Всего год назад сообщения о кибератаках на госучреждения и объекты государственной инфраструктуры были большой редкостью. Теперь же это наша повседневная реальность. Июльский вирус Petya, так напугавший украинское общество, но вскоре превратившийся в предмет для шуток и анекдотов, показал реальное состояние украинского киберпространства, которое можно описать как «проходной двор». С тех пор в украинском политикуме наметилось вялое шевеление, чиновники вынуждены были предпринять соответствующие меры, результатом чего стал закон «Об основных принципах обеспечения кибербезопасности Украины», который полноценно вступит в действие 9 мая следующего года. ГолосUA поговорил с операционным директором компании 10Guards Виталием Якушевым о том, что такое кибербезопасность и почему важно постоянно и систематически заниматься ею не только на уровне частных компаний, но и на уровне государства.
— Виталий, как вы оцениваете подписанные Президентом Украины в прошлом году стратегию кибербезопасности Украины и соответствующий закон, опубликованный 9 октября? Какие можете выделить преимущества и недостатки данных документов?
— И стратегия, и текущий закон носят исключительно декларативный, рамочный характер, потому нельзя сказать, что они дают нам какие-то ощутимые преимущества. Единственный плюс, который я могу выделить — наконец, положено начало. Чтобы был конкретный результат, нужны последующие нормативные акты и законы. Более того, нужен не только закон «Об основных принципах», а конкретный закон о кибербезопасности. Повторю: то, что есть на данный момент — это всего лишь декларации. К примеру, в «Основах» записано, что госструктуры, которые халатно относятся к защите персональных данных граждан, будут наказаны. А как именно – не указано. Это должно быть прописано в отдельных законах. Тогда будут реальные основания сказать, что, наконец, у нас есть законодательный механизм, который действительно работает. А пока конкретные исполнительные органы, отвечающие за кибербезопасность, не будут точно знать, что за неисполнение закона понесут полноценную ответственность, то они не предпримут никаких мер по исполнению тех обязанностей, которые на них возложены. Также, конкретно для бизнеса, есть большой риск, связанный с привлечением частных компаний, которые могут быть государством отнесены к объектам критической инфраструктуры. Закон в этом плане порождает ряд встречных вопросов о том, какие компании подпадут под данное определение, каковы критерии отбора и т.д. Это нигде не оговорено. В законе лишь прописано, что определять их будет Кабинет министров. Поэтому для частных компаний существуют риски, что их внесут в категорию объектов критической инфраструктуры и заставят участвовать в создании сертифицированной в Украине комплексной системы защиты информации. После чего у государства появятся полномочия вторгаться в их деятельность.
— В СМИ в прошлом году вы оценили уровень кибербезопасности Украины в 3,5-4 балла из 10. Какую бы оценку дали сейчас?
— С тех пор мое мнение не изменилось. Июньский Petya несколько припугнул тех, кто ответственен за безопасность, но через месяц уже об этом забыли. Кстати, в Глобальном индексе кибербезопасности, составленном Международным союзом электросвязи в этом году, Украина находится на 59-ом месте. Для сравнения, к примеру, Россия в этом списке находится на десятом месте, а Грузия на восьмом. Вообще, наблюдается довольно странная ситуация. У нас есть потенциальный противник, которого мы декларируем, утверждая, что положение дел в противостоянии ему все лучше и лучше. При этом заявляем, мол, Россия постоянно выигрывает у нас в кибервойне. Далее вообще оказывается, что противник в этой области официально в несколько раз превосходит нас. К тому же, у России есть кибервойска, а у Украины нет. Кибервойска РФ входят в пятерку сильнейших в мире. У нас же ситуация остается такой же, как и год назад — нет политической воли, есть только декларативные заявления.
— В СБУ делали неоднократно заявления о том, что Россия ведет гибридную войну против Украины, в том числе и посредством кибератак. При этом после «вброса» о российских хакерах не приводилось никаких реальных доказательств. В таком случае, насколько заявлениям ведомства можно доверять и с полной уверенностью утверждать, что атаки осуществляются именно из РФ?
— Киберпространство так устроено, что никогда нельзя с полной, стопроцентной уверенностью сказать, кем и откуда именно велась атака. Вплоть до того, что даже если мы знаем, с какого именно компьютера было совершено преступление, то это вовсе не означает, что человек, которому он принадлежит — киберпреступник. С абсолютной уверенностью это можно утверждать, только в том случае, если лично поймать человека за компьютером во время совершения киберпреступления. Что же касается кибервойск, то ситуация следующая. Существуют гипотезы, предположения, помогающие идентифицировать хакеров по различным поведенческим характеристикам, по набору использованных хакерских инструментов. В мировом киберпространстве ведут деятельность несколько самых крупных хакерских группировок. Есть такие, которые занимаются взломом компьютеров, шифрованием данных с целью вымогательства, воровством денег с банковских счетов. Наряду с ними действуют и отдельные группировки, которые привязаны к киберармиям конкретных стран. Последние отличаются между собой по выработанному почерку. Эти группировки не являются безымянными, и каждая из них имеет несколько названий. К примеру, с Россией связывают группировку, одним из названий которой является «Fancy Bear» («Прикольный медведь»). Есть еще несколько таких, которые привязаны к киберармиям США, Ирана, Северной Кореи. Все они имеют свой выработанный почерк. Хотя в своей работе они стараются подделать его, чтобы следователи приняли его за почерк другой группировки. Но это вовсе не значит, что нет способов, по которым можно определить, где находится и откуда работает та или иная группировка. Одними из таких способов — данные по часовому поясу (время создания, редактирования файлов) или язык комментариев в исходном коде кибероружия (ломанный английский или русский/корейский и т.п.). После такого анализа гипотетически деятельность связывают с кибервойсками. Почему так? Специалисты, которые этим занимаются, в целом уверены в своих выводах, но поскольку человек за руку не пойман, утверждать с полной уверенностью ничего нельзя.
— В чем главные проблемы украинских компаний в сфере кибербезопасности?
— Главная проблема крупного украинского бизнеса в том, что он не понимает, что кибербезопасность – это процесс. И что этим нужно заниматься систематически, то есть постоянно. И не откладывая на завтрашний день. В целом, здесь следует выделить три аспекта проблемы. Первое – это отсутствие системного подхода. Нет выстроенной корпоративной политики внутри компаний. Бизнесмены перепоручают эту проблему техническому персоналу, не вникая в суть. А «технари», в свою очередь, не вполне понимают, чего от них хотят начальники. Результат — отсутствие взаимопонимания по данному вопросу. Необходимо вывести кибербезопасность на уровень топ-менеджмента, чтобы систематизировать подход в целом. Даже не технический менеджер может понять, что информацию нужно категорировать по приоритетам и предназначению. Ведь нужно определить, что именно следует защищать в первую очередь. Примитивными приемами, типа установки антивируса — проблему не решить. Свои атакующие инструменты хакеры оттачивают постоянно. Они не используют постоянно один и тот же инструмент, а изобретают все новые способы для улучшения своей работы. Соответственно, и защиту необходимо постоянно совершенствовать.
— Чему еще, по вашему мнению, необходимо уделять внимание?
— Второй аспект — это миф о том, что кибербезопасность стоит баснословных финансовых вложений. Это часто не стоит так дорого, как кажется – лишь, когда нужно защищать абсолютно все, что есть. Но если защитить только самое главное, то цена будет вполне приемлемой. Как показывает опыт, зачастую в украинском бизнесе думают, что взять на работу к себе сотрудника, который бы занимался бы этим вопросом постоянно, означает выложить круглую сумму и от него отказываются вообще. В таком случае банальная скупость приводит к тому, что взломать компьютеры и похитить информацию таких компаний может кто угодно, у кого есть минимальный опыт. Но, как ни странно, им проще время от времени платить по триста долларов вымогателям, чем вкладывать средства в полноценную систему защиты, обезопасив себя от проникновения. И, пожалуй, третий аспект — отсутствие обучения персонала основам безопасного поведения в сети. Как я уже указывал, зачастую данная сфера полностью передается в руки технического персонала, тогда как рядовые сотрудники довольно смутно понимают, что это такое. Следовательно, это создает как у рядовых сотрудников, так и у начальников ложную уверенность в том, что «в случае чего» технический персонал решит все их проблемы.
— Как, на ваш взгляд, представлена Украина на рынке услуг кибербезопасности?
— Кибербезопасность является довольно широкой сферой, существуют компании, которые занимаются предоставлением как продуктов, так и услуг в сфере кибербезопасности. Нужно отметить, что Украина, как страна, практически не производит никаких собственных продуктов. Можно, конечно, отметить антивирус Zillya. Но им пользуется не так много людей. Он, может, и хороший, но пока не дотягивает до уровня международных игроков на рынке защитного программного обеспечения. Что же касается сферы услуг, то услуги «белого хакинга» и консалтинга предоставляются специалистами из стран бывшего Советского Союза на высочайшем уровне (благодаря сильной математической школе). Потому что хакеры – это, прежде всего, очень сильные программисты и математики, которые могут в чужом коде находить «дыры», через которые они способны проникать в систему и манипулировать ею. Но здесь следует также указать на то, что невысокий уровень жизни в стране толкает людей на различные формы мошенничества. В том числе и в киберпространстве. Поэтому, могу с полной уверенностью утверждать, что даже хорошие, «белые хакеры» высокого уровня начинали с того, что занимались до этого различным киберхулиганством.
— Наша страна на высоком уровне декларирует необходимость сотрудничества в области кибербезопасности с США и НАТО. Не приведет ли данное сотрудничество к тому, что в будущем они смогут контролировать украинское как информационное, так и киберпространство?
— Украина имеет как человеческий, так и финансовый ресурс, но не имеет политической воли. Ей приходится искать партнерства с более сильными государствами. В данный момент идет масштабная операция Украинского КиберАльянса (анонимная волонтерская хакерская группировка). Они занимаются тем, что информируют общественность о плачевном состоянии информационной безопасности в стране в целом — как госучреждений, так и крупных компаний. Причем слово «плачевное» — в этом случае довольно ласкательное слово. Поэтому имеет ли смысл говорить о рисках, связанных с тем, что США могут получить контроль над информационным пространством Украины, когда любой захудалый хакер-новичок может путем нехитрых манипуляций легко получить доступ к большинству информационных ресурсов украинского государства.
— Думаю, многие удивятся, но в НАТО до сих пор нет принятой единой стратегии кибербезопасности. Когда эта стратегия в НАТО сможет появиться?
— Вопрос не в том, что стратегии кибербезопасности в НАТО нет. А в том, чья это будет стратегия, кто будет ее определять — США или Германия, например.
В Эстонии уже построен Центр кибербезопансости НАТО, где проводятся международные киберучения. Уже само создание этого Центра говорит о наличии определенной «дорожной карты», без которой невозможно координирование действий европейских стран в этой области. До 2014 года в киберпространстве жили более-менее мирно. Кибершпионаж был. Но не было ни массированных кибератак, ни кибервойн. Думаю, в ближайшие несколько месяцев у НАТО появится эта киберстратегия. Более того, уже ведутся разговоры о том, чтобы рассматривать кибератаку как военное вмешательство, на которую можно отвечать вполне реальными военными действиями.