Кібербяспека — выклік для дзяржавы, бізнесу і грамадзян

Грамадства

«Як займацца кібербяспекай там, дзе гэта нікому не патрэбна» — так называлася лекцыя, зладжаная 18 верасня праваабарончай арганізацыяй Human constanta.

42114304_1108886342585386_1298386343205797888_n.jpg


Лекцыя Армана Абдрасілава дазволіла слухачам пераняць унікальны досвед прадстаўніка бізнесу, які праз абставіны вымушаны быў выконваць ролю няўрадавых арганізацый і дапамагаць дзяржаве ў вырашэнні яе ўласных функцый.
Арман Абдрасілаў — казахстанскі бізнесмен, супрацоўнік ЦАРКА (Цэнтра аналізу і расследвання кібератак), пачаў аповед з рэйтынгаў. Сярод краін, якія найбольш часта падвяргаюцца кібератакам, Беларусь — на 36 месцы. Цікавы рост Украіны — сярод краін, што найбольш актыўна змагаюцца з кіберпагрозамі, яна рэзка паднялася пасля канфлікту з РФ. Як кажуць, «жыццё прымусіла». Дарэчы, як вынікае, большасць краін пачынаюць турбавацца аб кібербяспецы толькі тады, калі сапраўды «прыпячэ»: у якасці прыклада прыводзілася Эстонія.
Тым не менш Казахстан Арман Абдрасілаў назваў якраз у ліку краін, якія не лічаць пагрозу прыярытэтнай.
«Калі мы прапаноўвалі дзяржаўным органам заняцца кібербяспекай — ніякай рэакцыі не адбывалася. Казалі што па паказчыках у нас усё добра, і мы запланавалі паляпшэнне кібербяспекі на 2020 год. Не хацелі прызнаваць праблему — атрымоўваўся сакрэт Полішынэля».

42129576_2196321257359473_1403139053661978624_n.jpg


Сітуацыю, якая склалася ў выніку, эксперт назваў «Бяспекай Шродзінгера» (па аналогіі са знакамітым катом Шродзінгера). Гэта сітуацыя, калі ўсе справаздачы і афіцыйныя паведамленні кажуць пра высокія рэйтынгі ў бяспецы, што нічога нельга ўзламаць. У той жа час у кулуарах і на прыватным узроўні абмяркоўваецца той факт, што ўсё ж можна — і без асаблівых высілкаў, а ў Даркнэце ў свабодным доступе прадаюцца інструменты для ўзлома.

photo_2018_09_18_18_37_04.jpg


Асобным радком ішлі тактыкі па дэманстрацыі прыватным і дзяржаўным кампаніям уразлівасцяў іх інфармацыйных сістэмаў. І тут ЦАРКА прыйшлося працаваць літаральна на мяжы закона: атрымоўваючы несанкцыянаваны доступ, яны адразу паведамлялі фірме ці дзяржустанове аб гэтым, падказваючы, вядома, магчымасці па «латанню» дыры ў бяспецы.
Адзін з цікавых кейсаў — пошук уразлівасці ў Білайн. Супрацоўнікі кампаніі знайшлі «дзірку», якая дазваляла змяншаць баланс, і за некалькі сутак атакавалі і зрабілі аднаму са сваіх супрацоўнікаў запазычанасць у 2 млрд тэнге (6 млн долараў). Кампанія прыняла інфармацыю аб уразлівасці, а запазычанасць давялося спісваць з дапамогай менеджэраў.
Нямала высілкаў, кажа Арман, пайшло ў ЦАРКА на тое, каб прымусіць дзяржаву пераняць іншую парадыгму інфармацыйнай бяспекі, калі адна структура дзяржавы робіць прадукт (сайт, сістэму, сетку), другая яго правярае. У выніку, зразумела, ніякага крытычнага аналізу не адбываецца — левая рука не будзе біць правую.

Арман Абдрасілаў: «10% ад бюджэта айці-кампаній выдаткоўваецца на кібербяспкеку»

Праца ЦАРКа, як казаў лектар, дасягнула плёну. Камітэт нацыянальнай бяспекі Казахстана вядзе працу над стварэннем нацыянальнага цэнтра маніторынгу па аналізу інфармацыйнай бяспекі ў краіне, у Казахстане з'явіўся рынак інфармацыйнай бяспекі, на яе пачаўся выдзяляцца бюджэт. Бізнесмен, аднак, паскардізўся, што эксперты па кібербяспецы застаюцца «ізгоямі ў сваёй дзяржве», бо чыноўнікі часта вельмі абыякава адклікаюцца на іх прапановы, бачаць у іх то хакераў, то апазіцыянераў, і не разумеюць важнасці пытання для нацыянальнай бяспекі.
Казаў Абдрасілаў і пра ўвагу з боку праваахоўных органаў — яны хоць і не ўспрымаюць ЦАРКА як ворагаў, але ставяцца насцярожана.

12072806_103970459959721_5975511741720262538_n.jpg


Пытанне інфармацыйнай бяспекі ў аўтарытарных краінах — такіх як Беларусь і Казахстан, з'яўляецца, аднак, у вялікай ступені палітычным. Пракаментаваць сітуацыю з інфармацыйнай бяспекай беларускай дзяржавы мы папрасілі наведвальніка лекцыі Валерыя Таміліна, які зараз працуе інжынерам-канструктарам у адной з дзяржаўных кампаній.
— Наколькі сітуацыя з інфармацыйнай бяспекай у Казахстане падобная да беларускай? Ці ёсць у нас прыватныя кампаніі-першапраходцы ў гэтай сферы?
— Сітуацыя падобная, сярод кампаній-першапраходцаў ёсць IB-Group і колькі дробных кампаній. Агулам, рынак ІБ у нас, як і ў Казахстане, толькі пачынае нараджацца. Бо дзяржава доўгі час не звяртала на гэтую тэму ўвагі. IT-рынак пашыраўся інтэнсіўна, і не ўсе заўважылі, як бяспека стала праблемай — напрыклад, значна пачасціліся ўзломы мабільных прылад.
— Казахстан, як і Беларусь — аўтарытарная дзяржава. Ці не ёсць падтрымка дзяржавы мерамі інфармацыйнай бяспекі таксама падтрымкай аўтарытарызму — навучэнне дзяржорганаў кантролю ў інтэрнэце, тэхналогіям узлому?
— Варта разумець, што кампаніі ў сферы ІБ не вучаць працаваць сілавікоў. Яны вучаць дзяржаўныя органы абараняць нашы ўласныя дадзеныя. Што гэта значыць? Падабаецца нам дзяржава, ці не, аўтарытарная яна ці не, мы давяраем ёй вялікую колькасць нашых дадзеных. Гэта нашы пашпартныя дадзеныя, дадзеныя пра нашы тэлефонныя размовы і гэтак далей.
Дзяржава, у сваю чаргу, мусіць іх абараняць. І калі яна на гэта няздольная, то дадзеныя мала таго, што свабодна даступныя дзяржаве і сілавікам, дык яшчэ і нейкім трэцім асобам. І калі, скажам, зліў перапіскі ВК сілавікам Расіі — гэта скандал і шмат публікацый у СМІ, то крадзёж і перапродаж асабістых дадзеных хакерамі — справа шараговая. Таму дзяржава, якая можа абараніць дадзеныя карыстальнікаў — лепш, чым дзяржава, якая гэтага зрабіць не можа.