18 серпня 2017, п'ятниця

Україна прийняла стратегію боротьби з кібератаками і запустила кіберполіцію, ставши жертвою хакерів

коментувати
Держава готова впроваджувати технологію блокчейн, але поки прохолодно ставиться до хмарних технологій. При зростаючих киберрисках зволікати з впровадженням нових розробок стає небезпечно

Держава готова впроваджувати технологію блокчейн, але поки прохолодно ставиться до хмарних технологій. При зростаючих киберрисках зволікати з впровадженням нових розробок стає небезпечно

Усвідомивши реальність кіберагресії, країна ухвалила стратегічний документ для протистояння цим ризикам. Почала свою роботу кіберполіція, котра буде розслідувати злочини хакерів

Коли в березні 2015-го стало відомо, що Хілларі Клінтон використовувала свою приватну електронну пошту для офіційного листування під час каденції на посаді державного секретаря США, вибухнув скандал. В епоху зростаючих кіберзагроз така легковажність карається.

Кіберзлочинці здатні перетворити на пекло життя не тільки держсекретаря США, але і звичайної людини. Вони можуть заволодіти її банківськими заощадженнями, наростити їй борги, обікрасти її знайомих, отримати доступ до особистої інформації. Коли в справу втручається геополітика, жертвою кіберзлочинців стає ціла країна.

Нещодавно президент Петро Порошенко затвердив стратегію кібербезпеки, яка повинна зробити життя в режимі онлайн для українців хоча б трохи безпечніше. Це тим більше актуально, враховуючи, що Україна стала ціллю атак хакерів, яких пов'язують із зовнішнім агресором – Росією.

Тепер в країні з'явиться Національний координаційний центр кібербезпеки, співпрацювати з яким будуть всі оборонні та правоохоронні відомства. Буде створено реєстр критичної інфраструктури, а інтернет-провайдери будуть змушені при необхідності надавати інформацію про трафік.

Писали документ в Кабміні і Раді національної безпеки і оборони. На кінцевому етапі текст показали Дмитру Шимківу, заступнику голови Адміністрації президента. До приходу в політику Шимків очолював український офіс Microsoft.

Він проаналізував текст і наполіг на тому, щоб мова в документі йшла не тільки про ризики для інформаційної сфери, але і для критичної інфраструктури. «Автоматичні системи управління, водозабезпечення – це ж також зони ризику», - говорить Шимків.

Він незадоволений тим, як держава ставиться до кіберзахисту. Шимків давно лобіює використання хмарних сховищ для зберігання державної інформації, але законодавство не знає такого слова як «хмара», тому і використовувати цю технологію зараз не можна.

Натомість заступник голови АП хвалиться, що скоро почнеться використання технології блокчейн для проведення електронних аукціонів, що зробить їх практично невразливими для махінацій. На блокчейні побудована криптовалюта – біткойн. Сама технологія блокчейн передбачає використання децентралізованої бази даних, яка контролюється безліччю гравців і зміни у якій можливі тільки при загальному консенсусі. «Фактично держава отримує реєстр, за який по суті не платить, а він є безпечним», - розповідає Шимків НВ.

Але якщо в розвинених країнах блокчейном активно цікавляться центробанки – для емісії електронних грошей – то у випадку з українським Нацбанком про це говорити рано. «Ми ментально не готові до цього», - підкреслює Шимків.

При цьому він задоволений готовністю банківського сектора до кіберзагроз. У минулому році з банківських карток українців шахраї вкрали 180 млн грн, однак заступник голови АП зазначає, що банківський сектор істотно вклався в побудову кіберзахисту. А в стратегії кібербезпеки окремим важливим гравцем зазначений Національний банк.

Нацбанку час всерйоз задуматися про кібербезпеку. Їх колеги в Бангладеш нещодавно стали жертвою підступної схеми. Хакери, представившись чиновниками центробанку країни, попросили Нью-Йоркський офіс Федерального резерву, де зберігають гроші багато центробанків, перерахувати $1 млрд на приватні рахунки в Шрі-Ланці та на Філіппінах. У підсумку кіберзлочинцям вдалося заволодіти сумою в $101 млн, перш ніж у центробанку зрозуміли, що відбувається.

Документ за все хороше і проти всього поганого

Експерти в цілому позитивно оцінюють прийняття документа про кібербезпеку. Держава як мінімум визнала, що це напрямок, яким потрібно серйозно займатися. Питання в тому, наскільки реально втілити цю стратегію на практиці.

Втіленню на практиці буде перешкоджати в першу чергу відсутність в держструктурах підготовлених фахівців з кібербезпеки, вважає Юрій Марченко, директор компанії Накітель, що розробляє технології безпеки. Такі фахівці звикли до високих зарплат у приватному секторі, а держава запропонувати такі зарплати не може.

Передбачає Марченко труднощі і в тому, як інтернет-провайдери і хостинг-провайдери будуть адаптуватися до вимог нової стратегії. «Повинні бути проведені консультації, - підкреслює він. – Потрібно чітко розмежовувати зони відповідальності представників бізнесу і спецслужб».

Фактично чиновники пішли легким шляхом і скопіювали багато чого з того, що є в аналогічних документах країн Східної Європи, де лідерство в розробці рішень з кібербезпеки належить Чехії.

«Досить загальний характер кіберстратегії України нагадує кіберстратегії інших країн у східно-європейському регіоні», - зазначає Надія Костюк, докторант факультету політології Мічиганського університету і співробітник ініціативи глобальної співпраці в кіберпросторі в Інституті Схід-Захід. Добре, що стратегія покриває безліч напрямків – від конфіденційності та прав людини в кіберпросторі до кібертероризму. Але і Костюк каже, що задекларувати наміри куди легше, ніж їх реалізувати.

Експерт вважає зайвим окрему згадку в стратегії Росії як джерела кіберризиків. «Підкресливши роль, яку відіграє Росія, творці цього документа звернули не зовсім потрібну увагу на дії тільки одного актора в кіберпросторі», - коментує Костюк. При цьому використання проксі-серверів не завжди дозволяє визначити походження кібератак з точністю.

Україні і не потрібно було винаходити велосипед, вважає Едвард Лукас, редактор ділового тижневика The Economist і автор книги «Кіберфобія». «Наслідуйте приклад Естонії, - ділиться він своїми рекомендаціями з НВ. – Насамперед вам потрібна потужна система електронної ідентифікації». Інформацію краще зберігати у хмарі, а інформаційні потоки необхідно шифрувати. Допоможуть справі і регулярні пен-тести – спеціально організовані атаки на комп'ютерні системи з метою виявлення слабких місць.

При цьому проблема забезпечення якісної системи кібербезпеки навіть не в грошах. «Естонія витрачає не так багато, - каже Лукас. – Але вона витрачає мудро». Він поспішає заспокоїти: кіберзлочинці люди ліниві і атакують тільки ті системи, які легко зламати. Тому потрібно просто зробити злом системи хоча б трохи більш складним.

У своїй книзі «Кіберфобія» Лукас приходить до висновку, що на 100% захиститися від кіберзлочинців неможливо, особливо звичайній людині. Її дістануть якщо не через комп'ютер, то через мобільний телефон. І якщо у вас є рахунок в банку, на якому лежить мільярд доларів, то пароль доступу до нього безпечніше все ж таки записати на шматочку паперу і зберігати у фізичному сейфі.

Говорить у своїй книзі Лукас і про те, що інтернет ніяк не регулюється. Величезна сфера, від якої залежить життя сучасної людини, не має своїх законів, що є ризиком саме по собі. При цьому за підрахунками консалтингової групи BCG на інтернет припадає 5,3% ВВП двадцяти найбільших економік світу, або $4,2 трлн.

Кіберполіція нас береже

Відчуття безпеки в українських користувачів повинен викликати той факт, що тепер на повну силу запрацювала кіберполіція. Реєстр судових рішень вже налічує три сторінки посилань на судові документи, в яких так чи інакше фігурує кіберполіція.

«Набір кадрів практично закінчений, - розповідає Денис Калачов, який брав участь у наборі співробітників для кіберполіції. – Вдалося залучити достатньо якісних фахівців».

В комісії з відбору кандидатів брав участь директор з безпеки найбільшої технологічної компанії SoftServe. «Він намагався одного з кандидатів зловити хоч на чомусь, але у нього не вийшло, - продовжує Калачов. – Співбесіда тривала близько години».

Штат кіберполіції перевищує 400 осіб, з них чотири десятки – це спецагенти, чий рівень підготовки приблизно аналогічний рівню підготовки середньостатистичного хакера, каже Калачов. На посаду спецагента з зарплатою в 26 тис. грн подали анкети 3,3 тис. осіб. На 150 вакансій оперативних співробітників, що одержують 8 тис. грн, претендували 11 тис. осіб.

Критикує метод набору в кіберполіцію Сергій Харюк, вірусний аналітик антивірусної лабораторії Zillya!. Проаналізувавши тестові завдання для кандидатів, він прийшов до висновку, що намагалися набрати універсальних солдатів, які «і кашу варити, і окопи копати, і керувати реактивним літаком». В реальності ж універсальних солдатів не існує.

З ним згоден Марченко з Накітеля. Тестові завдання можуть допомогти знайти хакера, але для аналізу алгоритму шифрування потрібен хороший математик, а для аналізу мережевого трафіку – спеціаліст з мереж. «Ну не повинна людина з IQ вище 170 бігати стометрівку», - додає експерт.

Вадим Очеретько був одним з тих, хто хотів стати спецагентом кіберполіції. Він пройшов всі тести, закрив свій бізнес і отримав відмову «за 5 хвилин» до влаштування на нову роботу. Факт відсутності вищої освіти чомусь схвилював комісію по набору лише після проходження кандидатом комісій і випробувань, хоча анкета була ним подана на самому початку процесу.

Ризики тільки починаються

Головне управління розвідки Міноборони 21 березня заявило про DDoS-атаки на ряд українських онлайн-видань. Подібні атаки перевантажують сайти трафіком і роблять доступ до них неможливим. За даними розвідки, за спланованою кібердиверсією стоїть російський Центр інформаційного протиборства в Новочеркаську, в якому проходять службу кадрові офіцери. У Донецьк для цілей атаки було доставлено необхідне обладнання.

Політикою кіберризики зовсім не обмежуються. Кіберполіція повідомила про групу хакерів, які в 2014-2015 роках вкрали з кишень користувачів інтернету близько 10 млн грн. Вони заснували кілька фіктивних онлайн-магазинів в Києві, Одесі і Миколаєві, де товари коштували на 20-30% нижче ринку. Це приваблювало покупців, вони здійснювали оплату, але товар у підсумку не отримували.

Список аналогічних загроз можна продовжити. Ніяка стратегія кібербезпеки не захистить людину, якщо він PIN-код своєї банківської картки пише прямо на неї і використовує пароль з ім'ям своєї собаки для всіх онлайн-акаунтів. Але зараз хоча б стало зрозуміло, куди звертатися, якщо ви стали жертвою кіберзлочинців. Та й маючи Росію за сусіда, яка відома своїми хакерськими угрупованнями, Україна не може дозволити собі ігнорувати кіберризики.

Коментарі

1000

Правила коментування
Показати більше коментарів

Останні новини

ТОП-3 блога

Фото

ВІДЕО

Читайте на НВ style

Крупним планом ТОП-10

Погода
Погода в Киеве

влажность:

давление:

ветер: