«Я не користуюся Google». Поради з кібербезпеки від колишнього хакера

NoNameCon

У Київ Берт Хейтінк (Bert Heitink) приїхав на конференцію з кібербезпеки NoNameCon (16-17 травня). Питаннями ІТ-захисту він займається з 1997 року, а у 2004 році став співзасновником компанії з інформаційної безпеки Sincerus. Із 2015 року продав акції та став незалежним експертом. Пан Хетінк також був співавтором порадника з операцій захисту для Національного центру з питань кібербезпеки Нідерландів.

Під час виступу на конференції він дав низку порад компаніям щодо цифрової безпеки. По-перше, слід звертати увагу на безпеку самої мережі й винятки, які були додані у брандмауер. Також важливо проводити регулярний моніторинг системи й оновлювати дані щодо шкідливих програм.

Ключовим елементом захисту є регулярне навчання працівників кібергігієни (треба акцентувати увагу на важливості стійких паролів тощо). Крім того, слід проводити аналіз інцидентів проникнення в систему та зрозуміти, як не допускати їх у майбутньому.

Окремо пан Хейтінк зупинився на питанні смартфонів. Він наголосив: не треба зайвий раз обробляти робочі документи на власному телефоні. А в соціальні мережі він радить не викладати занадто багато інформації про себе.

Чи не найголовнішою тезою його виступу було те, що цифровий захист є постійним процесом, який потребує регулярного оновлення систем та залежить від обізнаності всіх працівників компанії.

«Як переконати ваших начальників, що кібербезпека потрібна і за нею треба стежити. Це питання до керівництва: який ризик є прийнятним? Якщо це втрата декількох мільйонів доларів — це може бути технічною проблемою. А коли вкрали всі дані клієнтів, то такий прокол може привести до банкрутства компанії. Треба розуміти, чим можна ризикнути», — наголошує спікер.

Бертом Хейтінк розповів «Детектору медіа», чому вважає системи для електронного голосування вкрай вразливими, наскільки готові європейські системи до виборів у Європарламент та чому Україні варто рівнятися на Ізраїль у питанні кібербезпеки.

Берт, ви багато говорили про кібербезпеку для компаній. Які дірки в безпеці найпоширеніші, з вашої практики?

Для зламу є вкрай багато можливостей. Найбільш легким тут є, звісно, фішинг (часто це несправжні електронні листи, якими вводять в оману користувачів. — Ред.). Це досі є шляхом для 50 % зламів. Працівники просто клікають на посилання у фальшивих електронних листах. Вони отримують якесь нагадування про зустріч і думають, що спілкуються з колегою, але насправді за цим стоїть хакер.

Крім того, часто у фірмах не оновлюють вчасно операційні системи. Це залишає зловмисникам слабкі місця, якими вони можуть скористатися. І ще хочу наголосити: безпека в першу чергу залежить від самих користувачів. Досі багато хто використовує один і той же пароль до всіх свої облікових записів, що дуже спрощує завдання для зламу. Знаєте, я досі можу зайти в систему свого колишнього клієнта. Я двічі їм про це казав, але вони нічого так і не навчилися.

Тобто? Ви ще досі в системі?

Вони не видаляють мій пароль і акаунт. Але я вже закінчив із цим роботу давно! Тепер я стороння людина.

Чому, на вашу думку, люди такі безпечні в цьому плані?

Вони зайняті і, незважаючи на те, що це важлива тема, дуже важко знайти правильних людей, які добре освічені. Крім того, бюджет на безпеку завжди не такий великий, як хотілося б. Особливо коли компанія переживає кризу, людей звільняють — це момент, коли кібербезпека в організації падає.

Те саме ми бачили у США, коли Трамп перекрив фінансування уряду (government shutdown) — дуже багато чиновників були відправлені в неоплачувану відпустку. Серед них були й ІТ-спеціалісти. І хакери знають: якщо ІТ-спеціалістів там немає, вони можуть знайти прогалини в безпеці. В таких випадках це стає нескладно.

Я в минулому був хакером (ethical hacking) і можу сказати, що головне в цій справі — знати, чим користуються працівники. Одного дня буде знайдене слабке місце в мережевому екрані (firewall), і якщо ви знаєте, що компанія не оновила програмне забезпечення, то у вас буде ключ до її системи.

Для урядовців тренінги з кібергігієни не менш важливі, ніж для працівників компаній?

Безперечно! На жаль, у Нідерландах уряд не такий кмітливий у цьому плані, але вони мають досить багато гарних радників. У нас також є Національний центр із кібербезпеки (CSC), який кооперується зі спеціалістами з Великої Британії та Франції. Вони займаються питаннями безпеки критичної інфраструктури, для чого отримують гроші від уряду. Інша важлива інфраструктура — комунікаційні компанії тощо — мають також будувати свій захист, але платять за це самі. На цифрову безпеку з їхньої кишені йде не один мільйон.

Нещодавно я був на заході, де обговорювали втручання у кіберсистеми України під час виборів президента. Спеціалісти зауважили, що атаки інших країн, зокрема Росії, були цього року неуспішними. Ймовірна причина — Україна добре підготувалася. На вашу думку, це може бути реальною причиною чи РФ просто не сильно старалася?

Я не знайомий із вашою локальною ситуацією. Можу сказати, що, незважаючи на інші країни, — Росія це, чи ні — є дуже багато людей, які хочуть вплинути на хід виборів. Ви могли це бачити в період Brexit. Тоді було дуже багато неправдивої інформації (дезінформації), фейків. Купа історій, які не базувалися на реальних фактах.

У Нідерландах із кінця 90-х люди почали голосувати за допомогою електронних систем. І ці машини були дуже прості. Один із хакерів, яких я знав, купив собі таку машину, заявивши, що вона йому треба для компанії. Так він зміг дослідити їхню програму і згодом навчився змінювати всю систему. Приміром, коли ти голосуєш за номер один, голос іде за третього. Коли мій знайомий зміг зламати цю машину, то це міг зробити будь-хто.

У такому разі питання, хто виграє вибори, переходить в іншу площину: в якого кандидата більше грошей на хакерів. Не думайте, що у процесі голосування у вас лише один ворог — Росія. Будьте свідомими того, що вибори просто можуть бути скомпрометовані. Цей ризик є завжди.

У нас поки немає електронного голосування, голоси рахуються за паперовими бюлетенями.

Це чудово! Адже багатьма електронними системами для голосування можуть маніпулювати. У Нідерландах вони використовувалися з кінця 90-х до 2007 року. Відтоді повернулися назад до паперового голосування, а електронні системи використовуються для паралельного підрахунку голосів. І хоча наші електронні системи оновили, вони все одно можуть бути скомпрометовані. Про безпеку зазвичай в ІТ-секторі згадують чи не в останню чергу.

За декілька днів (2326 травня) відбудуться вибори до Європарламенту. Як вважаєте, чи готова до них Європа в питанні цифрової безпеки?

Ні. Тут завжди є прогалини, тим паче, що ці вибори розподілені по 28 країнах. Думаю, в Нідерландах ми доволі добре підготувалися, як і в Німеччині чи Франції. Проте є ряд країн, які значно слабші та перебувають під впливом популістів чи фейкових новин. Все це інструменти для маніпуляцій. Я завжди з підозрою ставлюся до таких процесів.

Як щодо соціальних мереж. Чи ми не стали вкрай вразливі через них?

Люди вразливі, бо занадто багато розповідають на цих онлайн-платформах. Не варто. Ігноруйте своє его, не кажіть там забагато. Це добре, що ви пишаєтеся своєю роботою. Але чи треба регулярно повідомляти світу кожен свій крок?

Я, наприклад, оновлюю LinkedIn вже після роботи над певним проектом. Так чинити прошу й свою команду. Регулярні пости можуть спростити можливість вас скомпрометувати. Якщо ви передбачувані — ви є мішенню, а 93 % вашого життя передбачуване. Ви йдете на роботу, за покупками, займаєтеся спортом — усе це повторюється раз у раз. І на цих шляхах зламати ваш телефон нескладно.

Знаєте, як це роблять у США? За допомогою літаків вони створюють додаткову лінію, яка працює аналогічно мережі мобільного зв’язку. Тобто в цілі такого зламу залишається такий самий зв’язок, але спецслужби можуть усе записувати. Так чинить, наприклад, ЦРУ. За моєю інформацією, в них для цього є 16 літаків, які допомагають їм ловити злочинців.

Чи ви чули про прогалину в безпеці WhatsApp, яку нещодавно розкрили? Смартфони могли зламати, просто подзвонивши користувачу у WhatsApp. Програму розробляла ізраїльська компанія і продавала її урядам.

Так, це був інструмент для прицільної атаки. Така компанія не могла б існувати, якби не мала певних зв’язків з урядом Ізраїлю. У цій країні взагалі все дуже жорстко в питанні безпеки, і я розумію чому. Думаю, вони наразі перебувають у ситуації, подібній до української. Якщо ви знаєте, що ви чиясь ціль і маєте ворогів, — будьте захищені.

WhatsApp — це частина компанії Facebook. Її співзасновник Кріс Хьюз написав великий матеріал для The New York Times, у якому закликав розділити Facebook, бо Марк Цукерберг має забагато влади. На вашу думку, чи це є рецептом, що вирішить проблеми, з якими нині стикаються різні країни, пов’язані з цією компанією?

Ми не можемо зробити крок назад у часі. Зараз ми глобалізовані. Не можна розділити компанію й мати свій Facebook для Європи чи окремий для України. Адже коли члени вашої родини перебувають десь в іншій точці світу, вам хочеться бачити, як вони там живуть. Найбільший виклик тепер — розробити регулювання для таких компаній. Це те, що намагається чинити ЄС: тиснути на Facebook та Google. Це одна з причин, чому я задоволений політикою Європейського Союзу. Європа дуже жорстко відстоює захист приватних даних: яку інформацію компанії збирають, навіщо і що далі з нею роблять.

Це, зокрема, стосується й Google. Тепер у користувачів є право видалити всю інформацію про свої запити. Особисто я ніколи не використовую Google для пошуку в мережі. Віддаю перевагу DuckDuckGo чи просто заходжу одразу на сайт, який мене цікавить. Google збирає занадто багато інформації про мене, і я трохи боюся цього. Це моя робота — бути трохи параноїком у цьому плані.

Крім того, я заходжу в інтернет за допомогою VPN і з телефона, і з комп’ютера. Це не убезпечує мене на 100 %, але я намагаюся хоча б бути не такою легкою здобиччю для зловмисників.

Під час свого виступу ви радили українським військовим займатися робочими справами лише на захищених девайсах, зайвий раз не вмикати GPS, не користуватися для роботи незахищеними месенджерами. Які ще рекомендацій щодо кібербезпеки можете дати нашій армії?

Перш за все, збройним силам потрібен сильний відділ із питань кіберзахисту (наразі в ЗСУ є підрозділи з кібербезпеки. — Ред.). Туди слід забирати з вишів сумлінних студентів, які мають хороші ІТ-навички, й надалі тренувати їх для цифрового захисту.

У цього рішення є декілька переваг. По-перше, у вашій армії буде команда прогресивних людей з новими ідеями. По-друге, ви тренуватимете їх спеціально для кіберзахисту, виробляючи в них відповідне мислення в питаннях безпеки. І навіть, якщо вони покинуть збройні сили, то, швидше за все, продовжать працювати в цьому полі.

В Ізраїлі є Unit8200 — дуже відомий підрозділ (частина ізраїльської розвідки, яка відповідає за збір розвідувальної інформації та розшифрування кодів. — Ред.). Чи не всі ізраїльські спеціалісти з кібербезпеки тренувалися в їхній армії. Це одна з причин, чому кібербезпека в Ізраїлі на високому рівні. Дуже багато інновацій із цього питання йде саме з цієї країни, і їхні рішення купують інші уряди. Тож використовуйте такий шлях, не треба вигадувати колесо. Не дивіться на США чи Росію, подивіться в бік Ізраїлю, який зараз перебуває у схожій на українську ситуації.

comments powered by Disqus