Кібербезпека: поради сімом нянькам
Внутрішні метаморфози влади не приведуть до оптимізації її поведінки
Кібербезпеки в нашій країні немає зовсім. І як це часто трапляється в інших галузях, держава відповідає на загрози зайвим додатковим регулюванням, заборонами, розширенням повноважень силових структур. Часто відбуваються спроби замінити працівників, які мають виконувати свої обов’язки, дорогим програмним забезпеченням чи обладнанням. Вводяться нескінченні декларації та доктрини. Не знаєш, що робити?
Нумо щось заборонимо! У 2017 році був виданий Указ президента України № 133 «Про застосування персональних спеціальних економічних та інших обмежувальних заходів (санкцій)», який крім економічних обмежень також вводить цензуру в мережі.
У першому читанні ухвалений законопроект № 2126а, у якому «суб'єктами кібербезпеки» названі СБУ, МВС, Державна служба спеціального зв’язку та захисту інформації (ДССЗІ), Команда реагування на комп’ютерні надзвичайні події України (CERT-UA), зокрема й МО та Кабмін.
Жоден із перерахованих суб’єктів не може захистити власні системи, що підтвердилося під час останніх вірусних атак. Як вони збираються вбезпечувати інших?
Український кіберальянс займається не захистом національних інформаційних ресурсів, а нападом на мережі противника.
А втім, після ухвалення законопроекту ми зацікавилися, яким чином забезпечується захист тих державних органів, що відповідають за безпеку. У процесі цього своєрідного дослідження використовувалися виключно законні, не інтрузивні методи.
На жаль, з’ясувалося, що навіть після руйнівних вірусних атак (NotPetya і BadRabbit) нічого не змінилося. Були зламані чи залишилися вразливими до втручань CERT-UA, відділення Національної поліції (зокрема, і кіберполіції), підрозділи МВС.
Наприклад, інформаційні ресурси Національної академії внутрішніх справ було розміщено на мережевому диску з відкритим доступом.
Кажучи відверто, держава намагається керувати тим, чого в неї немає. Закони регулюють порожнечу. Безпеку не можна спускати згори чи придбати на ринку. Це процес, у якому рядові працівники мають усвідомити, що вони відповідають за захист довіреної їм інформації, потім обрати координатора або посередника для обміну передовим досвідом.
Таким посередником, за логікою, має бути CERT-UA. На практиці згадана ДССЗІ просто спускає донизу заплутані інструкції, які не виконує сама. Чиновники думають, що проблеми з комп’ютерними системами стосуються будь-кого, тільки не їх самих. Насправді все навпаки.
Виправити ситуацію може дерегулювання. Якщо інструкція не має зв’язку з реальністю, то її треба скасувати. Якщо працівник не впорався із забезпеченням захисту інформації, то звільнити, а завдання передати на аутсорсинг.
Якщо ніхто не відвідує сайт якої-небудь державної установи — закрити сайт. У кожній компанії має бути працівник, здатний реагувати в разі чого на комп’ютерні інциденти та відповідати на питання спеціалістів і суспільства.
У 2018 році, як і раніше, можуть ставатися масовані кібератаки на інформаційні ресурси України, до цього треба звикати й готуватися. Утім, жодна з тих, що відбулися раніше, не була якоюсь надзвичайно складною. Основними методами зламу були заражені документи Office, які завантажують трояни та фішинг. Тому для протидії хакерським атакам у майбутньому в мережах організацій має бути захищений периметр. А користувачам достатньо дотримувати елементарних правил безпеки, а саме: не відкривати все підряд, не переходити за посиланнями в сумнівній пошті, своєчасно оновлювати систему й антивірусні бази.
Це саме стосується й смартфонів, у них також не можна вимикати функцій безпеки. Значну роль відіграє рівень комп’ютерної грамотності власне кінцевого користувача, але щоб вона з’явилася, недостатньо меморандумів, тренінгів і кібернавчань. Потрібно чесно розповідати про інциденти, які відбуваються, не намагаючись їх приховати. Лише так інші зможуть навчитися на конкретних, невигаданих прикладах. Усе, що міститься на вашому комп’ютері, — це зона відповідальності ваша та системного адміністратора організації (для службової техніки).
У жодному разі не СБУ або МВС. Поки що саме безвідповідальність і нездатність розмовляти із суспільством є вразливим місцем нашої країни. Замість цього влада часто починає хапатися за законодавчий батіг. Які ще повноваження має отримати МВС чи інші державні органи, щоб вони припинили виставляти в майже вільний доступ свої паролі від поштових серверів?
Що стосується наших ворогів, то їхня хакерська діяльність завжди мала наполовину випадковий, неорганізований характер і зараз супроводжується безперервними скандалами — від кібершпигунства до втручання у вибори в різних країнах. Ці скандали насправді лише заважають нам. Гадаю, вони вже й самі не раді, що заварили всю ту кашу. Але з огляду на дуже низький рівень захисту в державному секторі України атаки, поза сумнівом, очікуються. І не менш масштабні та руйнівні, ніж раніше.
Ми знову й знову наступатимемо на ті самі граблі: фішинг, заражені документи, «інсталятори» Flash (які імітують оновлення програм чи додатків для встановлення шкідливого ПЗ) та supply chain (коли вірус вбудовується в код реальних програм і потрапляє до користувачів під час оновлення, як у випадку з М.Е.Doc в Україні або «Касперським» та АНБ у США).