Можно приобрести новейшие системы за заоблачные суммы, но без обученных специалистов это все не будет работать
– Киберзащита Украины до 2020 года и сейчас – в чем ключевая разница?
– До 2014 года вопросы кибербезопасности были актуальны в мире, а Украина особо не сталкивалась с ними. Когда началась война с Россией, киберпространство стало еще одной площадкой, на которой разворачиваются военные действия. Страна-агрессор непосредственно влияет на состояние защищенности нашего государства. Поэтому с 2020 года мы начали реформу сферы киберзащиты.
Госспецсвязи – тот орган, который формирует государственную политику и координирует все службы, задействованные в сфере киберзащиты. Это довольно молодое направление не только для Украины, но и во всем мире. Мы развиваемся параллельно со всем миром, потому что невозможно построить кибербезопасность в отдельно взятой стране.
Наша служба – большой механизм, у которого более 11 тыс. сотрудников по всей Украине и выполняет 92 функции (в процессе развития 93-я – мы строим центр резервирования данных и станем его администратором). Больше функций только у Министерства экономики и Министерства по вопросам стратегических отраслей промышленности Украины.
Несколько направлений: кибербезопасность (этим занимаются несколько департаментов и непосредственно Государственный центр киберзащиты), защита информации, формирование госполитики, разработка нормативных актов и методологий, специальная правительственная связь и обеспечение специальной связью должностных лиц, органов государственной власти. Кроме того, у нас есть образовательные учреждения (Институт специальной связи при КПИ, где для нас и других силовых органов готовят специалистов), Концерн радиосвязи, радиовещания и телевидения, фельдъегерская служба.
– 13 мая в Киеве состоялось открытие киберцентра. Как он поможет в деле защиты от внешних атак?
– Центр киберзащиты – учреждение, которое непосредственно занимается защитой государственных информационных ресурсов. При нем функционирует команда CERT-UA – единственная в Украине, которая является членом международного форума FIRST и осуществляет обмен информацией со всеми международными партнерами. Киберцентр также является и сервисной службой, которая будет предоставлять услуги не только госорганам, но гражданам и бизнесу. Люди могут обратиться туда за помощью или советом.
Любой человек сегодня является субъектом киберпространства. Смартфон – потенциально уязвимый гаджет. Следовательно, каждый украинец ежедневно сталкивается с определенными угрозами. Самая простая – рассылка фишинговых писем с непонятными предложениями. Такие письма не только загружают вредоносное программное обеспечение, блокируют телефон или компьютер с целью вымогательства денег, но и могут быть элементом проникновения в системы, в которых человек работает. Уровень уязвимости системы определяется самым слабым ее звеном. Когда каждый член команды достаточно образован, тогда можно построить надежную корпоративную систему.
На открытие Киберцентра UA30 приехал президент Украины Владимир Зеленский. Фото: Державна служба зв'язку та захисту інформації України / Facebook
– Сколько стоит киберзащита?
– Невозможно построить идеальную систему, потому что наш противник постоянно развивается, следовательно, увеличивается и расход средств на защиту. Финансирование намного улучшилось. В 2020 году модернизация систем киберзащиты была профинансирована всего на 2%. Сегодня благодаря президенту и Кабмину финансирование увеличилось на 148%, что в денежном эквиваленте составляет около 1,2 млрд грн. Но все равно нельзя назвать его достаточным. Средства идут на системы развития, приобретение лицензий, обучение и переподготовку специалистов. При этом потребности, можно сказать, бесконечны, потому что оборудование и программное обеспечение стоит дорого. От потребностей мы профинансированы где-то на 30%.
Но поверьте, даже если дать 100 млрд грн, это не спасет от атак. Можно приобрести новейшие системы за заоблачные суммы, но без обученных специалистов это все не будет работать. Поэтому основной наш капитал – кадры. Мало взять выпускника вуза, его нужно постоянно обучать. Лучшие курсы в мире стоят $10–20 тыс. в месяц.
– А если посчитать стоимость подготовки нашего специалиста?
– Обучение курсанта госспецсвязи в институте стоит около 1 млн грн за пять лет. Этого точно недостаточно. Средняя стоимость подготовки специалиста по киберзащите в европейских и американских вузах составляет около $1 млн.
Можно говорить, что у нас довольно низкая заработная плата, но главное – это база, на которой готовятся специалисты. Киберцентр станет еще и одной из баз, где будут проходить обучение. Тренинговый центр построен по принципу красной и синей команд, которые состязаются в реальных условиях. Это одновременно обучение и практика. Так учат во всем мире.
– Ваши специалисты, наверное, хорошая добыча для охотников за головами. Уже обучены, а зарплаты в госсекторе небольшие, значит, их легко переманить.
– Украинские специалисты в сфере IТ и киберзащиты одни из самых востребованных в мире благодаря уровню подготовки и оплате труда. У нас в начале службы молодой специалист, лейтенант, подписавший контракт на пять лет, зарабатывает 25 тыс. грн. Южнокорейский или японский специалист в начале карьеры стоит намного дороже – на начальном этапе зарабатывают $3–5 тыс.
К слову, в этом году мы подняли зарплату, ранее было и того меньше. Последние три года зарплаты не поднимались вовсе, поэтому произошел отток кадров. Но не только у нас есть такая проблема, поскольку специалисты в государственном секторе оплачиваются хуже, чем в среднем по рынку. В любой развитой стране частные компании готовы платить за качественного специалиста в разы больше.
Каждую неделю количество атак и аномалий возрастает. Прирост составляет около 10% ежемесячно
– Нам сложно представить, как выглядит наш враг в киберпространстве?
– Госспецсвязь занимается безопасностью внутри страны. У нас нет функции разведки, кибервойск, но они в ближайшее время будут созданы в Украине. Но мы знаем, кто нас атакует, и работаем на защиту. Каждая хакерская группа имеет свой уникальный почерк, использует определенные инструменты, поэтому можно определить, к какой стране она относится. Некоторые элементы, конечно, можно приобрести в DarkNet, но в большинстве своем такие вещи не продаются, их нельзя купить, в том числе и потому, что это очень дорого.
– По информации вашего ведомства, за одну неделю с 6-го по 11 мая было зафиксировано 45 тыс. разных видов атак. Это нормальная ситуация?
– Каждую неделю количество атак и аномалий возрастает. Прирост составляет около 10% ежемесячно. Это не только у нас. Такая ситуация наблюдается по всему миру. Надо понимать, что речь идет о простейшем способе заработка для людей с определенной подготовкой.
В нашем случае не последнюю роль играет тот фактор, что Украина пребывает в состоянии войны. Киберпространство – такой же полигон, как суша, море или воздух. Этот фактор влияет на количество кибератак.
Статистика киберинцидентов с 6-го по 11 мая 2021 года. Фото: cip.gov.ua
– А если сравнить, скажем, с прошлым годом?
– Количество кибератак и аномалий выросло в два-три раза. В каждом госоргане размещается программно-аппаратный комплекс, защищающий их связи. Сенсорные системы обрабатывают сигналы и выявляют аномалии. Каждое срабатывание сенсора учитывается и проверяется. Смотрим, как развиваются события, и классифицируем их – кибератака или фишинговая атака, а дальше решаем, как отрабатывать. На этом этапе подключается команда CERT-UA, которая находится на передовой борьбы и определяет механизмы реагирования на аномалии.
– Кто нас атакует?
– Более 90% всех атак, которые приходят из-за границы, связаны с РФ и хакерскими группами, которые финансируются российскими властями.
Кибератаки всегда имеют определенную цель, ведь подготовка нападения стоит дорого – от десятков тысяч до сотен миллионов долларов. Если посмотреть на самые громкие кибератаки за последние два месяца в мире, тот же случай в США с атакой на нефтепровод, – она готовилась два-три года точно. Невозможно за один день все устроить, ведь это и подготовка программного обеспечения, и разведка слабых мест, и доставка вредоносного кода, что требует времени и немалых средств.
Основные направления – кибершпионаж для получения информации с ограниченным доступом, заработок средств и, как в случае с нашим соседом, РФ – нанесение экономического и репутационного вреда для государства.
– Кроме россиян, кто еще нападает на Украину?
– Хакерские группировки со всего мира, цель которых – деньги. Блокирование компьютеров, чтобы потом их разблокировать за биткоины – типичный способ заработка хакеров. Вспомните вирус Petya. За пять дней та атака причинила ущерб около $10 млрд не только Украине, но и другим странам мира. Поэтому говорить о важности киберзащиты стоит именно в разрезе вреда, который причиняют киберпреступники.
Кто-то может сказать: зря вы тратите столько денег. Но есть конкретные примеры. Когда трубопровод, который обеспечивает всю восточную часть Америки нефтью, просто остановился и пришлось перейти на транспортировку топлива по старинке – автомобилями. Эта атака обошлась Штатам точно в сотни миллионов долларов. Нужно ли вкладывать деньги в построение систем защиты и подготовку специалистов? Конечно, нужно, что подтверждают такие примеры.
– Имеет ли смысл разбираться, кто именно осуществил атаку на конкретный объект?
– Однозначно это нужно делать, ведь каждая атака имеет свой уникальный почерк и признаки. Реагирование на нее не может быть протокольным. Это всегда уникальная работа. Методы атак и их разработки меняются ежедневно. Каждый день в мире создается около 3 тыс. вирусов. Каждый из них – отдельный уникальный код, и на него нужно реагировать.
Например, россияне используют определенные разработки, у китайских хакеров – свои методы. Только понимая, с чем ты имеешь дело, можно эффективно этому противодействовать. Наш тренинговый центр при Киберцентре, к слову, учит не тому, как именно реагировать на конкретную угрозу, а позволяет довести до автоматизма реакцию на угрозу как таковую и навыки работы в команде. Надо понимать, что один системный администратор не в состоянии отбить атаку – должна быть слаженная работа команды.
– На какие структуры и предприятия чаще всего нападают?
– Основные задачи России – ослабление потенциала нашей страны. Поэтому все направления жизнедеятельности Украины (экономика, оборона, образование и так далее), все государственные органы, начиная от самого маленького сельсовета, являются целью для РФ. Ведь любая система объединена в общую сеть. Те же фишинговые рассылки писем – это по сути проба системы на надежность. Где-то сработает, и злоумышленники проникают все глубже. Это один из методов подготовки кибератаки. Когда враг расставил свои ловушки в информационных системах, происходит нападение.
Также целью является нарушение устойчивого функционирования объектов критической инфраструктуры. Ведь вмешательство, скажем, в систему управления "Укрзалізниці" приведет к транспортному коллапсу. Последние полгода в Украине ведется формирование перечня объектов критической инфраструктуры, куда попадают не только госпредприятия. Среди тех же облэнерго есть и частные. Госспецсвязи разработало методологию отнесения объектов к критической информационной инфраструктуре, идет формирование перечня, определение категорий. Для каждой будут разработаны свои правила. До конца года завершим эту работу, тогда появятся четкие нормативы и стандарты защиты подобных объектов.
Поскольку киберзащиту невозможно построить в отдельно взятой стране, мы, конечно же, сотрудничаем с аналогичными службами США, Великобритании, Эстонии, Бразилии, Испании
– Как выглядит работа специалистов, которые обеспечивают киберзащиту?
– Это можно сравнить с работой пожарной команды: есть небезопасная ситуация, поступает вызов, и по свистку все побежали. (Смеется.) Наши команды работают 24/7 – учитывая количество атак, работы всем хватает. Сенсорные системы постоянно сканируют активность в сетях. Когда они фиксируют что-то нестандартное, передают сигнал.
Наши специалисты методично разбирают поступившие данные, и, в случае обнаружения вредоносного кода, за работу берется специальная группа. Сначала она работает удаленно, определяет, где произошло заражение, подключает специалистов подвергшихся нападению органов госвласти или госпредприятий (в ближайшее время, когда мы станем сервисной службой, к нам смогут обращаться и частные предприятия), а затем специалисты выезжают на место и помогают решить проблему.
Есть разные ситуации, но обычно необходим выезд на место, потому что в случае заражения компьютерная система локализуется, чтобы дальше вирус не распространялся и не могла развиться кибератака. И именно на месте происходят основные исследования и "лечение" пострадавшей системы.
– Взаимодействуете ли вы в сфере киберзащиты с другими государствами.
– Процесс диджитализации не зависит от наших желаний и развивается по своим законам. Команда, которая пришла к власти два года назад, понимает это. Многие информационные продукты, которые уже реализованы в Украине, не имеют аналогов в мире. Кому-то это нравится, кому-то нет, но это делает государство удобным. И поскольку киберзащиту невозможно построить в отдельно взятой стране, мы, конечно же, сотрудничаем с аналогичными службами США, Великобритании, Эстонии, Бразилии, Испании. В ближайшее время планируются киберконсультации с Польшей и Израилем. Это постоянный беспрерывный процесс обмена информацией. Также команда CERT, которая является аккредитованным членом First, имеет возможность обмениваться информацией с участниками этого международного форума.
Надо понимать, что мы не можем сами что-то делать, поскольку заимствуем основные технологии. У нас на низком уровне находится разработка, мы используем программное обеспечение и оборудование иностранного производства, и навыки правильного с ним обхождения нарабатываются именно в процессе сотрудничества.
Чтобы сведения реестров не терялись, мы начали процесс создания государственного центра резервирования данных, первая очередь будет построена до конца года
– Сейчас время беспроводных технологий, интересно, еще используются проводные телефоны с кнопками и дисками?
– Конечно. Это один из наиболее надежных способов связи. Если на цифровое оборудование можно осуществлять влияние, скажем, электромагнитное, то на такую систему повлиять сложно и ресурсозатратно. В то же время мы занимаемся их заменой на современную IP-телефонию и, думаю, до конца этого года внедрим новую модель специальной связи. Мы уже начали переход, постепенно количество телефонов уменьшается, вскоре у каждого чиновника их станет меньше, а мы получим современную защищенную телефонию – это задание президента.
– Учитывая, что мы строим электронное правительство (государство в смартфоне), оцифровываем реестры и так далее, возникает логичный вопрос о сохранности персональной информации граждан. Как хранится такая информация и насколько она защищена?
– Мы исходим из того, что государство должно быть подспорьем, а не препятствие в жизни каждого человека. И "Дія" стала основным продуктом, выполняющим данную функцию. Но "Дія" не хранит персональных данных. Это технологический портал, который вам в определенное время отображает запрошенную информацию. Например, генерирует QR-код доступа к паспорту. Код действует три минуты и является шлюзом между государственным реестром и гражданином. Это просто услуга. "Дія" не собирает данные про граждан и не хранит у себя. А Госспецсвязи создает условия и требования, применение которых обязательно и гарантирует безопасность как "Дії", так и остальных реестров.
– Где находятся реестры?
– На серверах органов, ответственных за их формирование и функционирование. Некоторые реестры физически хранятся в Госспецсвязи. В структуре есть предприятия "Українські спеціальні системи", которое предоставляет услуги колокейшена – размещения серверов органов госвласти. Мы отвечаем за их сохранность и безопасность.
– В Украине еще не все реестры оцифрованы, какие-то сведения хранятся на бумаге. И уже были прецеденты потери данных из реестров. Как оберегается такая информация?
– Сохранение данных на бумаге не является более надежным, чем хранение в цифровом виде. Они тоже могут быть утеряны, а главное – они не защищены от людей со злыми умыслами. Как должны защищаться реестры? Есть нормативная база, где изложены правила, как хранить и пользоваться, кто имеет право на доступ, какие программные решения должны применяться, чтобы не было утечки данных.
Все утечки – всегда человеческий фактор: или умышленные действия, или непрофессиональные действия и неправильное поведение в сети. Чтобы сведения реестров не терялись, мы начали процесс создания государственного центра резервирования данных, первая очередь которого будет построена до конца этого года. Там будут храниться копии в защищенном виде. В случае кибератак или какого-то сбоя, мы сможем восстановить данные в кратчайшие сроки и передать держателям реестров. Это одна из основных задач нашей службы.
– Дорого стоит?
– Любое сохранение данных – не дешевое удовольствие. Первый этап инвестиции – около 200 млн грн. Программа рассчитана до 2023 года и оценивается примерно в 500–600 млн грн.
Щиголь: Не открывайте письма от неизвестных вам адресатов. Помните, вирусам подвластны все устройства. Фото: cip.gov.ua
– Не так давно произошла утечка данных пользователей в сеть, и многие люди посчитали, что это произошло через "Дію". Расследуются ли такие случаи и отслеживаете ли вы их?
– Данная проблема возникла весной прошлого года. "Дія" к этому не причастна, что было доказано в ходе уголовного расследования. Занимается такими кейсами киберполиция и СБУ. Наша структура привлекалась к расследованию в качестве специалистов в области киберзащиты для поиска точки утечки информации.
– Можете сказать, откуда вышла информация?
– Это компетенция правоохранительных органов. Дело в суд не передано, поэтому я не могу данный случай комментировать.
Самое слабое звено в каждой истории – человек. Пренебрег кибергигиеной, не проверил позвонившего абонента и прокололся
– Мы понимаем, у всех есть эти уязвимые аппараты – смартфоны, и у президента, и у премьера, и членов СНБО. Как защищают их?
– Раз Украина пребывает в состоянии войны, у нас должна быть защищенная мобильная связь. Мы работаем над созданием такой системы для высших должностных лиц государства, поскольку для принятия определенных оперативных решений в критической ситуации не всегда можно использовать наземную телефонную связь. Сейчас из нескольких предложений выбираем наиболее подходящее по степени защиты и стоимости. Оборудование и обеспечение может поставить любая международная организация, но главное условие – использование украинских криптоалгоритмов, к которым не имеет доступа больше ни одна страна в мире. В этом году эта задача будет реализована.
– А, например, народных депутатов, вы защищаете? Мы видим, что происходят утечки их звонков и переписки...
– Все лица, которым положена государственная охрана (среди них и народные депутаты, потому что они являются носителями определенной информации) подлежат защите. Но тут важно понимать, что основная проблема не уровень их защиты, а то, как они себя ведут в сети. Далеко не все являются специалистами в сфере защиты собственных данных. Мы над этим тоже трудимся, обучаем их, как работать с информацией, которая подлежит защите.
– Пранкеры каким-то образом умудряются пробивать защиту и выходить даже на первых лиц государства. Тут можно вспомнить историю с розыгрышем пятого президента Петра Порошенко, например. Чья это ошибка?
– Самое слабое звено в каждой подобной истории – человек. Пренебрег кибергигиеной, не проверил позвонившего абонента и прокололся. Убежден, что правилам кибергигиены нужно обучать всех, начиная от детей в детсаду и заканчивая президентами, премьер-министрами, депутатами. Иначе никто не будет в безопасности. Сегодня каждый украинец переживает, не утекли ли его данные в сеть, но мало кто задумывается, насколько правильно он себя ведет, чтобы с его смартфона не утекли данные.
– На что каждому пользователю уязвимого смартфона обратить внимание в первую очередь?
– Нужно постоянно обновлять свои знания и всегда внимательно относиться к тому, что вы делаете на своем устройстве.
Не открывайте письма от неизвестных вам адресатов. Помните, вирусам подвластны все устройства, все операционные системы, все почтовые службы и мессенджеры.
Одни из самых распространенных – сообщения, что ваш неизвестный дядюшка оставил вам $10 млн в наследство где-то в Африке. Глупо? Но довольно часто это срабатывает, потому что люди от природы любопытны. Получателям просто интересно, что будет дальше. Не стоит вступать в переписку, потому что с подобными письмами распространяется программное обеспечение, которое похищает данные или является инструментом кибератаки.