Анастасія Апетик, CEO Apetyk Consulting, голова правління МІНЗМІН, юристка, незалежна консультантка з онлайн-безпеки, дає рекомендації держорганам і бізнесу, як убезпечитись від кіберзагроз.
Якими є актуальні напрямки роботи консультанта з онлайн-безпеки в Україні під час повномасштабної війни?
Після 24 лютого до нас часто звертаються компанії з запитами про зникнення грошей з рахунків чи крипто-гаманців, злам електронної пошти чи сайту. Ми пропонуємо їм аудит з цифрової безпеки, експертизу з дотримання законодавства у сфері захисту даних й навчання команд, адже найслабшою ланкою в онлайн-безпеці є людина. Й зараз кожен має стати цифровим воїном, здатним захистити себе у кіберпросторі й таким чином дбати про національну безпеку.
Оскільки через епідемію коронавірусу й велику війну бізнес-процеси перешли в онлайн, люди активніше почали використовувати віртуальні кошти. Й ми маємо багато звернень від фінтех-компаній. Й саме під час війни багато запитів почало надходити від державних інституцій.
З якими питаннями держоргани звертаються і як ви оцінюєте рівень онлайн-безпеки в держсекторі й місцевому самоврядування?
Мені імпонує, що держава почала визнавати проблеми у сфері онлайн-безпеки. Але ситуацію ускладнює те, що в нас немає окремої інституції, яка б відповідала за це питання. Бо в Україні ці функції покладені на Мінцифри, Кіберполіцію, CERT-UA (Урядову команду реагування на комп’ютерні надзвичайні події України), який є частиною Держспецзв’язку.
На місцевому рівні ситуація значно гірша через відсутність розуміння, до яких наслідків може призвести нехтування правилами онлайн-безпеки. Й низький рівень зарплат в цій сфері не дозволяє залучити кваліфікованих фахівців.
Як ви оцінюєте внесок Мінцифри в забезпечення кібербезпеки?
Над питаннями розвитку й промоції онлайн-безпеки із командою МІНЗМІН ми співпрацюємо з Мінцифри з 2020 року. Спільно ми запускали перші освітні кампанії для дітей і дорослих, школи з онлайн-безпеки, розробляли рекомендації для захисту державних інституцій, бізнесу і освітнього середовища. Зараз ми працюємо над новими ініціативами й продуктами. Ми оцінюємо досвід співпраці досить позитивно.
Які види кіберзлочинів домінують в Україні під час великої війни й наскільки часто за ними стоїть Росія?
Я входжу в експертну групу Офісу генерального прокурора, яка працює над питанням цифрових доказів України. Держава має довести причинно-наслідковий зв’язок між ракетними обстрілами й кібератаками на об’єкти критичної інфраструктури. Бо агресор спочатку намагається навести паніку й масово розсилає фішингові листи, й з цією метою часто зламує електронну пошту певної держструктури, від якої ці листи розповсюджуються. Крім цього, Росія провокує паніку в соцмережах. Й дуже часто такі кампанії передують ракетним обстрілам.
Щоб кваліфікувати кіберзлочини під час повномасштабної війни й встановити відповідальні сторони Україна має розробити спеціальне законодавство. Бо наразі окремі відповідні статті відсутні. Але, на жаль, в цій сфері Україні бракує експертів, які одночасно розуміються у сфері технологій і права.
Чи достатнім є рівень онлайн-безпеки українського бізнесу?
Спочатку розповім про показові кейси. У однієї великої будівельної компанія фінансові менеджери працювали на аутсорсі й використовували неліцензоване ПЗ, у тому числі піратський російський продукт 1С. Шахраї надіслали їм фішинговий лист через що в комп’ютері одного зі співробітників активізувалася шпигунська програма. Й оскільки фінансова й персональна інформації зберігалася не в хмарі, а на робочому столі, ці дані отримали зловмисники.
В іншому випадку, у великій компанії зі штатом в 3 тис. співробітників з кожної зарплатної картки довгий час списувалося по 20 грн на місяць нібито за онлайн-захист. Як виявилося, шахраї надіслали фішинговий лист, ʼпідключилиʼ всю компанію до неіснуючої послуги й непомітно висмоктували гроші.
Також розповсюджені випадки перехоплення платежів під час проведення, скажімо, у кафе з відкритим WiFi, де на такі випадки полює хакер. Багато прецедентів дублювання сім-карток фінансових телефонних номерів керівників, особливо, коли цей номер публічний і не прив’язаний до документів особи. Крім загрози для фінансів це несе репутаційні ризики, адже зловмисники отримують доступ й до листування у месенджерах.
Узагальнюючи, можу сказати що великі підприємства, у тому числі об’єкти критичної інфраструктури добре справляються з кіберзагрозами. Адже вони інвестують в технічні рішення й персонал. Але малий і середній бізнес важливість кібербезпеки зазвичай розуміє тоді, коли ʼпожежаʼ вже трапилася.
Що можна порадити підприємствам для забезпечення хоча б елементарної кібербезпеки?
По-перше, необхідний аудит з онлайн-безпеки, який допоможе зрозуміти слабкі і сильні сторони. Треба підвищувати обізнаність персоналу. Має бути розроблена і імплементована політика цифрової безпеки й план аварійного відновлення інформації, щоб кожен співробітник отримав алгоритм дій у кризових ситуаціях — у випадку злому електронної пошти, витоку даних й т.і.
Також варто встановити надійні, відмінні паролі, які краще зберігати у менеджерах паролів, й використовувати мультиаутентифікацію. Організаціям треба розуміти, куди звертатися у випадку виникнення кризової ситуації. Й надалі варто регулярно робити перегляд і оновлення методів онлайн безпеки, адже постійно з’являються нові виклики.
З якими найцікавішими професійними викликами ви стикалися в останній рік?
Важливим проєктом була допомога в цифровій евакуації людей з окупованих територій, й для 250 заявників з державного, громадського й бізнес-сектору нам вдалося надати необхідні рекомендації. Мова йшла про швидке перенесення даних у хмару, алгоритм проходження блокпостів і т.і.
Другий яскравий кейс — навчання усіх прокурорів України навичкам цифрової безпеки. Для них ми розробили відповідні рекомендації й провели швидке навчання в онлайн-форматі.
Яку професійну мету ви ставите перед собою й виходячи з яких показників оцінюєте свій успіх у сфері онлайн-безпеки?
Я люблю свою справу й ставлю мету навчити основним цифровим навичкам мільярд людей. Бо вже зараз 90% робочих місць потребує цифрових навичок, а у кібербезпеці, як я вже казала, найслабшою ланкою є людина.
Станом на зараз мені вдалося навчити основам онлайн-безпеки понад 1 млн українців — держслужбовців, освітян, дітей. Звісно, спочатку ми маємо навчити співгромадян. Але ми можемо застосувати наш досвід й технологічні рішення для реалізації проєктів в інших країнах й вже отримуємо відповідні запити з-за кордону.
На досягнення глобальної мети щодо навчання мільярда людей потрібно, як мінімум, десять років роботи нашої команди. Але більш реалістичний сценарій — 20-30 років.
Ви знайшли помилку чи неточність?
Залиште відгук для редакції. Ми врахуємо ваші зауваження якнайшвидше.
