Про заяву Держспецзв’язку щодо підтримки бізнесу у створенні стійкої до загроз системи кібербезпеки в Україні
Держспецзв'язку — це один з суб'єктів кібербезпеки України. Суб'єкти — це відповідальність за якийсь напрямок, пов'язаний з національною кібербезпекою. В Держспецзв'язку є один з розрекламованих кіберцентрів UA30, який повинен реагувати на інциденти, і, дійсно, він вже краще реагує, ніж декілька років тому, коли після атак на Україну, литовські або естонські кіберцентри видавали рекомендації швидше на декілька днів, ніж наші. Тобто вони вже працюють краще, але ці заяви про те, що нам необхідно разом щось будувати — це декларативні заяви. Повинні бути конкретні кроки. Наприклад, вони сказали, що хочуть декриміналізувати 361 статтю Кримінального кодексу для тестувальників кібербезпеки, для етичних хакерів. Ось це з точки зору реальних кроків більш схоже на побудову системи національного кіберзахисту.
У нас всього 9 суб'єктів кібербезпеки, які координує Національний координаційний центр з кібербезпеки при РНБО, і вони, дійсно, повинні допомагати бізнесу вибудовувати кібербезпеку, допомагати настановами та рекомендаціями. Насамперед вони повинні допомагати державі захищати себе і робити так, щоб взламів в нас не було. А бізнес вже на другому місці.
Про зв'язок між захищеністю бізнесу і захищеністю держави
Національна кібербезпека повинна бути системна. Якщо не захищена держава, якщо за кібератаки на державу нуль відповідальності, то бізнес це переймає. Все абсолютно дзеркально: якщо у владі є корупція, то вона є і в бізнесі, якщо у владі є безвідповідальність, то вона буде і в бізнесі, тому тут замкнене коло, яке хтось повинен розірвати. Приватному сектору розірвати це коло легше, бо йому краще починати, і саме тому треба починати з себе. Тому Держспецзв'язку потрібно почати з себе, з держави, а потім вже йти кудись в бізнес. Водночас бізнесу треба починати з себе, захищати себе, дивитися, як це робити, розуміти, як це робити і потім вимагати це в держави.
Коли державний орган каже, що вони починають щось робити краще для бізнесу, бізнес починає готуватися до біди. Декілька законопроектів, які були спрямовані на те, щоб "допомогти" бізнесу — це, наприклад, вимагати від інтернет-провайдерів зберігати всю історію переходів за посиланнями, зберігати операторів СМС та повідомлення і мати інструменти для блокування будь-якого ресурсу за запитом правоохоронних органів без судового ордеру. Це цензура і калька російського закону. Це було декілька разів при попередній владі і при цій також намагалися.
Про закон про сім-карти за паспортом
Всі ініціативи, які незрозумілі або які не пояснюються, викликають спротив. А безпека в країні будується на довірі до владі. Закон про сім-карти за паспортом також не рекомендували запускати зараз в тому вигляді, який він є. Прогалини не в тому, що цей закон запустили. Прогалини в тому, що вони не пояснюють, навіщо вони це роблять. Вони кажуть, що хочуть зробити кращу безпеку. Тепер пересічний громадянин не зможе придбати картку і користуватися нею анонімно, але при цьому кожного місяця витікають реєстри і персональні дані, але при цьому кажуть, що нічого страшного. Тобто в державі можуть навіть сказати, щоб ми не переживали, бо дані витікали, витікають і будуть витікати. Хоча держава має зробити так, щоб ці реєстри не були доступні. І після цього я йду здаю свій паспорт разом з сім-карткою. Це говорить про те, що ми тепер будемо під ковпаком, і якщо хочуть знайти номери якоїсь людини, щоб, наприклад, її прослуховувати, то з цим не буде проблем. І такий ризик є. Я не буду казати, що немає підвищення безпеки, адже воно є, але, наприклад, якщо б країна запустила соціальну кампанію, сказавши, що треба захистити свої фінансові номери, прив'язавши їх до паспорту, не треба було не б ніяких законів. Люди самі б пішли і прив'язали свої паспорти до номеру.
Ви не обов'язково повинні бути контрактним абонентом для того, щоб прив’язати свою сім-картку до паспорта. Ви можете бути абонентом передплаченого зв'язку, без договору, прийти і сказати, що хочете, щоб вашу картку без вашого паспорта не могли відновити, і це зроблять. Це ніколи не було проблемою. Проблемою було те, що люди цього не знали. Люди мають зрозуміти, що їх фінансовий номер вразливий тим, що можна легко відновити, вкрасти потім гроші, набрати кредитів тощо. Якщо номер прив'язаний до банку, який має додаток, то якщо я маю чийсь номер телефон, я можу до цього додатку легко зайти, з цим додатком я вже маю доступ до банк ID, а це вже ідентифікація себе для державних сервісів та інших банків. Тобто номер — це найслабша ланка в захисті цифрової ідентичності. І якщо ви прив’язали номер до паспорта на контрактний основі, оператор має кримінальну відповідальність за те, що він віддав інформацію. Але для того, щоб все працювало, наша країна має бути не корупційною і ми маємо провести судову реформу.
Про шахрайські схеми на майданчиках продажу
У деяких платформ є захист купівель. І якщо людина шахрайським чином вкрала гроші, то ця платформа повертає їх покупцеві. Тобто вони втрачають не лише реальні гроші, а й мають тільки репутаційні втрати. Тому у них є дуже потужні відділи, які працюють з цими шахрайськими схемами. Але проблема в тому, що вони збирають інформацію, номери телефонів, емейли, сторінки, віддають це поліції, де ця справа глохне. Тобто їм легше самостійно працювати зі службами безпеки мобільних операторів і якось самостійно впливати в рамках закону на цих шахраїв, зокрема блокувати їх та вираховувати їхні інші номери, ніж звертатися до поліції, де ефективність на мінімумі.
Чи готовий бізнес до кібератак
Щодо того, чи готовий бізнес до нових кібератак, то нові кібератаки від старих відрізняються дуже мало. Тобто якщо бізнес взагалі готовий до кібератак, то він буде готовий до будь-яких. Якщо брати опитування у світовому бізнесі щодо того, які ризики для бізнесу вони вважають найважливішими, то серед усіх на першому місці зараз стоять кіберризики через діджиталізацію, через те, що в нас є системи, які можна зламати зсередини та ззовні. В Україні якщо кіберризики входять в топ-10, то це у кращому випадку. У нас на перших місці рейдерство, правоохоронні органи, державні перевіряючі органи, геополітичні ризики тощо, тобто у нас інші ризики. Тому бізнес готується до кібератак за остаточним принципом. Тобто ми готуємося тактично, а не стратегічно і не вибудовуємо системи кібербезпеки, тому що завтра може щось трапитися і нам діджиталізація не допоможе.
Про кібератаки в Україні
Якщо атака вже відбулася, тобто зламали сайт чи реєстр, то її в кращому випадку можна дуже швидко попередити і не дати їй продовжуватися. Наприклад, зламали сайт, на сайті важливої інформації немає, але можна через сайт йти далі та продовжувати атаку. І ось я побачив, що зламали сайт, цю атаку заблокував, вона відбулася, але впливу якогось чи втрат не було. Тому можна сказати, що це була атака, яка була не успішна для злочинців і успішно відбита нами. А якщо технічний спеціаліст купив свій віртуальний сервер в будь-якій країні, налаштовуєш його і відкриваєш до доступ до нього ззовні, то протягом трьох годин з індійських, з китайських, з російськи, з українських адрес починають йти спроби його зламати. Але коли пробували підібрати там мільйон паролів, ми не можемо сказати, що був мільйон кібератак. Це була спроба. І якщо реагувати на кожну спробу, то можна з глузду з'їхати, тому що цих спроб мільярди. Кожну секунду у світі спробують атакувати бізнеси та держави.
Тому, дійсно, атакують набагато частіше, тому що це стало вже багатомільярдним бізнесом. Держспецзв'язку каже, що вони відбивають десятки тисяч атак на місяць. Але якщо в бізнесу стратегічний ризик, що його можуть закрити правоохоронні органи, то він стратегічно кібербезпеку розвивати в себе не буде, тому що він може закрити бізнес і треба буде переїжджати в іншу країну. Так, є бізнеси, які регулюються державними структурами, наприклад, банки. Їм не можна без кібербезпеки, тому що аби була ліцензія від Нацбанку, їм потрібно займатися кібербезпекою і дуже достеменно. Щодо інших бізнесів, то це залежить від того, чи вони стратегічно мислять, чи є в них ресурси для цього, хоча те, що кібербезпека — це дорого, — це також міф. Від 90% кібератак захиститися можна якщо не безкоштовно, то дуже малими витратами. Крім того, зараз війна списує все. Бізнес дивиться на країну і бачить, що зламують наші ресурси, крадуть персональні дані, тому якщо вкрадуть його дані, то він також скаже, що це кібервійна, і ніякої відповідальності нести не буде. Або в гіршому випадку це штраф 34 тисячі тисячі гривень.
Де краще зберігати свої дані
Зберігати якісь свої активи в Україні — це дуже небезпечно, навіть якщо ви працюєте повністю в білому полі. Тому дані краще зберігати в хмарах. Варто використовувати будь-які такі популярні хмари, як амазонські, гуглівські або майкрософтівські. Вони підпорядковуються світовим стандартам і законам, де відповідальність за витік даних дуже сувора. Тому вони, дійсно, захищають, адже передбачена сувора відповідальність, невідворотність, і компанії сплачують штрафи. Тому якщо ви хочете, щоб ваша інформація була захищена, то на даний момент я Україну, на жаль, не можу рекомендувати, хоча в нас є дуже круті дата-центри, форми і сайти для зберігання даних.
Фото: Українське радіо