В погоне за цифровизацией нельзя забывать о безопасности
В цифровой век с помощью смартфона или компьютера можно навредить не только конкретному человеку, но и целому государству. Недавно наша коллега Евгения Бодрова в рамках проекта документального кино Oila выпустила фильм «Обмани меня» о том, как работают некоторые технологии. Многое из рассказанного одним из героев, президентом Центра анализа и расследования кибератак, одним из первых белых хакеров Казахстана Олжасом Сатиевым осталось за кадром. Нам показалось интересным раскрыть тему дальше. - Олжас, ваша команда белых хакеров оказывает практическую помощь в вопросах информационной безопасности государственным органам, организациям квазигоссектора, частным компаниям, СМИ и НПО. С какими угрозами чаще всего приходится сталкиваться? - Сразу хочу отметить, что количество атак на Казахстан участилось. Но они - разного рода. Первый вид - это DDos-атаки, когда хакеры взламывают большое количество компьютеров по всему миру и используют их как ботнет - сеть зараженных гаджетов. Это любые девайсы, подключенные к Интернету, - от детских кукол до видеокамер. Хакеры дают команду заходить на какой-то сайт - электронное правительство, госресурс, и тот, не готовый к наплыву такого количества пользователей, не выдерживает и «падает». То есть DDos-атака создает проблемы с доступностью интернет-ресурса, но злоумышленники не проникают внутрь, не получают доступ к персональным данным, к каким-то критическим конфиденциальным сведениям. Однако и такие действия носят деструктивный характер. Допустим, если eGov не будет работать сутки, это создаст социальную напряженность, так как граждане не смогут получить справки, оформить документы. И государство понесет потери, и уровень доверия граждан снизится. Другой вид атак, когда хакер находит уязвимость и входит внутрь сайта, получает доступ к базам данных, финансовым и конфиденциальным сведениям, и данный вид действий сложнее обнаружить. Если проникнуть внутрь системы того же электронного правительства, можно скачать базу данных либо изменить какие-то сведения, например, переписать квартиру на другого человека. Это уже другого вида уязвимость, и здесь работают другие хакеры. На Казахстан в основном производят DDos-атаки. Выявить их исполнителей сложно. Как я уже говорил, они используют компьютеры по всему миру. Это раз. Другой момент: зачем производятся такие атаки? Дело в том, что бывают хакеры, которые работают по заказу, а бывают хакерские группировки школьников, студентов. Уровень и цели у них разные, но эффект одинаков. А специалистам по кибербезопасности потом надо разобраться в том, кто исполнитель или заказчик атаки. - Как же защищаться от кибератак? - Способы есть. Банки, например, покупают анти-DDos-системы. Самый же простой способ защитить страну - сделать доступ к определенным интернет-ресурсам, тому же еGov, только на территории Казахстана. Но у нас много граждан проживают за рубежом, и это создаст проблемы для них. В Казахстане нет большого рынка по созданию технологических решений, которые могли бы отражать атаки. Университетские проекты алгоритмов защиты по тем или иным направлениям зачастую не выходят за пределы учебного заведения. А их нужно выводить на рынок и коммерциализировать внутри страны. Министерство цифрового развития и аэрокосмической промышленности работает над внедрением на сайте электронного правительства раздела «Кибербезопасность», чтобы в случае утечки каждому гражданину приходило уведомление, и он мог, например, сменить пароли или быть готовым к звонку мошенников. Такой кейс есть, например, в США. Очень важно, чтобы граждане узнавали об утечках своих данных и сообщали о них. Нередко мы видим новости, что у того или иного сервиса (частного и не очень), интернет-магазина и так далее, случаются утечки личных данных пользователей, клиентов. Нельзя к этому относиться легкомысленно. Люди не задумываются о том, что их ИИН, ФИО, номер телефона могут попасть в руки мошенников, а должны бы бить тревогу, требовать наказания для тех, кто несет ответственность за утечку. У нас, к сожалению, еще не было таких случаев, когда какой-то госорган, юридическая компания или банк понесли бы ответственность за то, что персональные данные пользователей после взлома появились в Сети. В Европе, если компания не уведомит об утечке в определенный срок, то заплатит огромный штраф. Я считаю, мы тоже должны двигаться в этом направлении. Конечно, главная ставка при защите страны от кибератак делается на специалистов. Та же программа «Киберщит» - это прежде всего люди. В нашем центре мы их обучаем, причем бесплатно, повышаем компетенции. Мы были первыми, кто поставил Казахстан на мировую карту в части этичных хакеров, кто показал, что в Казахстане есть очень крутые ребята, которые могут находить уязвимости в очень серьезных системах. Сейчас мы являемся самой крупной компанией по кибербезопасности в Центральной Азии, мониторим весь казахстанский Интернет, это порядка 150 тысяч сайтов. И когда какой-то ресурс взломан, первыми об этом узнаем. Собираем информацию по атакам и пытаемся их предотвращать. - В Казахстане идет бурный рост цифровизации. Это пропорционально повышает и риски? - Да, но параллельно мы сделали рывок и в части кибербезопасности. Есть мировой индекс киберготовности, который оценивает, как страна готова к кибератакам, по крайней мере, на бумаге. Пять лет назад Казахстан находился на 118-м месте. Мы добились, чтобы вопросы кибербезопасности стали ключевыми. Появилась Концепция «Киберщит Казахстана». И сейчас мы находимся на 31-м месте, то есть за пять лет в пять раз улучшили показатели. Теперь ООН ставит Казахстан в пример, даже международные кибер-учения в 2022 году впервые проходили в нашей стране. Но у нас сохраняется конфликт интересов. Орган по безопасности должен быть отдельным, должен оппонировать отраслевому министерству. Сегодня МЦРИАП обещает сделать удобным то-то и то-то, и люди этому радуются: мол, мы можем обновить водительские права за один день, и так далее. Но никто не думает о безопасности. Если мы стремимся к цифровому государству, то первым делом нужно сделать его безопасным. Иначе если мы сейчас выстроим разветвленную цифровую инфраструктуру, а завтра все это взломают, настанет блэкаут. Месяцы уйдут на восстановление, что довольно болезненно. Тогда граждане задумаются: может, лучше бы мы так же и носили бумажки в ЦОН, чем всюду использовали ЭЦП или QR-код, пользовались цифровыми сервисами, которые можно взломать? Считаю нужным создать Агентство по кибербезопасности, которое будет работать над тем, чтобы цифровые удобства для людей были еще и безопасными. У министерства свой KPI - сделать все удобно, красиво, быстро. А «безопасников», к сожалению, никто не слушает. Другой вопрос - технологическая независимость государства. У нас сейчас ее нет. Мы технологически зависимы от зарубежных компаний. Все крупные программные разработки проводятся там. Это проблема, тем более когда дело касается кибербезопасности. Если мы используем продукт нашего разработчика, то ему всегда можно задать вопросы в случае проблем, утечек и так далее. Если же разработчик зарубежный, мы просто не сможем проконтролировать какие-то вещи, даже доступ к необходимой нам информации будет затруднен. - Мы видим очень много случаев интернет-мошенничества, когда «разводят» обычного человека или взламывают большую корпорацию. По информации МВД, 15 миллиардов тенге удалось «увести» кибермошенникам у казахстанцев в 2022 году. Расскажите, как это становится возможным? - У нас все очень удобно: мы можем оплачивать QR-кодом, оформить квартиру или подать заявление в ЗАГС за несколько минут. Но, повторюсь, на одном конце - удобства, на другом - безопасность. Либо ты делаешь очень удобно, либо очень безопасно. Если начнем делать очень безопасно, то все наши удобные сервисы порушатся. Соответственно, если все очень удобно - уязвимостей с точки зрения безопасности станет гораздо больше. Нужен баланс. Люди с воодушевлением восприняли заявление МЦРИАП об отказе от ЭЦП в пользу QR-кода. Но это небезопасно. Мы на своих конференциях показываем, как с помощью хакерского устройства за сто долларов либо старенькой Motorola возможно перехватить любое SMS у находящегося в комнате человека. Понимаете, в чем опасность? Мошенник, зная, что у вас, допустим, элитная квартира, подсаживается за соседний с вами столик в кафе и, имея ваш номер телефона, перехватывает SMS в момент, когда вы входите в приложение электронного правительства. И переписывает вашу квартиру на себя! Или хакер может по утечкам собирать ваш профиль - кто вы, где живете, что покупаете? Чем больше он знает о вас, тем легче ему вас «развести». Он может позвонить, представившись сотрудником магазина корма для животных, где вы сделали заказ и сайт которого он взломал. Вы уже доверяете ему. И он предлагает какую-нибудь выгодную акцию, для чего вам нужно отправить ему какие-либо данные... Сейчас хакеры активно используют подмену лица. Это казалось нам «клевой штукой» в Instagram. А теперь хакеры подделывают лицо или голос и «разводят» на деньги. Таких случаев очень много. Хакеры - люди творческие, используют новые технологии. И новые инфоповоды. Например, в пандемию дошло до такого идиотизма, что появился сайт-антивирус от ковида. Предлагалось скачать программное обеспечение, которое поможет избавиться от коронавируса. Видимо, пошла проверка на IQ человечества. Но люди скачивали. На самом деле это был вирусный «троян». Нужно понимать, что сейчас хакеры не действуют в одиночку. Это целая хакерская ОПГ. В ней есть своя иерархия: высококлассные программисты, которые зарабатывают сотни тысяч долларов в месяц на написании «троянов»; HR-служба, занимающаяся поиском сотрудников; дропперы - люди, которые открывают «левые» банковские карточки и обналичивают деньги за какой-то процент. Зачастую первоначально идет разведка - объявляется конкурс, например, какого-то банка на розыгрыш автомобиля. Люди ведутся, начинают заходить, оставлять свои данные. А там на самом деле сайт-аналог этого банка. И все - первый срез по нему уже сделали, собрали информацию. Проходит какое-то время, человек забыл, что он участвовал в конкурсе. А ему звонит мошенник, представляется сотрудником банка, называет его данные, которые он сам вбил на мошенническом сайте, говорит, что для проверки транзакции нужна авторизация по SMS. Человек ему диктует, и мошенник получает доступ к его счетам. По примерно такому сценарию происходит подавляющее большинство случаев мошенничества в отношении физических лиц. Отследить и наказать преступников очень сложно. Во-первых, они используют подмену номеров и звонят, возможно, даже не из Казахстана - из ближнего и не очень зарубежья. Главари вообще могут жить где угодно и контролировать всю ячейку через VPN, защищенные каналы. Ну, поймают здесь дроппера или оператора, завтра на его место придет другой. Необходимо тесное межгосударственное межведомственное взаимодействие, чтобы эффективно бороться с такими ОПГ. - Мне всегда казалось, что у слова «хакер» скорее негативный окрас. Но вы именуете себя «белым хакером». Поясните, пожалуйста. - Журналисты часто называют хакерами всех подряд. К примеру, даже вы можете зайти на хакерский форум и, допустим, купить базу данных карточек с инструкцией, как обналичить деньги. Но это же не говорит о том, что вы хакер. А в СМИ сразу пишут, мол, задержали хакеров, которые обналичили тысячи долларов какого-то банка. Первоначально у понятия «хакер» негативной коннотации не было. Это были любознательные люди, которые изучали цифровой мир, находили уязвимости не для того, чтобы пользоваться ими. В киберпространстве есть люди, которые занимаются белым, этичным хакингом, а есть те, кто переходит на «темную сторону», соблазнившись «легкими деньгами». Но последних рано или поздно ловят. Сейчас, на самом деле, все больше людей идут в сторону этичного хакинга, тем более что сейчас на этом можно легально и хорошо зарабатывать. Первую хакерскую группировку я создал в возрасте 13 лет. Мы взломали «Казахтелеком» чисто из любопытства и сразу сообщили об этом, не создавая деструктив. В какой-то момент каждый встает перед выбором - просто сообщить об уязвимости или использовать ее в своих корыстных целях. Переступив черту, можно, конечно, какое-то время неплохо пожить, но виртуальное преступление делает человека реальным преступником - со всеми вытекающими последствиями. Преступников ловят рано или поздно. А вот любознательность, направленная в конструктивное русло, - это чрезвычайно ценный ресурс, который можно монетизировать без проблем с законом. Развиваясь в этом направлении, можно стать востребованным и, соответственно, весьма хорошо оплачиваемым специалистом. Думаю, выбор здесь очевиден.Асель МУКАНОВА