Кибербезопасность по-украински: о давлении силовиков, белых и черных хакерах и ценности диванных экспертов
Никита Кныш — эксперт в области информационной безопасности, служил в СБУ, помогал ловить киберпреступников, а сейчас работает над защитой веб-сервисов и занимается кибер-расследованиями. Организатор форума по кибербезопасности HackIT. Никита был одним из первых, кто начал публично освещать атаку вируса Petya и публиковать рекомендации по минимизации ущерба.
Несколько недель назад Никита занял пост внештатного советника Администрации Президента. В интервью для DOU Никита рассказал о сотрудничестве с госслужбами по вопросам ИБ, карьерных путях безопасников и «белых» хакеров, существующих проблемах и способах их решения.
— Никита, вы давно сотрудничаете с государственными службами по вопросам ИБ. С чего всё началось?
У меня очень активная позиция. Когда в 2015 году анонсировали создание киберполиции, мы с коллегами поехали в ОБСЕ к координаторам национальных проектов и предложили им программу обучения для киберполиции. Мы разработали прозрачную публичную процедуру подбора кадров, придумали, как можно собрать деньги на достойные зарплаты для инструкторов с помощью краудфандинга. Однако у них эта процедура была весьма закрыта и заангажирована, и нам тогда отказали. Детали этой истории я рассказывал в интервью на «Цензоре», материал называется «„Крымский ботнет“, или Кто заказал „Цензор.НЕТ“?».
Там, помимо прочего, расписаны все детали моей поездки в Киев, как мы общались с ОБСЕшниками, как выходили на руководство киберполиции, как предлагали свой вариант обучения, советовали, подбирали инструкторов-тренеров. И как они рассказывали, что платить 150 грн специалисту по информационной безопасности за час лекции — это тоже нормально.
Вот после этого и началось моё взаимодействие с представителями власти. Я для себя решил, что моя компания ProtectMaster и я лично никогда не будем участвовать в государственных тендерах, чтобы избежать конфликтов интересов. Моя компания начала бесплатно предлагать сотрудникам всех силовых ведомств пройти мастер-классы по способам сбора информации из открытых источников и базовым навыкам в сфере практической кибербезопасности. Мы занялись обучением СБУ, прокуратуры и силовиков, рассказывая, как правильно документировать, собирать информацию, пользоваться открытыми базами данных и всем, что даёт нам интернет.
— Как попали на должность советника при Администрации Президента?
Наша инициатива по обучению сотрудников СБУ, полиции, киберполиции и прокуратуры привела к знакомству с представителями власти. Они также оказались заинтересованы в профильных, профессиональных консультациях. Это сотрудничество естественным путем оформилось официально, и меня назначили внештатным советником АП.
В удостоверении написано просто «Советник Администрации Президента». Но, как вы понимаете, ни в какой другой сфере, кроме кибербезопасности, я советовать не могу :)
— Что входит в обязанности советника?
Если общими словами: подготовка рекомендаций в различных областях, в том числе по развитию информационной безопасности Украины. Что именно советую, разглашать не могу.
Я стараюсь первоначально обсуждать все вопросы с профильным сообществом, собрать их мнение по тем или иным вопросам, а затем донести это решение высшему руководству. Хочу отметить, что в АП для этого есть штатные сотрудники, которые занимаются этим ежедневно, я могу лишь пытаться донести ту или иную мысль в надежде, что она будет услышана.
— Чем вы занимаетесь сейчас, какими вопросами?
Сейчас занимаюсь вопросом, связанным с давлением на IT-бизнес силовиков. Меня нередко самого привлекали для проведения обысков IT-компаний как технического специалиста, а потому я знаю, что существует такая проблема. Чтобы убрать аспект давления, я считаю, что нужно запретить силовикам изымать компьютерную технику. Нужно сделать правильную законодательную базу для работы с образами компьютеров (виртуальными образами), чтобы можно было прийти, скопировать всё на флешку, не парализуя деятельность всей компании на несколько месяцев.
Вот это я пытаюсь пролоббировать, доносить на всех уровнях. Однажды пытался с одним из депутатов через Верховную Раду: рассматривали законопроект от одной политической партии, но принять его не получилось, не хватило голосов. К сожалению, в Верховной Раде не понимают, зачем запрещать силовикам изымать технику.
— Какие еще проблемы в информационной безопасности видите?
Существует огромная проблема с цифровой криминалистикой: с документированием преступлений в сфере кибербезопасности. В институтах судебных экспертиз образуются огромные очереди, которые позволяют осматривать компьютерную технику и проводить экспертизу только спустя
Думаю, нужно что-то изменять и вводить частные компьютерные экспертизы, чтобы у человека был выбор и возможность не ждать 8 месяцев, год, иногда 2 года, чтобы твой компьютер открыли и посмотрели, есть там нужные для следствия файлы или нет. Я предлагаю сделать частную экспертизу: отдать полномочия наемным экспертам для проведения экспертизы по той же процедуре, что проводят НИИ судебных экспертиз.
ДСТЗИ, на мой взгляд, весьма заангажированная структура, которая выдает сомнительные лицензии и сертификаты по уровню качества. Можно сделать этот процесс более публичным — создать открытую некоммерческую организацию, которая будет заниматься вопросами сертификатов, лицензий. Прозрачная процедура позволит убрать коррупционную составляющую.
Полагаю, такая организация будет самоокупаема: экспертиза стоит денег, это понятно. И компания, например, у которой изъяли компьютерную технику, будет заинтересована максимально быстро провести осмотр и экспертизу этой техники и вернуть её себе. Потом она докажет свою невиновность в суде, не застревая на бесконечном этапе досудебного следствия, которое у нас в стране может длиться годами. Я думаю, такие компании будут готовы платить негосударственным экспертным центрам.
Вот такие публичные (законодательные или не законодательные) IT-инициативы я предлагаю на критику общественности. Пока что конструктивной критики не получил.
— А как реагирует государство? Что-то улучшается?
Подвижки есть: я вижу какие-то решения СНБО, которые вводятся указами Президента. Возможно, провести такие решения через ВР не всегда хватает голосов. К примеру, та же блокировка «ВКонтакте», «Яндекса» — это уже конкретные шаги.
Последнее решение СНБО декларирует публичное взаимодействие с частными компаниями в области информационной безопасности. Это поможет привлекать нормальных адекватных специалистов в помощь государству в настройке и системной интеграции сервисов, которые есть у государства.
— Что тормозит прогресс на государственном уровне?
Проблема в абсолютной хаотичности действий. Распространенный пример: киберполиция расследует какое-то дело. К ней приходит сотрудник из СБУ, пытается изъять дело. Потом ещё приходит прокуратура, и начинаются непонятные танцы с бубном вокруг громкого резонансного дела.
На мой взгляд, основная проблема — это отсутствие координации и единоначалия. Должен быть человек или команда, которые смогут чётко говорить, что, как и когда мы делаем, куда идём, и давать остальным чёткие и понятные указания.
Проблема в том, что высшее руководство страны не понимает (да и не должно детально понимать) информационную безопасность. Поэтому и нужно привлекать профессионалов в этой сфере, давать им возможность высказывать идеи и, самое главное, слышать их.
— Много ли в Украине таких профессионалов? Насколько развито сообщество?
Сообщество развито довольно неплохо, но его уже тошнит от политических подковерных игр, от непонятной политики государства в этой сфере. И никто не хочет взаимодействовать с государством, потому что мизерные зарплаты, риск того, что вообще за это посадят, риск давления на твой бизнес, если ты затронешь чьи-то финансовые интересы. Люди не то чтобы запуганы, а просто не хотят с этим связываться. Я тоже получил целый поток грязи из-за публичного анонса взаимодействия с государством.
В частном секторе всё более-менее хорошо, работы достаточно. Программисты могут получать там от 1,5 до
— Если сравнивать кибербезопасность в Украине и в других странах Европы, США — насколько мы отстаем?
У нас бумажная страна. Поэтому, к примеру, когда «Прикарпатьеоблэнерго» атаковали и выключили свет, мы всегда могли послать электрика Василия, чтоб он физически включил рубильник. Если случится что-то подобное в странах Европы или США, у них послать включить рубильник будет намного сложнее :)
Мы находимся ещё в аналоговом веке, у нас всё пока на бумаге, отчасти как и реформы. На мой взгляд, по уровню кибербезопасности и внедрению IT в мировом ТОПе сейчас Эстония. Это полностью компьютеризированная страна, у которой стоит поучиться, брать опыт. У нас есть умнейшая представительница Эстонии — Яника Мерило. Она активно выступает инициатором внедрения iGov в Украине и лично меня она невероятно мотивирует что-то делать. Яника в буквальном смысле пробивает лбом стены для того, чтобы сделать нашу страну еще чуточку более компьютеризированной. Спасибо ей за это.
— Изменилось ли у нас что-то в лучшую сторону после NotPetya? Приняло ли государство какие-то превентивные меры?
Было принято решение на базе СНБО. Пока что оно только на бумаге. Будут ли какие-то подвижки и изменения? Покажет время.
Поняло ли наше государство, что нужно куда больше заниматься кибербезопасностью, чем самопиаром и голословными заявлениями? Не знаю, не могу ответить. Время покажет. Существенных сдвигов, как, например, блокирование «ВКонтакте» в ответ на российскую информационную агрессию, предпринято не было.
Готовы ли наши силовики к следующим атакам? Во всяком случае они об этом знают. Службы предупредили людей, что следует поменять пароли, заблокировать какие-то порты. Список этих рекомендаций очень конкретный, очень полный. Он опубликован на сайтах СБУ и киберполиции, в средствах массовой информации. Я считаю, что это уже «невеличка, але перемога» наших силовиков — они поняли, что следующий шаг (атака) будет.
— Большой ли спрос в украинских компаниях на специалистов по ИБ?
После NotPetya спрос чуть-чуть поднялся, но в целом — нет. Украинский рынок работает на аутсорсинг, аутстаффинг — за рубеж. Украинские компании не создают такого количества продуктов, которые могло бы тестировать столько профессионалов. Поэтому высококвалифицированные специалисты в информационной безопасности вынуждены брать заказы из-за рубежа.
— Какие карьерные пути возможны для специалиста по кибербезопасности?
Специалисты по информационной безопасности, кибербезопасники, хакеры — это по большому счету всё IT-шники: программисты, специалисты по сетевой безопасности и сетевым технологиям, которые переросли в нечто большее. Они научились не только писать код, но и ломать его.
Хакеры — это своего рода те же программисты и разработчики с нестандартным мышлением, которые хотят докопаться до сути и понять, как это работает. Можно стать программистом, можно — системным интегратором: придумывать и проектировать системы. Можно пойти безопасником в компанию, можно устроиться в антивирусную компанию или в какую-нибудь security-лабораторию, которая занимается исследованием вирусов.
В Украине есть очень талантливые «белые» хакеры. К примеру, украинская команда Dcua в 2015 году заняла первое место на всемирных хакерских соревнованиях CTF. Цель «белых» хакеров — заниматься защитой и получать за это неплохие деньги вместо того, чтоб заниматься взломом и наносить ущерб, репутационные потери компаниям, как это делают «черные» хакеры.
Надо сказать, в плане «черных» хакеров нам тоже есть чем «похвастаться». Украинско-русской командой был создан «Зевс» — один из самых известных и нашумевших банковских троянов, который ворует деньги с банковских карт. Черная платежная система Liberty Reserve, которая использовалась в основном для отмыва денег, для черных платежных операций, была создана киевлянином, его арестовало ФБР. Обороты внутри этой системы исчислялись сотнями миллионов долларов.
— Как работают «белые» хакеры?
«Белые» хакеры, как правило, работают через Bug Bounty программы. Крупные и уважающие себя бренды запускают такие программы и говорят: «Мы публично разрешаем всем хакерам тестировать наши сервисы, пытаться их взломать при условии, что вы отправите нам отчет о том, что вы нашли. Мы в обмен на это оплатим стоимость найденных уязвимостей». Составляется список, что разрешено, что запрещено. К примеру, нельзя использовать DDOS-атаки и автоматические сканеры. Если нарушить правило, то, скорее всего, вам не заплатят.
После того, как хакер нашел уязвимость и отправил ее на оценку компании, платформа проверяет, уязвимость ли это, соответствует ли поданная заявка правилам и не опубликована ли она публично. После того, как компания подтверждает и закрывает уязвимость, чтобы остальные не могли ее повторить, хакеру выплачивают вознаграждение.
Сложно описать «типичный» путь хакера, каждый доходит до этого по-своему. Кто-то начинает, как я, с игрушек, кто-то начинает сразу тестировать форумы и чаты, кто-то создает электронные девайсы, которые позволяют что-то обходить и куда-то входить.
— Вы сказали, что начинали с игр. А как вообще заинтересовались сферой информационной безопасности?
Мне было
На втором курсе отправился в США по программе обмена «Work and Travel» , где прожил почти 6 месяцев, перенимая опыт. На 3 курсе университета пошел на военную кафедру, оттуда попал в СБУ, где прослужил два года. Разочаровался службой из-за интриг и непонимания со стороны руководства простых истин, но всё равно за это время получил очень много полезного жизненного опыта. На мой взгляд, структура в 2014 году была более «беззубая», сейчас она более крепкая.
После того, как оставил службу, присоединился к старой команде друзей, и оформили это все юридически. Так появилась ProtectMaster — компания, которая занимается информационной безопасностью. Создал хакерскую конференцию HackIT.
— Насколько важны знания по безопасности для программистов?
Для программистов, которые пишут сайты и мобильные приложения, — это всё очень нужно. У нас есть много кодеров, но не все понимают, что такое чистота кода, культура написания кода и так далее. Это всё, на мой взгляд, невозможно без какого-либо опыта в сфере информационной безопасности, кибербезопасности.
Создание незащищенных продуктов и сайтов с непродуманной логикой и архитектурой приводит к утечке персональных данных пользователей, репутационным и финансовым потерям.
Я считаю, что каждый разработчик должен обладать хотя бы базовыми знаниями для того, чтоб повысить свою ценность на рынке IT-труда, писать более чистый и качественный код, понимать, где недочеты могут создать информационную уязвимость.
— Как программисты могут внести свой вклад в обеспечение кибербезопасности на государственном уровне?
Как я говорил, я стараюсь выносить все вопросы на обсуждение с профильным сообществом. Я бы хотел публично призвать всех специалистов участвовать в этих обсуждениях, открыто связываться со мной и предлагать свои идеи. Я считаю, что один в поле не воин, одна голова — хорошо, а много — лучше.
Я всегда хотел, чтобы люди, у которых есть хорошие идеи, могли быть услышаны на высшем уровне. Призываю «диванных экспертов» присоединяться к дискуссии, рассказать, как сделать эту страну лучше, что для этого нужно делать в сфере информационной безопасности. Я буду стараться максимально открыто донести любые идеи и предложения, если они будут иметь за собой какой-то план по имплементации. Не так, как на конференциях политиков — собрались, полялякали, обсудили «взагалі о взагалях», сказали «как всё плохо», подписали меморандум, пожали друг другу руки. А на выходе ничего не происходит.
Я бы хотел, чтобы каждый диалог с профильным экспертом, человеком, который разбирается в этой сфере, заканчивался для меня какими-то положительными выводами, рекомендациями, которые я бы смог донести на высшем уровне :)
Если мы не будем защищать государство в сфере информационной безопасности, информационной агрессии, то мы проиграем войну. Война выигрывается в головах. Та же блокировка «ВКонтакте» даёт эффект и примеры снижения уровня российской пропаганды, снижения уровня вовлеченности украинцев в российские новости и события. Как бы бурно вначале люди не реагировали, толк есть — это надо признать.
Поэтому я и призываю всех максимально объединяться и присоединяться. Мне очень нравится девиз десантников: «Кто, если не мы?»
