Костянтин Корсун, засновник «Української групи інформаційної безпеки»

Російської кіберармії не існує, існує альянс ФСБ та криміналу

- Проривів не було, використовуються доволі відомі засоби і заходи, все це давно вже відкатано, все апробовано вже багато разів, це працює і базується на людських слабкостях, на неуважності, на недостатньому приділенні уваги інформаційній безпеці, власного e-mail. «А кому потрібен мій e-mail?» - оце ключове запитання недосвідченого користувача. Демпартія - велика партія. На них працюють тисячі, а так чи інакше там залучені сотні тисяч людей. Це і секретарки, й адміністратори, і копірайтери, люди, які організовують зустрічі з виборцями, і багато-багато людей, які переписуються через e-mail. Вони  листуються роками, знають одне одного, що це Том Джонс чи хтось там Алісія Сільверстоун. І для проникнення достатньо зламати акаунт лише однієї з тисяч людей (наприклад, у одної з них захищено акаунт, у іншої - не дуже).

Ваш акаунт зламали, отримали доступ. Ви навіть цього не помітили, ви не перевіряєте, хто і коли входив до вашого акаунта вночі, наприклад, і взагалі ви не знаєте, як це робити. На ваш e-mail є доступ, і спочатку читають - з ким ви переписуєтеся, про що, на які теми, в якій час, хто, де буде перебувати на вікенд та на свята. Все це довго вивчається або недовго вивчається в залежності від поставленої задачі. І ось коли все вже вивчено, з вашого е-мейл акаунта іншому вашому кореспонденту, вашому колезі чи другу, чи родичу надсилається якесь дуже схоже на натуральне повідомлення: нагадай мені там текст такий. Відбулися зміни у графіку нашого кандидата на зустрічі з виборцями, завтра, будь-ласка, відкрий у файлі табличку. Ваш колега абсолютно навіть нічого не запідозрить, просто відкриває те, що у додатку, а у цьому додатку там може навіть і таблиця бути справжня, але як її називають - «склеєчка» така до цього файла чи ПДФ. Додаються маленькі кілька байтиків шкідливого коду, і цей код надає доступ до е-мейл акаунта вашого колеги. І далі вони починають контролювати другий, третій, четвертий, п'ятий, десятий такими простими методами, і вони набувають контролю. А потім вже і до веб-серверів, і до веб-сайтів певних, і до внутрішніх баз даних, і ще до чогось.

Якщо маєш багато грошей, терпіння та часу - спокійно, без паніки вивчати листи, е-мейли, потім інфраструктуру, потім можеш отримати адмінські права того сервера, до сайта, до бази даних, до чого завгодно. І потім там ти повністю контролюєш все це і маєш певний доступ, і можеш робити з цим, що хочеш. Ти можеш взяти і killdisk якийсь запустити і видалити всі дані на усіх серверах чи всіх комп'ютерах. Можеш розсилати фейкові повідомлення, зливати якісь дані про кореспонденцію, можеш якісь провокаційні гасла викладати на сайті чи в базі даних. Ти можеш підмінити дані на ті, які вигідні тобі.

Тобто, достатньо точку входу знайти, а для такої величезної організації, як Демократична партія, та власне і Республіканської теж (я думаю, що вони і до неї зараз мають доступ, але не використовують з певних причин) завжди знайдеться найслабший ланцюжок, ланочка, яка буде вважати: та кому потрібний мій e-mail, у мене нічого таємного! Навіть через секретаря, десь в якомусь штаті, якогось там маленького містечка, через його акаунт можна вийти на усіх інших і потихеньку отримати доступ до ключових ресурсів.

ПРО ПРАВИЛА АНДЕГРАУНДУ ТА ТЕ, ЯК ЇХ ПОРУШУЮТЬ

Взагалі, у підпільному злочинному світі вже нібито давно сформовані правила: як жити, що робити, чого не робити. Зазвичай, дуже часто, я маю на увазі російськомовний андеграунд, там одне лише правило так зване - не працюємо по «ру», по російських ресурсах та банках. Тобто, всі боти, трояни, експлоіти й інші продукти хакерські - коли продають, то зазвичай є неписані, та й писані на форумах правила: не працюємо по «ру». Теоретично, вони не працюють у зоні, скажімо так, всієї  СНД: Україна, Росія, Білорусь, країни колишнього СРСР. Але коли йдеться про політичні замовлення російської влади, ці правила порушуються, хоча ніхто у цьому намагається не зізнаватися. Тобто, не можна, але якщо дуже хочеться (бо великі гроші), то можна. Бо на форумах мінусують і банять за роботу по «ру».

- У нас вже ніби є розпорядження держчиновникам не користуватися російськими скриньками.

- Розпорядження, якщо і є, то виконується у Києві, а як проконтролювати райцентри Вінницької області чи Сумської, скажімо? На це ж і коштів особливо немає, і треба вирішувати з доменною зоною, треба керувати пулом доменних імен, написати порядок - як реєструвати, щоб там все було безпечно, щоб навчити якось людей. Бо у всіх чиновників є один залізний аргумент: «ШО? Я отого нового не знаю, а я оце тільки знаю і всьо».

А в Росії жорстко карали за невиконання розпорядчих документів. Дуже жорстке було регулювання - ніяких джмейлів, нічого. Вони з цим почали боротися ще з початку 2000-х. У нас це тільки на початку.

Як донести до «Степана Петровича» з глибинки необхідність зміни електронної поштової скриньки з «ру» на «джмейл»?

Але ситуація значно краща сьогодні, у тому ж Генштабі, наскільки я знаю, існує ціле управління з кібероперацій. У Служби безпеки є підрозділ, у МВС є підрозділ, Кіберполіція у нас, до речі, була створена. Ми створювали нашу громадську організацію «Українська група інформаційної безпеки», в якій питання кіберграмотності для всіх українців було одним із ключових. І ми намагаємося просувати це, але як донести мені до Степана Петровича з Вінницької чи Середино-Будської районної державної адміністрації Сумської області необхідність зміни скриньки з «ру» на «джмейл»? У нас немає каналу комунікації між ними і ним. Його немає у Фейсбуці.

- Для вкладання грошей - повинна існувати стабільно розроблена система. Взяти і кинути гроші, навіть не знаю з чим порівняти, - це як взяти і купити надсучасний Мерседес дуже дорогий і їздити на ньому по сільських дорогах, тобто інфраструктури немає, заправок немає, ремонтуватися ніде, але Мерседес посеред цього всього розладу. Якою була система у Мінфіні, я не в курсі. Чи був там спеціальний підрозділ з інформаційної безпеки, які там електронні бази даних, пошта, сервери? Чи воно розроблялося із врахуванням заходів безпеки? Але в принципі разові якісь грошові вкиди, вони, м'яко кажучи, не ефективні, тим більше, коли воно кидається на непідготовлену інфраструктуру. За традицією ці гроші або не використовуються, або розкрадаються, щоб не повертати.

Пам'ятаєте, був інцидент на Прикарпаттяобленерго 25 грудня 2015 року? Розголос був на весь світ, приїхали американці, всі газети світові про це писали, що виключили світло хакери віддалено в Україні. У всіх моїх колег журналісти з усього світу брали інтерв'ю, цікавилися, як ви прокоментуєте, як це можливо. Була там комісія, в СБУ розслідували, хтось там ще розслідував, залучалися відомі компанії комерційні з кібербезпеки. Чим закінчилося? Найцікавіше. Увага! Прикарпаттяобленерго закупило ліцензію на антивірус! Антивірус, ефективність якого десь відсотків 15-20 - і то проти не дуже досвідчених кіберзлочинців. Це як поставити серед поля хитку хвірточку, якою хочуть захиститися від татаро-монгольської орди. Є побоювання, що щось подібне буде і з Мінфіном і Казначейством, якщо немає системного підходу, розуміння проблеми.

Інвестувати треба не в «залізо», а в людей. Витратити, щоб хтось підготував фахівців, або найняти вже готових фахівців на зарплату нормальну, яка буде цікава (у кібербезпеці це десь від тисячі доларів на місяць), якому можна довірити безпеку фірми чи компанії, чи організації. Така людина буде пропонувати заходи, вона скрупульозно підійде до вивчення проблематики.

У НАС НАРАЗІ НЕ СФОРМОВАНО БАЧЕННЯ, ЯКІ ОБ'ЄКТИ МАЮТЬ БУТИ В ПЕРЕЛІКУ КРИТИЧНОЇ ІНФРАСТРУКТУРИ

У нас же яка головна проблема з критичною інфраструктурою? Ніхто не знає - що це таке, і якими критеріями її виділити. Тобто, може це банки? Але які саме банки? Далі, мабуть, це енергетика, транспорт, це зв'язок увесь, Інтернет-провайдери, Укртелеком, взагалі все. Для початку треба визначити хоча б галузі оці. Рибне господарство - це критична структура чи ні? Які ризики, якщо, там, зламають сервери Міністерства агропромислової політики, рибне господарство - це критично? Мабуть, що ні, як на мене. Тобто, це проблема купи горіхів, два горіхи - це купа? Ні. А три? Ні. А чотири? Які галузі, у галузях які підприємства, які міністерства, які компанії, тобто це і приватні компанії, і державні, і може публічні якісь громадські компанії. Я ще коли працював у правоохоронних структурах на початку 2000-х, теж щільно займався цією проблемою, писав листи, списки ці готував по об'єктах критичної інфраструктури.

- Офіційно існування кіберармій підтвердили кілька країн. (Китай, Росія, США, Північна Корея). Може ще у Франції є. Так чи інакше, такі підрозділи кібернападу є в кожній більш-менш розвиненій країні. Повинні бути і якісь операції підтримки, просування якихось державних інтересів. А Україна поки що не підтвердила існування такої армії. Офіційно такі люди існують, але як армії - її немає, оскільки у Служби безпеки свої вузькі завдання, у Генштабу і Міноборони - свої дуже вузькі, у кіберполіції - взагалі суто економічні злочини. Можливо, на рівні десь доктрини чи стратегії і є десь там зверху розуміння - як це повинно бути, тобто, проти кого дружимо, що захищаємо, яким чином ми будемо щось робити, у яких випадках, якими силами, засобами тощо. На даний час у нас є добірка певних досягнень, яка може створити враження, що у нас є постійні якісь люди, яких можна назвати кіберармією, яка може виконувати поставлені керівництвом країни завдання. Насправді, я думаю, що це лише такі острівці, які формуються ще тільки у якусь цілісну структуру. Але про кіберармію чи кіберсили - говорити зарано.

- У останньому Бонді кібертерорист виглядає сильнішим за Бонда.

- Вони часто є сильнішими за представників порядку. Це кримінал, але це інтелектуальний кримінал.

- Але чи не підірве це основи інформаційного суспільства, коли частина людей просто не зможе собі дозволити заходи безпеки і не буде мати жодної електроніки, жодного Інтернету в домі. А частина буде завжди під прицілом, а частина буде господарями. Можете ви спрогнозувати в майбутнє - якщо цей кримінал буде міцнішати?

- Розумієте, суспільство взагалі базується на тому, що кримінал - це маргінальна меншість. І так воно й є насправді, і на щастя. Якщо більшість в Україні обирає маргінального кандидата в президенти, то значить так і повинно бути, бо більшість так хоче. А коли кримінал легалізується, він стає політиками, банкірами, поважними бізнесменами. Я вірю в те, що кіберкримінал завжди програватиме, бо це логіка відносин між людьми, це  історією диктується. Крім того, нормальне суспільство, де є цінності, сім'я, робота, відпочинок, театр - це все виглядає соціально привабливо навіть для злочинного світу. Тим більше, що у цьому бізнесі перебувають неординарні люди, які зароблені гроші тратять, скажімо так, як і ми. Вони теж купують собі машину, і добре розуміють, що її треба виробити десь на заводі, найняти людей, розробити технології. Вони купують красивий одяг, який теж повинен бути кимось вироблений. Вони їздять відпочивати на курорти, для будівництва яких слід найняти людей і т. д. Вони паразити, злочинці завжди паразити, але вони здатні ідентифікувати такі причинно-наслідкові зв'язки та розуміти корись усіх сфер суспільного ладу.

Лана Самохвалова, Київ

Фото: Євген Любімов.