Олександр Федієнко, голова підкомітету з кібербезпеки Комітету ВРУ з питань нацбезпеки і оборони

Самохвалов запитує

Напад на такого потужного оператора, як Київстар, могла здійснити тільки команда іншого оператора

Для розмови на тему кібербезпеки, актуалізовану нещодавньою подією, журналіст Василь Самохвалов запросив до студії народного депутата України, главу підкомітету з кібербезпеки Комітету ВРУ з питань нацбезпеки і оборони Олександра Федієнка. Проаналізували події 12 грудня, коли мережа зв’язку «Київстар» зазнала потужної хакерської атаки й через технічний збій стали недоступні послуги зв`язку та доступ в інтернет.

Які найбільш показові характеристики того, що трапилося? Чи дійсно атак такого масштабу раніше не було? Які збитки від атаки? Як захиститися на майбутнє? Наскільки висока загроза повторення таких атак? Чи актуальна небезпека для українців залишитися взагалі без зв’язку та інтернету? Про все це – у матеріалі Укрінформу.

- Після потужної хакерської атаки на Київстар президент телекомунікаційної компанії Олександр Комаров заявив, що хакерська атака росіян на Київстар була найпотужнішою в світі. Як ви охарактеризуєте те, що відбулося?

- Ну, це була атака. Дивіться, просто треба звикати всім: і суспільству, і бізнесу, й операторам, що ми живемо у світі, коли кібернетичні атаки поєднуються з кінетичними, як тепер, до речі, відбувається кінетична атака, тобто ракетами. Але ракети мають властивості закінчуватись, бо це ресурс технологій, людей, виробництва і так далі. А є кібернетичні атаки, які не мають обмежень кордонами, не мають майже обмежень за ресурсом і будуть постійно. Всі футурологи, які тепер прогнозують майбутні війни, кажуть, що війни змістяться у кіберпростір, вони вже поступово туди зміщуються, і будуть атаки на критичну інфраструктуру, зв'язок і просто суспільство, до цього потрібно приготуватися не тільки суспільству, а й державам. От Україна зазнала однієї з найпотужніших атак – на оператора зв'язку "Київстар", одну з найпотужніших у Європі, стовідсотково, за всю історію всіх операторів, – кібернетичну атаку, яка призвела до тимчасової зупинки роботи цього оператора.

- Президент Київстару Олександр Комаров також розповів, що хакери зробили це через скомпрометований обліковий запис одного зі співробітників. Поясніть це людською мовою для тих, хто не розуміє, що означає цей набір слів.

- Дивіться, я не підтримую цю версію, з одного боку, але, з іншого, я поясню простою мовою, що це таке, не тільки для Київстару, а й для будь-якого підприємства, навіть для вашого. Тобто, умовно кажучи, якщо у вас тут є якісь комп'ютери, які отримують ті ж фішингові листи від когось, – за допомогою таких фішингових листів формується вразливість цього комп'ютера і кудись зав'язується на людину, яка намагається атакувати канал зв'язку.

- Ви зараз повели нас на специфічний трек, ще б людям пояснити, що таке фішинговий лист.

- Фішинговий – це шкідливий лист, який або може вимагати у вас гроші, або закодувати ваш комп'ютер, або бути шкідливим програмним забезпеченням, яке сформує доступ до вашого комп'ютера для шкідника. Коли формується такий доступ, то людина, яка сформувала цей доступ, заходить у ваш комп'ютер, а ваш комп'ютер підключений всередині вашої мережі, – й звідти починає розвивати атаку. Тобто атака відбувається не ззовні, а саме зсередини… Всі просто будують захист, вони будують периметр ззовні, так звані фаєрволи, це механізми захисту, а от є ще атаки зсередини.

- Я можу спробувати пояснити людям, що фішинг – це коли вам присилають оці листи від людей: подивись, який ти маєш вигляд, або перевір свій рахунок, або ще щось. Ви там на різні пропоновані вам посилання необачно натискаєте. І так люди отримують доступ до ваших комп'ютерів, девайсів, банківських рахунків тощо і, в принципі, – це є та лазівка, яка дає вам змогу проникнути в систему. Я все коректно пояснив?

- Спочатку дістаються до комп'ютерів, девайсів, а потім викрадають гроші.

- Ясно. Про версії. Ви сказали, що не підтримуєте цю версію. У мене теж свої версії, точніше, читав про різні версії. Наприклад, одна з них – що були різні софтверні рішення – й це залишило свій слід у системі безпеки Київстару. Чув також, що насправді це не вкрадена була історія, а фактично це покладалося на людей, які працювали в системі безпеки, тобто  не тирили паролі, умовно кажучи, а хтось цілеспрямовано спрацював. Як вважаєте ви?

- Я спробую пояснити простою мовою. Я ще припускаю такий злам цифрової системи, якщо ми кажемо про якогось невеличкого оператора або якесь невеличке підприємство, де невеличке інфраструктурне рішення… Якщо ми кажемо про системи, як-от рівня мобільного оператора, – це величезні бази даних, величезні механізми програмної комунікації, різноманітний набір обладнання. Й є Хуавей, Еріксон, Нокія і т.д., це все фахівці різні (щоб ви розуміли, з базами даних різні фахівці працюють). Це еволюційний розвиток,  було 2G, 3G, а це різні технології, 4G і т.д.

- І за кожну з них відповідає окремий фахівець?

- За кожну з них відповідає певний фахівець, це точно не хакери, одразу кажу, що це – не хакери. Я вважаю, що це – команди, я свою версію так і залишаю за собою, що це команда якогось оператора, умовно, можливо, якусь дірочку хтось і знайшов десь. Але далі напад, руйнацію такого оператора могла зробити суто команда іншого оператора, яка добре розуміється на тому, як працювати в мережі.

- Російський слід тут може бути?

- Чому ні, звісно, може бути. Ви все правильно сказали. Ми ж не знаємо, які там були правила безпеки, коли, наприклад, російський оператор, той же «Білайн», мав доступ до мережі «Київстар».

- Наскільки я знаю, читав, що ця мережа – фактично одна для двох споріднених компаній, одна якась працювала в Росії, друга – в Україні.

- А це ж ще можна не тільки про обладнання казати. Його ж виробляють в одній країні, але постачають у дві країни, вендор обслуговують дві країни. Інколи, це не таємниця, оператори (неважливо, який це оператор) дають доступ до свого обладнання тому вендору, бо інколи треба в гарячому режимі відпрацювати якусь аварійну ситуацію, переписати програмне забезпечення, ще там щось зробити, – і вендор має доступ. Можливо, вийшов доступ саме з якогось комп'ютера вендора, філософствувати ми можемо багато.

- Тобто, в сухому залишку, ваша гіпотеза полягає в тому, що люди, які робили це, дуже обізнані саме на роботі мобільних операторів.

- Виключно, і це точно не звичайні хакери. Я взагалі їх хакерами не можу назвати.

- Зрозуміло. А тоді поясніть, там говорили про те, що знесли ядро… Відкотили станції, ще щось. От людською мовою поясніть, у чому зв'язка. На прикладах якось можна пояснити, що сталося?

- Ну от, є базова станція, між базовою станцією і центральним вузлом (або його називають ядро) – якийсь канал, по якому бігає інформація. З того, що я бачив, ті скриншоти, що бачив, – зрозуміло, що вони мали доступ.

- Скриншоти, які хакери ці виклали.

- Зрозуміло, що це неповний скриншот і, можливо, навіть не належить до цієї атаки, але водночас вони валідні, там чітко видно, що вже двомісячної давнини деякі. Тобто, найімовірніше, що це відбулося тривалий час. Одна команда працювала от з цим каналом, де бігають інформації, друга команда, можливо, працювала з ядром і обладнанням. Але, думаю, їх якось вирахували і почали локалізовувати. І коли вони зрозуміли, що їх розкрили, вони поклали все, просто видалили все. Ядро все є на віртуальних машинах, тобто в віртуальному просторі, назвемо це в «хмарі». Звісно, якщо вбити всю «хмару», оцей віртуальний простір, то вся інформація зникає. Дуже добре, як з'ясувалося, що все-таки росіяни брехали, але (копії) у Київстару знайшлись. Я не знаю, де вони їх взяли, але вони молодці, молодці! Тут треба похвалити цю команду, принаймні вони вже на третю добу, думаю, на відсотків 70 відновили роботу мережі.

- Які є збитки і якими ці збитки будуть?

- Цікаве питання. Дивіться, тут є збитки прямі, непрямі, недоотриманий прибуток і т.д. Якщо ми кажемо про Київстар, – це збитки.

- І про Київстар, і про країну.

- Про Київстар, по-перше, це – репутаційні збитки, по-друге, це – недоотриманий прибуток. По-третє, вони ж будуть компенсувати, щоб втримати обличчя. Це теж відповідні будуть витрати, тобто для Київстару це буде отака історія. А для країни в цілому – це відсутність комунікацій, для бізнес-підприємств – це зупинка підприємств, поки вони там переходили на інший канал зв'язку, і це – теж недоотриманий прибуток і т.д. Тобто, якщо в цілому спробувати порахувати, у скільки це вилилося нашій країні, на жаль, це буде майже неможливо. Тому тут ніхто, я думаю, можливо, хтось і буде називати вам ці цифри, я точно не можу їх назвати. Бо навіть якщо згадати, що у Львові не могли погасити ліхтарі, – це теж вартість.

- Ну, банкомати не працювали, карткою неможливо було розрахуватися.

- Ну, банкомати – це трохи така історія, вона не масова була, а от більше мене хвилювала…

- Там, де, наприклад, інтернет був заведений у магазини, київстарівський.

- Так, більше мене хвилювало, коли все ж таки зупинялися величезні корпорації. Той же Київстар, він же вже в першу годину міг між собою комунікувати, щоб ви розуміли, дякуючи іншому оператору, який швидко перекинув їхнім працівникам свої «сімки», – вони хоч відновили комунікацію між собою. Це, до речі, приклад усьому суспільству, що бажано в телефоні мати дві диверсифікації.

- Ясно, пішли далі. Як захиститися на майбутнє?

- Якщо казати про звичайних громадян, я – як на початку війни, так і зараз – можу порадити мати все ж таки фізично дві сім-картки. Забути про всі ті роумінги, мемпі й т.д., мати дві сім-картки, бажано, може, навіть три – всіх трьох мобільних операторів. Тоді принаймні у вас завжди буде канал передавання даних, тобто інтернет, і ви будете завжди або в інтернеті, або працюватимуть ваші месенджери і т.д., це нормально.

- А зробити так, щоби всіх операторів одним махом покласти, я ж пам'ятаю, що в лютому казали, що протягом години двоє росіян покладуть весь зв'язок. Наскільки це можливо?

- По-перше, дивіться, тепер Європа, до речі, вивчає унікальний досвід і переписує всі свої методички і як Україна втримала зв'язок, і це офіційна історія, досліджують наше питання. По-друге, Україна – єдина країна в світі, де зв'язок вибудуваний таким чином (не кажу про мобільних операторів, а про фіксованих операторів), що покласти його дійсно неможливо. Хоча триденні блекаути засвідчили про те, що... зв'язок фрагментарно десь пропадав, але, в принципі, люди були завжди на зв'язку. Але покласти – я вже не вірю, покласти всіх трьох операторів, – гіпотетично все можливо в цій країні, ну не в усій країні, а в ці часи, розумієте, завдяки різноманітним фізичним, кінетичним, кібернетичним атакам. Але я в це мало вірю.

- В Київстарі (ми закінчуємо про Київстар, переходимо до України) стверджують, що витоку персональних даних через атаку не було. Чи є вірогідність, що насправді стався цей витік? Як відбувається збереження, шифрування персональних даних?

- По перше, скажу, що ні спростувати, ні підтвердити це я не можу, і навряд чи вам хтось про це скаже. Ті, хто займається кібербезпекою, вони зазвичай до таких ситуацій ставляться за принципом «вже скомпрометовані». Тобто, умовно кажучи, якщо мій номер Київстару є фінансовий або застосовується для двофактор-аутентифікації, я його змінив одразу, змінив усі паролі, бо він для мене скомпрометований. Стався витік, не стався витік, – це правила, які потрібно виконати, до речі, всім громадянам, всім підприємствам і так далі.

- То що тепер треба зробити?

- Ще раз хочу наголосити, щоб потім не казали, що там Федієнко сказав, що вони скомпрометовані. Я не знаю, скомпрометовані вони чи ні, але є правила. Якщо цей телефонний номер у вас використовується як фінансовий, як номер валідації.

Під фінансовим номером ми маємо на увазі те, що ви його вказали як вхід у банківську картку, банк-ІD.

- Або в пошті вашій електронній.

- Або в пошті, або коли, наприклад, офіс 365, коли приходить смс-підтвердження, тобто будь-яка історія, де приходить смс-підтвердження на цей номер, – цей номер потрібно змінити.

- Номер потрібно змінити чи треба тепер змінити всі паролі?

- Паролі, номер, все потрібно змінити.

- Ну, це – непроста історія.

- Непроста, але питання безпеки – значно дорожче, аніж потім наслідки.

- Це ж всі сервіси, у мене, наприклад, зараз є передплата, то як?

- Це ж ваша історія.

- Я щасливий власник Київстару. Що мені робити? Просто сісти і цьому присвятити два дні, щоб перебити номер свій?

- Дивіться, це ж ваша історія.

- Моя.

- Світ живе за принципом ризикорієнтованого менеджменту, тобто це – ваші ризики. Ви собі сидите і думаєте: зміню тільки пароль. Окей, змінили паролі – можливо, цього і вистачить, можливо, номер не скомпроментований, можливо, нічого й не буде.

- Я до вас, як до лікаря, приходжу, питаю, що мені робити…

- А я одразу, як лікар, вже назвав діагноз, що треба зробити. Бо всім колегам, з якими працюю, я порадив: принаймні скрізь паролі стовідсотково треба змінити.

- Ви мене просто зараз не втішили.

- Це життя.

- Закінчуємо. Одночасно була ще атака на Монобанк. І питання: це була атака чи просто всі побігли? Він заявив, що це дос-атака. DoS (DDoS), в принципі, пояснити людям потрібно, що фактично це просто збільшення навантаження на інтернет-ресурс, і він не працює не тому, що його поламали, а тому що перенавантажився.

- Можна сказати, що це, наприклад, вхід у якийсь тунель, який має здатність там десять людей пропустити, туди прибігли сто, і сто перший уже не може туди попасти.

- У нас такий трафік з'явився. От і Монобанк каже, що йому вдалося. А от що, на вашу думку, – це просто люди побігли в Монобанк?

- Я думаю, що ніхто нікуди не біг. До речі, дякуючи всій цій ситуації… Люди наші настільки адаптувалися, що панік взагалі не відбувається. Я навіть не помітив глобальної паніки, коли впав Київстар. Так, люди побідкалися, але одразу, не називатиму цього оператора, щоб не було реклами, він зробив… Він мені каже: дивись, я продав за день річний запас «сімок».

- Так, я знаю таку історію, тому що той самий Монобанк казав, що «сімки» закінчилися.

- Вибачте, але вони дуже швидко, через день, нові «сімки» вже запустили в Монобанк. До речі, якщо оновити додаток Монобанку, там же був раніше тільки Лайфселл, а вже з'явився й Водафон. Дуже швидко, але на Монобанк була дійсно DoS-атака. Дякуючи тому, що інфраструктура Монобанку є в «хмарі» за кордоном, вона безпечно витримала, питань узагалі немає, до речі.

- Ми всі пам'ятаємо численні атаки на українські урядові сайти перед 24 лютого, коли почалася кібервійна проти України.

- Я думаю, що кібервійна почалась, як тільки з'явилась Україна, і як тільки з'явилося слово «кібер». Дивіться, якщо хтось думає, що кібератаки, вони таке, знаєте, – то є, то немає...

- З середини 1990-х, коли інтернет добре налагодив роботу?

- Ще не було тоді слова «кібер», то були комп'ютерні атаки, так називалося. А потім воно вже перейшло в термін «кібер», і воно вже тоді стало як мережеві атаки. Як тільки почала створюватися  мережа, як тільки в мережі почала з'являтися інформація, одразу почалися атаки. Це були атаки з точку зору руйнації мережі, це були атаки з точки зору закладання якихось там програм-«черв'ячків» – для того, щоб просто мати доступ до інформації, мати доступ до мережі, взагалі, щоб слухач розумів, що атакувальний зазвичай не має на меті зруйнувати інфраструктуру. Навіщо це робити? Краще контролювати інфраструктуру, краще володіти інформацією, яка там з'являється в цьому закритому середовищі для того, щоб потім якось розпоряджатись, впливати і т.д. ...Далі вони починають контролювати цю атаку, трошечки локалізувати, підкладати іншу інформацію. Це ціла процедура така, яку слід розуміти. Але коли атакуювальний розуміє, що все – його вже вирахували, він іншим чином діє.

Тому, якщо ми кажемо про державний сегмент, там є трошки Держспецзв'язку, (Державна служба спеціального зв'язку та захисту інформації), там серф.юа вже діє... і наскільки я можу зараз згадати, жоден державний сайт з початку повномасштабної фази не зупинився. На початку там були якісь речі, але тепер майже всі вони працюють бездоганно.

Це якщо ми кажемо про державні інституції, а приватний бізнес – це вже інша історія. Приватний бізнес працює, знову ж таки, за системою ризик-менеджменту, коли вони репутаційно розуміють, що вони можуть втратити репутацію, гроші, – і вони самі вибудовують периметр кібербезпеки і кіберзахисту. Це теж нормальна практика. Я вважаю, що держава не повинна регулювати будь-що в бізнес-середовищі... Лиш у разі небезпеки –  контролювати питання виконання загального питання кібербезпеки.

- От ми пам'ятаємо, шо перед війною – що у нас було, «Прикарпаттяобленерго», у нас був вірус цей, «Пєтя», який насправді дуже сильно вдарив по державних установах, багато в чому, я пам’ятаю. А чи можна говорити, що за цим стояли росіяни?

- Ну, звісно, так, це ж уже підтверджений факт. Є навіть присвячена цьому книга, яка описує саме те угрупування хакерське, яке створило ці атаки. Це було російське угрупування, той же ж вірус «Пєтя» – він же був закладений за пів року перед цим. Але вже коли там зрозуміли, що вже їх вирахували, – просто спрацював тригер зупинки всіх цих історій. Але дивіться, державні установи зреагували дуже швидко на це, тобто вичистили і зробили там периметри безпеки і т.д. Комерційні підприємства теж достатньо швидко – ще швидше, аніж державні. Якщо ми кажемо про обленерго, дякуючи Міністерству енергетики, також були запроваджені правила політики з кібербезпеки. Тобто, ми вчимося, умовно кажучи, на власних, на жаль, помилках, але коли ми вчимось, то вибудовуємо такий захист, що багато хто вже у нас вчиться.

- Наскільки ми тепер є вразливими? Чи можуть вони зупинити атомну електростанцію віддалено, чи можуть погасити енергетику нам віддалено або нашкодити Укрзалізниці?

- Дивіться, якби вони могли – то вже зробили б, будьмо реалістами.

- Вони ж з Київстаром зробили. Може, вони сидять вже й там?

- Київстар, розумієте, – це об'єкт критичної інфраструктури, як атомна станція і т.д.

- І Київстар – теж критична інфраструктура? Ну, для країни зв'язок – критична інфраструктура?

- Вони не визначені як об'єкт критичної інфраструктури юридично. Це все ж таки не тільки юридичний термін, а й відповідні правила, які покладають, вони визначені як критично важливі підприємства, це трохи різне. Але якщо ми кажемо про атомну енергетику, вони мають периметр непідключень до інтернету, вони в захищеному колі перебувають.

- Це означає, що вони «відрубують» все довкола – і самі собою живуть.

- Дивіться, цього немає: звісно, там є якісь механізми доступу, знову ж таки без виходу в мережу «Інтернет» і локалізовані всередині таких об'єктів, периметр теж безпеки є. Тобто, умовно кажучи, якщо бухгалтерія має доступ до інтернету, то ця бухгалтерія не підключена до загальної системи керування станцією, наприклад, і там є чіткі правила безпеки взагалі. Я завжди казав і кажу, що ламають не систему, а ламають людей.

- Поясніть.

- Пояснюю. Дуже простий приклад з мого кейсу, коли ще я не був народним депутатом, але був витік інформації в одному військовому відомстві, й ми дуже довго локалізували і шукали – як сталося витікання з закритого периметру... Але був знайдений ноутбук в одного з офіцерів, який дуже любив переглядати фільми. Якось, не пам'ятаю точно, йому був подарований, проданий доступ. І він те підключення увімкнув у периметровий ноутбук – і таким чином побудував канал зв'язку, тобто далі увійшли просто через цю флешечку в ноутбук, який уже є в безпечному периметрі, повинен бути, – і далі зламали систему. Тобто, зламали спочатку людину, умовно кажучи, підсунули йому ту флешечку і т.д., а потім далі вже увійшли. Тому я й кажу: ламають отаким чином, не фізично, звісно, а все ж таки через людей...

- Як побудована наша кібероборона, що ми маємо зробити і посилити, кого захистити?

- Дивіться, те, про що я казав, буду казати, якщо ми говоримо про державний сегмент, він мене найперше цікавить. Ми повинні запровадити фахово таке, як фахівці з кібербезпеки в кожній державній установі. На жаль, у нас такого немає. Це треба визнати.

- Це мають бути такі злі-злі дядьки, які ходять і всіх змушують?

- Боже збав, це повинні бути такі «параноїки». Це люди, які розуміють, як відбувається кібератака, вміють вибудовувати периметр захисту. Але в ситуації,  коли ось отут сталася атака на якесь міністерство, а всі інші міністерства про це не знають – це неправильно. Повинен бути єдиний механізм реагування на всі ці історії. У нас, звісно, є серт, але вони повинні обмінюватися цією інформацією, вибудувати командну роботу й т.д. І, найголовніше, я вважаю, – потрібно запровадити все ж таки відповідальність, бо у нас відповідальності так досі й немає, до речі. Пам'ятаєте, була історія, коли в податковій втратилось щось два роки якось податкової звітності, ну втратилась і втратилась – і все.

- Миші з'їли...

- Миші з’їли, так. Але щоб за це нічого не було – такого не повинно бути.

- Тепер тут багато хто пише, що все показав цей кейс, що диджиталізація – це погано, що потрібно, в принципі, все зберігати на папері. Як ставитися до таких закидів?

- Це ще більша параноя, ніж у мене. Хто б там що мені не казав, але в цифровому просторі завжди залишається цифровий слід. Вичищають там тіло, не вичищають тіла – вони залишаються взагалі. Скомпрометувати цифровий документ значно складніше, аніж паперовий. Тому все ж таки я вважаю, що нам потрібно ще більше розвивати цифровізацію. Але інколи люди плутають цифровізацію як сервіси і цифровізацію як мережі. Ми ж не кажемо про безлад. Мережа може бути скомпрометована, але той же додаток «Дія», який хтось любить, хтось не любить… Є прихильники додатку «Дія», неприхильники. Я скільки років вже народний депутат – постійно до всіх звертаюсь: подайте на моє ім'я звернення. І, до речі, тепер звертаюся у вашій програмі: дайте мені звернення, підтверджене, з компрометації додатку «Дія».

- Поговорімо про Дію. У січні 2022 року з’явилася інформація про витік персональних даних з порталу «Дія» внаслідок хакерської атаки. Тоді Мінцифри заперечило цю інформацію. От ви кажете, що це – неправда.

- Це – неправда.

- А, в принципі, наскільки добре захищена Дія? Варто ще раз пояснити, що це означає. І, крім Дії, наскільки у нас добре захищені реєстри?

- Ви вже зазначили, що «Дія» – це додаток... Всі чули.., що система, яка просто коли ви в додатку «Дія» пишете щось, далі біжить в реєстри, і там купа цих реєстрів, і збирає цю інформацію, і потім вам просто у віконечко віддає. Я завжди кажу: якщо ви дивитеся телевізор і у вас розбитий екран, студії від цього постраждають чи ні?

- Ну Дія ж має ключик в реєстр?

- Ні. Там все не так працює. Тому якщо, наприклад, атакують Дію...

- Тобто їх у віконечко видають?

- Приблизно так... Є, скажімо, «нічий» телефонний номер (неідентифікований). Людина, купуючи, цей телефонний номер, каже: це щоб за мною держава не слідкувала… От все погано. Окей. Але в оператора цей телефонний номер – нічий. В банк людина йде з цим телефонним номером, і банк просить паспорт, там все, відбитки пальців, і одразу цей телефонний номер у банку стає ідентифікований до цього паспорта. Але в оператора він нічий. Злочинець це розуміє. Проходить до оператора і каже, що це – мій телефонний номер, для оператора це – нічий телефонний номер. Але якщо там вже він, є відповідна соціальна інженерія, механізм та ін. Оператор міг зробити помилку… Тепер вже ні, трохи ми прикрили цю дірочку, але випускають дублікацію «сімочки». Людина вставляє – і перехоплює на себе все, що там Монобанк, Приват, Дію та ін. Це відбувається компрометація чого? Додатків «Привату», «Монобанку», «Дії»? Ні. Це відбувається компрометація саме людини, яка чомусь використовує для фінансових послуг неідентифікований телефонний номер...

- Не хоче нічого повідомляти державі зайвого про себе.

- А в банку вони хочуть.

- Це не хочуть, мусять.

- Але ж коли вони приходять в поліцію, поліція проходить куди найперше? До оператора. А оператор каже: так це – нічий номер. Це не його номер. І все – коло замкнулося.

- Як ви ставитеся до Дії?

- Я нею користуюсь. До речі, у мене в телефоні є Дія. Не знаю, у мене немає поки що негативного досвіду з погляду, що вона мені якось заважає жити, або якось через Дію був я скомпрометований.

- Зрозуміло. Україна теж здійснює атаки на російські об'єкти. Днями ГУР повідомив про успішну кібератаку на податкову службу Росії. Я, до речі, намагався зайти на цей сайт, податкової службу Росії. Він висів. Але наскільки ми там залізли всередину, я не знаю. Питання таке: хто у нас цим займається? Наскільки успішно? І наскільки є успішними наші «кавалерійські» атаки на російську територію?

- Це такі питання, на які важко відповідати. Я вам поясню чому. По-перше, у нас немає кіберсил і кібервійськ офіційно в країні. Їх просто немає.

- Я читав про кіберармію.

- Я тільки хотів сказати: у нас є кіберармія – «айтіармія» вона називається. Але це не військове формування, це звичайні громадяни України, які там об'єдналися між собою. Тобто, це історія, не пов'язана з державою. Це патріоти, ІТ-фахівці, волонтери, які об'єдналися і щось там роблять. Це одна історія. Навіть більше, Україна має оборонну доктрину.

- А що, у нас нема людей в погонах, завдання яких..?

- Україна має оборонну доктрину, але в рамках цієї оборонної доктрини, звісно, Україна має право проводити відповідні операції, які ми, до речі, проводимо. У нас є чинний закон «Активна протидія в кіберпросторі». От в рамках цього закону «Активна протидія в кіберпросторі» ті установи, які там виписані, наприклад, ми кажемо про... співтовариство і Держспецзв'язку, вони можуть проводити якісь активні дії у кіберпросторі. Все, що можна, цей досвід щодо компрометації у росіян цього ресурсу, я, чесно кажучи, його не досліджував. Якщо воно так є, то це добре. Все, що б не зробив для росіян, я радію. З точки зору поганого я радію.

- Якщо порівнювати успішність російських кібервійськ, як це краще назвати, – хакерів, хакерів і українських, то на чиєму боці перевага?

- Ніхто не дасть вам на це відповіді. Люди, які працюють в цій сфері, про них ніхто не знає. Вони намагаються не хизуватися своїми перемогами.

- Я бачу повно телеграм-каналів, які викладають скріни: ми там те поламали, те поламали.

- Це, як кажуть, фрик. Є такий «мамкин хакер», я не дуже його прихильник.

- Син мамкиної подруги.

- Так... Якщо хакерів команда, вони ніколи не напишуть про те, що вони мають, наприклад, доступ до урядового зв'язку, яким спілкується президент. Взагалі ніколи. Вони ніколи не напишуть, що вони мають доступ до банківської системи Нацбанку, кудись там ще. Вони просто будуть там сидіти, збирати, контролювати і через афільовані структури якось намагатись щось робити, впливати та ін. А от такі, як «Солнцепек» та ін., от вони в телеграм-каналі «лайки» собі збирають.

- А як ви оцінюєте, ми нормальні, потужні, ефективні?

- Дивіться, у нас кіберкоманди...І, до речі, оця ситуація, яка тепер сталась, дякую цим кіберкомандам, які все ж таки, майже більшість з них пішли працювати, мобілізувавшись, в державні установи, хоча до активної фази війни вони були проти державних установ і т.д. А тепер вони працюють, їм честь і хвала.

- А як от всі ці штучні інтелекти, все, що розвивається, впливає на кібербезпеку?

- Це те майбутнє, з яким ми будемо жити. І років дев’ять тому я написав статтю, називається вона «Машини вбивають людство», щось таке, це саме про ІТ, інтернет-речі, штучний інтелект і т.д. Де, коли, штучний інтелект вже перехопить керування над людством, людство вже нічого не може зробити. Ілон Макс, десь місяці три тому в нього було інтерв’ю, він казав, що коли ми кажемо про штучний інтелект шостої генерації, його потрібно почати регулювати всім державам.

- Тому він є, по-моєму, одним з інвесторів теж якоїсь розробки.

- Але водночас він розуміє, що це таке. Я бачу, як зростає потенціал штучного інтелекту. Дивіться, до речі, оця кібератака, вона ж теж зруйнувала елементи інтернет-речей. Це ті речі, які дають змогу нам комфортно жити, працювати підприємствам і т.д., це ж технологічні речі. Наприклад, штучний інтелект не зміг зібрати і проаналізувати з сенсорів інтернет-речей дані – і дає команду на перекриття. Умовно кажучи, це якраз ті наслідки, про які там ми можемо багато казати. Тому така от історія.

- Зрозуміло. Які державні структури відповідають за кібербезпеку в Україні і що роблять? Типу, є у нас військові, Держспецзв’язку, у нас є служба, кіберполіція. От як виглядає цей ландшафт, і хто за що відповідає?

- Все дуже просто. У нас є закон про основні засади забезпечення кібербезпеки. Не подобається мені закон, рамковий закон, але принаймні там хоча б визначені основні суб’єкти кібербезпеки: Національний банк, кіберполіція, Генеральний штаб, Міністерство оборони, там розвідувальні співтовариства і т.д. Далі все дуже просто, є закон про критичні інфраструктури, мій закон, і далі на секторальному рівні, а це сектори, кожна така установа відповідає за кібербезпеку на своєму секторальному рівні. Але при цьому у нас закон про Держспецзв’язку, де чітко виписано, що вони формують політику кібербезпеки. Тобто політику з кібербезпеки для всіх установ формує Держспецзв’язку.

- Це означає, що вони пишуть всім правила. Нормативні інструкції?

- Це означає те, що вони беруть європейські корективи та імплементують їх на нашу реальність.

- Гаразд. А чим займається СБУ, чим керується кіберполіція? І чи вони одне одному не заважають?

- СБУ – це контррозвідувальна діяльність, у них є свій департамент, і, звісно, вони теж займаються кібербезпекою. Всі займаються кібербезпекою, це дуже модно.

- У нас РНБО щось має там.

- НКЦК – це нормальна історія, Національний координаційний центр кібербезпеки, але це контррозвідувальна історія. Чому ми кажемо про СБУ? От тепер СБУ займається, дуже-дуже важливо, яка підслідність цієї статті, так. Якщо це стаття СБУ, то займається СБУ. Якщо це стаття шахрайства, то займається кіберполіція.

- От тепер Київстар, якщо наламали, якщо ми тепер скажемо, що це – росіяни, то це, найімовірніше, буде тероризм, це підслідність СБУ, так?

- Так, це буде СБУ. Але якщо украли в когось гроші з банківської кратки, цим займається кіберполіція. Тобто тут справа в тому, що сам термін «кіберполіція» багатьох вводить в оману, що вони відповідають за кібербезпеку. Ні, вони не відповідають за кібербезпеку, вони відповідають тільки за кібершахрайство.

- А хто ж у нас тоді відповідальний за кібербезпеку?

- Я ж вам тільки що сказав, що якщо ми кажемо про країну в цілому, – це Держспецзв’язку.

- А військо, а ГУР?

- ГУР, у них свій департамент, який відповідає за це, це об’єкти критичної інфраструктури, назвемо це так, щоб було простіше вашим слухачам. Міністерство оборони, Генеральний штаб, у них у всіх є свої департаменти, які відповідають за безпеку саме цієї інфраструктури Міністерства оборони, інфраструктури Генерального штабу і т.д. А правила на них накладають, загальної взаємодії, Держспецзв’язку. Всередині вони можуть запроваджувати що завгодно.

- А наскільки вони підзвітні? Вони це мають виконувати чи..?

- …Вони мають проводити аудит, звітувати раз на рік, але, як каже мій досвід, цього не роблять.

- Цікаво. Як бізнес допомагає державі?

- Податками.

- Окей. Який бізнес допомагає державі в галузі кібербезпеки?

- Тепер є такий закон 3087... Це добре, що у нас свідомий бізнес, навіть без цього закону, багато свідомого бізнесу допомагають оцим питанням, як фахівцями, так обладнанням, каналами зв’язку і т.д., тобто допомога є. Але коли війна завершиться, то мені буде цікаво, що буде далі, чи скаже бізнес: «Окей, ми далі вам допомагаємо безкоштовно». Чи все ж таки ми встигнемо ухвалити закон, яким буде цивілізовані привила ухвалювати держава приватного партнерства. Коли, наприклад, бізнес навчає державних фахівців, які, до речі, повинні бути високооплачуваними. А за це вони зможуть отримати якісь податкові пільги, якби нормальна історія.

- А так були історії, що там бізнес брався допомогти будувати нормальний периметр комусь або казав: «Добре, у нас є люди, які можуть зруйнувати або зайти за чужий периметр». Чи є у нас такі історії?

- Це знову ж той самий закон 3087, Bug Bounty. Bug Bounty – це якраз те, що ви казали: спецперевірка стійкості мережі, воно межує з Кримінально-процесуальним кодексом.

- Білі хакери, чорні хакери, сірі?

- Білі хакери… У нас цим законом не врегульовано. Дивіться, це ж не така просто історія – допомагати. Так, звісно, ІТ-команди входять, коли відбувалися величезні кібератаки, вони входили в групу реагування і розбирали там в рамках своїх можливостей і допуску, бо це ж все-таки таємничі історії. Тепер трохи менше, бо ж багато мобілізували фахівців ІТ-компаній. Дякуючи, принаймні вже тепер, ТЦК, що все ж таки таких людей не відправляють в кулеметники… А все ж таки до відповідних фахових підрозділів. Я, до речі, можу сказати кілька прикладів. До мене звернулися мої колеги. Людині прийшла повістка, він десять років пропрацював у «хмарах», з величезними «хмарами» світовими, взагалі таких штучних, що просто капець… ЦВК відправив на англійській мові, ну, що це, – там якось не дуже вдало.

- Перекладачем?

- Та, ні, він просто відправив, він просто зник в бізнесі. Але дивіться, коли ми там підчепили цю історію, то тепер, я не буду казати, це військове формування, два департаменти цього військового формування боряться за цю людину. Яка конкуренція була – отримати такого фахівця, він же прийде на час мобілізації, там все побудує, відновить.

- Куди тепер ідуть служити айтівці? І як? Тому що я знаю, що багато айтівців бояться цього ТЦК. Чи треба його боятися, чи ні?

- Ну, найперше, питання – обов’язок, чи треба боятися, чи не треба. Обов’язок кожного громадянина і т.д. Але для мене дуже важливо, щоб вони були там, де вони фахові… Кулеметник або водій, хоча в нього там військовий...

- Ніхто не народжений бути кулеметником.

- Я вас розумію. Але дивіться, людину, яку вчили 20 років, вона може принести користь саме там, де вона може принести користь, розумієте. Вона може вибудувати там кращий периметр безпеки, вона може побудувати кращу мережу, вона може розробити і запровадити краще ІТ-рішення, розумієте? У нас же є там Очі, Дельта, Палантір, Кропива і т.д. Це ж всі ці програмні застосунки, які потрібно комусь підтримувати.

- Яким критеріям (ви трошки сказали про Європу) в сфері кібербезпеки має відповідати Україна для членства в Євросоюзі? Що зроблено, що ні, які директиви нам потрібно буде реалізувати і, може, ще який наш досвід потрібний європейцям?

- Я б навіть сказав не так: що Європа повинна зробити, щоб дотягнутися до нашого рівня.

- Це пізнавально. Добре, тоді так: одне – чого ми можемо навчити європейця, а друге – чи ми маємо щось змінити в нашому житті, щоб увійти до Євросоюзу?

- Формально ми повинні ухвалити так звану НІС2 директиву, – це директива безпеки, кібербезпеки. У нас вона формально виписана в тому ж таки законопроєкті 3087, якщо ми кажемо про формальний бік для інтеграції. Але на всіх профільних заходах таких я буваю, вони всі кажуть: ми вивчаємо ваш досвід. Це трохи непублічна історія. Розумієте, Україна – це єдина країна у світі, на якій тренуються всі команди, атакуючи принаймні...

- У росіян, може, теж тренуються корейці чи китайці.

- Дивіться, через росіян, – це ви кажете, я не можу казати, щоб міжнародного скандалу потім не було.

- Я просто припускаю.

- І ми вдало це відбиваємо. Тому оцей досвід, який ми накопичуємо, розумієте, саме з механізмів побудови периметрів, механізмів формування безпеки, механізмів команд реагування, обміну і т.д., – це той самий досвід, він унікальний, ви розумієте. Це про те, що він сказав, так, ми можемо ухвалити формально НІС2 директиву, формально ми і так майже все ухвалили, що вони, до речі, просили, європейці.

- Тобто ми галочки для вступу до Євросоюзу поставили.

- У нас всі галочки є. Там тільки треба голоснути і все, щоб це ухвалили в цій каденції. Я не знаю.

- Так, прийміть нас, ми вас навчимо.

- Так, але вони не хочуть.

- Ні, хочуть.

- Бояться.

- Подивимось. Може, наостанок. От ви сказали: скомпроментований номер, терміново треба бігти міняти номер, паролі, ще якась історія. От скажіть 5–6, не знаю, 10 правил базової безпеки для кожного громадянина. Що кожен з нас має робити фактично на рівні гігієни, як почистити зуби, сходити до душу або поснідати? Що ми маємо робити щодня, щоб бути кіберневразливими?

- Це називається кібергігієна. Ну дивіться, дуже прості правила. Почнемо з того, де зазвичай відбуваються кібершахрайства, – це гроші і витік особистих даних. Тобто якщо ми використовуємо фінансовий номер, цей номер не повинен бути у ваших соціальних мережах чи в акаунтах. Бо якщо у вас вкрадуть соціальну мережу і акаунт, у вас викрадуть цей номер. Ну, це – правило. Якщо ви використовуєте в соціальних мережах телефонний номер, то він не повинен бути...

- То ви говорите, що дві «сімки», або два номери, – це ...для кожної людини.

- Мінімум.

- Тобто один номер – для всяких фінансових справ, другий – для розваг соціальних мереж і третій – для...

- Я вам скажу більше, що в мене там, наприклад, в одному телефоні месенджер на одному номері висить, але цей номер фізично в іншому телефоні. А в іншому телефоні – навпаки, розумієте? Якщо в мене викрадають оцю «сімку», то все інше вони вже не зруйнують. Ну, пароль.

- Добре, кілька номерів, що ще?

- Двофакторна модифікація, відповідні паролі, які там не будуть 1–2–3–4–5-кверті, а принаймні 15 якихось символів і знаків і т. д.

- А де їх записувати, щоб не загубити, на папері?

- Ну, тут всі паролі повинні бути різними. На фінансовий номер – один пароль, на фейсбук – другий, на телеграм – третій.

- І зберігати це у вордівському документі на робочому столі, але під паролем.

- Можна зберігати, знаєте, я десь підгледів: якийсь чоловік розраховувався на терміналі, і в нього там прямо на сім-картці було написано пінкоди всі.

- А от те, що говорять, от в’язка ключів на гуглі надає ще шифрування, це можна використовувати?

- Це можна теж використовувати. До речі, дивіться, я дуже просто от після того, як відбулася атака… Я вважаю, що мій ключик такий… скомпрометований. Я пішов купив новий, це такий ключик спеціальний, який там для відкриття телефона прикладається, – і телефон відкривається.

- Ого, оце ви нас вразили! Я не знаю, наскільки всі будуть такими кібер...

- Це ж питання, розумієте, не для всіх громадян. Для звичайних громадян – мати хоча б двофакторний і нормальний пароль, щоб гроші не викрадали. Щоб не казали, що зламали Дію, хоча зламали телефон. Для підприємства, тепер всі підприємства бігають і кажуть: це Київстар, вони винні. Я перепрошую, у вас – бізнес, ви розумієте, що ваш бізнес залежить від зв’язку, чому ви не подбали про два канали зв’язку, чому ви подбали про генератори, а про два оператори... Так це ж – дорого. Знову ж таки став свідком нещодавно, буквально вчора. Один там бідкався: за що я плачу їм 70 гривень? Я думаю: Боже, я тільки за телефони плачу по 200 гривень за кожен номер, а тут – 70.

- Кібергігієна – це дорого?

- Кібергігієна, я не знаю, що таке дорого, що таке недорого. Розумієте, якщо станеться витік моєї інформації і моїх грошей, це – дорого. Якщо платити щомісяця, нічого не відбувається, – теж, може, дорого, розумієте. Це для кожного – своя історія.

- Ясно. Будемо з’ясовувати. Дуже дякую за розмову, поговорили ми про Київстар, про кібербезпеку (або кібернебезпеку) і про те, як кожному з нас бути, не знаю, невразливим параноїком. Сьогодні у нас був ефір про справжніх параноїків. Дякую Олександрові Філієнку. З вами був Василь Самохвалов. Підписуйтеся на наш канал. Ставте вподобайки, коментуйте. Неодмінно ще побачимось.

Василь Самохвалов

Повний текст розмови дивіться у відеоверсії цього інтерв’ю

Фото: Геннадій Мінченко