Стрімкий розвиток технологій спрощує життя не тільки обивателям, а й злочинцям. Кримінальний світ іде в IT, адже можливостей придумати нові шахрайські схеми там набагато більше, а шансів, що тебе знайдуть, — менше. Природно, роль Кіберполіції як основного правоохоронного підрозділу, покликаного боротися з «цифровими» злочинами, останніми роками зросла в рази. Як і її відповідальність за збереження наших з вами грошей. ZN.UA поговорило з головою Кіберполіції Олександром Гринчаком про те, як зберегти свої персональні дані в безпеці, чому не можна підключатися до відкритих мереж Wi-Fi, як працюють тюремні «кол-центри», що робити, якщо ваш бізнес атаковано хакерами, і про багато чого іншого. На жаль, історія про підписання петиції на сайті президента якимось Джо Байденом відбулася вже після запису цього інтерв'ю, і ми так і не змогли отримати конкретної відповіді на запитання, як таке могла статися у захищеній цифровій державі, але опосередковано в інтерв'ю Олександр відповідає й на нього теж.
— Олександре, цифровізація — це, безумовно, зручно. Але так гостро, як нині, питання захисту персональних даних людей не стояло ніколи. Чи у безпеці особисті дані українців і чи зростає кількість звернень до Кіберполіції, пов'язаних із фактами їхнього незаконного використання?
— Найбільша база персональних даних громадян належить державі, і перш за все держоргани відповідають за збереження інформації з обмеженим доступом.
З одного боку, комерційні організації теж збирають і не завжди дбайливо зберігають дані людей. Та й люди найчастіше самі надають свої особисті дані багатьом компаніям. Так формуються різні бази даних банків, фінансових компаній, торговельних мереж та інших комерційних організацій. З іншого боку, завжди є ризик того, що колишній або нинішній співробітник цих комерційних організацій, який має доступ до цієї інформації, її продасть. Торік ми ініціювали спецоперацію «Дата», провели майже 40 обшуків по всій території України та відправили до суду матеріали щодо 11 фігурантів із 25, які займалися саме розповсюдженням баз із особистими даними громадян. В основному це були бази даних банків, небанківських фінансових організацій і магазинів.
— Наскільки ефективна ця боротьба? За місяць до закінчення строку «автоцивілки» власнику авто гарантовано зателефонує не одна страхова, пропонуючи свої послуги.
— Багато хто іде в «тінь», у Телеграм, використовують його як майданчик для продажу цієї інформації, і тут цю діяльність обмежувати вже складніше. Але не неможливо. Близько семи таких телеграм-каналів нам уже вдалося заблокувати. Звичайно, це невелика частка цього ринку. Але все ж таки зазначу, що жодній державі у світі не вдається на 100% захистити дані своїх громадян.
Частина цих телеграм-каналів справді торгує інформацією, яку людина свідомо залишала десь у відкритих джерелах і соціальних мережах, наприклад. Їм складно щось пред'явити. Тут, швидше, потрібна профілактика серед населення, інформаційна кампанія про те, яких даних краще не афішувати.
— У ситуації з даними, які надають комерційним організаціям, усе простіше — їх можна просто не залишати. А от із даними, що належать державі, складніше, тут відмовитися не вийде, а інформація про тебе однаково продаватиметься та купуватиметься третіми особами. Адже й податкові, і митні бази можна купити без проблем.
— Це все той самий людський фактор. Людина попрацювала, звільнилася, зберегла інформацію й потім її продає наліво й направо. Але порівняно з минулими роками ситуація поліпшується. Ми, повірте, робимо все можливе. Разом із підрозділами кібербезпеки інших органів проводимо профілактику таких порушень із адміністраторами баз особистих даних і пояснюємо, що це кримінальний злочин, за який карають.
— А випадки настання такої відповідальності є?
— Так, торік було спрямовано до суду понад десять таких справ. І зараз у нас є кілька справ, пов'язаних саме з цим видом порушень. На жаль, до всіх одразу добігти ми не можемо, а з урахуванням анонімності телеграм-каналів ми ще й маємо шукати якісь альтернативні способи, як цих людей знайти.
— Виходить?
— Так, нехай і не так швидко, як хотілося б. Я не можу розповідати, як саме, скажу тільки, що в кожному разі адміністратори цих телеграм-каналів — живі люди, у яких є не лише віртуальне, а й реальне життя, в якому анонімізація неможлива.
— Доганяти виходить, а працювати на випередження? Адже цифровізація та нові технології — це роздолля для шахраїв. Тут з'явилася можливість Face ID ідентифікації клієнта банку, там технологія Deepfake, що дає змогу підміняти обличчя, і от уже в Китаї заарештовано шахраїв, які завдяки цим технологіям незаконно заволоділи десятками мільйонів доларів.
— У нас немає мієлофону, на жаль. Але робота на попередження — це окремий напрям нашого розвитку. Ми створили спеціальний підрозділ, який займається виключно моделюванням можливих майбутніх схем у горизонті п'яти років. Це наш пріоритет. Як і підвищення захищеності даних як таких.
— Олександре, а ви в додатку «Дія» зареєстровані?
— Ні.
Я просто ще не встиг. Це захищений сервіс, я в ньому впевнений на 100%, просто ще не встиг.
— Чи зростає відсоток шахрайства з банківськими картками та чому, адже кампаній, присвячених підвищенню фінграмотності, уже не злічити?
— На жаль, кількість цих злочинів із кожним роком продовжує зростати, попри все. Доступ до банківських даних злочинці можуть отримати різними способами. Наприклад, цього року ми вийшли на групу осіб, які використовували скімінгові пристрої, які вони встановлювали на банкомати, сканували інформацію банківських карток користувачів, після чого дублювали картки та знімали гроші. За нашими даними, встигли зняти близько 2 мільйонів гривень. Справа вже в суді. Також дані можна вкрасти з допомогою вірусу або за участі співробітника, який вступив у змову зі злочинцями.
— Як часто співробітники банків замішані в таких злочинах?
— У кожному другому випадку. Щоправда, найчастіше це все-таки колишні співробітники банків.
— Виходить, що недопрацьовують служби безпеки самих банків?
— Почасти. Поскаржитися на них не можу — співпрацюємо продуктивно. Наприклад, якщо ми одержуємо сигнал про підозріле велике зняття коштів, завдяки співробітництву з банками заблокувати таку трансакцію ми зможемо без зайвої тяганини, у телефонному режимі.
З іншого боку, стільки років ми пропонуємо банкам різні способи посилення безпеки — обладнати банкомати додатковими прихованими камерами, спеціальними датчиками, програмним забезпеченням, яке гарантувало б додатковий захист, але просуваємося повільно, хоча й просуваємося.
— Із цього погляду, підвищення фінграмотності громадян — дешевший спосіб боротьби з шахраями, звісно. Напевне у вас є набір базових рекомендацій щодо цього.
— Звичайно. Насамперед ми переробили наш сайт, зробивши його максимально зрозумілим обивателю, і зібрали там усі можливі рекомендації, як убезпечитися від шахраїв. Там же в нас є форма зворотного зв'язку, яка допомагає оперативно зв'язатися з нами. І, звичайно ж, завжди можна звернутися по допомогу в наш кол-центр за телефоном 0800-505-170.
Базові поради не змінюються: співробітники банків ніколи не будуть у вас запитувати тризначний код, розміщений на звороті картки, або відповідь на секретне запитання. Такі запитання вам ставитимуть лише шахраї, і немає значення, ким вони до цього представлялися.
На жаль, попри загальну відомість цієї інформації, люди й надалі ведуться на ці хитрощі. Навіть мій тесть нещодавно став жертвою таких шахраїв, власноручно надавши їм дані своєї банківської картки. Хоча знав, що цього не можна робити. На жаль, злочинці, як правило, хороші психологи. Вони вміють входити в довіру, не шкодують ні сил, ні часу, аби домогтися бажаного.
Також хочеться в котрий раз звернути увагу людей на те, що доступ до їхніх персональних даних зловмисники можуть отримати через Wi-Fi. Вони створюють фішингові дублікати відкритих Wi-Fi мереж і після того, як людина до них підключилася, отримують доступ до всіх даних, збережених на її пристрої, у тому числі до банківських.
— Нерідко шахраї, які обдзвонюють пенсіонерів і виманюють у них банківські дані, телефонують із місць позбавлення волі. Чи можна якось обмежити цю їхню злочинну активність, і чи обговорюєте ви цю проблему з пенітенціарною службою?
— Так, у нас налагоджено взаємодію з пенітенціарною службою, і ми разом намагаємося контролювати цю активність. За чотири місяці цього року ми вже оголосили підозри 11 особам за 42 епізодами. Наприклад, нещодавно у Львові було розкрито таку організовану групу осіб.
— Керівництво в'язниць знає про те, що відбувається? Не можуть же співробітники не помічати цих «кол-центрів»?
— Думаю, що якщо й знають, то саме на рівні персоналу. Судячи з того, що всі наші обшуки під час подібних епізодів були результативними, тобто ув'язнених ніхто не попереджав про них, а нам усіляко сприяли, центральний апарат справді не замішаний у цьому жодним чином.
— Чи обговорювалися якісь системні варіанти припинення роботи цих тюремних «кол-центрів»?
— До нас зверталися представники бізнесу, пропонували технічне рішення, що дає змогу обмежувати телефонні дзвінки у в'язницях, а ув'язненим залишати можливість спілкування з родичами за виділеними каналами зв'язку. Цікавий проєкт, але надто дорогий, адже місць позбавлення волі в нас близько 110, і загальна вартість впровадження такої системи в десятки разів перевищує ті збитки, яких завдають ці схеми. Сподіваємося, що згодом ці технології стануть дешевшими, і пенітенціарна служба зможе їх собі дозволити. Адже, за великим рахунком, це їхня зона відповідальності, а ми із задоволенням використовували б наші ресурси на інших напрямах роботи.
— До питання про розподіл ресурсів. Ви вважаєте правильним, що ваші співробітники витрачають час і сили на пошук і притягнення до відповідальності дорослих жінок, які поширюють в Інтернеті свої відверті фото?
— Згідно із законодавством це порушення закону, тому що відповідальність за поширення порнографії в нас передбачена. З одного боку, не хочеться ображати деяких наших співробітників, але витрати людського ресурсу та часу на подібні справи раціональними не назвеш. З іншого — будь-хто з батьків погодиться, що поширення подібного контенту має якось обмежуватися, і обуряться, якщо Кіберполіція не відреагує на заяву про те, що подібний контент з'являється в Мережі. Понад те, якби співробітники не відреагували, вони теж порушили б закон. Думаю, це було їхнім основним мотивом, оскільки від стандартної системи оцінювання за кількістю розкритих справ ми давно відмовилися. Для нас виявлення та припинення діяльності організованої групи злочинців набагато важливіше за піймання її окремих учасників.
Однак погоджуся, що кричати про такі справи, записуючи їх у заслуги Кіберполіції, неправильно. Більша частина нашої роботи стосується абсолютно інших речей, які завдають набагато більшої шкоди суспільству, наприклад, хакерських атак.
— До речі, про них. Чи правильно ми розуміємо, що насправді, якщо злочин скоює хакер з-за кордону, то притягти його до відповідальності неможливо?
— Складно, так, але не неможливо. У нас налагоджене співробітництво з іноземними колегами, проходять спільні операції. Ми можемо заочно оголошувати підозри, ініціювати міжнародний розшук, обмежувати переміщення. Є механізми. Насправді без налагодженого міжнародного співробітництва боротися з кіберзлочинами неможливо, адже для хакерів кордонів не існує. Злочинці перебувають в одних країнах, а злочини скоюють в інших.
Для Кіберполіції міжнародні зв'язки — це один із основних нинішніх пріоритетів. На сьогодні ми побудували хороші робочі відносини з колегами зі США, Німеччини, Франції, Італії, Польщі, Румунії, Болгарії та багатьох інших країн. Проводимо спільні операції.
Буквально зараз завершили спецоперацію разом із колегами з Південної Кореї та США за сприяння Інтерполу. Група українських хакерів здійснювала атаки на сервери корейських і американських компаній, отримувала доступ до інформації, шифрувала її та вимагала викупи в криптовалюті за дешифрування. Загальна сума завданих збитків — 500 мільйонів доларів. І таких великих спільних спецоперацій лише цього року ми провели вже чотири.
— Нещодавно найбільший у світі виробник м'яса JBS визнав, що заплатив викуп у 11 мільйонів доларів після кібератаки. Ви вважаєте це рішення правильним?
— Якби вони не заплатили, то отримали б колосальні, непорівнянні з цією сумою, збитки. Були випадки, коли компанії виплачували хакерам не десятки, а сотні мільйонів доларів, намагаючись не допустити ще більших збитків. На щастя, в Україні такі історії нечасті, але й наш бізнес потрапляє під атаки. Причому буває, що до нас вони звертаються вже після того, як заплатили викуп хакерам, але після отримання викупу дешифрування хакерами так і не було зроблене.
— Чому відразу не приходять?
— Це проблема. Ми намагаємося побудувати довірчі відносини з бізнесом, розповідати про свою роботу, можливості та ефективність. Попри те, що в нас із кожним роком рівень розкриття злочинів зростає в середньому на 20–30%, і досі деякі люди вважають, що звертатися до нас немає сенсу. На жаль, дехто взагалі не знає про Кіберполіцію. Це запитання й сервісності, і ефективності, і комунікації. Є над чим працювати. Починаючи від банального чайника в кабінеті, щоб потерпілого чаєм напоїти, і закінчуючи зрозумілістю нашого сайту для різних груп населення — і для просунутих користувачів, і для старих людей. Працюємо, змінюємо, поліпшуємо.
— Якщо говорити про хакерські атаки, то наскільки покращилася ситуація від часів вірусу Petya?
— Спроб атак за минулий рік було багато — мільйон і не менше. Але ситуація із захищеністю стала кращою. Держспецзв’язок, СБУ й ми налагодили постійну комунікацію та злагоджено працюємо над тим, щоб протистояти атакам.
Більшість питань вирішуємо моментально в телефонному режимі та знаємо, як реагувати, обмінюємося інформацією. Також проводимо профілактику з держорганами, підвищуємо їхню захищеність. Звичайно, на 100% захиститися ми не можемо. Але намагаємося достукатися до керівника кожного держоргану та пояснити, що вони відповідають за збереження інформації, тож мають закуповувати спеціальне програмне забезпечення та винаймати хороших фахівців. Нехай їх буде не цілий департамент, а три досвідчені людини, які спроможні створити справді захищену систему, яка складно піддається атакам та дозволяє впродовж кількох хвилин будь-яку атаку відбити. Це можливо, але потрібні фахівці.
— Ваш сайт атакують часто?
— Минулими роками бували атаки й на наш ресурс, ми справлялися з ними за 15–20 хвилин. Зараз навіть не намагаються. Звичайно, найчастіше така ефективність залежить від рівня експертів, які працюють, причому за кадри доводиться конкурувати зі сферою, де рівень доходів набагато вищий за середній по країні. Ми, наприклад, домоглися того, що наші профільні фахівці з кібербезпеки отримують близько 50 тисяч гривень на місяць. Їх у нас небагато — людей 40, але вони варті цих грошей.
— Складно шукати та утримувати співробітників?
— В основному це проблема виключно фінансування. Але навіть наші високі зарплати не завжди конкурентні. Ми бачимо, що почасти робота в нас для багатьох людей — це можливість професійного зростання, накопичення знань і навичок, що дозволяють їм потім у приватному секторі знайти роботу з зарплатою вдвічі вищою. Це ринок, що поробиш. Намагаємося хоча б не втрачати з ними зв'язку та продовжувати обмінюватися знаннями.
— Наскільки українське законодавство відповідає сучасним викликам у сфері кібербезпеки? Скільки часу, наприклад, вам потрібно, щоб закрити сайт шахраїв?
— Так, це не моментально відбувається, звичайно. Для цього потрібне рішення суду, що виноситься, як правило, після проведення експертизи, на що потрібний час. Але насправді нашим законодавством блокування доступу до інформаційних ресурсів узагалі не передбачене, що в результаті дозволяє потім у тих самих судах ці блокування оскаржувати.
Однак ми намагаємося це виправити, уже є два законопроєкти (№4003 і 4004), які саме й покликані наблизити наше законодавство до реальності, а заодно привести його у відповідність із міжнародними стандартами кібербезпеки.
Законопроєкти вносять зміни до Кримінального процесуального кодексу, до закону про телекомунікації та низки інших законів. Наприклад, впроваджують зобов'язання для провайдера зберігати інформацію протягом року, систематизувати ідентифікацію клієнтів (тому що зараз у них у базі під одним номером можуть проходити сотні користувачів), спрощують процедуру оперативно-слідчих дій, пропонують інші поліпшення. Ми не прагнемо до жорсткого контролю, але хочемо елементарних спрощень.
— На легалізацію криптовалюти чекаєте?
— Нам точно було б простіше працювати, якби криптовалюта з'явилася в законодавчому полі. На сьогодні це головний платіжний інструмент у даркнеті, наприклад, а офіційно в країні його навіть не існує.
— Що продається та купується в даркнеті?
— Усе. Зброя, наркотики, віруси, дані. Що завгодно.
— А людей, які ведуть свій бізнес у даркнеті, вам видно? Ви можете їх ідентифікувати?
— Не в усіх випадках, на жаль. Інструментарій у нас є, є міжнародні партнери, є певні напрацювання та сервіси. Звичайно, даркнет — це виклик для всіх у світі, але в кожному разі йдеться про живих людей, які десь живуть, кудись ходять, з кимось спілкуються та користуються телефоном. Навіть якщо злочинець — самітник, який живе в хащі лісу, рано чи пізно знайдеться хтось, хто поставить запитання: «А що він тут робить?».
Більше статей Юлії Самаєвої читайте за посиланням.