UA / RU
Підтримати ZN.ua

Гігієна в часи діджиталізації

Як дати відсіч хакерам і убезпечити персональні та корпоративні дані

Автор: Дар’я Скоблікова

Якою буде ваша реакція, якщо вам скажуть, що кожна людина, котра має вихід у мережу Інтернет через будь-який електронний пристрій, — ходячий компромат як особистого життя, так і корпоративного? Навіть якщо ви не посадовець з реєстру PEP, не державний службовець категорії А/Б, не друг Сноудена, і ваш пароль на акаунтах набагато складніший за qwerty1234, ви також потенційна жертва кібератаки.

Якщо ви у цьому не впевнені, ось перелік найвідоміших цифрових атак в Україні за останні роки:

Квітень 2017 року — «вірус Петя», один із наймасштабніших вірусів у нашій державі. Petya.A — шкідливе програмне забезпечення, яке було спрямоване на мережу державних підприємств, установ, банків, медіа. Цей вірус, потрапивши до системи, безповоротно знищував оригінальні файли і примусово перезавантажував комп’ютер, після чого користувачеві виводився екран з вимогою перерахувати певну грошову суму в біткоїнах на криптогаманець. Вірус розповсюджувався через популярну та широко використовувану серед бухгалтерів програму M.E.Doc. Зокрема, цій атаці було піддано такі підприємства, як аеропорт «Бориспіль», ЧАЕС, «Укртелеком», Ощадбанк, «Укрзалізниця», а також офіційний сайт Кабінету міністрів України та численні комерційні підприємства.

Березень 2019-го — фішингова розсилка на тему виборів проводилася нібито від імені Центру соціальних і маркетингових досліджень (SOCIS). Як приманка використовувалися «інформаційні матеріали» про соціально-політичну ситуацію в Україні.

Березень 2020 року — фішингові листи на тему коронавірусу, що приховували у собі шкідливе програмне забезпечення.

Жовтень 2020-го — фішингові розсилки на працівників державних установ України з метою компрометації облікових записів електронної пошти.

Січень 2021 року — відбулася масова розсилка фішингових електронних листів на державні установи України. Листи були відправлені начебто від імені адміністрації Держспецзв’язку з поштової скриньки zapros@dsszzi.gov.ua та містили вкладення зі шкідливим програмним забезпеченням.

Лютий 2021-го — хакерське втручання в нову популярну соціальну мережу Clubhouse. Хакер-«благодійник» перенаправляв аудіопотоки розмов, що велись у Clubhouse, на інший веб-сайт, щоб інші користувачі могли слухати розмови.

Узагалі метою багатьох хакерських атак є вимагання інформації або грошей з наступним їх переказуванням на криптогаманець. Масовий перехід на дистанційну роботу — це не лише вимога сьогодення і спроба вберегтися на час пандемії, а й додатковий стимул для хакерів, які тепер можуть отримати більше від кожної нової атаки. Відновлення стану і роботи пошкоджених програм, пошкодженої чи знищеної інформації — завжди складний, а іноді тривалий і часто фінансово витратний механізм.

Від приватного до публічного і навпаки: кібербезпека — це двосторонній рух, оскільки під атаку хакера може потрапити як ваш особистий акаунт, наприклад, ваші фото на Google-сервісі, так і корпоративне хмарне сховище з усією конфіденційною інформацією чи корпоративна електронна пошта вашої компанії, яка значиться в усіх ланках публічного простору.

Так, цифрова держава має свої недоліки, незважаючи на значні переваги, і одне з цих слабких місць — це неналежна, неефективна або в деяких випадках і відсутня кібербезпека.

Взагалі, якщо дуже стисло, то кібербезпека є однією з видів інформаційної безпеки, основна мета якої — здійснення захисту державних, персональних, корпоративних даних. Приватна інформація, в тому числі різноманітні бази даних, давно вже стала новою валютою, електронним знаряддям на віртуальному тіньовому ринку попиту і пропозиції. Адже при хакерській атаці несанкціонований витік інформації може завдати значних фінансових збитків компанії, державі або нашкодити особистій репутації окремої приватної особи.

Однак хакерська атака — це не завжди втручання зовні, інколи вірусної шкоди умисно або ненавмисно може завдати і співробітник компанії або ж приватна особа сама собі внаслідок ведення в оману. Саме тому виокремлюють два види хакерських атак — зовнішню і внутрішню.

Однією з найпоширеніших хакерських пасток є відправлення вірусного e-mail або повідомлення, так званий фішинговий лист. Фішинг — підроблений електронний лист (або SMS чи повідомлення у месенджері), який виходить начебто від офіційного джерела — компанії, колеги по роботі, друга. Щоб уникнути цього, не поспішайте одразу ж переходити за посиланням або відповідати, якщо стилістика тексту або формат повідомлення дещо відрізняється від звичної мови адресата. Краще спробуйте в інший спосіб зв’язатися з цією людиною та уточнити, чи дійсно вона відправила вам електронного листа. Те саме стосується і SMS-повідомлень, чатів у месенджерах, соціальних мережах тощо.

До речі, при крадіжці вашого смартфону, планшета тощо невідкладно почистіть акаунти та, звісно ж, попередьте всіх, з ким ви маєте тісні та важливі контакти. Оскільки не секрет, що майже всі месенджери дозволяють видалити інформацію в чатах у двосторонньому напрямку.

Для компаній, як державних, так і приватних, що, крім корпоративної електронної пошти, мають внутрішні робочі програми, сервісні сховища, краще не економити на штатному спеціалісті по захисту систем електронної інформації або ж мати таку нештатну довірену особу.

Якщо все ж таки на вашому підприємстві стався критичний витік інформації або відбулося глобальне несанкціоноване втручання в програмні пристрої, електрону базу даних, крім невідкладних технічних та етичних дій з попередження поширення інформації надалі, спершу необхідно провести внутрішнє розслідування, аби виключити варіант хакерської умисної атаки зсередини компанії серед ваших співробітників.

Для здійснення такого внутрішнього розслідування скликається комісія з представників органів управління, керівників відділів, представників профспілки (якщо такий орган передбачений), внутрішнього або залученого юриста, також до розслідування долучається корпоративний спеціаліст із захисту систем електронної інформації. За можливості скористайтеся послугами незалежного форензік-спеціаліста або експерта з розслідування кіберзлочинів.

До речі, якщо в вашій компанії працює спеціаліст із захисту електронної інформації на договірній (за трудовим законодавством) або контрактній основі, притягнути його до відповідальності або до матеріального відшкодування спричинених компанії збитків без належного внутрішнього розслідування, в односторонньому порядку буде не так просто. Будьте готові, що справа може дійти і до суду, і саме ваша сторона має буде довести, що внаслідок халатних, непрофесійних дій або бездіяльності вашого спеціаліста виникла кібератака, внаслідок чого підприємство зазнало матеріальних збитків.

Звісно, ви також маєте право, а за деяких обставин, якщо кібератака стосується державних і/або суспільних інтересів, просто зобов’язані звернутись із заявою до спеціального відділу розслідувань поліції. На щастя, в останні роки українська влада значно збільшила увагу до цього питання.

В Україні основним законодавчим регулюванням питань кібербезпеки є Закон «Про основні засади забезпечення кібербезпеки України» від 5 жовтня 2017 року, Конвенція про кіберзлочинність від 21 листопада 2001 року, ратифікована нашою країною у вересні 2005 року, а також Кримінальний кодекс України.

Відповідно до законодавства основними суб’єктами національної системи кібербезпеки є Державна служба спеціального зв’язку та захисту інформації України, Національна поліція України, Служба безпеки України, Міністерство оборони України та Генеральний штаб Збройних сил України, розвідувальні органи, Національний банк України.

Також спеціальними робочими державними органами є: Національний координаційний центр кібербезпеки, утворений відповідно до рішення РНБО України від 27 січня 2016 року, та Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA, на сайті якої  ви можете онлайн повідомити про кіберзлочин та отримати належну допомогу.

З 2009 року CERT-UA є акредитованим членом Форуму команд реагування на інциденти безпеки FIRST — провідної організації та визнаним світовим лідером у цій сфері.

Питання покращення кібербезпеки в Україні за останні кілька років перейшло зі стану проміжних обговорень до вирішення актуальних проблем і реагування.

Така зацікавленість, а точніше, нагальна необхідність зумовлена діджиталізацією суспільства, розвитком і впровадженням урядом цифрової політики в сфері надання державних послуг, а також, на жаль, одним із головних чинників актуальності цієї теми — збільшенням хакерських атак, особливо підривом електронних державних програм, сервісів і баз даних.

Якщо звернемося до судової практики розгляду питань з кібербезпеки, то в Україні найпоширенішими є злочини, що підпадають під статтю 361 (несанкціоноване втручання в роботу електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку, що призвело до витоку, втрати, підробки, блокування інформації, спотворення процесу обробки інформації або до порушення встановленого порядку її маршрутизації) та статтю 361-1 Кримінального кодексу України (створення з метою використання, розповсюдження або збуту, а також розповсюдження або збут шкідливих програмних чи технічних засобів, призначених для несанкціонованого втручання в роботу електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку).

Саме тому уряди розвинених держав за підтримки різних організацій, у тому числі міжнародних, недержавних, через державно-приватні соціальні проєкти, розробляють нові механізми кіберзахисту і працюють над ними. А саме: покращують цифрову обізнаність громадян, створюють стимулюючу систему для найкращих IT-кадрів, удосконалюють роботу зі створення вітчизняних програмних продуктів для захисту державних інформаційних ресурсів, зокрема національної операційної системи, національного антивірусного програмного забезпечення тощо, та періодично підвищують компетентність фахівців різних сфер діяльності з питань кібербезпеки.

Ахіллесова п’ята кібербезпеки — це стрімкий постійний розвиток електронних програм, методів дистанційного та майже невпізнаного керування. А також недоступність для більшості пересічних користувачів навичок та інструментів, які можуть убезпечити«цифрову»частину їхнього життя.