Константин Корсун: «Основа национальной кибербезопасности — это хотя бы минимальное понимание и выполнение ее требований каждым гражданином Украины»

Костянтин Корсун: «Основа національної кібербезпеки — це хоча б мінімальне розуміння та виконання її вимог кожним громадянином України»

Фото: Станислав Козлюк

Неделю обсудил с директором компании Berezha Security Константином Корсуном необходимость кібергігієни, риски диджиталізації Украины и проблемы с государственными органами кибербезопасности.

Какие самые проблемные места сегодня в создании комплексной системы защиты информации (КСЗИ) на объектах критической инфраструктуры, которую предлагает Государственная служба специальной связи и защиты информации Украины (ДССЗЗИ)?

— Дело в том, что после начала кибервойны 2014-го и атаки вируса NotPetya 2017-го Украина столкнулась с прогнозируемой, но для большинства неожиданной проблемой: почти на всех объектах критической инфраструктуры нет никакой защиты. Речь о государственные органы, водоснабжение, энергетику, пищевую промышленность, транспортную отрасль, банковский сектор, телекоммуникации и тому подобное. После последней мощнейшей атаки прошло уже два года, тогда каждое четвертое украинское предприятие попало под удар, а общие убытки от NotPetya в мире, по подсчетам американского правительства, превышают $10 млрд. Казалось бы, должны быть сделаны определенные выводы. Но, к сожалению, мы видим, что это не так. Предприятия или учреждения, которые начали подходить к вопрос киберзащиты серьезно, можно сосчитать на пальцах. Прежде всего это Служба безопасности Украины и Администрация президента (когда там работал Дмитрий Шимкив). СБУ занимается этим давно и целенаправленно, имеет довольно неплохой уровень, но это, так сказать, скальпель, спектр задач которого очень узкий. Проблема в том, что очень много объектов критической инфраструктуры относится к частному сектору. Вспомним то же «Прикарпатьеоблэнерго», частную компанию, которая на тот момент просто не видела для себя рисков и не выделяла на это средства. Насколько мне известно, сегодня вопросу киберзащиты очень большое внимание уделяет ДТЭК, а также ряд банковских учреждений и несколько ИТ-компаний.

За киберзащита в стране отвечает ДССЗЗИ. И ее отношение после атак никоим образом не изменилось. Под давлением внешних партнеров Украины, она смогла создать какие-то нормативные документы, как Закон «Об основных принципах обеспечения кибербезопасности», разработать стратегию. Формально на законодательном поле что-то делается, для западных партнеров достаточно слов «кибербезопасность» и «закон», а дальше уже никто не вникает. В свое время я детально изучил этот закон. Он кривой, коррупционный и ничего не решает, но дает дополнительные рычаги ДССЗЗИ. А основной подход остается неизменным, речь идет о введении везде КСЗИ. Сама по себе идея неплохая, то есть у каждого объекта должна быть собственная система защиты информации.

Почему она тогда не работает?

— Потому что идея устарела еще лет 10-15 назад. Люди, которые с этим сталкиваются, понимают, что это ни от чего не защищает, требует слишком много времени, усилий и средств. Это фактически расточительство, которое открывает широкое поле для злоупотреблений ДССЗЗИ. Не может ни один стандарт четко определять, что надо делать, это скорее некий рамочный документ. Серия стандартов по киберзащите ISO 2700 определяет общие требования, вместо того чтобы указывать, что конкретно надо сделать. Как и стандарт NIST (рекомендации по защите информации для предприятий США. — Ред.). Почему не может быть четких инструкций? Угрозы постоянно и очень быстро меняются. Зато украинская КСЗИ — это странная смесь рамочных определений и четких требований, которые не имеют отношения к современным вызовам. Но любая частная компания, например интернет-провайдер, который предоставляет информационные услуги и хочет работать с органами государственной власти, должен иметь в себя КСЗИ, будто защитить себя. В большинстве случаев это формальность, «бумажный тигр», который защищает разве что от проверок ДССЗЗИ.

Сколько компаний имеет такую КСЗИ?
 

— Насколько мне известно, около 17 провайдеров в Украине имеет в себя аттестованы КСЗИ. А в целом по стране их тысячи. Хотя сама по себе требование по созданию КСЗИ незаконная, она основывается только на указе президента, а не на законе. В то же время никто из бизнеса не хочет поднимать этот вопрос, нарываться на проблемы. А в недавние распоряжения, в частности, в постановление Кабмина от 19 июля 2019 года № 518 «Об утверждении Общих требований к кибернетической защиты объектов критической инфраструктуры», включено очень много коррупционных, принудительных и контрольно-надзорных положений.

Почему, на ваш взгляд, возникают такие проблемы с ДССЗЗИ?

— Служба является последовательницей классической советской административно-командной системы. Ведомство, которое является надзирателем с кнутом и которое может карать или миловать. Это создает простор для коррупционных злоупотреблений. Хотя по уровню квалификации специалисты ДССЗЗИ не выдерживают никакой критики. Молодежь, которая туда приходит, получает немного опыта, учится и очень быстро убегает, преимущественно через низкую зарплату и плохую атмосферу. Поэтому я последовательно выступаю за ликвидацию этой структуры. Попробуем представить: а что произойдет, когда утром мы проснемся и узнаем, что ДССЗЗИ ликвидировано? Несмотря на обязанности этой службы, ничего плохого. Часть нужных функций вроде фельдъегерской почты или правительственной связи можно передать отдельным подразделениям или в МВД или СБУ. С точки зрения кибербезопасности единственным полезным активом является CERT-UA. Это подразделение имеет достаточно опыта, в том числе и во взаимодействии с международными партнерами. CERT-UA знают как точку входа в страну, как доверенный контакт, к которому можно обратиться и получить квалифицированную помощь. Остальные в условиях гибридной войны никак не помогает, скорее, наоборот, мешает. Рынок услуг кибербезопасности без ее регуляции прекрасно живет. Отдельная проблема — для ДССЗЗИ не предусмотрена никакая ответственность. Если, например, на химическом заводе возникнет авария в результате кибератаки и окажется, что не было КСЗИ, за это накажут руководителя завода, а не ДССЗЗИ. Даже сами представители Службы постоянно это подчеркивают.

Оставлять существующую систему кибербезопасности нецелесообразно. Это живой труп, там все сгнило, хотя он пытается кусать. Поэтому я за то, чтобы усыпить того монстра, оставить только те вещи, которые еще можно и нужно реанимировать. У нас, кстати, уже был такой прецедент, ведь некоторое время существовала Государственная служба защиты персональных данных. Она должна была заниматься безопасностью этих данных, штрафовать предприятия, если они ненадлежащим образом хранили. Были очереди, ажиотаж, внимание прессы. А потом службу отменили, и ничего в нашей жизни не изменилось, небо на землю не упало. Хотя, возможно, ее надо было бы оставить в ограниченной форме без карательных функций, чтобы она вела разъяснительную работу рассматривала жалобы от потребителей. Такой прецедент стоит повторить для ДССЗЗИ, но с учетом ошибок.

Однако встает вопрос защиты критической инфраструктуры в условиях кибервойны. Как защититься и кто должен этим заниматься?

— Так, критикуя, предлагай. Я считаю целесообразным другой подход. Основа национальной кибербезопасности — это хотя бы минимальное понимание и выполнение ее требований каждым гражданином Украины. Как пользоваться смартфоном или интернетом, которые целесообразно использовать мессенджеры, какую почту можно открывать, а какую нет. Мы называем это кібергігієною. Поэтому задача государства — максимально распространить соответствующие знания. На бордах, листовках, телефонной горячей линией, в учебных заведениях, на радио или телевидении. Государство должно помогать, а не контролировать. Единственная ее функция, которая вообще востребована в этой сфере, — сервисная. Следующая задача — восстановление доверия к государству и его органам. Ключевым моментом национальной системы кибербезопасности обмен информацией об инцидентах. Если произошла атака, допустим, на банк, он должен сообщить всем, как именно это произошло, все технические детали, чтобы остальные объекты смогла подготовиться. В большинстве случаев атаки типовые и устраиваются по очереди на всех объектах. Поэтому своевременный обмен информацией о таких инцидентах значительно снижает эффективность действий злоумышленников и масштабы ущерба. Но базируется он на доверии, ведь существуют риски разглашения чувствительной информации, что может нанести репутационный ущерб. А особенно если речь идет о передаче сведений от частных структур в государственные. Нет доверия.

Я знаю несколько маленьких локальных примеров на уровне нескольких компаний, которые объединились и через доверенного провайдера создали собственную систему информирования о компьютерных инцидентах. Поэтому после первого шага, кібергігієни, нужен второй — создание организации, которая имела бы высокий уровень репутации и доверия, с участием государства и иностранных партнеров. Команда специалистов должна получать рыночные зарплаты, деньги могут обеспечивать иностранные доноры. Первый год они должны давать абсолютно бесплатные рекомендации и помогать на всех уровнях, от примитивного до высокопрофессионального. Таким образом будет создаваться доверие. Конечно, этот процесс бесконечен, кто-то всегда будет сомневаться. Параллельно создавать и развивать сеть обмена информацией, чтобы каждый ее участник не только брал данные, но и предоставлял их сам. Это сложная, даже дипломатическая система, с ней надо обращаться очень осторожно. Зато сегодня закон требует, чтобы объекты критической инфраструктуры оказывали данные об инцидентах. Это смешно, потому что они якобы обязаны, но им ничего не будет, если они откажутся или пришлют какую-нибудь отписку. А чтобы проверить, нужны ли санкция суда на вмешательство в сеть и определенная квалификация, чтобы разобраться в деталях. Поэтому нельзя заставлять, человек сам должен понимать, что делиться нужно.

Готова ли Украина к повторению атаки уровня NotPetya? Удастся уменьшить убытки?

— По моему мнению, уровень кибербезопасности не слишком изменился. Конечно, какие-то частные компании стали уделять этому вопросу больше внимания, больше обращать внимания на безопасность. Но после атаки эта волна за полгода сошла практически на нет. Все движения в сторону кибербезопасности закончились. Таково свойство человеческой психики. Человек со временем привыкает к угрозы и перестает ее бояться. Поэтому на основе страха систему не построишь. Следовательно если россияне вдруг подумают, что сейчас подходящий момент для того, чтобы повторить атаку, убытки вряд ли будут меньшими, разве что на 5-10%.

Стоит ли ожидать подобных атак в ближайшее время?

— Это неожиданность, которую невозможно предсказать. Перед президентскими выборами от киберполиции поступали предупреждения о вероятности атаки, но ее не было. Ничего масштабного не происходило уже больше года. В то же время надо понимать, что кибератаки — это лишь дополнительный фактор дестабилизации наряду с проплаченными акциями протеста, провокациями на фронте, взрывами, убийствами политическими демаршами. Задача кибератаки — усилить, помочь дезориентировать общество или направить его на свержение власти, референдум или приглашение вмешаться для соседней страны. Или другой вариант: атака на украинские энергетические системы состоялась сразу после отключения поставки тока в Крым, то есть такая себе месть. К тому же русские любят устраивать атаки с определенным символическим значением. NotPetya было совершено в День Конституции Украины. Россияне знают наши слабые места, и если они захотят устроить атаку, особых трудностей у них не возникнет. Вопрос только в том, когда и почему они это захотят. Боты уже давно сидят во всех ключевых ведомствах. Усилия волонтеров для изменения нынешней ситуации недостаточно, надо принципиально все трансформировать.

Кстати, об изменениях. Новый президент объявил курс на диджиталізацію, переход к «государство в смартфоне». Это актуально?

— Как человек, живущий в основном в цифровом мире, я не против, чтобы наше общество быстрее двигалось до уровня США или Европы. Но под диджиталізацію понимается перевод в онлайн ряда бюрократических услуг, и это уже происходит. Те же центры предоставления административных услуг уже используют цифровые решения. Они были созданы еще при предыдущем президенте, а начинались и двигались с мертвой точки при содействии западных партнеров, и этот процесс давно идет. Но если речь идет о каких-то чувствительные функции, то здесь надо внимательно разбираться. Например, я категорически против электронного голосования, потому что оно не отвечает требованиям секретности. Невозможно проконтролировать, человек делает выбор сознательно и без принуждения. Поэтому даже Эстония, известная своими успехами в создании электронного правительства, этого не сделала.

Если говорить о средствах идентификации, такие как BankID или MobileID, то там сразу возникает очень много вопросов относительно безопасности, в частности безопасности SIM-карты, потому что больше всего рисков связано именно с ее незащищенностью. Их, кстати, очень часто не принимают во внимание разработчики программного обеспечения. Большинство компаний, даже которые связаны с ИТ и довольно известные на международном рынке, о безопасности не имеют никакого представления. Часто это обусловлено банальным незнанием рисков и угроз. В регионах ситуация еще хуже, к сожалению. Там на некоторых предприятиях, заводах люди вообще не в курсе, что операционная система Windows XP уже давно не поддерживается. И мы не сможем приехать к каждому, нужна какая-то массовая коммуникация, на всю страну. Причем если в Киеве это можно распространить каким-либо цифровыми каналами, даже через соцсети, то в регионах это, скорее всего, не сработает, поэтому надо искать креативные подходы.

Советы по кибербезопасности:

1. Иметь на компьютере и смартфоне антивирусное программное обеспечение, регулярно обновлять его.
2. Для разных ресурсов использовать различные сложные пароли (электронная почта, соцсети и тому подобное), периодически изменять их. Не пользоваться генераторами паролей.
3. По возможности установить двухфакторную аутентификацию в соцсетях и сервисах.
4. Иметь резервную копию самой важной информации, хранить ее без доступа к интернету.
5. Не открывать приложения к письмам от незнакомых адресатов, не переходить по ссылкам. А если от знакомых, то внимательно проверять перед открытием.
6. Не оставлять на ненадежных сайтах свои персональные данные (номер банковской карты и ее PIN-код, адрес электронной почты, номер телефона и т. д), не сообщать эти данные по телефону.
7. Не отвечать на звонки с неизвестных номеров, особенно зарубежных. Не звонить на номера, указанные в смс-сообщениях о выигрыше призов, подозрительно большую распродажу или акцию.
8. Прежде чем посетить сайт или перейти по ссылке, удостовериться в надежности этого ресурса.
9. Не устанавливать программное обеспечение, в надежности или происхождении которого есть сомнения.
10. Осуществлять периодические платежи (коммунальные услуги, покупки в интернет-магазинах) только через надежные сервисы.

———————————

Константин Корсун родился в 1971 году. В 1993-м окончил Харьковское высшее военное авиационное инженерное училище и начал службу в СБУ. В 1996-м окончил Национальную академию СБУ. В 2000-м участвовал в создании первого подразделения противодействия компьютерной преступности в СБУ. С 2005-го по 2009-й служил в Департаменте безопасности информационно-телекоммуникационных систем ДССЗЗИ, создавал CERT-UA и занимался его международной сертификацией. С 2009-го по 2014-й был руководителем украинского офиса компании iSIGHT Partners Europe. С 2014-го и до сих пор — соучредитель и исполнительный директор компании кибербезопасности Berezha Security.

Share