Заступник секретаря РНБО Сергій Демедюк: "Прослушка Гончарука" - приклад того, як людський фактор може вплинути на загрозу національній безпеці

Автор: Тетяна Бодня

Як нині, коли більшість людей працює дистанційно, захистити особисту і службову інформацію від крадіжки, до кого звертатися, якщо кібератака відбулася, і чи можна попередити такі інциденти? І як в умовах карантину відфільтровувати дезінформацію, яка постійно розганяється тими, хто зацікавлений у нагнітанні панічних настроїв?

Відповідаючи на ці запитання, заступник секретаря РНБО Сергій Демедюк в інтерв’ю "Цензор.НЕТ" розповів про особливості роботи Національного координаційного центру з питань кібербезпеки й співпрацю держави і приватного сектору. Особливо в частині захисту об’єктів критичної інфраструктури.

Запитала й про скандал навколо "Українського кіберальянсу", представники якого заявили, що повністю припиняють співпрацю з органами державної влади в Україні, поки правоохоронні органи не вибачаться за проведені обшуки і звинувачення щодо зламування інформаційної системи міжнародного аеропорту "Одеса". А також про скандал із "плівками Гончарука", адже прослуховування високопосадовців – це одне з питань національної безпеки.

НАВІТЬ У КОМПАНІЯХ, ЯКІ МАЮТЬ ШТАТ ФАХІВЦІВ З КІБЕРБЕЗПЕКИ, СЕРЕДНІЙ ЧАС ВІД ПОЧАТКОВОГО ЗАРАЖЕННЯ ДО ВИЯВЛЕННЯ АТАКИ СТАНОВИТЬ 100 ДІБ

- Сергію Васильовичу, з огляду на ситуацію з карантином через коронавірус багато підприємств перевели своїх працівників на дистанційний режим роботи і питання кібербезпеки актуальне, як ніколи. Чи можуть нині приватні підприємства чи громадяни звертатися до Національного координаційного центру кібербезпеки, якщо виникнуть якісь проблеми?

- Звісно. Хоча відповідно до передбачених завдань НКЦК здійснює інші функції, ми готові приймати відповідні звернення від будь-яких осіб. Потрібно зазначити, що вони й раніше зверталися до нас стосовно таких питань. Можемо констатувати, що до центру почали звертатися більш охоче, напевно тому, що про діяльність центру почали говорити публічно, а ще й тому, що він здійснює координацію та контроль за діяльністю усіх суб’єктів, які забезпечують кібербезпеку, до яких належать і ті, які повинні забезпечувати таку кібербезпеку населення. На жаль, довіра до державних органів, зокрема правоохоронних, у наших громадян, ще не на тому рівні, який би ми хотіли всі бачити. Але і ми самі зацікавлені у тому, щоб до нас зверталися, тому що без збору і аналізу первинної інформації про кіберінциденти від першоджерела, неможливо побудувати належну систему захисту. Саме тому, коли ми збільшували спроможності Національного координаційного центру, ми взяли собі за мету налагодження в першу чергу співпраці й координації між державою і приватним сектором у поєднанні з функціями основних суб’єктів національної системи кібербезпеки.

- Що ви маєте на увазі, коли говорите про першоджерело?

- Це будь-які електронні пристрої, які працюють за допомогою програмного забезпечення і якими масово користуються люди. У більшості випадків саме такі девайси і є об’єктами для посягання злочинців. Розроблення хакерами шкідливого програмного забезпечення для софту, яке в них вбудоване тощо. Тому аналіз кіберінцидентів, допомагає нам виявляти таких злочинців і головне дозволяє більш оперативно попереджати кіберзагрози на підприємствах, установах, організаціях, які забезпечують національну безпеку України.

Давайте до прикладу візьмемо вас. Ваш телефон, комп’ютер, яким ви користуєтесь, інші електронні пристрої, які під’єднані до Інтернету містять у собі доволі цікавої технічної інформації про усі дії, які у них відбуваються, зокрема стороннього втручання. Якщо ви виявили у їхній роботі певні непритаманні явища, які вас занепокоїли і ви звернулися до фахівців з кібербезпеки по допомогу, то вони чи ми можемо зняти з них необхідну інформацію про наявні кіберінциденти. І вже на підставі їх прогнозувати потенційні загрози або виявляти вже здійснені атаки.

- Будь-яка людина може самостійно визначити, що атака вже відбулася чи відбувається? Можете дати невеличку інструкцію, як правильно це зробити?

- Більшість користувачів, навіть маючи інструкції, без відповідних знань не зможуть точно визначити, чи здійснюється дієва кібератака щодо їхніх пристроїв чи вже відбулася, окрім тих, які явно впливають на їхнє функціонування. За статистикою, навіть у компаніях, які мають штат фахівців з кібербезпеки, середній час від початкового зараження до виявлення атаки становить близько 100 діб.

Успішний кіберінцидент це той, який відбувся так, що про нього ніхто не знає і який не проявляє себе у роботі девайсу. Це може бути викрадення або зміна інформації, віддалений доступ, тощо. Але слід враховувати, що атаки також бувають і успішними, якщо їх мета саме і є у тому, щоб вони себе проявили. Це різного роду шкідливі програми, які блокують роботу вашої техніки, шифрують інформацію в ній. Невдала або напіввдала атака – це коли ви самостійно звернули увагу на нестабільну роботу комп’ютера, нестандартну поведінку програм, раптове збільшення об’ємів трафіку або щодо швидкого розрядження батареї, отримання нестандартних або неочікуваних повідомлень від програм, соцмереж та інше. Загалом кібератака, зокрема ціленаправлена – це комплекс дуже різноманітних дій, яким передує перевірка всіх вразливостей того чи іншого пристрою, програмного забезпечення операційної системи, якою користується жертва. До будь-якої атаки хакер ретельно готується.

Для більш швидкого виявлення атак необхідно періодично переглядати у своїх пристроях доступну інформацію, яку накопичують встановлені програми та додатки. Про зафіксовані події наявним антивірусом чи операційною системою, історію доступу до онлайн сервісів, історію перегляду веб-сторінок та інших подібних речей. В Інтернеті таких детальних порад дуже багато. В основному їх надають вітчизняні ІТ-компанії, які займаються кібербезпекою.

Якщо для вас важливо гарантоване попередження і виявлення кібератак, є можливість скористатися послугами MSSP. Це організації, які надають послуги за моделлю "кібербезпека як сервіс" та забезпечують цілодобовий моніторинг загроз для вашого комп’ютера чи мобільного пристрою. На сьогодні в Україні вже працюють ряд приватних компаній, які надають такі послуги за помірними цінами.

- Як хакер може отримати доступ, щоб людина не помітила?

- Найпоширеніший спосіб – це фішинг, метою якого є отримання доступу до конфіденційних даних користувачів - логінів і паролів. Це досягається шляхом проведення масових розсилок електронних листів від імені популярних брендів, магазинів, банків чи держустанов, а також особистих повідомлень всередині різних сервісів, наприклад через месенджер соціальної мережі. Отримавши логін і пароль, хакер під правами користувача заходить і бере, що хоче.

Є й інші, більш витончені атаки, які вчиняються на підприємства, які використовують свою внутрішню захищену мережу. Тут не пройде фішинг, тому що внутрішня мережа не під’єднана до світового Інтернету. Тому перед здійсненням кібератаки, намагаються майже завжди влаштувати на роботу свого інсайдера. Бажано під виглядом ІТ-спеціаліста, який матиме до техніки необхідний доступ. Тим паче, що зазвичай для цього є усі передумови. Наша країна дуже стрімко розвивається і оцифровується, спеціалістів не вистачає. Їх фактично не перевіряють, коли приймають на роботу, у нас немає такої культури, правил допуску.

- Чому їх не розробити?

- Ми над цим працюємо. Звичайно, якщо це недержавна сфера – вирішує власник. А от, що стосується державних організацій, установ, ми розробляємо єдиний підхід до підбору та допуску таких спеціалістів до обслуговування мережі, а особливо на об’єктах критичної інфраструктури. Але є нюанс, який потрібно врахувати: такі об’єкти є, як у власності держави, так і у приватній. На жаль, на сьогоднішній день питання дотримання приватними власниками об’єктів критичної інфраструктури не до кінця врегульоване на законодавчому рівні. Ми повинні якось мотивувати таких власників виконувати завдання, які стосуються охорони і безпеки критично важливих об’єктів.

- Але ж вони самі мають бути зацікавлені у безпеці.

- Вони зацікавлені, але ж у кожного своє бачення, кожен будує свій кіберзахист за власними рецептами, беручи до уваги поради, отримані з тих чи інших джерел. А коли будуть єдині базові стандарти, закріплені законом, вони вимушені будуть дослухатися.

- Тобто пропонуєте проводити обов'язково перевірку таких спеціалістів?

- Так, звичайно. Тому що важливо не допустити на підприємства критичної інфраструктури інсайдера спецрозвідки ворогуючої країни або країни, яка хоче здобути якусь інформацію.

- Хто має перевіряти таку людину?

- От саме в цьому зараз і питання. У нас взагалі не існує органу, який би до цього мав відношення. Якщо допуском до державної таємниці у нас займається Служба безпеки України, яка безпосередньо проводить спецперевірку перед тим, як надати допуск, то в даному випадку, хто буде перевіряти ту чи іншу людину, поки що незрозуміло. Я б не вигадував нічого додаткового, запропонував би це робити тій самій СБУ. Тому що у них вже напрацьований інструментарій такої перевірки, ті самі бази, закріплені за ними функції щодо перевірки на причетність людини до діяльності спецслужб іншої держави. Вони це можуть і якісно роблять. Їм не потрібно вникати в фаховість людини. Треба просто встановити справжню мету працевлаштування такої людини на об’єкт критичної інфраструктури.

ЗАРАЗ БУДЬ-ЯКИЙ ДЕВАЙС ПОСТІЙНО ПІДКЛЮЧЕНО ДО ІНТЕРНЕТУ, І ЦЕ РОБИТЬ НАС ВРАЗЛИВИМИ

- Розроблено вже відповідний законопроєкт?

- Зараз ми розробляємо дуже багато законопроєктів, щоб комплексно посилити систему кібербезпеки. Тому що ми аналізуємо буквально не самі інциденти, а причини, умови, які призвели до них. А вони дуже прості. Ми можемо скільки завгодно розповідати про те, що висококваліфіковані хакери вчинили кібератаку, і це відповідатиме дійсності. Але більшість цих атак відбувається просто через елементарні речі, яких у нас не дотримуються. В першу чергу – це звичайна кібергігієна і користування девайсами персоналом, відповідне програмне забезпечення щодо ідентифікації, детектування звичайних кіберзагроз або рекламних спамів на початковому етапі.

Потрібен "контроль за контентом" у технічному питанні. Це коли ми будемо бачити, до яких серверів ваш девайс звертається, і вираховувати потенційну загрозу. Такого моніторингу трафіку нині не відбувається. Не хочуть на це витрачати кошти. Хоча це один із перших важливих елементів. Якщо ми бачимо, що трафік вашого підприємства починає різко мінятися і звертатися на сервери, на які раніше не звертався, це вже перша ознака, що потрібно оперативно реагувати. Це ручна робота. Тому що є дуже багато баз даних про кіберінциденти, про шкідливе програмне забезпечення, яке вже виявлене, про сервери, які фактично в чорному списку. Але професійні хакери, особливо хакери, які на службі у державних органів тих чи інших країн, ніколи в житті не будуть використовувати шкідливе програмне забезпечення або вразливість, яка вже відома всім. Вони будуть використовувати вразливість нульового дня. Тобто ту вразливість, про яку ніхто не знає, або дуже мало знають. Тому багато спеціалістів саме наймаються спецорганами для виявлення і застосування існуючих вразливостей. Будь-яке програмне забезпечення, яке поширено використовується потенційними жертвами, вони розбирають, як то кажуть, до гвинтика.

Зараз же будь-який девайс постійно підключено до Інтернету і це робить нас вразливими. Навіть коли ми відключаємо сам комп’ютер, але Інтернет під’єднаний, це вже дає багато можливостей, наприклад, ввімкнути віддалено, отримати доступ до інформації.

- Тобто це не параноя, коли говорять, що в принципі виключена техніка може записувати якісь розмови, що може хтось скачувати ваші дані?

- Якщо живлення під’єднане, то може бути будь що. Я буду впевнений, що техніка не записує, коли достовірно відомо, що від’єднано від мережі і немає батареї, яка б могла підтримувати якийсь певний процес. Якщо це, скажімо, мобільний телефон – там же батарея залишається. Кожна батарея має свій резервний запас. Навіть коли ви впевнені, що він нібито у вас розряджений, ви повинні розуміти, що не повністю.

Це не параноя. Я не хочу когось залякати. Я хочу лише сказати, що такі можливості існують.

- У мережі чимало інформації про те, що система Google стежить за всіма користувачами без винятку, фіксуючи їхню геолокацію, записуючи розмови, а вони про це не знають. Це може бути правдою?

- По-перше, Google і аналогічні компанії навіть не приховують, яку інформацію збирають. Ми просто не читаємо їхні ліцензійні умови. На жаль. Нещодавно Google знову поновив свою політику конфіденційності, поновив свою політику надання послуг. І заздалегідь, ще до вступу їх у дію, почав повідомляти через електронну пошту, спливаючими сповіщеннями про те, що змінюють ліцензійну політику конфіденційності. Прочитайте умови.

- Хіба багато користувачів ретельно вивчають, що саме змінюється?

- Я вам скажу, як відбувається у більшості випадків. Там дві кнопочки – або одразу підтверджуєш, що ти згодний або вмикаєш "прочитати" і отримуєш текст десь приблизно аркушів на 40 дрібним шрифтом. Зазвичай дочитуються 2-3 сторінки, потім все це набридає. До суті користувач не доходить. А там вказано, що Facebook, інші соціальні мережі, чи той же Google, інші пошукові системи – пишуть, яку конкретну інформацію збирають і для чого. Воно ж безкоштовно надається для населення. А це означає, що вони заробляють на чомусь іншому. А заробляють вони саме на рекламі, на продажі інформації, в першу чергу, для маркетингових агенцій. Ну звісно і для спецслужб тих країн, де вони зареєстровані і здійснюють свою діяльність.

Певні зміни в ЄС на законодавчому рівні призвели до того, що зараз, коли ви відвідуєте той чи інший ресурс, вам одразу йде сповіщення, що вони збирають так звані cookie-файли.

Це збір телеметрії в даний момент. Тобто – який саме ресурс, з якого комп’ютера (характеристики комп’ютера) ви відвідали, що ви там шукали. Це такий скрін монітору в час, коли ви користуєтесь комп’ютером. І дуже багато інших технічних даних збирається, які накопичує в собі техніка.

- Вони ж про це повідомляють, можна відмовитися.

- Вони повідомляють. Ви даєте добро, ви ознайомились. Вони відключають. Але це не означає, що та чи інша компанія, якщо ви не погодились, не збирає. Сookie сам по собі збирає. Це треба налаштовувати свої комп’ютери або девайс, щоб ваш браузер не збирав ці cookie.

- Тобто компанії так легше визначити місце знаходження потенційного споживача товару або послуги?

- Звичайно. Якщо на даний момент на вашому девайсі включена така функція, він ці дані отримає.

- Для кілера дуже зручна функція…

- Для будь-якого злочинця в сучасному світі дуже багато чого сворено зручного. Тому що ми живемо вже у цифровій епосі. Це якщо казати образно. Насправді нам все ж пощастило, що більшість злочинців не настільки "продвинуті", що можуть це використовувати. Однак, організатори, або злочинці, які професійно готуються до злочину, використовують збір інформації про жертву, враховуючи й розміщену в Інтернеті, здебільшого самими ж жертвами. Що фактично уже ми спостерігаємо. Зрозумійте, роблячи будь-які дії, ми залишаємо певний слід. Раніше, пам’ятаєте, ми дивились детективи, у яких сищики ходили зі спеціальною лупою, щоб виявити сліди злочину. Йдеться про класичний видимий слід людини, тварини чи сліди від предметів і фізичних дій.

У цифровому світі ми залишаємо в рази більше слідів. Ми їх не бачимо, але вони залишаються. Тому ми повинні це усвідомлювати. Тому що ми вже живемо в іншій ері.

- А можна це якось почистити?

- На жаль, ні.

- Чому?

- Я вам простий приклад наведу. Ми вступили у ґрунт. Ми змінили структуру. Ми починаємо зачищати. Але ж ми змінюємо вже стару структуру цього ґрунту.

В цифровому просторі, на жаль, зберігається все. Яка структура там була і чому вона зараз тут, а не там. Це вже означає, що щось відбулося. Навіть, коли на перший погляд все чисто. Ми можемо багато чого зачистити. Але сам слід вже залишився. Він є, буде. Чому багато злочинців використовує для своїх злочинних дій не свої особисті девайси, а одноразові або так звані бот-мережі. Це зламані комп’ютери інших користувачів, роутери й інші девайси. Тим самим вони анонімізують себе, ховають свої сліди. Ось чому це робиться. Тому що вони прекрасно розуміють, що цифровий світ залишає за собою будь-який слід. Тому така структура нашого кіберпростору.

Зараз почали говорити, з кожним днем все більше, про нейронні мережі. Це одне із перехідних положень до квантових. На сьогодні деякі фахівці вважають, що саме побудова квантової мережі не дасть можливості злому і не дозволить так слідити фактично.

- І коли це буде зроблено?

- На сьогодні в Європі деякі країни вже оголосили, що вони в тестовому режимі побудують таку мережу, щоб її випробувати.

- Сергію Васильовичу, яким чином наразі розвиваєте можливості Національного координаційного центру з кібербезпеки?

- Ми збільшили спроможність цього центру, як я вже сказав. Тобто надали певні повноваження, які виходять за межі збору нарад і ухвалення рішень. Ми перейшли до створення класної цифрової платформи обміну інформацією, обміну кіберінцидентами на одній базі. Ми узагальнюємо інформацію, прогнозуємо і даємо рекомендації суб’єктам кібербезпеки в тій чи іншій галузі виконувати певні вимоги. Обмінюємось, контактуємо і саме на базі цієї платформи ми хочемо сконтактувати приватний сектор, який має величезні потужності і спроможності, з державним.

Щоб обмінювалися інформацією і допомагали один одному. Тому що державні суб’єкти кібербезпеки дуже сильно запрофільовані. Наприклад, якщо кіберполіція займається виключно виявленням, розслідуванням, попередженням кіберзлочинів, то інша ціль їх не цікавить і не повинна цікавити. Я там працював і знаю, що кажу. І це відбувається з об’єктивних причин. Це відсутність потрібної кількості персоналу, відповідного софту, задач тощо. Служба безпеки України також займається виключно своїм профілем. А приватний сектор займається іншим. Вони захищають свою мережу, слідкують, щоб не було витоків інформації, надають послуги, які не надає державний сектор. І під час надання таких послуг відбуваються теж певні кіберінциденти. І вони цю інформацію збирають. Як я згадував, що саме вони і є першоджерело таких елементів, які можуть нам підказати про те, чи може бути, або вже відбувається та чи інша атака, або вже відбувся витік інформації. Дуже багато вразливостей вони самі виявляють під час розробки, під час аналізу виявлених шкідливих кодів. Це колосальна база інформації, яку вони збирають. Але вони збирають виключно для себе, по своїх цілях і задачах, які вони виконують. Останнім часом почали об’єднуватися між собою ті чи інші компанії, здійснювати обмін такою інформацією.

А ми хочемо побудувати таку платформу, яка залишиться на майбутнє. І хочемо побудувати її так, щоб навіть у разі зміни керівництва, персоналу, система працювала. Щоб цей обмін інформацією відбувався.

- Як відбувається добір співробітників центру? Там є працівники правоохоронних органів?

- Ми запропонували нову модель, президент нас підтримав. Вона полягає в тому, що в цьому центрі працюватимуть представники усіх структур, які законом визначені як основні суб’єкти кібербезпеки. Це Держспецзв’язок, Служба безпеки України, Національна поліція, Національний банк, Міністерство оборони, Генеральний штаб і розвідка. Зараз ми вносимо зміни, оскільки з’явилося нове відомство – Міністерство цифрової трансформації, хочемо, щоб його також включили до ряду цих суб’єктів. А також представники приватного сектору.

Дехто буде працювати на постійній основі. Наприклад, Служба безпеки – це дозволяє законодавство. Поліції це дозволяється – будуть відряджати працівників. Але це забороняється в інших структурах. Тому потрібно вносити зміни в законодавство. Будемо це робити або виходити з можливих ситуацій. Тобто половина центра буде сформована саме за рахунок представників цих суб’єктів. Інша половина буде сформована з представників приватного сектору за напрямками. Ми не можемо з кожної компанії взяти працівника. Тому ми визначилися, що насамперед на сьогодні нас дуже сильно цікавить 6-7 напрямків в кібербезпеці, які ми хочемо забезпечити. Тому приватному сектору ми запропонували і він вже це робить – об’єднуватися по сфері своєї діяльності у неприбуткові громадські об’єднання, щоб вони могли делегувати нам на постійну роботу свого представника.

- А як його перевіряти, йдеться ж про національну безпеку держави?

- У нас є механізм. Спецперевірку він проходитиме обов’язково. І в деяких випадках ця людина буде отримувати доступ до державної таємниці також за спеціальною процедурою.

- Хто платитиме такому працівнику заробітну плату: приватний сектор чи держава?

- Звичайно, будемо платити ми, тобто держава. Він буде штатним працівником. Чому штатним ми зробили? Щоб ця людина несла відповідальність за прийняті рішення. Тому що людина, якщо не ухвалює рішень і не несе відповідальності, може розказувати будь-що, вносити дезінформацію, лукавити, робити будь-що.

- Якщо говорити про співпрацю держави та приватного сектора, то нагадаю ситуацію з громадською організацією "Український кіберальянс", представники якої заявили по намір припинити роботу з пошуку та реагування на кіберзагрози доти, доки правоохоронні органи не вибачаться за проведені обшуки та обвинувачення щодо злому інформаційної системи Міжнародного аеропорту "Одеса". Чи співпрацює РНБО з членами цієї організації?

- Ми співпрацюємо з ними. Я з ними навіть співпрацював, коли ще був на посаді керівника кіберполіції. Там дуже багато є сертифікованих спеціалістів, які визнаються в світі, поза межами нашої держави.

Вони в важкий для нашої держави час - це 2014-2016 рр. - об’єдналися між собою, хоч тоді один одного навіть не знали і почали працювати. Вони виключно працювали для того, щоб боротися з агресором. Але, в певний час, я так зрозумів з їхніх слів, вони побачили, що в нашій державі Російська Федерація використовує відсутність підходів до кібербезпеки для своєї користі. Для атак. Кінцевий масовий результат ви бачили на прикладі NotPetya.

Тоді вони почали шукати відкриті вразливості у державному секторі. І повідомляти про це. Дуже багато суперечок, яким чином це вони робили. Я не знаю, чи вони цим нашкодили чи ні. Коли працював у поліції, ми перевіряли, чи призводить опублікування інформації, яке вони робили, до злочинів. Дійшли висновків, що вони просто озвучували інформацію про об’єкт, який має вразливість. Але саму вразливість вони ніколи не афішували, відкрито не публікували про неї інформацію. Чи вони могли такі дані використовувати для власних потреб, для якихось інших протиправних речей? Мною на той час, коли я очолював кіберполіцію, цього встановлено не було. Коментувати сьогоднішні дії я не можу, тому що я не володію інформацією.

Але я можу лише підтвердити, що хлопці в цьому альянсі співпрацювали, як з поліцією і СБУ, так і з РНБО, і представник, делегований від їхньої спільноти, також має увійти до кіберцентру, тому що він зможе забезпечувати елемент з кіберрозвідки, яка також необхідна і повинна бути. Я думаю, що все владнається. Зараз перевірка іде відносно самих працівників правоохоронних органів. Я думаю, службові перевірки внутрішньої безпеки поліції і Служби безпеки свою функцію зроблять. Зрештою суд буде приймати рішення.

- Ви чекатимете, поки суд визначиться з цією історією чи співпрацюватимете з альянсом, поки слідство не дійде до логічного завершення?

- Ми з ним співпрацюємо далі. Тому що поки не доведена їхня вина, вони не є злочинцями, й окрім цього нам ніхто не надає інформацію, про те що вони вчиняють якісь злочини чи інші правопорушення. Нададуть – будемо приймати відповідні рішення. Я ж кажу, кожний співробітник, який прийде на роботу, буде проходити спецперевірку. Якщо буде якесь застереження, звичайно, ми вимушені будемо до нього прислухатися. Але в цілому ми повинні співпрацювати з аналогічними організаціями. По-перше, люди виконують роботу безкоштовно. Для держави. Але держава замість того, щоб цю критику сприймати і закривати ці вразливості, на мій погляд, трошки робить інакше. Дай Бог, щоб я помилився і все-таки я був неправий. Але треба просто більш відкрито інформувати громадськість про те, чому все це відбулося.

- Обшуки ви маєте на увазі?

- Не обшук. Взагалі, у чому саме підозрюються такі особи, спільноти чи товариства.

- Говорять про аеропорт "Одеса", нібито пов’язано з цієї історією…

- Як колишній працівник правоохоронних органів скажу так. Злочинець, який вчиняє злочин, ніколи не поділиться методом і засобом вчинення злочину або вразливістю з правоохоронним органом. А вони це зробили. На той час вони повідомили і поліцію про цю вразливість, і Службу безпеки України, і безпосередньо сам аеропорт. Просто сам аеропорт відреагував інакше.

Тут потрібно приклад навести по-інакшому, на елементарних простих речах. Іде перехожий, бачить у когось відкрите вікно вночі, він і пішов далі. А тут не прості перехожі, це об’єдналися добровольці, створили свій альянс. Ходять і дивляться, у кого вікна відкриті вночі. Побачили, що на підприємстві вікна постійно відкриті. Вони приходять до власника чи адміністрації заводу і говорять: у вас вікна відкриті, у вас все нормально? Тому що їх можуть використати. - Все нормально, там є охорона, сигналізація. – Добре, але знайте, що вікна відчинені.

Вони порадять їх закривати і не давати можливості зловмисникам вчиняти злочини. І якщо хтось скористався і заліз в це вікно, активіста-волонтера, який це повідомив, притягувати до відповідальності за те, що він побачив, про це сказав, а хтось це зробив – якось нелогічно.

У нас сама структура побудови захисту державних установ, організацій і об’єктів критичної інфраструктури ще не налагоджена, не внормована до кінця на законодавчому рівні, як потрібно. Задача Центру – напрацювати таку методику, щоб ми могли запропонувати її законодавцям.

Якщо це ресурс, сайт державного органу або об’єкту критичної інфраструктури, він повинен дотримуватися певних вимог. Ми повинні запровадити тестування електронних ресурсів, є такий метод - пентестінг, коли шукають вразливості. І ми повинні це робити не лише спеціалізованими державними організаціями, а використовувати також потенціал і можливості приватного сектору. Компанії, які переживають за свою репутацію і за свою продукцію, створюють і утримують спеціальні фонди для преміювання тих, хто допомагає знаходити вразливість їхньої продукції. Це якраз показує їхню якість. А у нас навпаки. У нас шукають допомогу правоохоронних органів, щоб просто їх не тестували, не дивилися і не зачіпали. На мою думку, це неправильно. І зараз ми теж один з таких законопроєктів розробляємо – можливість саме проведення таких тестів як державними суб’єктами, так і приватними організаціями.

ЧАСТИНА РОУТЕРІВ В УКРАЇНІ ПІСЛЯ КІБЕРАТАКИ ЗАЛИШИЛИСЯ УРАЖЕНИМИ. ЇХ ПРОДОВЖУЮТЬ ВИКОРИСТОВУВАТИ ДЛЯ АТАК НА ІНШІ ОБ’ЄКТИ

- За словами українських фахівців з кібербезпеки, за 5 років гібридної війни проти України кілька разів застосовувалися хакерські атаки, які безпосередньо загрожували економіці та безпеці держави. Скільки таких атак було зафіксовано торік, а скільки цього року? Які вдалося попередити, а на які довелося реагувати і як?

- Ці атаки відбуваються постійно. Просто є атаки, які завдають дуже великої шкоди і інформація про них стає публічною. Є такі, яким звичайні громадяни не приділяють належної уваги, однак вони завдають так само не менше шкоди. Наприклад, у 2018 році відбулася атака "VPNFilter", яка полягала в тому, що було зламано величезну кількість роутерів по всьому світу. Значну частину цих роутерів було зламано саме на території України. Члени цього хакерського угруповання були виявлені у різних куточках світу. Організатори заарештовані, притягнуті до відповідальності.

Однак загроза існує й досі. На сьогодні у нас у державі половина цих роутерів до цього часу залишається ураженими і локалізувати вірус важко, оскільки це лежить на відповідальності кожного конкретного користувача і провайдера.

- Чому?

- Тому що у нас також є певні труднощі з наданням послуг, з використанням технологій, коли одна ІР-адреса присвоюється багатьом користувачам одночасно і виявити, у кого саме цей роутер знаходиться вкрай складно, з огляду на те обладнання і налаштування, що використовуються підприємствами, які надають Інтернет. У нас провайдери не несуть зобов’язань повідомляти свого клієнта про вразливість. Провайдер не може або не хоче – тому що він не знає, у кого із 300 користувачів знаходиться цей роутер. Багато різних індивідуальних випадків. Якщо говорити про їхню  небезпеку, то вона залишається дуже серйозною. По-перше, ці роутери продовжують використовуватися для атак на інші об’єкти. В Україні до цього часу залишається ще багато уражених вірусом роутерів. Тоді, у 2018 році ми інформували населення про необхідність таких оновлень. Ці рекомендації актуальні і зараз.

- Тобто людина не знатиме, що з її роутера відбувається атака, доки на неї не вийдуть правоохоронні органи?

- Так. Багато, хто з користувачів не те що не знає, він навіть не усвідомлює, що програмне забезпечення пристроїв, які вони використовують, необхідно періодично оновлювати. Тому що технологія розвивається дуже стрімко і вразливості виявляються на порядок швидше ніж раніше.

Загалом подібних кібератак дуже багато ще відбувалось. Вони є. Про них говорять ті чи інші суб’єкти кібербезпеки, які виявляють. Але вони не можуть сказати про такі цифри, які я вам назву. Оцінювати чи це багато, чи мало без відповідного глобального аналізу не коректно. Так, за друге півріччя минулого року окремими основними суб’єктами кібербезпеки було зафіксовано 22 тисячі атак змішаного типу. Це коли відбувалися атаки для перевірки вразливості, використання тих чи інших вже існуючих шкідливих програмних забезпечень, тощо. Було зафіксовано 363 тисячі спроб викрадення інформації. 170 тисяч інших атак, на кшталт DDOS-атаки, простеньких рекламних спамівських атак, розсилки фішингу і т. ін. Це те, що зафіксували лише 2 установи у нас, які мають відповідні можливості і забезпечення.

Відбулися певні реакції. А скільки їх ще відбувається поза межами нашої компетенції і діяльності? Тому що ці організації лише дали статистику по державних органах, установах і об’єктах критичної інфраструктури. Приватний сектор ми не охоплюємо. Ми не можемо сказати, скільки там відбувається таких процесів і як відбувається. Тому нам так важливий обмін інформацією. Тому що серед цих всіх атак напевно понад половину не несуть потенційної загрози. Це таке сканування відбувається, випробування на міцність, багато чого іншого. Збір інформації звичайний. Така розвідка. Але якби була можливість аналізувати не по одній чи двох організаціях, а різних напрямках з різним підходом, ми могли б виділити фактично загрозливість, критичність і вже будувати свої прогнози і механізми реагування на них. На таку кількість атак держава не в спромозі навіть з використанням штатної чисельності усіх взятих працівників, які є у суб’єктів кібербезпеки на них відреагувати. Навіть якби ми хотіли, це неможливо. Тому залучити приватний сектор до такої спільної роботи – це наша мета.

Є ще є одна ідея, яка потребує законодавчого врегулювання. Йдеться про те, що ми повинні долучити приватний сектор до реагування на кіберінциденти. Так звана швидка допомога у кіберпросторі. Це люди, які мають фахові знання і досвід, будуть сертифіковані належним чином і співпрацювати з нами. Вони, у разі виявлення того чи іншого кіберінциденту у регіоні свого проживання, де локально відсутні державні спеціалісти, повинні будуть на них реагувати.

- Чи можна оцінити економічні збитки від кібератак за останні п'ять років?

- Наприклад, по NotPetya до цього часу не встановлено остаточної суми збитків, завданих даною операцією. Взагалі в кібератаках неможливо оцінити суму збитків. Тому що, якщо вдаватися до точних сум збитків, ми можемо недооцінити або переоцінити. Звичайно, є розроблені відповідні певні загально доступні формули оцінки. І за міжнародними підрахунками у світі на сьогодні (з 2015 року до цього року), збитки від кібератак оцінюються у 3 трильйони доларів США. Щороку Але спеціалісти, які це розраховують і прогнозують, вже бачать що з 2021 року в 2 рази буде підвищено цю цифру. Тому що ми не можемо оцінити вартість інформації, яка була знищена, викрадена. Ми можемо лише оцінити технічні наслідки.

- Повертаючись до нашої сьогоднішньої ситуації з карантином. Читала, що британці створили спеціальний підрозділ для боротьби з російськими фейками щодо коронавірусу. Бачу також повідомлення СБУ та Нацполіції, які реагують на розповсюдження фейків громадянами. А РНБО звертає увагу на дезінформацію?

- Звичайно. До нашого центру входять три служби. Перша – це кібербезпека. Друге – інформаційна безпека. Те, про що ви зараз говорите. І третє – захист об’єктів критичної інфраструктури. Інформаційна безпека також є одним із ключових напрямків, ми цим займаємося.

Це питання не таке просте. Необхідно окрему тему нам з вами починати і обговорювати. Питань багато. Наприклад, навіщо "зачищати" інформацію, яка опублікована і її прочитали? Що зміниться після того, як вона пропаде? В розумі людини вона залишиться. І можливо навіть її прибирання з ресурсу навпаки насторожить.

Розумієте, це навпаки буде використовуватися протилежно. Сьогодні для швидкого розповсюдження дезінформації використовують принцип: читайте або дивіться вже, бо уряд забороняє публікувати. Зробити інформаційний ажіотаж, щоб люди звернули увагу і повірили. Такий психологічний підхід для розгону тієї чи іншої дезінформації використовують, як спецслужби ворогуючих країн, так і недобросовісні ЗМІ. Існують мільйони способів, як психологічно змусити прочитати людину ту чи іншу інформацію і повірити в неї. Тому багато країн не займається такою чисткою, контролем і т. ін. Зараз дуже багато іде запроваджень на законодавчому рівні, мета яких розробити такі механізми, які б дозволили легко і достовірно розрізняти ЗМІ і приватні пости на добросовісні і не зовсім.

- Після скандалу з плівками Гончарука ми досить часто запитуємо керівників державних структур, правоохоронних органів, чи вони якось убезпечують себе від прослуховування. Вони всі майже говорять одне і те саме, що це питання національної безпеки і це мають робити відповідні служби. Скажіть, РНБО на цей інцидент з прослуховуванням Гончарука і учасників наради, яка в нього відбувалася, якось відреагувала?

- Звичайно наш центр з кібербезпеки зацікавився цим питанням також, щоб з’ясувати причини, через які прослуховування прем’єр-міністра стало взагалі можливим. І зараз ми вже можемо його використовувати як приклад того, як може людський фактор дуже просто вплинути на потенційну загрозу національній безпеці. Це коли дійсно були забезпечені всі заходи для недопущення зняття інформації, але через людський фактор (легковажність, безвідповідальність) вони не були застосовані, що призвело до витоку конфіденційної інформації. У даному випадку було недотримання певних умов безпеки. Якщо посадова особа вважає, що інформація, яка планується на нараду, буде містити державну таємницю, він повинен був доручити персоналу ввімкнути відповідні технічні пристрої та інші заходи, які б недозволили або не допустили можливості записувати розмову з тих пристроїв, які для цього існують. Передбачені для таких випадків заходи безпеки, не допустили б у приміщення, де проходила нарада жодної особи з електронним пристроєм. Якщо цього не було забезпечено, це означає, що там не повинна була озвучуватися інформація, яка містить державну таємницю. Тобто тут відповідальність усіх сторін – особи, яка записувала, яка розповсюдила і тієї особи, яка організовувала таку нараду і яка допустила обговорення інформації з обмеженим доступом без відповідної системи захисту.

- З’ясували, хто проніс пристрій і на що саме записували?

- Я думаю, про це може розповісти лише той орган, який розслідує. Ми розібралися і встановили для себе основні причини, які до цього призвели. А вже сам умисел, хто це зробив, для чого – повинні розібратися правоохоронні органи.

- Якщо встановлять, хто саме проніс, що за законом цій людині загрожує?

- На мій погляд, нічого. Щоб притягнути таку людину до відповідальності, повинні бути доведені певні обставини. А саме, чи під час проведення даної наради був дотриманий єдиний порядок забезпечення охорони державної таємниці, що забезпечує безпеку держави? Чи були віднесені тема і питання, які обговорювалися на зустрічі, до державної таємниці? Чи були про це попереджені учасники і брали у ній участь лише ті особи, які мали допуск до державної таємниці? Якщо це все було, - тоді да. За розголошення державної таємниці є кримінальна відповідальність. А за розголошення несекретної інформації її немає. Окрім розголошення відомостей досудового розслідування без дозволу слідчого або прокурора. Якщо кваліфікувати такі дії, як незаконне прослуховування, тут треба визначити, чи це прослуховування було, чи це був звичайний запис на диктофон. Якщо був запис на диктофон, тут потрібно враховувати попередні зазначені мною обставини. Але все залежить від категорії інформації, яка розглядалася під час розмови.

- Якісь додаткові заходи вживаються після цього інциденту?

- Я хочу вас запевнити, що ті спеціальні заходи, які вживалися до того часу, достатні, щоб забезпечити від прослуховування і запису будь-якої прихованої інформації. Для цього необхідно лише визначитися щодо грифу обмеження і організувати відповідні заходи безпеки, передбачені встановленими нормами. Все залежить від особи, яка створює таку інформацію з обмеженим доступом або має до неї доступ.

Тетяна Бодня, "Цензор.НЕТ",
Фото: Олег Переверзєв, для "Цензор.НЕТ"