6 декабря 2016, вторник

Украина приняла стратегию борьбы с кибератаками и запустила киберполицию, став жертвой хакеров

Государство готово внедрять технологию блокчейн, но пока прохладно относится к облачным технологиям. При растущих киберрисках медлить с внедрением новых разработок становится опасно

Государство готово внедрять технологию блокчейн, но пока прохладно относится к облачным технологиям. При растущих киберрисках медлить с внедрением новых разработок становится опасно

Осознав реальность киберагрессии, страна приняла стратегический документ для противостояния этим рискам. Начала свою работу киберполиция, которая будет расследовать преступления хакеров

Когда в марте 2015-го стало известно, что Хиллари Клинтон использовала свою частную электронную почту для официальной переписки во время каденции на посту государственного секретаря США, разразился скандал. В эпоху возрастающих киберугроз такая легкомысленность наказуема.

Киберпреступники способны превратить в ад жизнь не только госсекретаря США, но и обычного человека. Они могут завладеть его банковскими сбережениями, нарастить ему долги, обворовать его знакомых, получить доступ к личной информации. Когда в дело вмешивается геополитика, жертвой киберпреступников становится целая страна.

Недавно президент Петр Порошенко утвердил стратегию кибербезопасности, которая должна сделать жизнь в режиме онлайн для украинцев хотя бы немного безопаснее. Это тем более актуально, учитывая, что Украина стала целью атак хакеров, которых связывают с внешним агрессором – Россией.

Теперь в стране появится Национальный координационный центр кибербезопасности, сотрудничать с которым будут все оборонные и правоохранительные ведомства. Будет создан реестр критической инфраструктуры, а интернет-провайдеры вынуждены будут при необходимости предоставлять информацию о трафике.

Писали документ в Кабмине и Совете национальной безопасности и обороны. На конечном этапе текст показали Дмитрию Шимкиву, заместителю главы Администрации президента. До прихода в политику Шимкив возглавлял украинский офис Microsoft.

Он проанализировал текст и настоял на том, чтобы речь в документе шла не только о рисках для информационной сферы, но и для критической инфраструктуры. «Автоматические системы управления, водообеспечение – это ведь тоже зоны риска», - говорит Шимкив.

Он недоволен тем, как государство относится к киберзащите. Шимкив давно лоббирует использование облачных хранилищ для хранения государственной информации, но законодательство даже не знает такого слова как «облако», поэтому и использовать эту технологию сейчас нельзя.

Зато замглавы АП хвалится, что скоро начнется использование технологии блокчейн для проведения электронных аукционов, что сделает их практически неуязвимыми для махинаций. На блокчейне построена криптовалюта – биткойн. Сама технология блокчейн предусматривает использование децентрализованной базы данных, которая контролируется множеством игроков и изменения в которой возможны только при общем консенсусе. «Фактически государство получает реестр, за который по сути не платит, а он является безопасным», - рассказывает Шимкив НВ.

Но если в развитых странах блокчейном активно интересуются центробанки – для эмиссии электронных денег – то в случае с украинским Нацбанком об этом говорить рано. «Мы ментально не готовы к этому», - подчеркивает Шимкив.

При этом он доволен готовностью банковского сектора к киберугрозам. В прошлом году с банковских карточек украинцев мошенники украли 180 млн грн, однако замглавы АП отмечает, что банковский сектор существенно вложился в построение киберзащиты. А в стратегии кибербезопасности отдельным важным игроком указан Национальный банк.

Нацбанку пора всерьез задуматься о кибербезопасности. Их коллеги в Бангладеш недавно стали жертвой коварной схемы. Хакеры, представившись чиновниками центробанка страны, попросили Нью-Йоркский офис Федерального резерва, где хранят деньги многие центробанки, перечислить $1 млрд на частные счета в Шри-Ланке и на Филиппинах. В итоге киберпреступникам удалось завладеть суммой в $101 млн, прежде чем в центробанке поняли, что происходит.

Документ за все хорошее и против всего плохого

Эксперты в целом положительно оценивают принятие документа о кибербезопасности. Государство как минимум признало, что это направление, которым нужно серьезно заниматься. Вопрос в том, насколько реально эту стратегию воплотить на практике.

Воплощению на практике будет препятствовать в первую очередь отсутствие в госструктурах подготовленных специалистов по кибербезопасности, считает Юрий Марченко, директор компании Накитель, разрабатывающей технологии безопасности. Такие специалисты привыкли к высоким зарплатам в частном секторе, а государство предложить такие зарплаты не может.

Предвидит Марченко трудности и в том, как интернет-провайдеры и хостинг-провайдеры будут адаптироваться к требованиям новой стратегии. «Должны быть проведены консультации, - подчеркивает он. – Нужно четко разграничивать зоны ответственности представителей бизнеса и спецслужб».

Фактически чиновники пошли легким путем и скопировали многое из того, что есть в аналогичных документах стран Восточной Европы, где лидерство в разработке решений по кибербезопасности принадлежит Чехии.

«Довольно общий характер киберстратегии Украины напоминает киберстратегии других стран в восточно-европейском регионе», - отмечает Надежда Костюк, докторант факультета политологии Мичиганского университета и сотрудник инициативы по глобальному сотрудничеству в киберпространстве в Институте Восток-Запад. Хорошо, что стратегия покрывает множество направлений – от конфиденциальности и прав человека в киберпространстве до кибертерроризма. Но и Костюк говорит, что задекларировать намерения куда легче, чем их реализовать.

Эксперт считает излишним отдельное упоминание в стратегии России как источника киберрисков. «Подчеркнув роль, которую сейчас играет Россия, создатели этого документа обратили не совсем нужное внимание на действия только одного актера в киберпространстве», - комментирует Костюк. При этом использование прокси-серверов не всегда разрешает определить происхождение кибератак с точностью.

Украине и не нужно было изобретать велосипед, считает Эдвард Лукас, редактор делового еженедельника The Economist и автор книги «Киберфобия». «Последуйте примеру Эстонии, - делится он своими рекомендациями с НВ. – Прежде всего вам нужна мощная система электронной идентификации». Информацию лучше хранить в облаке, а информационные потоки необходимо шифровать. Помогут делу и регулярные пен-тесты – специально организованные атаки на компьютерные системы с целью выявления слабых мест.

При этом проблема обеспечения качественной системы кибербезопасности даже не в деньгах. «Эстония тратит не так много, - говорит Лукас. – Но она тратит мудро». Он спешит успокоить: киберпреступники – люди ленивые и атакуют только те системы, взломать которые легко. Поэтому нужно просто сделать взлом системы хотя бы немного более сложным.

В своей книге «Киберфобия» Лукас приходит к выводу, что на 100% защититься от киберпреступников невозможно, особенно обычному человеку. Его достанут если не через компьютер, то через мобильный телефон. И если у вас есть счет в банке, на котором лежит миллиард долларов, то пароль доступа к нему безопаснее все-таки записать на кусочке бумаги и хранить в физическом сейфе.

Говорит в своей книге Лукас и о том, что интернет никак не регулируется. Огромная сфера, от которой зависит жизнь современного человека, не имеет своих законов, что является риском само по себе. При этом по подсчетам консалтинговой группы BCG на интернет приходится 5,3% ВВП двадцати крупнейших экономик мира, или $4,2 трлн.

Киберполиция нас бережет

Ощущение безопасности у украинских пользователей должен вызвать тот факт, что теперь в полную силу заработала киберполиция. Реестр судебных решений уже насчитывает три страницы ссылок на судебные документы, в которых так или иначе фигурирует киберполиция.

«Набор кадров практически закончен, - рассказывает Денис Калачев, принимавший участие в наборе сотрудников для киберполиции. – Удалось привлечь достаточно качественных специалистов».

В комиссии по отбору кандидатов принимал участие директор по безопасности крупной технологической компании SoftServe. «Он пытался одного из кандидатов поймать хоть на чем-то, но у него не получилось, - продолжает Калачев. – Собеседование продолжалось порядка часа».

Штат киберполиции превышает 400 человек, из них четыре десятка – это спецагенты, чей уровень подготовки приблизительно аналогичен уровню подготовки среднестатистического хакера, говорит Калачев. На должность спецагента с зарплатой в 26 тыс. грн подали анкеты 3,3 тыс. человек. На 150 вакансий оперативных сотрудников, получающих 8 тыс. грн, претендовали 11 тыс. человек.

Критикует метод набора в киберполицию Сергей Харюк, вирусный аналитик антивирусной лаборатории Zillya!. Проанализировав тестовые задания для кандидатов, он пришел к выводу, что пытались набрать универсальных солдат, которые «и кашу будут варить, и окопы копать, и реактивным самолетом управлять». В реальности же универсальных солдат не существует.

С ним согласен Марченко из Накителя. Тестовые задания могут помочь найти хакера, но для анализа алгоритма шифрования нужен хороший математик, а для анализа сетевого трафика – специалист по сетям. «Ну не должен человек с IQ выше 170 бегать стометровку», - добавляет эксперт.

Вадим Очеретько был одним из тех, кто хотел стать спецагентом киберполиции. Он прошел все тесты, закрыл свой бизнес и получил отказ «за 5 минут» до устройства на новую работу. Факт отсутствия высшего образования почему-то взволновал комиссию по набору лишь после прохождения кандидатом комиссий и испытаний, хотя анкета была им подана в самом начале процесса.

Риски только начинаются

Главное управление разведки Минобороны 21 марта заявило о готовящейся DDoS-атаке на ряд украинских онлайн-изданий. Подобные атаки перегружают сайты трафиком и делают доступ к ним невозможным. По данным разведки, за планируемой кибердиверсией стоит российский Центр информационного противоборства в Новочеркасске, в котором проходят службу кадровые офицеры. В Донецк для целей атаки было доставлено необходимое оборудование.

Политикой киберриски совсем не ограничиваются. Киберполиция сообщила о группе хакеров, которые в 2014-2015 годах украли из карманов пользователей интернета порядка 10 млн грн. Они основали несколько фиктивных онлайн-магазинов в Киеве, Одессе и Николаеве, где товары стоили на 20-30% ниже рынка. Это привлекало покупателей, они совершали оплату, но товар в итоге не получали.

Список аналогичных угроз можно продолжить. Никакая стратегия кибербезопасности не защитит человека, если он PIN-код своей банковской карты пишет прямо на ней и использует пароль с именем своей собаки для всех онлайн-аккаунтов. Но сейчас хотя бы стало понятно, куда обращаться, если вы стали жертвой киберпреступников. Да и имея соседом Россию, которая известна своими хакерскими группировками, Украина не может позволить себе игнорировать киберриски.

Комментарии

1000

Правила комментирования
Показать больше комментариев

Последние новости

ТОП-3 блога

Фото

ВИДЕО

Читайте на НВ style

Статьи ТОП-10

Подписка на новости
     
Погода
Погода в Киеве

влажность:

давление:

ветер: