть забезпечувати іноземні донори. Перший рік вони мають давати абсолютно безплатні рекомендації та допомагати на всіх рівнях, від примітивного до високопрофесійного. Таким чином створюватиметься довіра. Звичайно, цей процес безкінечний, хтось завжди сумніватиметься. Паралельно створювати та розвивати мережу обміну інформацією, щоб кожен її учасник не тільки брав дані, а й надавав їх сам. Це складна, навіть дипломатична система, з нею треба поводитися дуже обережно. Натомість сьогодні закон вимагає, щоб об’єкти критичної інфраструктури надавали дані про інциденти. Це смішно, бо вони нібито зобов’язані, але їм нічого не буде, якщо вони відмовляться або надішлють якусь відписку. А щоб перевірити, потрібні санкція суду на втручання в мережу та певна кваліфікація, щоб розібратися в деталях. Тому не можна змушувати, людина сама має розуміти, що ділитися потрібно.
Чи готова Україна до повторення атаки рівня NotPetya? Чи вдасться зменшити збитки?
— На мою думку, рівень кібербезпеки не надто змінився. Звичайно, якісь приватні компанії стали приділяти цьому питанню більше уваги, більше зважати на безпеку. Але після атаки ця хвиля за півроку зійшла практично нанівець. Усі рухи в бік кібербезпеки закінчилися. Така властивість людської психіки. Людина з часом звикає до загрози й перестає її боятися. Тому на основі страху систему не побудуєш. Отже якщо росіяни раптом подумають, що нині слушний момент для того, щоб повторити атаку, збитки навряд чи будуть меншими, хіба що на 5–10%.
Чи варто очікувати таких атак найближчим часом?
— Це несподіванка, яку неможливо передбачити. Перед президентськими виборами від кіберполіції надходили попередження про ймовірність атаки, але її не було. Нічого масштабного не відбувалося вже понад рік. Водночас треба розуміти, що кібератаки — це лише додатковий фактор дестабілізації поряд із проплаченими акціями протесту, провокаціями на фронті, вибухами, вбивствами чи політичними демаршами. Завдання кібератаки — підсилити, допомогти дезорієнтувати суспільство або скерувати його на повалення влади, референдум чи запрошення втрутитися для сусідньої країни. Або інший варіант: атака на українські енергетичні системи відбулася одразу після відключення постачання струму до Криму, тобто така собі помста. До того ж росіяни люблять влаштовувати атаки з певним символічним значенням. NotPetya було вчинено в День Конституції України. Росіяни знають наші слабкі місця, і якщо вони захочуть влаштувати атаку, особливих труднощів у них не виникне. Питання тільки в тому, коли й чому вони це захочуть. Боти вже давно сидять у всіх ключових відомствах. Зусиль волонтерів для зміни нинішньої ситуації недостатньо, треба принципово все трансформувати.
До речі, про зміни. Новий президент оголосив курс на диджиталізацію, перехід до «держави в смартфоні». Це на часі?
— Як людина, що живе здебільшого в цифровому світі, я не проти, щоб наше суспільство швидше рухалося до рівня США чи Європи. Але під диджиталізацію розуміється переведення в онлайн низки бюрократичних послуг, і це вже відбувається. Ті самі центри надання адміністративних послуг уже використовують цифрові рішення. Вони були створені ще за попереднього президента, а починалися та рухалися з мертвої точки за сприяння західних партнерів, і цей процес давно триває. Але якщо йдеться про якісь чутливі функції, то тут треба уважно розбиратися. Наприклад, я категорично проти електронного голосування, бо воно не відповідає вимогам таємності. Неможливо проконтролювати, чи людина робить вибір свідомо та без примусу. Тому навіть Естонія, знана своїми успіхами в створенні електронного уряду, цього не зробила.
Якщо говорити про засоби ідентифікації, такі як BankID чи MobileID, то там одразу виникає дуже багато питань стосовно безпеки, зокрема безпеки SIM-картки, бо найбільше ризиків пов’язано саме з її незахищеністю. Їх, до речі, дуже часто не беруть до уваги розробники програмного забезпечення. Більшість компаній, навіть які пов’язані з ІТ та доволі відомі на міжнародному ринку, про безпеку не мають жодного уявлення. Часто це зумовлено банальним незнанням ризиків і загроз. У регіонах ситуація ще гірша, на жаль. Там на деяких підприємствах, заводах люди взагалі не в курсі, що операційна система Windows XP уже давно не підтримується. І ми не зможемо приїхати до кожного, потрібна якась масова комунікація, на всю країну. Причому якщо в Києві це можна поширити якимось цифровими каналами, навіть через соцмережі, то в регіонах це, найімовірніше, не спрацює, тож треба шукати креативніші підходи.
Поради щодо кібербезпеки:
1. Мати на комп’ютері та смартфоні антивірусне програмне забезпечення, періодично оновлювати його.
2. Для різних ресурсів використовувати різні складні паролі (електронна пошта, соцмережі тощо), періодично змінювати їх. Не користуватися генераторами паролів.
3. По можливості встановити двофакторну автентифікацію в соцмережах та сервісах.
4. Мати резервну копію найважливішої інформації, зберігати її без доступу до інтернету.
5. Не відкривати додатки до листів від незнайомих адресатів, не переходити за посиланнями. А якщо від знайомих, то уважно перевіряти перед відкриттям.
6. Не залишати на ненадійних сайтах свої персональні дані (номер банківської картки та її PIN-код, адресу електронної пошти, номер телефону тощо), не повідомляти ці дані по телефону.
7. Не відповідати на дзвінки з невідомих номерів, особливо зарубіжних. Не телефонувати на номери, вказані в смс-повідомленнях про виграш призів, підозріло великий розпродаж або акцію.
8. Перш ніж відвідати сайт чи перейти за посиланням, упевнитися в надійності цього ресурсу.
9. Не встановлювати програмне забезпечення, у надійності чи походженні якого є сумніви.
10. Здійснювати періодичні платежі (комунальні послуги, покупки в інтернет-магазинах) тільки через надійні сервіси.
Костянтин Корсун народився 1971 року. У 1993-му закінчив Харківське вище військове авіаційне інженерне училище і розпочав службу в СБУ. У 1996-му закінчив Національну академію СБУ. У 2000-му брав участь у створенні першого підрозділу протидії комп’ютерній злочинності в СБУ. З 2005-го по 2009-й служив у Департаменті безпеки інформаційно-телекомунікаційних систем ДССЗЗІ, створював CERT-UA та займався його міжнародною сертифікацією. З 2009-го по 2014-й був керівником українського офісу компанії iSIGHT Partners Europe. З 2014-го і досі — співзасновник та виконавчий директор компанії кібербезпеки Berezha Security.
Джерело: Тиждень