Наказывать тех, кого взломали: Почему в Украине так слаба кибербезопасность

Из-за несанкционированного вмешательства в работу центрального сайта Нацполиции ряд подчиненных ему региональных сайтов легли. В частности, это коснулось ведомственных ресурсов в Киеве, Сумах, Черкассах, Одессе, Житомире, Тернополе, Ивано-Франковске, Луганске, Черновцах, Харькове и на Закарпатье.

Были там и фейки о выбросе радиоактивных веществ, которые могут составлять до 10% от выбросов при аварии на Чернобыльской АЭС, и ложная новость о гибели американских военных советников во время учений, и сообщение о ДТП с 5-ю погибшими, и тому подобное.

И подобные неприятные истории с кибербезопасностью для Украины — совсем не новость, а скорее непопулярная реальность. И в чем же дело — нехватка денег, квалифицированных кадров, или игнорирование проблем, которые диктует современный мир?

Об этом журналисты Depo.ua поговорили с экспертом по кибербезопасности, операционным директором 10Guards Виталием Якушевым.

Наш собеседник в первую очередь отмечает, что несокрушимых систем не существует. И чем сложнее они в реализации, тем больше вероятность, что в их безопасности появятся дыры, которые позволят их сломать. И то, что можно и нужно делать — сделать эти взломы максимально тяжелыми для злоумышленников, не допускать образования "дыр" и своевременно реагировать на вмешательство.

"Относительно взлома сайтов киберполиции, то истинная причина пока неизвестна. Но я скажу, что в теории могло произойти. Первое и наиболее вероятное — у них не были обновлены системы управления сайтами или программное обеспечение на веб-сервере, где расположен сайт. Первое правило кибергигиены — обновлять системы, ведь именно при обновлениях закрываются дыры в безопасности. Не обновили — нашли дыры, произошел взлом и получили полный доступ к сайту. Впрочем, это только гипотеза", — отмечает Виталий.

По второй версии, могли взломать компьютер человека, компании или отдела, которые администрируют все эти сайты. Скорее всего взлом был гораздо раньше, просто они ждали инфоповод, чтобы достичь поставленных целей. Никакой гарантии, что у нас не взломаны еще десятки, сотни или даже тысячи других ресурсов, которые ждут своего "счастливого часа", нет, говорит эксперт.

Впрочем, неужели взломы можно не замечать очень долго?

Наш собеседник рассказывает, что по статистике от организаций, которые занимаются кибербезопасностью, даже крупные компании часто не замечают, что их уже хакнули от 180 до 240 дней. То есть, более чем полгода злоумышленники могут быть внутри систем компании, собирать информацию, готовить другие шаги этой атаки. А значит, никакой гарантии, что сайты взломали в тот же день, когда с них начали распространять фейки. Показать реальную картину событий сможет только расследование.

"С огромной вероятностью, у нас сейчас множество взломанных систем в спящем режиме, и они просто ждут нужного момента — чтобы запустить нужные организаторам этих изломов месседжи", — говорит эксперт.

На вопрос, почему такие взломы в Украине происходят с тревожной частотой, наш собеседник отвечает — причина в низком уровне ответственности топ-чиновников или топ-менеджеров компаний критической инфраструктуры за инциденты кибербезопасности.

"То есть, за то, что были взломаны системы, реестры и произошла утечка информации, никто не несет ответственности, — объясняет он. — У нас в законе об основах кибербезопасности Украины прописано, что ответственность несет руководитель организации. Но какую ответственность — не сказано. И поэтому это такой рычаг для политического давления в том числе. Кому-то может быть просто устное предупреждение, кому-то может дисциплинарное взыскание, еще кому-то — увольнение, и так далее".

По мнению Виталия Якушева, вопрос об украинской кибербезопасности стоит не в том, что у нас слабо защищенные системы, не хватает специалистов или финансовых ресурсов. Проблема прежде всего системная. Недавно Александр Федиенко, один из депутатов Верховной Рады, объявил о разработке законопроекта, который повышает ответственность чиновников за инциденты кибербезопасности.

"Предположим, что завтра этот или подобный закон, предусматривающий реальное наказание, вступает в силу. И тогда чиновники будут от экспертов, специалистов, работающих у них в структурах, требовать максимального уровня кибербезопасности. И когда эти специалисты будут говорить, что "вы нам не платите денег достаточно, чтобы мы были высокого уровня, не оплачиваете нам курсы-тренинги, не приобрели аппаратное и программное обеспечение, которое мы считаем необходимым ", то перед должностным лицом встанет вопрос — или для него уголовная ответственность, или он делает все возможное для обеспечения соответствующих потребностей структуры. И тогда этот чиновник примется выбивать деньги из бюджета, и они не будут разворовываться, а действительно вкладываться в кибербезопасность, уровень которой сразу начнет расти", — отмечает господин Виталий, добавляя, что в случае реальной ответственности за инциденты кибербезопасности, вырастет и спрос на качественные услуги в этой сфере. А это будет способствовать и разрастанию сети частных компаний, и соответствующих отделов госкомпаний.

Кроме того, по его словам, в Украине есть достаточно профессиональных специалистов. Кроме того, многие студенты сейчас учатся и могут пополнить эти ряды. Впрочем, они ищут работу в частных компаниях, так как в государственных куда меньшие зарплаты. И причина тому — не в бедности финансирования, а в самом отношении к кибербезопасности на уровне государства.

"Сейчас мы видим позицию: "Ну взломали, ну хорошо, ну написали какую-то новость", но реальную ответственность за это никто не понесет. Никто не отвечал и за большие взломы, которые имели место ранее. И это главная проблема", — отмечает наш собеседник.

По его словам, денег хватает, но они не реализуются правильно. Бюджеты выделяются — и донорские, и от государства, на все органы, связанные с кибербезопасностью, идут десятки миллиардов гривен. "Просто провести бы независимый аудит, куда эти деньги пошли, и тогда все будет понятно. И теперь все зависит от политической воли чиновников на то, чтобы в Украине была реальная кибербезопасность, а не только на бумаге, или выделять бюджеты и эти бюджеты разворовывать", — отмечает он.