The Pulse
Загрузка...

ПОДПИШИТЕСЬ НА EMAIL-РАССЫЛКИ THE PULSE!

IT

19.05.2021 г.

IT
19.05.2021 г.
grafic 4419

Коллективная безответственность

Почему в Казахстане никто не несет ответственность за утечку данных?
Подкаст:

По оценкам Cybersecurity Ventures, глобальный ущерб от действий хакеров в 2021 году нанесет мировой экономике урон в 6 трлн долларов. На фоне обострения «кибервойн» между глобальными игроками и участившихся «кейсов» на территории РК, мы решили поговорить с президентом «ЦАРКА» Олжасом Сатиевым.

— Олжас Шахзадович, как вы знаете, мы живем в век информации. Соответственно, вопросы кибербезопасности становятся все более актуальными из года в год. Объем ущерба, который наносится хакерами и вредоносными программами, исчисляется миллиардами долларов. У вас есть понимание, под насколько большим риском для мировой экономики находится кибербезопасность?

— Конечно. ООН уже признала кибероружие как оружие массового поражения. И ущерб от влияния кибератак может быть существенным. К примеру, хакеры атаковали Иранскую ядерную программу и «отбросили» ее на несколько лет назад. Они внедрили компьютерного червя и внедрили его в компьютерную сеть Иранской ядерной программы. По оценкам, на реализацию только этой атаки спецслужбы потратили от 5–10 млн долларов. Ущерб же нанесенный иранской экономике исчислялся миллиардами долларов.

И современные войны идут не только на полях сражений, сколько в киберпространстве. И когда между отдельными государствами возникает конфликт, первые удары наносятся по информационным ресурсам страны — медиа, телекоммуникационные операторы, финансовый сектор, транспортный сектор и так далее.

Кроме того, мы наблюдаем элементы «гибридной» войны, когда атаке подвергается не только финансовый сектор или нефтяной (как это было совсем недавно в США), но и вмешательство идет в социальные сети — генерируются фейковые новости, взламываются аккаунты лидеров мнений и т.д.

— В целом, есть ли в Казахстане документ или программа, которые предоставят защиту на государственном уровне для нас?

— Одно из наших достижений которым мы гордимся, — это то,  что мы донесли информацию «наверх» и администрация президента приняла программу-концепцию «Киберщит», которая должна была усилить киберзащиту страны. У нас идет бурный рост сегмента e-commerce, банки выходят на международные площадки привлечения капитала, мы уже привыкли пересылать друг другу средства посредством мобильных приложений.

Однако, вопросы финансовой киберграмотности остаются вне внимания большой массы, и соответственно, для хакеров и мошенников это дает поле для деятельности. Мы все пользуемся услугами amazon, yandex и другими ресурсами, в которых используются онлайн-платежи. И в рамках концепции «Киберщит» особое внимание также уделяется образованию населения  с целью минимизировать возможные утечки важной информации со стороны самих пользователей.

Также в рамках данной концепции правительство обязало критично важные ресурсы пользоваться услугами Центров информационной безопасности (Security Operation System).

В результате мы видим, что в мировом индексе киберготовности РК, занимавший в 2015 году 118 место, переместился на 40 место. В первую десятку входят такие страны, как Сингапур, Израиль, Эстония и так далее. Наша же цель — войти в топ-10 согласно методологии этого индекса.

Кроме того, мы стремимся стать цифровой державой и как бы мы не критиковали портал электронного правительства, он — один из лучших в мире. Egov начинался как стартап, а сейчас дорос до очень большого ресурса, которым пользуются практически все граждане нашей страны. Однако, вопросы кибербезопасности зачастую остаются в стороне.

Расскажу на примере. В течение прошлого года мы увидели колоссальный всплеск интереса к приложению ZOOM. И когда начинается стадия бурного роста, то менеджмент стартапов, как правило, концентрируется на вопросах предоставления качественного сервиса своим потребителям. Кибербезопасность в такой стадии остается, как правило, на «задворках» внимания.

То же самое можно наблюдать и с казахстанскими IT-продуктами. Как правило, они уделяют незначительное внимание вопросам обеспечения защиты, так как «первая» скрипка в таких случаях — за коммерческим департаментом, а не за отделом кибербезопасности.

И сейчас множеству казахстанских сервисов, как государственных, так и частных, необходимо «подтянуть» вопросы защиты данных, и мы видим, что так или иначе, во многих продуктах он остается открытым.

— Вы говорили, что в топе стран по безопасности — Эстония, Израиль, Сингапур. Есть ли взаимосвязь между размером государства и вопросами кибербезопасности?

— Не совсем. К примеру, возьмем Израиль. Он фактически находится в состоянии войны. Или Южная Корея, или Эстония, у которой проблемы со своими соседями. Сингапур является финансовым центром Юго-Восточной Азии, и соответственно, для них защита данных является критически важной. Поэтому, отвечая на ваш вопрос, я скажу, что в топе находятся страны, которые находятся в состоянии войны или близкой к ней ситуации.

Казахстан, в свою очередь, дружит со всеми. Но если представить жуткий сценарий конфликта, то вопросы информационной безопасности страны будут крайне важны. При этом надо понимать, что для хакеров не существует понятий государственных границ, они оперируют другими категориями.

— Хотелось бы поговорить о безопасности простых граждан. Есть ли какие-то памятки или программы с правилами? Как себя вести в сети, чтобы минимизировать риски попадания под фишинговые программы или утечку данных?

— Конечно. Существуют основные правила кибергигиены, которые распространены в сети и включают в себя такие простые правила, как «не переходить по подозрительным ссылкам, не заходить на сайты, защищенные сертификатом безопасности, не устанавливать пиратские программы».

О пиратских программах хочу рассказать отдельно — у нас в СНГ любят «халяву» и пользоваться бесплатными программами и играми, и даже операционными системами. В то же время большинство подобных версий содержат в себе «троян» — то есть вирус.

К примеру, в начале нулевых многие пользовались Windows XP ZverCD, в который был зашит вирус по удаленному контролю за вашим компьютером.

Также хотел бы сказать, что антивирус не является панацеей от проникновений извне. Мы на конференциях показываем, что можно создать вирус, который легко обойдет защиту любого антивируса. Цель антивируса — защита от массовых атак, в то время как против точечных проникновений он практически бесполезен.

И последнее, я не устаю повторять, что самое слабое звено — это человек. Когда люди обвиняют банки или другие структуры в утечке информации, как правило, в подавляющем большинстве случаев вина лежит на самих пользователях, которые предоставляют всем номер телефона, email и так далее.

— С другой стороны, в нынешнее время сложно не отдавать свой номер телефона, если ты — социальный человек и твой телефон в сотнях организаций, начиная от государственных и заканчивая банками. Это же практически невозможно — сохранить собственные контактные данные в тайне.

Согласен. Но надо понимать, что и хакеры используют методологию и инструменты big data  и, зачастую, компилируют данные из совершенно разных источников, начиная от небольших онлайн-магазинов, заканчивая крупными государственными базами данных. В этих хакерских группировках могут работать несколько сотен человек, которые занимаются поиском, обработкой и анализом данных, полученных незаконным путем.

У нас подобные утечки были в ЦИК, Генеральной прокураторе, Министерстве здравоохранения и так далее. Соответственно, информация собирается из нескольких источников и формируется цифровой портрет, начиная от состояния вашего здоровья, заканчивая предпочтениями в покупках. При этом проблемой в РК является то, что владелец системы, который допустил утечку ваших данных, не несет никакой ответственности по закону.

В то время, как в Европе есть Общие правила защиты данных (General Data Protection Regulation), согласно которым, если в течение 48 часов вы не сообщили об утечке данных, то вам грозит штраф. У нас же за утечки никто не несет ответственности и это является результатом того, что общество не поднимает подобные вопросы.

— К слову, о защите персональных данных и банковских утечек. Недавно был кейс об утечках персональных данных и непонятно из какого банка произошла утечка, потому что звонили клиентам нескольких банков. Как вы можете прокомментировать это?

— Скажу сразу, что взлом банка, о котором все говорят, — маловероятное событие, так как непосредственно к базе имеют доступ два, может, три сотрудника. Однако, хакеры могут пойти и обратным путем. К примеру, бывают случаи, когда хакеры покупают данные не целого банка, а отделения или управления, в котором работает недобросовестный сотрудник.

Если взломали банк, то в таком случае ограбили бы крупных клиентов, у которых на счетах лежат значительные суммы. Я сомневаюсь, что подобная утечка привела бы к массовым звонкам с целью заполучить небольшие суммы у такого множества клиентов.

С другой стороны, известны случаи, когда у богатых клиентов со счетов крались миллионы долларов, однако, как правило, банки предпочитают о таких утечках помалкивать. Проблема в том, что банки не доверяют правоохранительным органам и редко обращаются к ним с такими проблемами. 

— В таком случае, как подобное могло произойти? Неужели они проводили «фишинг» отдельно каждого юзера?

— Это не обязательно. Мы запустили баг-баунти площадку (Bug bounty) — это система вознаграждений пользователей за найденную уязвимость в системе. Подобные площадки есть у Google, Uber, Facebook и так далее. И подобная площадка у нас работает на национальном уровне — вознаграждение будет выплачено за обнаружение уязвимости в системе Национального банка РК, в других государственных органах, финансовых институтах и так далее.

Существует такое понятие, как «белые» хакеры, которые занимаются поиском подобных прорех в защите различных систем и официально получают  вознаграждение за их открытие.

Бывают случаи, когда система имеет уязвимости через службы поддержки. Мы называем это third party risk, то есть риски сторонних организаций. К примеру, когда вы пишете в службу поддержки банка, как правило, вам отвечает оператор, который работает в специализированном колл-центре, а не в самом банке. Соответственно, сопряженные системы так же важны и могут доставить вам неудобства.

— Видите ли вы какую-то системную уязвимость, присущую для большинства казахстанских компаний. Я имею в виду, в первую очередь, корпоративный сектор. Есть ли какая-то системная болезнь, которая присуща подавляющему большинству и над которой вы сейчас работаете и пытаетесь как бы «закрыть» эту дыру?

— Самая большая системная проблема — это нехватка кадров, и подобные проблемы характерны не только для РК, но и для всего мира. По разным оценкам, глобальный кадровый голод специалистов по кибербезопасности составляет до 30 млн человек. Причем эти специалисты могут быть совершенно разного профиля, начиная от «бумажных» системных администраторов, которые устанавливают вам на компьютер антивирус и файервол, до практиков, которые могут показать вам, как взломать вашу систему. Практиков, естественно, очень мало.

И периодически банки заказывают «белым» хакерам взлом их системы,  так называемый penetration test.

Также в РК имеют значение заработные платы IT-специалистов, особенно в госорганах. Очень тяжело противопоставить их заработки с заработками высокопрофессиональных хакеров, как белых, так и обычных. Поэтому и требовать с них защиту от всех виртуальных атак — глупо.

Более того, заработок посредством хакерства — это бизнес и существуют лица, которые с открытыми глазами инвестируют немалые средства на разработку новых методов кражи информации, используя при этом новейшие технологии — machine learning, artificial intelligence и так далее, не говоря уже о производстве различного рода вирусов.

Кроме того, как я говорил ранее, вопросы кибербезопасности никогда не были приоритетными, если мы говорим о бизнесе в РК. Как правило, они по списку находятся где-то на сотом месте, после процесса генерации прибыли, новых клиентов, и тому подобным вопросам.

— Есть ли какие-либо оценки того, сколько стоит единица персональных данных человека?

— Если речь идет о карточных данных, то, как правило, на даркнете подобная информация стоит от 5–10 долларов за одну карту. Однако, если говорить о стоимости персональных данных в более широком аспекте, то это уже другая история. К примеру, Фейсбук в среднем с одного пользователя зарабатывает порядка 50–100 долларов в месяц. Конечно же, стоимость данных также зависит от того, каким образом вы их используете, будь то маркетинговая стратегия продаж или влияние на выборы президента США.

— Насколько я понимаю, продаваемые данные банковских карт могут содержать в себе и миллион долларов, и долларов десять, то есть случайное число?

— Да, и этот способ зарабатывать также имеет свою экосистему. Есть люди, которые крадут данные, а есть те, кто производит обналичивание средств. Как правило, для этих целей используют бездомных и отправляют их к банкомату. Часть средств, соответственно, оставляют им, а часть — себе.

— Расскажите про защиту персональных данных. В Европе, как вы сказали, есть общие правила защиты данных. У нас же, насколько я знаю, идет разработка закона о персональных данных. Можете рассказать об этом законопроекте?

— Скажу, что мы не принимаем активное участие в законотворчестве. Однако, у меня есть понимание того, что хочет государство. Оно предлагает следующее. К примеру, у вас застрахован автомобиль. И спустя пару лет менеджер этой компании, у которой есть ваши данные, вам звонит и предлагает услуги. Соответственно, вас это раздражает.

И государство в ответ на это предлагает завести базу данных, в котором отражается, у каких компаний и структур есть ваши персональные данные. И соответственно, вы можете сами управлять списком тех, кому предоставлять или отозвать ваши персональные данные.

Бизнес, естественно, выступает против подобных инициатив, так как это усложнит им работу и значительно сократит количество потенциальных клиентов, которым можно отправлять рассылку продуктов или звонить с предложениями, и т.п.

— Как на Западе решается этот вопрос?

— В принципе, в развитых странах применяют схожую схему. Дальше других в этом плане пошла Южная Корея, в которой нельзя без разрешения публиковать фотографию другого лица. Существует специальная организация, которая мониторит социальные сети в поисках несанкционированных публикаций фото, и там этот вопрос на строгом контроле.

У нас же, как это зачастую происходит, на уровне идеи инициатива может быть хорошей, но на уровне исполнения она бывает негативной. Мы это видим не впервые, начиная от Дамумед, заканчивая приложением Ashyq. Поэтому у нас в стране необходимо ужесточить и упорядочить процесс имплементации. 

— У вас есть какой-либо комплекс мер, как минимизировать киберугрозы для Казахстана?

— Подытожим. Во-первых, как я говорил, это — использование баг-баунти, который уже запустили. Мы собрали и устранили уже порядка несколько сотен уязвимостей, благодаря этой акции. Вспомните недавнюю атаку на трубопровод Colonial Pipeline в США. Ведь подобную агрессию могли проявить и к нашим трубопроводам.

Второе, как уже говорил, необходимо решить вопрос с кадровым голодом специалистов. И мы инициировали (совместно с Министерством цифрового развития, инновации и аэрокосмической промышленности РК и Национальным банком РК) национальный киберполигон. На этом полигоне студенты 3–4 курсов делятся на две команды: первая старается защитить ресурс, а другая — соответственно, ее взломать.

Третий вопрос — это наша вера в зарубежные антивирусы и другие системы защиты. Нам необходимо начать разработку собственных подобных решений, так как это — вопрос национальной безопасности, ведь никто не гарантирует, что зарубежные продукты в случае форс-мажора не дадут сбой, или еще чего похуже. Понятно, что первоначально эти продукты будут «корявыми», но со временем они отшлифуются. Опять же, Egov — тому хороший пример.

Когда Россия попала под санкции и один из ведущих центров кибербезопасности ушел оттуда, и банки, и другие структуры оказались без должной защиты. Однако, со временем они разработали собственные продукты защиты, и в этом вопросе более независимы и автономны от продуктов других стран. Нам, как стране, тоже надо идти в этом направлении.

— Хотелось бы спросить, обучают ли у нас кибербезопасности в ВУЗах?

Да, в отечественных вузах есть кафедры которые занимаются подготовкой таких специалистов, — в АУЭС, Astana IT University, Nazarbayev University. Радует также то, что количество грантов, выделяемых на эти специальности, также растет. Однако, есть и проблемы, и главное — это преподаватели, которые, в основном, теоретики.

Для решения вопроса с нехваткой знаний со стороны практиков, мы организовываем конференцию, куда приезжают топовые хакеры, которые делятся информацией, рассказывают об интересных решениях и кейсах.

Насколько я понимаю, специалист по кибербезопасности — это широкое понятие, и внутри него также есть свои «сегменты»…

Конечно. В информационной безопасности множество направлений, есть offensive (нападение) и defensive (защита) направления, есть цифровая криминалистика, есть поиск уязвимостей, и так далее.

Сейчас последнее слово — это поиск уязвимостей в различных девайсах, включая «умные» машины вроде Tesla. Кроме того, в последнее время очень активно развивается направление взлома iOS и Андроид. Однако, насколько я знаю, взломать чей-то телефон — недешевое удовольствие, и на черном рынке подобные услуги стоят 2,5 млн долларов. И все эти байки относительно того, что «муж взломал мой телефон, не зная пароля», — не более чем мифы.

Записала Жәудір Таласбаева

По оценкам Cybersecurity Ventures, глобальный ущерб от действий хакеров в 2021 году нанесет мировой экономике урон в 6 трлн долларов. На фоне обострения «кибервойн» между глобальными игроками и участившихся «кейсов» на территории РК, мы решили поговорить с президентом «ЦАРКА» Олжасом Сатиевым.

— Олжас Шахзадович, как вы знаете, мы живем в век информации. Соответственно, вопросы кибербезопасности становятся все более актуальными из года в год. Объем ущерба, который наносится хакерами и вредоносными программами, исчисляется миллиардами долларов. У вас есть понимание, под насколько большим риском для мировой экономики находится кибербезопасность?

— Конечно. ООН уже признала кибероружие как оружие массового поражения. И ущерб от влияния кибератак может быть существенным. К примеру, хакеры атаковали Иранскую ядерную программу и «отбросили» ее на несколько лет назад. Они внедрили компьютерного червя и внедрили его в компьютерную сеть Иранской ядерной программы. По оценкам, на реализацию только этой атаки спецслужбы потратили от 5–10 млн долларов. Ущерб же нанесенный иранской экономике исчислялся миллиардами долларов.

И современные войны идут не только на полях сражений, сколько в киберпространстве. И когда между отдельными государствами возникает конфликт, первые удары наносятся по информационным ресурсам страны — медиа, телекоммуникационные операторы, финансовый сектор, транспортный сектор и так далее.

Кроме того, мы наблюдаем элементы «гибридной» войны, когда атаке подвергается не только финансовый сектор или нефтяной (как это было совсем недавно в США), но и вмешательство идет в социальные сети — генерируются фейковые новости, взламываются аккаунты лидеров мнений и т.д.

— В целом, есть ли в Казахстане документ или программа, которые предоставят защиту на государственном уровне для нас?

— Одно из наших достижений которым мы гордимся, — это то,  что мы донесли информацию «наверх» и администрация президента приняла программу-концепцию «Киберщит», которая должна была усилить киберзащиту страны. У нас идет бурный рост сегмента e-commerce, банки выходят на международные площадки привлечения капитала, мы уже привыкли пересылать друг другу средства посредством мобильных приложений.

Однако, вопросы финансовой киберграмотности остаются вне внимания большой массы, и соответственно, для хакеров и мошенников это дает поле для деятельности. Мы все пользуемся услугами amazon, yandex и другими ресурсами, в которых используются онлайн-платежи. И в рамках концепции «Киберщит» особое внимание также уделяется образованию населения  с целью минимизировать возможные утечки важной информации со стороны самих пользователей.

Также в рамках данной концепции правительство обязало критично важные ресурсы пользоваться услугами Центров информационной безопасности (Security Operation System).

В результате мы видим, что в мировом индексе киберготовности РК, занимавший в 2015 году 118 место, переместился на 40 место. В первую десятку входят такие страны, как Сингапур, Израиль, Эстония и так далее. Наша же цель — войти в топ-10 согласно методологии этого индекса.

Кроме того, мы стремимся стать цифровой державой и как бы мы не критиковали портал электронного правительства, он — один из лучших в мире. Egov начинался как стартап, а сейчас дорос до очень большого ресурса, которым пользуются практически все граждане нашей страны. Однако, вопросы кибербезопасности зачастую остаются в стороне.

Расскажу на примере. В течение прошлого года мы увидели колоссальный всплеск интереса к приложению ZOOM. И когда начинается стадия бурного роста, то менеджмент стартапов, как правило, концентрируется на вопросах предоставления качественного сервиса своим потребителям. Кибербезопасность в такой стадии остается, как правило, на «задворках» внимания.

То же самое можно наблюдать и с казахстанскими IT-продуктами. Как правило, они уделяют незначительное внимание вопросам обеспечения защиты, так как «первая» скрипка в таких случаях — за коммерческим департаментом, а не за отделом кибербезопасности.

И сейчас множеству казахстанских сервисов, как государственных, так и частных, необходимо «подтянуть» вопросы защиты данных, и мы видим, что так или иначе, во многих продуктах он остается открытым.

— Вы говорили, что в топе стран по безопасности — Эстония, Израиль, Сингапур. Есть ли взаимосвязь между размером государства и вопросами кибербезопасности?

— Не совсем. К примеру, возьмем Израиль. Он фактически находится в состоянии войны. Или Южная Корея, или Эстония, у которой проблемы со своими соседями. Сингапур является финансовым центром Юго-Восточной Азии, и соответственно, для них защита данных является критически важной. Поэтому, отвечая на ваш вопрос, я скажу, что в топе находятся страны, которые находятся в состоянии войны или близкой к ней ситуации.

Казахстан, в свою очередь, дружит со всеми. Но если представить жуткий сценарий конфликта, то вопросы информационной безопасности страны будут крайне важны. При этом надо понимать, что для хакеров не существует понятий государственных границ, они оперируют другими категориями.

— Хотелось бы поговорить о безопасности простых граждан. Есть ли какие-то памятки или программы с правилами? Как себя вести в сети, чтобы минимизировать риски попадания под фишинговые программы или утечку данных?

— Конечно. Существуют основные правила кибергигиены, которые распространены в сети и включают в себя такие простые правила, как «не переходить по подозрительным ссылкам, не заходить на сайты, защищенные сертификатом безопасности, не устанавливать пиратские программы».

О пиратских программах хочу рассказать отдельно — у нас в СНГ любят «халяву» и пользоваться бесплатными программами и играми, и даже операционными системами. В то же время большинство подобных версий содержат в себе «троян» — то есть вирус.

К примеру, в начале нулевых многие пользовались Windows XP ZverCD, в который был зашит вирус по удаленному контролю за вашим компьютером.

Также хотел бы сказать, что антивирус не является панацеей от проникновений извне. Мы на конференциях показываем, что можно создать вирус, который легко обойдет защиту любого антивируса. Цель антивируса — защита от массовых атак, в то время как против точечных проникновений он практически бесполезен.

И последнее, я не устаю повторять, что самое слабое звено — это человек. Когда люди обвиняют банки или другие структуры в утечке информации, как правило, в подавляющем большинстве случаев вина лежит на самих пользователях, которые предоставляют всем номер телефона, email и так далее.

— С другой стороны, в нынешнее время сложно не отдавать свой номер телефона, если ты — социальный человек и твой телефон в сотнях организаций, начиная от государственных и заканчивая банками. Это же практически невозможно — сохранить собственные контактные данные в тайне.

Согласен. Но надо понимать, что и хакеры используют методологию и инструменты big data  и, зачастую, компилируют данные из совершенно разных источников, начиная от небольших онлайн-магазинов, заканчивая крупными государственными базами данных. В этих хакерских группировках могут работать несколько сотен человек, которые занимаются поиском, обработкой и анализом данных, полученных незаконным путем.

У нас подобные утечки были в ЦИК, Генеральной прокураторе, Министерстве здравоохранения и так далее. Соответственно, информация собирается из нескольких источников и формируется цифровой портрет, начиная от состояния вашего здоровья, заканчивая предпочтениями в покупках. При этом проблемой в РК является то, что владелец системы, который допустил утечку ваших данных, не несет никакой ответственности по закону.

В то время, как в Европе есть Общие правила защиты данных (General Data Protection Regulation), согласно которым, если в течение 48 часов вы не сообщили об утечке данных, то вам грозит штраф. У нас же за утечки никто не несет ответственности и это является результатом того, что общество не поднимает подобные вопросы.

— К слову, о защите персональных данных и банковских утечек. Недавно был кейс об утечках персональных данных и непонятно из какого банка произошла утечка, потому что звонили клиентам нескольких банков. Как вы можете прокомментировать это?

— Скажу сразу, что взлом банка, о котором все говорят, — маловероятное событие, так как непосредственно к базе имеют доступ два, может, три сотрудника. Однако, хакеры могут пойти и обратным путем. К примеру, бывают случаи, когда хакеры покупают данные не целого банка, а отделения или управления, в котором работает недобросовестный сотрудник.

Если взломали банк, то в таком случае ограбили бы крупных клиентов, у которых на счетах лежат значительные суммы. Я сомневаюсь, что подобная утечка привела бы к массовым звонкам с целью заполучить небольшие суммы у такого множества клиентов.

С другой стороны, известны случаи, когда у богатых клиентов со счетов крались миллионы долларов, однако, как правило, банки предпочитают о таких утечках помалкивать. Проблема в том, что банки не доверяют правоохранительным органам и редко обращаются к ним с такими проблемами. 

— В таком случае, как подобное могло произойти? Неужели они проводили «фишинг» отдельно каждого юзера?

— Это не обязательно. Мы запустили баг-баунти площадку (Bug bounty) — это система вознаграждений пользователей за найденную уязвимость в системе. Подобные площадки есть у Google, Uber, Facebook и так далее. И подобная площадка у нас работает на национальном уровне — вознаграждение будет выплачено за обнаружение уязвимости в системе Национального банка РК, в других государственных органах, финансовых институтах и так далее.

Существует такое понятие, как «белые» хакеры, которые занимаются поиском подобных прорех в защите различных систем и официально получают  вознаграждение за их открытие.

Бывают случаи, когда система имеет уязвимости через службы поддержки. Мы называем это third party risk, то есть риски сторонних организаций. К примеру, когда вы пишете в службу поддержки банка, как правило, вам отвечает оператор, который работает в специализированном колл-центре, а не в самом банке. Соответственно, сопряженные системы так же важны и могут доставить вам неудобства.

— Видите ли вы какую-то системную уязвимость, присущую для большинства казахстанских компаний. Я имею в виду, в первую очередь, корпоративный сектор. Есть ли какая-то системная болезнь, которая присуща подавляющему большинству и над которой вы сейчас работаете и пытаетесь как бы «закрыть» эту дыру?

— Самая большая системная проблема — это нехватка кадров, и подобные проблемы характерны не только для РК, но и для всего мира. По разным оценкам, глобальный кадровый голод специалистов по кибербезопасности составляет до 30 млн человек. Причем эти специалисты могут быть совершенно разного профиля, начиная от «бумажных» системных администраторов, которые устанавливают вам на компьютер антивирус и файервол, до практиков, которые могут показать вам, как взломать вашу систему. Практиков, естественно, очень мало.

И периодически банки заказывают «белым» хакерам взлом их системы,  так называемый penetration test.

Также в РК имеют значение заработные платы IT-специалистов, особенно в госорганах. Очень тяжело противопоставить их заработки с заработками высокопрофессиональных хакеров, как белых, так и обычных. Поэтому и требовать с них защиту от всех виртуальных атак — глупо.

Более того, заработок посредством хакерства — это бизнес и существуют лица, которые с открытыми глазами инвестируют немалые средства на разработку новых методов кражи информации, используя при этом новейшие технологии — machine learning, artificial intelligence и так далее, не говоря уже о производстве различного рода вирусов.

Кроме того, как я говорил ранее, вопросы кибербезопасности никогда не были приоритетными, если мы говорим о бизнесе в РК. Как правило, они по списку находятся где-то на сотом месте, после процесса генерации прибыли, новых клиентов, и тому подобным вопросам.

— Есть ли какие-либо оценки того, сколько стоит единица персональных данных человека?

— Если речь идет о карточных данных, то, как правило, на даркнете подобная информация стоит от 5–10 долларов за одну карту. Однако, если говорить о стоимости персональных данных в более широком аспекте, то это уже другая история. К примеру, Фейсбук в среднем с одного пользователя зарабатывает порядка 50–100 долларов в месяц. Конечно же, стоимость данных также зависит от того, каким образом вы их используете, будь то маркетинговая стратегия продаж или влияние на выборы президента США.

— Насколько я понимаю, продаваемые данные банковских карт могут содержать в себе и миллион долларов, и долларов десять, то есть случайное число?

— Да, и этот способ зарабатывать также имеет свою экосистему. Есть люди, которые крадут данные, а есть те, кто производит обналичивание средств. Как правило, для этих целей используют бездомных и отправляют их к банкомату. Часть средств, соответственно, оставляют им, а часть — себе.

— Расскажите про защиту персональных данных. В Европе, как вы сказали, есть общие правила защиты данных. У нас же, насколько я знаю, идет разработка закона о персональных данных. Можете рассказать об этом законопроекте?

— Скажу, что мы не принимаем активное участие в законотворчестве. Однако, у меня есть понимание того, что хочет государство. Оно предлагает следующее. К примеру, у вас застрахован автомобиль. И спустя пару лет менеджер этой компании, у которой есть ваши данные, вам звонит и предлагает услуги. Соответственно, вас это раздражает.

И государство в ответ на это предлагает завести базу данных, в котором отражается, у каких компаний и структур есть ваши персональные данные. И соответственно, вы можете сами управлять списком тех, кому предоставлять или отозвать ваши персональные данные.

Бизнес, естественно, выступает против подобных инициатив, так как это усложнит им работу и значительно сократит количество потенциальных клиентов, которым можно отправлять рассылку продуктов или звонить с предложениями, и т.п.

— Как на Западе решается этот вопрос?

— В принципе, в развитых странах применяют схожую схему. Дальше других в этом плане пошла Южная Корея, в которой нельзя без разрешения публиковать фотографию другого лица. Существует специальная организация, которая мониторит социальные сети в поисках несанкционированных публикаций фото, и там этот вопрос на строгом контроле.

У нас же, как это зачастую происходит, на уровне идеи инициатива может быть хорошей, но на уровне исполнения она бывает негативной. Мы это видим не впервые, начиная от Дамумед, заканчивая приложением Ashyq. Поэтому у нас в стране необходимо ужесточить и упорядочить процесс имплементации. 

— У вас есть какой-либо комплекс мер, как минимизировать киберугрозы для Казахстана?

— Подытожим. Во-первых, как я говорил, это — использование баг-баунти, который уже запустили. Мы собрали и устранили уже порядка несколько сотен уязвимостей, благодаря этой акции. Вспомните недавнюю атаку на трубопровод Colonial Pipeline в США. Ведь подобную агрессию могли проявить и к нашим трубопроводам.

Второе, как уже говорил, необходимо решить вопрос с кадровым голодом специалистов. И мы инициировали (совместно с Министерством цифрового развития, инновации и аэрокосмической промышленности РК и Национальным банком РК) национальный киберполигон. На этом полигоне студенты 3–4 курсов делятся на две команды: первая старается защитить ресурс, а другая — соответственно, ее взломать.

Третий вопрос — это наша вера в зарубежные антивирусы и другие системы защиты. Нам необходимо начать разработку собственных подобных решений, так как это — вопрос национальной безопасности, ведь никто не гарантирует, что зарубежные продукты в случае форс-мажора не дадут сбой, или еще чего похуже. Понятно, что первоначально эти продукты будут «корявыми», но со временем они отшлифуются. Опять же, Egov — тому хороший пример.

Когда Россия попала под санкции и один из ведущих центров кибербезопасности ушел оттуда, и банки, и другие структуры оказались без должной защиты. Однако, со временем они разработали собственные продукты защиты, и в этом вопросе более независимы и автономны от продуктов других стран. Нам, как стране, тоже надо идти в этом направлении.

— Хотелось бы спросить, обучают ли у нас кибербезопасности в ВУЗах?

Да, в отечественных вузах есть кафедры которые занимаются подготовкой таких специалистов, — в АУЭС, Astana IT University, Nazarbayev University. Радует также то, что количество грантов, выделяемых на эти специальности, также растет. Однако, есть и проблемы, и главное — это преподаватели, которые, в основном, теоретики.

Для решения вопроса с нехваткой знаний со стороны практиков, мы организовываем конференцию, куда приезжают топовые хакеры, которые делятся информацией, рассказывают об интересных решениях и кейсах.

Насколько я понимаю, специалист по кибербезопасности — это широкое понятие, и внутри него также есть свои «сегменты»…

Конечно. В информационной безопасности множество направлений, есть offensive (нападение) и defensive (защита) направления, есть цифровая криминалистика, есть поиск уязвимостей, и так далее.

Сейчас последнее слово — это поиск уязвимостей в различных девайсах, включая «умные» машины вроде Tesla. Кроме того, в последнее время очень активно развивается направление взлома iOS и Андроид. Однако, насколько я знаю, взломать чей-то телефон — недешевое удовольствие, и на черном рынке подобные услуги стоят 2,5 млн долларов. И все эти байки относительно того, что «муж взломал мой телефон, не зная пароля», — не более чем мифы.

Записала Жәудір Таласбаева

Автор статьи: Данияр Куаншалиев
Подписаться:

Самое популярное

Инфографика

Как Казахстан тратил деньги Всемирного Банка

За 28 лет стране было предоставлено 8,686 млрд долларов на 49 проектных займа
Подробнее

27.01.2021 г.

Бизнес

В «прицеле» регулирования – уличная торговля и еда

Объектом возможного дополнительного регулирования может стать малый и микробизнес, представленный в форматах уличной торговли продуктами питания и приготовленной едой, то есть донерные, базары, «магазины у дома».
Подробнее

29.01.2021 г.

Бизнес

Мукомольный бизнес вступил в противостояние с правительством

Приказом министра торговли и интеграции РК муку первого сорта внесли в перечень биржевых товаров. Это не понравилось экспортерам.
Подробнее

01.02.2021 г.

Инфографика

Карантинный 2020: экономические итоги

Что произошло с отраслями экономики страны и бюджетом за январь–декабрь прошлого года разбирался ThePulse.kz.
Подробнее

05.02.2021 г.

Бизнес

Скрытые миллиарды: сколько зарабатывает ТОО «Оператор РОП»

В кризис в Казахстане активно расцвели всевозможные внебюджетные фонды, подменяющие собой бюджет, но при этом финансово закрытые и непрозрачные перед обществом. Попробуем разобраться в общих чертах, почему, на частном примере.
Подробнее

22.01.2021 г.


ЕЩЕ