Карати тих, кого зламали: Чому в Україні така слабка кібербезпека

Через несанкціоноване втручання у роботу центрального сайту Нацполіції низка підпорядкованих йому регіональних сайтів лягли. Зокрема, це торкнулося відомчих ресурсів у Києві, Сумах, Черкасах, Одесі, Житомирі, Тернополі, Івано-Франківську, Луганську, Чернівцях, Харкові і на Закарпатті.

Були там і фейки про викид радіоактивних речовин, які можуть складати до 10% від викидів при аварії на Чорнобильській АЕС), і неправдива новина про загибель американських військових радників під час навчань, і повідомлення про ДТП із 5-ма загиблими, тощо. 

І подібні неприємні історії з кібербезпекою для України – зовсім не новина, а радше непопулярна реальність. Та у чому ж справа – нестача грошей, кваліфікованих кадрів, чи ігнорування проблем, які диктує сучасний світ?

Про це журналісти Depo.ua поговорили із експертом з кібербезпеки,  операційним директором 10Guards Віталієм Якушевим.

Наш співрозмовник першочергово зазначає, що незламних систем не існує. І чим складніші вони у реалізації, тим більша вірогідність, що у їх безпеці з'являться дірки, які дозволять їх зламати. І те, що можна і потрібно чинити – зробити ці злами максимально важкими для зловмисників, не допускати утворення "дірок" і вчасно реагувати на втручання.

"Щодо зламу сайтів нацполіції, то про справжню причину наразі невідомо. Але я скажу, що в теорії могло відбутися. Перше і найбільш вірогідне – у них не були оновлені системи керування сайтами або програмне забезпечення на веб-сервері, де розташовано сайт. Перше правило кібергігієни – оновлювати системи, адже саме при оновленнях закриваються діри у безпеці. Не оновили – знайшли діри, відбувся злам і отримали повний доступ до сайту. Втім, це лише гіпотеза", – зазначає Віталій.

За другою версією, могли зламати комп'ютер людини, компанії або відділу, які адмініструють усі ці сайти. Швидше за все злам був набагато раніше, просто вони вичікували інфопривід, аби досягти поставлених цілей. Жодної гарантії, що у нас не зламані ще десятки, сотні чи й тисячі інших ресурсів, які чекають своєї "щасливої години", немає, каже експерт.

Втім, невже злами можна не помічати дуже довго?

Наш співрозмовник розповідає, що за статистикою від організацій, які займаються кібербезпекою, навіть великі компанії часто не помічають, що їх вже хакнули від 180 до 240 днів. Тобто, більш ніж півроку зловмисники можуть бути всередині систем компанії, збирати інформацію, готувати інші кроки цієї атаки. А отже, жодної гарантії, що сайти зламали в той же день, коли з них почали поширювати фейки. Показати реальну картину подій зможе лише розслідування.

"З величезною ймовірністю, у нас зараз безліч зламаних систем у сплячому режимі, і вони просто чекають на потрібний момент – аби запустити потрібні організаторам цих зламів меседжі", – каже експерт.

На питання, чому такі злами в Україні відбуваються з тривожною частотою наш співрозмовник відповідає - причина в низькому рівні відповідальності топ-чиновників або топ-менеджерів компаній критичної інфраструктури за інциденти кібербезпеки.

"Тобто, за те, що були зламані системи, реєстри і стався витік інформації ніхто не несе відповідальності, - пояснює він.  - У нас в законі про самі засади кібербезпеки України прописано, що відповідальність несе керівник організації. Але яку відповідальність – не сказано. І тому це такий важіль для політичного тиску у тому числі. Комусь може бути просто усне попередження, комусь може дисциплінарне стягнення, ще комусь – звільнення, і так далі".

На думку Віталія Якушева,  питання щодо української кібербезпеки стоїть не у тому, що у нас слабо захищені системи, не вистачає спеціалістів чи фінансових ресурсів. Проблема насамперед системна. Нещодавно Олександр Федієнко, один із депутатів Верховної Ради оголосив про розробку законопроєкту, який підвищує відповідальність чиновників за інциденти кібербезпеки. 

"Припустимо, що завтра цей або подібний закон, що передбачає реальне покарання, набирає чинності. І тоді чиновники будуть від експертів, спеціалістів які працюють у них у структурах, вимагати максимального рівня кібербезпеки. І коли ці спеціалісти будуть казати, що "ви нам не сплачуєте грошей достатньо, щоб ми були високого рівня, не оплачуєте нам курси-тренінги,  не придбали апаратне і програмне забезпечення, яке ми вважаємо за необхідне", то перед посадовою особою постане питання – або для нього карна відповідальність, або він робить усе можливе для забезпечення відповідних потреб структури. І тоді цей чиновник вибиватиме гроші з бюджету, і вони не будуть розкрадатися, а дійсно вкладатимуться у кібербезпеку, рівень якої одразу почне зростати", – зазначає пан Віталій, додаючи, що у разі реальної відповідальності за інциденти кібербезпеки, виросте і попит на якісні послуги у цій сфері. А це сприятиме і розростанню мережі приватних компаній, і відповідних відділів держкомпаній. 

Окрім того, за його словами, в Україні є достатньо фахових спеціалістів. Крім того, багато студентів наразі навчаються і можуть поповнити ці ряди. Втім, вони шукають роботи у приватних компаніях, бо у державних куди менші виплати. І причина тому - не у бідності фінансування, а у самому ставленні до кібербезпеки на рівні держави.

"Наразі ми бачимо позицію: "Ну зламали, ну добре, ну написали якусь там новину", але реальну відповідальність за це ніхто не понесе. Ніхто не відповідав і за великі злами, як мале місце до цього. І це головна проблема", – зазначає наш співрозмовник.

За його словами, грошей вистачає, але вони не реалізуються правильно. Бюджети виділяються – і донорські, і від держави, на всі органи, пов'язані з кібербезпекою, йдуть десятки мільярдів гривень. "Просто провести б незалежний аудит, куди ці гроші пішли, і тоді все буде зрозуміло. І наразі все залежить від політичної волі чиновників на те, щоб в Україні була реальна кібербезпека, а не лише на папері, або виділяти бюджети і ці бюджети розкрадати", – зазначає він.