В погоне за цифровизацией нельзя забывать о безопасности

4923
Асель Муканова

В цифровой век с помощью смартфона или компьютера можно навредить не только конкретному человеку,
но и целому государству.
Недавно наша коллега Евгения Бодрова в рамках проекта документального кино Oila выпустила фильм
«Обмани меня» о том, как работают некоторые технологии. Многое из рассказанного одним из героев, президентом Центра анализа и расследования кибератак, одним из первых белых хакеров Казахстана Олжасом Сатиевым осталось за кадром. Нам показалось интересным раскрыть тему дальше.

– Олжас, ваша команда белых хакеров оказывает практическую помощь в вопросах информационной безопаснос­ти государственным органам, организациям квазигоссектора, частным компаниям, СМИ и НПО. С какими угрозами чаще всего приходится сталкиваться?

– Сразу хочу отметить, что количество атак на Казахстан участилось. Но они – разного рода. Первый вид – это DDos-атаки, когда хакеры взламывают большое количество компьютеров по всему миру и используют их как ботнет – сеть зараженных гаджетов. Это любые девайсы, подключенные к Интернету, – от детских кукол до видеокамер.

Хакеры дают команду заходить на какой-то сайт – электронное правительство, госресурс, и тот, не готовый к наплыву такого количества пользователей, не выдерживает и «падает». То есть DDos-атака создает проблемы с доступностью интернет-ресурса, но злоумышленники не проникают внутрь, не получают доступ к персональным данным, к каким-то критическим конфиденциальным сведениям.

Однако и такие действия носят деструктивный характер. Допус­тим, если e-gov не будет работать сутки, это соз­даст социальную нап­ряженность, так как граждане не смогут получить справки, оформить документы. И государство понесет потери, и уровень доверия граждан снизится.

Другой вид атак, когда хакер находит уязвимость и входит внутрь сайта, получает доступ к базам данных, финансовым и конфиденциальным сведениям, и данный вид действий сложнее обнаружить.

Если проникнуть внутрь сис­темы того же электронного правительства, можно скачать базу данных либо изменить какие-то сведения, например, переписать квартиру на другого человека. Это уже другого вида уязвимость, и здесь работают другие хакеры.

На Казахстан в основном производят DDos-атаки. Выявить их исполнителей сложно. Как я уже говорил, они используют компьютеры по всему миру. Это раз. Другой момент: зачем производятся такие атаки?

Дело в том, что бывают хакеры, которые работают по заказу, а бывают хакерские группировки школьников, студентов. Уровень и цели у них разные, но эффект одинаков. А специалистам по кибербезопасности потом надо разобраться в том, кто исполнитель или заказчик атаки.

– Как же защищаться от кибератак?

– Способы есть. Банки, например, покупают анти-DDos-системы. Самый же простой способ защитить страну – сделать доступ к определенным интернет-ресурсам, тому же е-gov, только на территории Казахстана. Но у нас много граждан проживают за рубежом, и это создаст проблемы для них.

В Казахстане нет большого рынка по созданию технологических решений, которые могли бы отражать атаки. Университетские проекты алгоритмов защиты по тем или иным направлениям зачастую не выходят за пределы учебного заведения. А их нужно выводить на рынок и коммерциализировать внут­ри страны.

Министерство цифрового развития и аэрокосмической промышленности работает над внед­рением на сайте электронного правительства раздела «Кибербезопасность», чтобы в случае утечки каждому гражданину приходило уведомление, и он мог, например, сменить пароли или быть готовым к звонку мошенников. Такой кейс есть, например, в США.

Очень важно, чтобы граждане узнавали об утечках своих данных и сообщали о них. Нередко мы видим новости, что у того или иного сервиса (частного и не очень), интернет-магазина и так далее, случаются утечки личных данных пользователей, клиентов. Нельзя к этому относиться легкомысленно. Люди не задумываются о том, что их ИИН, ФИО, номер телефона могут попасть в руки мошенников, а должны бы бить тревогу, требовать наказания для тех, кто несет ответственность за утечку.

У нас, к сожалению, еще не было таких случаев, когда какой-то гос­орган, юридическая компания или банк понесли бы ответственность за то, что персональные данные пользователей после взлома поя­вились в Сети. В Европе, если компания не уведомит об утечке в определенный срок, то заплатит огромный штраф. Я считаю, мы тоже должны двигаться в этом направлении.

Конечно, главная ставка при защите страны от кибератак делается на специа­листов. Та же прог­рамма «Киберщит» – это, прежде всего, люди. В нашем цент­ре мы их обучаем, причем бесплатно, повышаем компетенции.

Мы были первыми, кто поставил Казахстан на мировую карту в части этичных хакеров, кто показал, что в Казахстане есть очень крутые ребята, которые могут находить уязвимости в очень серьезных системах.

Сейчас мы являемся самой крупной компанией по кибербезопас­ности в Центральной Азии, мониторим весь казахстанский Интернет, это порядка 150 тысяч сайтов. И когда какой-то ресурс взломан, первыми об этом узнаем. Собираем информацию по атакам и пытаемся их предотвращать.

– В Казахстане идет бурный рост цифровизации. Это пропорционально повышает и риски?

– Да, но параллельно мы сделали рывок и в части кибербезопаснос­ти. Есть мировой индекс киберготовности, который оценивает, как страна готова к кибератакам, по крайней мере, на бумаге. Пять лет назад Казахстан находился на 118-м месте.

Мы добились, чтобы вопросы кибербезопасности стали ключевыми. Появилась концепция «Киберщит Казахстана». И сейчас мы находимся на 31-м месте, то есть за 5 лет в 5 раз улучшили показатели. Теперь ООН ставит Казахстан в пример, даже международные кибер­учения в 2022 году впервые проходили в нашей стране.

Но у нас сохраняется конфликт интересов. Орган по безопасности должен быть отдельным, должен оппонировать отраслевому минис­терству. Сегодня МЦРИАП обещает сделать удобным то-то и то-то, и люди этому радуются: мол, мы можем обновить водительские права за один день, и так далее. Но никто не думает о безопасности.

Если мы стремимся к цифровому государству, то первым делом нужно сделать его безопасным. Иначе если мы сейчас выстроим разветвленную цифровую инфраструктуру, а завтра все это взломают, настанет блэкаут. Месяцы уйдут на восстановление, что довольно болезненно. Тогда граж­дане задумаются: может, лучше бы мы так же и носили бумажки в ЦОН, чем всюду использовали ЭЦП или QR-код, пользовались цифровыми сервисами, которые можно взломать?

Считаю нужным создать Агентство по кибербезопасности, которое будет работать над тем, чтобы цифровые удобства для людей были еще и безопасными. У министерства свой KPI – сделать все удобно, красиво, быстро. А «безопасников», к сожалению, никто не слушает.

Другой вопрос – технологичес­кая независимость государства. У нас сейчас ее нет. Мы технологичес­ки зависимы от зарубежных компаний. Все крупные программные разработки проводятся там. Это проблема, тем более когда дело касается кибербезопасности.

Если мы используем продукт нашего разработчика, то ему всегда можно задать вопросы в случае проблем, утечек и так далее. Если же разработчик зарубежный, мы просто не сможем проконт­ролировать какие-то вещи, даже доступ к необходимой нам информации будет затруднен.

– Мы видим очень много случаев интернет-мошенничества, когда «разводят» обычного человека или взламывают большую корпорацию. По информации МВД, 15 миллиардов тенге удалось «увести» кибермошенникам у казахстанцев в 2022 году. Расскажите, как это становится возможным?

– У нас все очень удобно: мы можем оплачивать QR-кодом, оформить квартиру или подать заявление в ЗАГС за несколько минут. Но, повторюсь, на одном конце – удобства, на другом – безопас­ность. Либо ты делаешь очень удобно, либо очень безопасно. Если начнем делать очень безопас­но, то все наши удобные сервисы порушатся. Соответственно, если все очень удобно – уязвимостей с точки зрения безопасности станет гораздо больше. Нужен баланс.

Люди с воодушевлением восприняли заявление МЦРИАП об отказе от ЭЦП в пользу QR-кода. Но это небезопасно. Мы на своих конференциях показываем, как с помощью хакерского устройства за сто долларов либо старенькой Motorola возможно перехватить любое SMS у находящегося в комнате человека. Понимаете, в чем опасность?

Мошенник, зная, что у вас, допустим, элитная квартира, подсаживается за соседний с вами столик в кафе и, имея ваш номер телефона, перехватывает SMS в момент, когда вы входите в приложение электронного правительства. И переписывает вашу квартиру на себя!

Или хакер может по утечкам собирать ваш профиль – кто вы, где живете, что покупаете?.. Чем больше он знает о вас, тем легче ему вас «развести». Он может позвонить, представившись сотрудником магазина корма для животных, где вы сделали заказ и сайт которого он взломал. Вы уже доверяете ему. И он предлагает какую-нибудь выгодную акцию, для чего вам нужно отправить ему какие-либо данные...

Сейчас хакеры активно используют подмену лица. Это казалось нам «клевой штукой» в Instagram. А теперь хакеры подделывают лицо или голос и «разводят» на деньги. Таких случаев очень много. Хакеры – люди творческие, используют новые технологии.

И новые инфоповоды. Например, в пандемию дошло до такого идиотизма, что появился сайт-антивирус от ковида. Предлагалось скачать программное обеспечение, которое поможет избавиться от коронавируса. Видимо, пошла проверка на IQ человечества. Но люди скачивали. На самом деле это был вирусный «троян».

Нужно понимать, что сейчас хакеры не действуют в одиночку. Это целая хакерская ОПГ. В ней есть своя иерархия: высококлассные программисты, которые зарабатывают сотни тысяч долларов в месяц на написании «троянов»; HR-служба, занимающаяся поиском сотрудников; дропперы – люди, которые открывают «левые» банковские карточки и обналичивают деньги за какой-то процент.

Зачастую первоначально идет разведка – объявляется конкурс, например, какого-то банка на розыгрыш автомобиля. Люди ведутся, начинают заходить, оставлять свои данные. А там на самом деле сайт-аналог этого банка. И все – первый срез по нему уже сделали, собрали информацию.

Проходит какое-то время, человек забыл, что он участвовал в конкурсе. А ему звонит мошенник, представляется сотрудником банка, называет его данные, которые он сам вбил на мошенническом сайте, говорит, что для проверки транзакции нужна авторизация по SMS. Человек ему диктует, и мошенник получает доступ к его счетам. По примерно такому сценарию происходит подавляю­щее большинство случаев мошенничества в отношении физических лиц.

Отследить и наказать преступников очень сложно. Во-первых, они используют подмену номеров и звонят, возможно, даже не из Казахстана – из ближнего и не очень зарубежья. Главари вообще могут жить где угодно и контролировать всю ячейку через VPN, защищенные каналы. Ну, поймают здесь дроппера или оператора, завтра на его место придет другой. Необходимо тесное межгосударственное межведомственное взаимодействие, чтобы эффективно бороться с такими ОПГ.

– Мне всегда казалось, что у слова «хакер» скорее негативный окрас. Но вы именуете себя «белым хакером». Поясните, пожалуйста.

– Журналисты часто называют хакерами всех подряд. К примеру, даже вы можете зайти на хакерский форум и, допустим, купить базу данных карточек с инструкцией, как обналичить деньги. Но это же не говорит о том, что вы хакер. А в СМИ сразу пишут, мол, задержали хакеров, которые обналичили тысячи долларов какого-то банка.

Первоначально у понятия «хакер» негативной коннотации не было. Это были любознательные люди, которые изучали цифровой мир, находили уязвимости не для того, чтобы пользоваться ими.

В киберпространстве есть люди, которые занимаются белым, этичным хакингом, а есть те, кто переходит на «темную сторону», соблазнившись «легкими деньгами». Но последних рано или поздно ловят. Сейчас, на самом деле, все больше людей идут в сторону этичного хакинга, тем более что сейчас на этом можно легально и хорошо зарабатывать.

Первую хакерскую группировку я создал в возрасте 13 лет. Мы взломали «Казахтелеком» чисто из любопытства и сразу сообщили об этом, не создавая деструктив.

В какой-то момент каждый встает перед выбором – просто сообщить об уязвимости или использовать ее в своих корыстных целях. Переступив черту, можно, конечно, какое-то время неплохо пожить, но виртуальное преступление делает человека реальным преступником – со всеми вытекающими последствиями. Преступников ловят, рано или поздно.

А вот любознательность, нап­равленная в конструктивное рус­ло, – это чрезвычайно ценный ресурс, который можно монетизировать без проблем с законом. Развиваясь в этом направлении, можно стать востребованным и, соответственно, весьма хорошо оплачиваемым специалистом. Думаю, выбор здесь очевиден.

 

Популярное

Все
Безопасность превыше всего
Кадры для атомной отрасли
Нужны дополнительные мощности
Поддержка в кадрах и технологиях
Страховые компании Костаная на грани разорения
На пути к нулевым выбросам
Десятилетие перед столетием. В КазНТОБ им. Абая объявлен новый творческий этап
Львы – вещдоки в криминале
Шопинг с подвохом
Черепаха больше не дрожит от взрывов
Трогать экспонаты рекомендуется
Международный музей космонавтики может стать национальным брендом
Театр «Астана Опера» с успехом выступил в Шымкенте
В Темиртау возрождают трамвайный парк
Мелодии души
Опасные игры
По следам степной цивилизации
Еще одна комфортная школа
Открытым уроком страны стала главная конференция World Association of Lesson Studies
Что нас ждет в октябре
Схрон оружия нашли по маршруту кортежа Токаева в Туркестанской области
«Нерушимое братство - 2024»: войска ОДКБ прибывают в Казахстан
В Атырау ТОО «Интаго Казахстан» освоило производство полиэфирных геосинтетических материалов
Стали известны все четвертьфиналисты ЧМ-2024 по футзалу
Не столкнуться бы с тотальным дефицитом
Русская девушка с казахским менталитетом
Люди эвакуируются, школы закрываются: мощный ураган приближается к Флориде
Ставки по кредитам в Казахстане пошли вниз
Астанинское дежавю
Приучат ли тарифы к экономии?
Казахстан занял 74-е место в глобальном рейтинге по индексу знаний
Дайте бизнесу работать!
Реинкарнация туранских «больших кошек»
Полсотни жертв мопедов
Тонкое искусство выстраивания коммуникаций
Новые звезды «Үркер-2024»
Глава государства прибыл с рабочей поездкой в Туркестанскую область
Работающий человек – главная ценность государства
Алматинец выкрал из машины барсетку с 23 млн тенге
На знание казахского – равняйсь!
Растущее энергопотребление свидетельствует об устойчивом росте экономики
Труба пока не готова
На энергетической безопасности экономить... опасно
Снег ожидается в некоторых регионах Казахстана на выходных
Перуашев прокомментировал задержание своего заместителя
Отбасы банк и акимат области Жетісу запускают жилищную программу для жителей районов и сел
Паралимпиада: расписание на субботу
Не нужно путать атомную бомбу и мирный атом!
В Атырау появится дендрологический парк
Шоу мирового уровня: иностранцы поделились впечатлениями от концерта Димаша Кудайбергена в Астане
В АЭС – наше развитие, наше будущее!
Группа общественников побывала на экскурсии в учебном центре Института ядерной физики
Совещаются молодые атомщики
Школьница находилась в секс-рабстве в Кызылорде: стали известны подробности дела
В Таразе начали подготовку специалистов для химической промышленности
Президент назначил новых послов Казахстана в ряде стран
«Сам просил»: подростки грозились сбросить ребенка с балкона в Астане
Члены Народного штаба за строительство АЭС провели встречи с жителями Туркестанской области
Во избежание идентификации астанчанин заклеивал бумагой госномер авто
Иностранные гости – о ВИК в Астане: «Это удивительно, невероятно и круто»

Читайте также

МВД поможет гражданам, не имеющим удостоверения личности
Суицидальный Telegram-канал заблокировали в Алматы
Полсотни человек с двойным гражданством выявили полицейские…
Бизнес на селе: есть господдержка – нужно желание

Архив

  • [[year]]
  • [[month.label]]
  • [[day]]