Эксперт по кибербезопасности Кныш: Украина – испытательный полигон кибероружия. Мы стали горячей точкой
Хакерские атаки на украинские компании непременно повторятся, поскольку именно на территории Украины испытывается новейшее кибероружие. О том, как российские спецслужбы получили данные о местоположении всей украинской артиллерии, почему блокировка "ВКонтакте" положительно сказалась на интеллекте населения и каковы перспективы криптовалют в Украине, изданию "ГОРДОН" рассказал эксперт по кибербезопасности, внештатный советник Администрации Президента Никита Кныш.
25-летний Никита Кныш – эксперт в сфере информационной безопасности и основатель IT-компании ProtectMaster. В 2014–2015 годах он работал в Службе безопасности Украины и участвовал в боевых действиях на Донбассе, а в августе 2017 года сообщил, что его назначили внештатным советником Администрации Президента.
Кныш также организовывает ежегодный международный форум по кибербезопасности HackIT. В этом году он пройдет в Харькове 23 сентября. В рамках форума состоится конкурс кибердетективов и марафон HackIT Cup по поиску уязвимостей программ, а также будет представлена украинская криптовалюта – хакен, которую компании смогут использовать для оплаты услуг в сфере кибербезопасности.
Издание "ГОРДОН" пообщалось с Кнышем и узнало, зачем на государственном уровне использовать Linux вместо Windows, почему существует конфликт между силовыми ведомствами и сможет ли хакен заменить биткоин.
Именно на нашей территории испытываются последние способы атак, включая кибератаки
– Группа хакеров Dragonfly, якобы связанная с Россией, уже несколько лет устраивает кибератаки на энергетические предприятия во всем мире – в США, Турции, Ирландии, странах Балтии. В 2015 году атаке подверглась Украина, было отключено электричество в Прикарпатье. Есть ли риск повторения такой ситуации? И как вообще происходят эти атаки?
– В энергетических компаниях используются SCADA-системы, это так называемые системы для управления автоматизированными комплексами. У нас они дублируются "ручками". То есть если какой-то злой хакер взломал и отключил свет, электрик Василий всегда может пойти на участок, отключить компьютер и включить рубильник. И в этом плане – слава богу.
Может ли такое повториться? Да, 100% может, и 100% повторится. Украина является испытательным полигоном в этой гибридной войне. Не только обычного оружия – автоматов, винтовок, гранатометов, танков и самолетов, – но и кибероружия. Мы в этом плане, к сожалению, стали горячей точкой, о чем раньше никогда не могли бы подумать. Именно на нашей территории испытываются последние способы атак, включая кибератаки. Эти ситуации будут повторяться и, мне кажется, могут усиливаться. Тот же Petya.A собрал очень много информации о деятельности компаний, которую теперь можно использовать для новых атак. Об этом предупреждала и Служба безопасности Украины, и киберполиция. То есть государство в курсе, что произошла утечка.
– А что касается Вооруженных сил Украины и других ведомств, которые проводят антитеррористическую операцию? Могут ли они стать целью кибератаки, в результате которой, к примеру, нарушится связь между подразделениями или будут передаваться ложные данные?
– Могут, но у них другой уровень. Там используются военные постановщики активных помех, глушилки и так далее. Приведу явный пример, который существенно повлиял на проведение АТО. Был артиллерийский софт, который тоже разрабатывала частная компания (по факту – группка энтузиастов). Приложение, грубо говоря, гуглилось в открытом доступе. Россияне смогли изменить файлик, и артиллеристам прогрузили другой софт. Соответственно, они получили данные о местоположении всей украинской артиллерии. Вот пример конкретной кибератаки, реализованной на фронте.
– Когда это было?
– Точную дату не скажу, где-то 2014-й или 2015 год.
– Самая громкая кибератака в этом году – уже упомянутый Petya.A. Какие суммарные экономические потери понесла Украина?
– У нас в этом плане Антон Геращенко любит сразу выходить и рассказывать, кто и как пострадал. Я все-таки не Антон Геращенко и права говорить от имени государства не имею, на мой взгляд, правильная методика расчета: собрать информацию о количестве пострадавших компаний, посчитать время простоя из-за вируса Petya.A, умножить на их обычный заработок за этот период. Тогда можно говорить о конкретных цифрах. Мне кажется, это может сделать Deloitte, Ernst & Young или другой крупный аудитор. А голословно говорить, что убытки составили $100–200 тысяч или $1–2 млрд, я не могу. Я могу сказать, что это в значительно большей степени нанесло репутационный ущерб, чем финансовый, но и о финансовом тоже можно говорить.
– Чем эта история закончилась? Вирус распространялся с помощью программы M.E.Doc, понесла ли ответственность компания-разработчик?
– А за что? Эта компания – пострадавшая сторона, ее сервера были взломаны. Из примеров: у вас дома хранится оружие, кто-то врывается к вам домой, похищает оружие и убивает другого человека. Вы будете нести за это ответственность? Я думаю, нет. Компанию взломали и использовали для распространения информации. Мне кажется, что никакой ответственности она за это нести не будет. И правоохранительные органы у нас неправильно поступили, потому что в нашей стране только правоохранители и суд определяют, кто виновен или не виновен. А голословные заявления могут делать только политики, и эти заявления куда более политические, чем уголовно-процессуальные.
– Сейчас компания защитилась от повторного взлома?
– Компания, которая разрабатывает M.E.Doc, – это субъект частной деятельности. Приведу еще один пример: вы производите столы и продаете их. К вам приходит государство и говорит: "Нет, ты неправильно делаешь эти столы, делай вот так, потому что их нужно защищать". Это абсурдно, согласны? Это субъект частной хозяйственной деятельности, защитились ли они – проблема самой компании. Стол просто должен соответствовать минимальным стандартам, как минимум не быть токсичным, остальное – по выбору. Государство может изменить ряд документов или нормативных актов, но в целом оно не имеет права регламентировать деятельность компании, которая произвела M.E.Doc.
Защитили ли мы объекты критической инфраструктуры? Там тоже все сложно. К примеру, у нас 70% всех электростанций принадлежит частному субъекту. И государство, по большому счету, не имеет права заходить туда и диктовать свои правила. Сейчас это пытаются законодательно хоть как-то уладить, чтобы государство могло регламентировать или выдавать какие-то сертификаты. Опять-таки, все уже понимают, что если есть какие-то сертификаты или разрешительные документы – это взятки, коррупция и так далее. Как бы не получилось хуже, если государство начнет вмешиваться в деятельность частных компаний. Бизнес всегда сам себя защитит.
– Перед Днем Независимости правоохранители предупреждали о новой мощной кибератаке...
– Это то, о чем я и говорил: на базе Petya.A была собрана информация по кодам ЕГРПО (Единого госреестра предприятий. – "ГОРДОН"), и в Petya.A были четко обнаружены модули, позволяющие управлять атакой или отключать ее в зависимости от ЕГРПО организации. Об этой атаке и предупреждали СБУ и киберполиция.
– Но сама атака – она случилась или нет?
– Пока нет.
Любые запреты плохо воспринимаются обществом, но мы воюющая страна – тут или шашечки, или ехать
– Блокировка российских сайтов и соцсетей в Украине положительно сказывается на кибербезопасности?
– Я считаю, это положительно сказывается не только на информационной безопасности – это положительно сказывается на уровне интеллекта людей. Я неоднократно делал акцент на том, что ваше право на свободу слова и выражение мысли никто не ограничивал: вас только ограничили от потока чуши и деградационной информации, который льется в этих соцсетях. Мне кажется, в этом нет ничего плохого. Опять-таки, я считаю, что если военные на передовой перестали использовать "Яндекс.Карты"...
– Правда использовали?
– Были такие случаи, да. Если военные перестали использовать "Яндекс.Карты", чтобы доехать куда-то на передовую или найти врага, тем самым неосознанно передавая информацию противнику, – это прекрасно, и плохого ничего нет. Если чиновники перестали использовать почтовые сервисы Mail.ru или "Яндекса" для передачи служебной информации – это вообще прекрасно. В этом больше плюсов, чем минусов.
Конечно, любые методы блокировок и запретов всегда плохо воспринимаются обществом, но дело в том, что мы воюющая страна – тут или шашечки, или ехать.
– Вы сами до сих пор используете "ВКонтакте"?
– Нет, мы отказались от ведения страницы "ВКонтакте" нашей компании, я лично свой профиль там не поддерживаю и не обновляю, хотя он до сих пор там есть. Вот, кстати, скоро удалю. Я не заходил туда несколько месяцев, а если и заходил, то исключительно потому, что мне кто-то написал: "Слушай, я тебе "ВКонтакте" что-то скинул". Я говорю: "Я там давно не сижу", мне отвечают: "Ну посмотри там, пять секунд", и все.
– Два года назад была создана киберполиция, как вы оцениваете ее деятельность за прошедшее время?
– В комментариях изданию "ГОРДОН" я на эту тему уже высказывался. Презентовались они, кстати, на HackIT, а потом еще атаковали сайт нашей компании – тренировались, я бы сказал...
– Вы об этом знали?
– Да, мы написали заявление в полицию, и они были вынуждены внести его в реестр досудебных расследований. Хотели показать им: "Ребятки, если мы не даем на это добро, то этого делать не стоит, это уголовное преступление". Мы их так "обучаем", чтобы они не трогали частные компании без их разрешения. Презентовались они на нашем форуме HackIT, и примерно 40% тренеров, которые готовили первый набор в киберполицию, – это спикеры, выступавшие на HackIT в 2015 году. Мы ездили в то время в Киев, общались с ОБСЕ, с координаторами национальных проектов, которые были ответственны за создание киберполиции в Украине, пытались им предложить свою помощь. Это как-то напряжно на тот момент получалось.
На сегодняшний день у них налажено полное взаимодействие с частным сектором, они новая структура, не такая заангажированная, как старая, более открытая. К ним еще есть определенный кредит доверия лично у меня. Я надеюсь, они его не профукают. Пока я вижу позитивные изменения: те же аресты и обыски в полтавском СИЗО, когда оттуда проводились смс-рассылки "Ваша карта "Ощадбанка" заблокирована", "Ваш сын в милиции" и прочее телефонное мошенничество. Я вижу реальное движение по расследованию громких кибератак, меня эта тенденция радует. Получится у них или нет – время покажет.
– У меня, к сожалению, есть собственный опыт работы с киберполицией: девушка купила товар в интернете, продавец ее обманул и исчез. Я установил его личность (он скрывался под фейковой страницей), подал заявление в киберполицию, они подтвердили всю информацию и даже нашли запись с камеры наблюдения в "Укрпоште", где мошенник отправлял посылку. Но потом они попросили написать заявление в городское управление Нацполиции, и на этом все закончилось. Такое ощущение, что киберполиция свое дело сделала, а вот обычная полиция за него даже не взялась.
– Это та проблема, о которой я говорю: отсутствие коммуникации между правоохранительными органами, внутри правоохранительных органов и даже между отделами. У нас те, кто занимаются информационной безопасностью, могут не дружить с теми, кто занимается реальными арестами, например. Поэтому вашего мошенника не нашли.
К сожалению, уровень работы силовиков в целом неудовлетворительный, на мой взгляд. То, что одни нашли, вторые еще должны поймать. Здесь и возникает проблема.
– Вы сами прошли все стадии отбора в киберполицию. Можете ли подтвердить, что в штат действительно попадают только лучшие?
– Самые-самые лучшие – нет. Все зависит от того, как составлены тесты. Там тесты были тяжелые, но они больше подходят для системных администраторов. У меня во время прохождения отбора возникло впечатление, что они набирают какой-то кружок сисадминов, все они будут настраивать там сетки и раскладывать протоколы, как в университете.
Такое впечатление, что их писал какой-то старенький профессор – при всем уважении к стареньким профессорам, – который не очень следит за актуальными тенденциями. Некоторые из этих заданий были актуальными, но для проектировщиков сетей, а некоторые были вообще неактуальными, и мне непонятно, зачем такое спрашивать.
Набирают ли туда лучших? Туда набирают людей с достаточно высоким уровнем. На мой взгляд, там далеко не глупые люди. Я говорю только о "спецагентах" – их всего 39 человек по штату. Я сейчас вообще не говорю о приблизительно 2,5 тысячах оперативных работников или просто "агентов". Это отдельные люди, как правило переаттестованные из системы или взятые с улицы, уровень знания которых ограничивается "кнопкой вкл до характерного щелчка".
– Вы лично не присоединились к киберполиции только из-за организационных и финансовых вопросов? По вашим словам, успешно прошедшим отбор в киберполицию на первые три месяца предлагали ежемесячную зарплату в размере 2500 грн в месяц, из которой вычитали 2530 грн на еду и проживание. Или были еще причины?
– Очень много причин. Там проблемы заключаются в том, что я служил в другом ведомстве, в СБУ. Второй момент – не очень удобно... Там еще очень много нюансов. Некоторым людям они вообще ничего не высылали: ни отказа, ни согласия. Отбор был весьма и весьма непрозрачным, грубо говоря: "Этот нам не нравится, мы ему не вышлем приглашение, а вот этот нравится, ему мы вышлем". На определенном этапе они начали непрозрачный отбор. Чем регламентировано решение брать или не брать человека, нужно спрашивать у них.
Я делал это для себя в качестве челленжа – смогу или не смогу. Я прошел до конца, посдавал это все, познакомился с ребятами, сейчас мы с ними общаемся и дружим. Я не преследовал цели работать там. После подковерных игр, интриг, скандалов и расследований в СБУ мне хватило государственной службы.
Практически все системы, которые сейчас разламываются в два счета, получали сертификат Госспецсвязи
– Помимо СБУ и киберполиции у нас есть еще один орган, связанный с кибербезопасностью, – Государственная служба спецсвязи и защиты информации. Что это за служба, чем она занимается и нужна ли она в современном государстве?
– 100% нужна, но чем она у нас занимается... У нас она выдает разрешения, бумажки, сертификаты, лицензии о том, соответствует ли тот или иной программный продукт каким-то мифическим нормам безопасности. На мой взгляд, эти сертификаты ничего не дают. К примеру, система электронных деклараций НАПК, если не ошибаюсь, была сертифицирована Госслужбой спецсвязи. И что это дало? Да практически все системы, которые сейчас разламываются в два счета, сертифицированы этой службой.
С точки зрения сертифицирующего органа, который выдает лицензии, они не нужны. С точки зрения органа, который осуществляет надзор за безопасностью переговоров, защитой информации в высших эшелонах власти, обеспечением технической защиты информации, комплекса мероприятий по обеспечению шифрованной госсвязи, они нужны. То есть часть функций нужна и полезна, часть – не нужна и бесполезна, как в принципе в любой госструктуре. Нужен ли рыбнадзор? Ну, глобально нужен. А чем он занимается? Ничем.
– Вы два года проработали в СБУ. Вас туда пригласили или вы сами подавали кандидатуру после Революции достоинства?
– Там оформление очень долгое. Меня пригласили еще раньше, я этого никогда не скрывал, но попал туда как раз в момент Революции достоинства. Я проработал в центральном аппарате месяца два, после чего – когда в моем родном регионе начались беспорядки – принял для себя решение, что здесь я нужнее, и перевелся в харьковское управление СБУ. Занимался тем же, работал по той же линии, но пришлось принимать участие и в борьбе против террористических актов.
Как происходит вербовка в СБУ – я не могу вам в подробностях рассказать, но считайте, что пригласили. Как правило, они сами выбирают, кто им нужен, и если это профильный специалист, то ему настойчиво рекомендуют работать там. Слегка мифически, но как-то так оно и было.
– Чем вы занимались до прихода в СБУ?
– У меня был небольшой бизнес, если это можно так назвать. Я создавал сайты, занимался рекламой, арбитражем, участвовал в разных партнерских программах – тематикой околоинформационной безопасности. Что касается самой информационной безопасности, как и у всех, мне хотелось попробовать сделать что-то самому, взломать какой-нибудь домашний Wi-Fi, протестировать "А что будет, если...". Когда создавал сайты, начал замечать определенные специфические направления: если что-то не так написать или что-то добавить в форму, то можно что-то лишнее посмотреть или получить. Так все и пошло.
Я с конца 10 класса начал работать системным администратором в компьютерном клубе, это было популярно в то время. Люди приходили поиграть в Counter Strike, Dota и так далее. Я работал там сисадмином. А потом пошло-поехало, как снежный ком.
– На сайте вашей компании указано, что вы участник боевых действий. Где именно вы служили?
– В СБУ. Из того, что мне, наверное, можно говорить: я участвовал в самом крупном обмене военнопленными, 150 на 222, забирал наших ребят, отвозил сепаратистов. Также выполнял непосредственно боевые задачи на линии разграничения. Задачи, которые ставила Родина.
Вариантов особо не было. В СБУ нет такого понятия: "Ты технарь, компьютерщик, занимайся только компьютерами". Нет. Там есть оперативный сотрудник, он выполняет все, что ему скажет начальство. Он должен и стрелять, и бегать, и прыгать. Поэтому отправляли туда неоднократно. Думаю, это уже коснулось каждого, кто служил в харьковском управлении СБУ: каждый хотя бы пару раз на недельку туда ездил, минимум на недельку. А некоторые и месяцами были.
– В 2016 году вы проводили в Харьковском авиационном институте семинар "Путь хакера: от нелегала до высокооплачиваемой карьеры". На сайте вуза отмечают, что вы – автор программы для взлома страниц "ВКонтакте". Можете об этом рассказать?
– Это давняя история, которую люди расписывают в интернете... Не создавал я как таковых программ для взлома "ВКонтакте". Когда-то написал на Visual Basic скриптик, потом его оформил и скомпилировал в .exe... Наверное, это все-таки можно назвать программой.
Ее идея заключалась в следующем: у каждого человека "ВКонтакте" есть определенный ID страницы, который указан в ссылке на профиль. В свое время у них была такая не уязвимость, а скорее фича: если ты заходишь в свои личные фотографии и ставишь ID другого человека, "ВКонтакте" показывал тебе скрытые фотографии других людей. Я автоматизировал этот процесс, написал программку, в которой ты подставляешь ссылку на страницу человека, а она тебе показывает его закрытые фотографии. Это не написание программ для взлома, это было в начале моей бурной молодости, так сказать. Потом эту программку и этот сайт мне предложили выкупить, я его продал, и там началось уже какое-то мошенничество: люди начали что-то дописывать, придумывать мистические несуществующие функции и так далее.
Я написал вот этот скриптик. Очень схожую историю сделал один американский хакер, когда получил email от компании AT&T, перебрал все ID и собрал закрытую информацию от этой компании. Это не является взломом, что и подтвердил Высший апелляционный суд США.
– Много ли вообще в Украине белых хакеров, учитывая, как к ним относятся? Например, показательна история о взломе "Киевстара" в 2016 году, когда хакер обнаружил в системе критическую уязвимость и сообщил об этом компании, а она предложила ему "щедрое" вознаграждение в виде трех месяцев бесплатного интернета.
– Именно после этой истории "Киевстар" стал нашим спонсором. Мой коллега по компании и соорганизатор форума HackIT очень детально расписывал это на Geektimes, он расписал эту несправедливость, с ним связались представители "Киевстара". Они сказали: "Ребята, на самом деле мы только знакомимся с этим миром и заботимся о нашей репутации и безопасности, поэтому мы готовы с вами сотрудничать, стать партнером". Так они стали нашим партнером и спонсором, сейчас они стараются наладить определенный уровень информационной безопасности и защиты. В этом году нашим экспертным партнером стал Vodafone. Компании сотовой связи в Украине представлены в основном зарубежными брендами, они заботятся о своей репутации и уровне безопасности.
– В этом году рамках форума HackIT-2017 вы также проводите "конкурс кибердетективов". Что это за конкурс, какие задания ставились перед участниками?
– Мы постарались смоделировать наиболее актуальные ситуации – например, как вы рассказывали, мошенничество и обман на OLX. Нужно было найти и идентифицировать человека (что вы и делали), собрать первичную информацию и самостоятельно подготовить все для заявления в полицию. До этого этапа мы не доходили, но нужно было раскрыть мошенника, расследовать ситуацию с непоставкой или неоплатой товара, с оплатой за воздух и так далее. Мы хотели дать людям возможность попробовать себя в качестве кибердетектива. Кто быстрее и лучше всех справился с заданием – тот и победил.
– Много людей справились?
– 169 участников зарегистрировались, справились хотя бы с одним заданием – 65 человек.
– На форуме представят новую криптовалюту – hacken (хакен). Чем она отличается от других, например, от биткоина?
– В проекте Hacken лично я отвечаю только за форум HackIT и коммуникацию с белыми хакерами. Во-первых, биткоин можно майнить, хакен – нельзя. Во-вторых, у нас реализован так называемый burning model: когда кто-то заказывает услугу через платформу, часть комиссии сжигается. То есть у нас идет обратная эмиссия: "монет" будет все меньше и меньше, что обеспечивает рост этой монеты в цене. В отличие от биткоина, у нас есть proof-of-stake и есть так называемая оплата за держание. Грубо говоря, хакен является валютой, которой можно рассчитываться внутри экосистемы (к примеру, компании могут платить хакерам за найденные уязвимости), но также можно просто держать и получать процент с оборота оставшейся валюты. Это аналог акций, в этом состоит суть всех ICO-проектов. Это способ инвестировать в экосистему, в сообщество, которому ты доверяешь, и помочь ему развиваться.
Как и биткоин, мы реализуемся на базе технологии blockchain, это нужно для объективности и прозрачности всей деятельности компании. У нас есть и такое понятие, как escrow: 80% собранных средств будут отложены только на выполнение вещей, которые предусмотрены и заранее прописаны в white paper.
– Вы называли хакен криптовалютой для хакеров. Почему? И могут ли в этом участвовать другие люди, не связанные с хакерами?
– Могут, конечно. IT-шники могут. Каждая новая криптовалюта создается под что-то – под конкретный вид бизнеса, для решения определенных задач. Почему я сказал "для хакеров"? Потому что она прежде всего будет интересна людям, желающим протестировать свои продукты – то есть компаниям, которые хотят быть уверенными, что их софт написан качественно, а данные находятся в безопасности. И хакерам, которые предоставляют подобные услуги. Таким образом мы фактически создаем свою маленькую закрытую систему, в которой есть своя валюта, свой рейтинг, своя платформа. Так мы обеспечиваем ликвидность и необходимость криптовалюты.
– Хакен тоже будет анонимным, как и биткоин?
– Да.
– То есть в перспективе его тоже смогут использовать киберпреступники в даркнете?
– Человек, придумавший ядерную бомбу, изначально думал, что он существенно поможет миру. Будут ли киберпреступники использовать хакен? Возможно, будут, возможно, нет. Все зависит от огромного ряда факторов, которые, к сожалению, спрогнозировать невозможно.
– Какой статус у хакена в Украине? Ведь биткоин Нацбанк не признает и считает денежным суррогатом. А как будет с хакенами?
– Вы простите, наше государство не признает, что Саакашвили – гражданин Украины, у нас таких казусов... Если вы о юридической регистрации, криптовалюта разрабатывается в Украине украинцами, но нет такого понятия, что она будет юридическим лицом или будет находиться в Украине как эмитент денежного суррогата. Мы выбрали для нее наиболее лояльные страны, где все это разрешено.
Вы говорите о письме НБУ с разъяснениями о статусе биткоина, но письмо не является законом, нормативным актом, который регламентирует деятельность финансовых учреждений. И ссылаться на него как на то, что в Украине не признают биткоин, – отчасти неправильно. В Украине также не признают Webmoney, "Яндекс.Деньги", но от этого они же не перестают существовать и ходить? На данный момент любой может их ввести и вывести. Точно так же с биткоином.
Условно говоря, у меня есть стакан и я считаю, что он стоит 10 грн. Мы с вами договорились, что я вам выкопаю траншею, и стоимость моей работы составляет 10 стаканов. Мы с вами нарушаем законодательство?
– Нет.
– Вот представьте, что биткоин – это такие же фантики для государства. Вам заплатят 10 фантиков. Проблема возникает тогда, когда человек находит покупателя, который тоже считает, что стакан стоит 10 грн. И когда вы отдаете ему стакан, он дает вам гривны. Тут уже возникает другой момент: можно ли считать биткоин товаром или услугой. Если Верховная Рада признает биткоин товаром, услугой или денежным суррогатом – тогда другой вопрос. На данный момент его статус крайне размыт.
– На прошлой неделе вы стали внештатным советником Администрации Президента. В чем конкретно заключается ваша работа? Вы с определенной регулярностью представляете отчеты или наоборот – АП обращается к вам, когда захочет, и вы даете ответ по конкретной теме?
– И так, и так. Это обоюдное сотрудничество. Мне задают ряд вопросов, я предоставляю ответы на них. Детально, о чем меня спрашивают или что входит в мои обязанности, я разглашать не могу. Как правило, это относится к информации с ограниченным доступом, и говорить об этом я не имею права.
У нас очередь критиковать в стране огромная, а очередь что-то делать – всегда пустая
– В 2016 году вы написали статью "Много передастов, мало адвокатов или IT-индустрия в Украине", в ней вы озвучили формулу: "Хорошим юристом можно назвать того, кому хотя бы пару раз в год угрожают убийством". А кого можно назвать хорошим советником?
– Это хороший вопрос. Вы знаете, я бы назвал хорошим советником того, кто что-то делает, предлагает конкретные действия. Но не просто предлагает: знаете, у нас очередь критиковать в стране огромная, а очередь что-то делать – всегда пустая. Мне кажется, хороший советник – тот, который не просто говорит, что нам нужно делать, а говорит, как нам это делать, предоставляет эти идеи на обсуждение общественности, согласовывает с профильными экспертами в своей отрасли и только после этого кладет идеи на стол на высшем уровне. Вот это, наверное, хороший советник. Я буду пытаться заниматься именно этим, собирать максимальное количество экспертных мнений, чтобы не говорить единолично, что нам надо.
В любом случае, всегда будут недовольные люди. У нас в стране как? Есть, например, Интернет-ассоциация Украины. Они после оглашения решения о блокировке "ВКонтакте" сказали: "На это государству понадобится два года и один миллиард долларов". Как вы помните, на это потребовалось два дня и ноль денег. Тогда почему они так сказали? Потому что Интернет-ассоциация Украины – это группка провайдеров, которые лоббируют собственные интересы и конкретно заинтересованы в том, чтобы не ставить дополнительное оборудование для контроля, необходимое силовикам. Потому что им это финансово невыгодно.
Точно так же с советниками или любыми людьми, которые выходят на более-менее публичную должность. Всегда возникает какой-то конфликт интересов. Я, например, за open-source программное обеспечение и Linux, я против платных операционных систем на государственном уровне. Во-первых, потому что они себя не очень хорошо зарекомендовали, во-вторых, потому что ставить Linux и качественные open-source продукты дешевле, чем тратить деньги непонятно на что. И всегда будет группа недовольных людей. Всем не угодишь, главное быть относительно объективным и слушать мнение других.
– С советами АП – понятно, а что бы вы посоветовали простым украинцам, чтобы обезопасить себя от киберпреступности?
– Мне очень нравится реклама Министерства соцполитики: "Інформація – це продукт, споживай свідомо". Я бы советовал "споживати свідомо", я бы советовал думать, почему и как вам доносится та или иная информация. Почему сегодня с голубых экранов говорят одно, а в холодильнике от этого больше еды не становится? Научиться фильтровать фейки от нефейков, научиться определять для себя полезную информацию, а не тонуть в этом океане лжи и пропаганды. Это, мне кажется, самое важное, а оттуда уже придет и все остальное. Я бы советовал фильтровать информацию и делать осознанный выбор.