Фахівці з кіберзахисту, чиї рішення використовує уряд України, – про «першу кібервійну у світі» та безпеку держпідприємств
У кінці червня шахраї вкрали в українців 100 мільйонів гривень під виглядом оформлення фінансової допомоги від країн ЄС. Через цю фішингову атаку постраждало п’ять тисяч людей. Неодноразово хакерським атакам піддавалися українські державні установи. Держспецзв’язку регулярно попереджає користувачів про небезпеку фішингу, особливо від початку повномасштабної агресії росіян.
Ми поспілкувалися з фахівцями цієї сфери — Олегом Науменком, СЕО компанії Hideez, та Юрієм Аккерманом, головою технічної сертифікації у FIDO Alliance, про нинішні виклики, кібербезпекові рішення, співпрацю з держорганами й те, як захистися від хакерів.
Наші співрозмовники зауважують, що кількість кібератак за останні чотири місяці збільшилася у
Зліва — Олег Науменко, справа — Юрій Аккерман
Про ключі безпеки: «Наш продукт має на меті „вбити“ парольну автентифікацію»
— Насамперед розкажіть, як прийшли у сферу та в чому маєте експертизу?
Олег: У минулому я мав негативний досвід, коли зламали мої акаунти до банківських рахунків, доступу до електронної скриньки та соцмереж. Після того став думати, як зберігати та обліковувати дані, і так з’явилась ідея створити нову компанію, яка б цим опікувалась. Зараз Hideez інкорпорована в США, у нас є офіс розробки в Києві з 20 співробітниками. Сам я перебуваю в Україні.
Юрій: Я народився у Чернівцях, але виріс у Новій Зеландії, спеціалізуюсь на кібербезпеці. Останні шість років працюю головою технічної сертифікації у FIDO Alliance — це великий консорціум з таких компаній, як Google, Microsoft, Apple, Visa, Mastercard, Hideez та інші. Ціль FIDO — захистити системи від фішингу та «вбити» парольну автентифікацію.
Довідково: фішинг — це коли шахраї видають себе за офіційні установи чи сервіси за допомогою електронної пошти або фальшивого вебсайту, щоб змусити користувачів надати особисті дані для доступу до облікових записів, наприклад до онлайн-банкінгу або робочої мережі. Ще зловмисники можуть видавати себе за волонтерів, а потім привласнити кошти, або надсилати фальшиві повідомлення про отримання виплат на окупованих територіях. Як приклад можна навести ситуацію з благодійним фондом «Повернись живим», коли шахраї створили фейкову електронну адресу з підробними реквізитами, щоб виманювати кошти. На фішингову атаку можуть вказувати підозрілі адреси електронної пошти та вкладення, а також орфографічні та граматичні помилки в копії.
Пам’ятаєте, недавно Apple анонсувала passkeys, а це і є наші стандарти FIDO, в розробці яких я теж брав участь. Apple відмовляється від класичних паролів, які дуже легко підібрати, натомість пропонує використовувати Touch ID або Face ID для автентифікації на сайті чи сервісі, щоб створити ключ доступу. При цьому буде генеруватися унікальний цифровий ключ, який працюватиме тільки на конкретному сайті або сервісі. І такий ключ, на відміну від паролю, не можна буде підробити. І це класно. Водночас це поширюватиметься не тільки на продукти компанії, Apple в межах альянсу об’єдналася з Google та Microsoft.
У FIDO альянсі кілька років тому проходила сертифікацію і компанія Олега, там ми й познайомились і разом працювали над проєктами. Продукти Hideez використовують наші протоколи.
Олег: Так, наш продукт має на меті «вбити» парольну автентифікацію. Підібрати пароль, який зазвичай придумує користувач, дуже легко. Відповідно нескладно й отримати доступ до його облікових даних і використати у поганих цілях. Водночас ключем доступу до сайтів та сервісів може стати смартфон із системою розпізнавання обличчя або відбитків пальців. Мобільний пристрій згенерує криптографічний код, який збережеться лише у його пам’яті.
А ще людині в стресовій ситуації не доведеться згадувати пароль.
— Якщо йдеться про телефони без біометрики?
Олег: Тоді пін-код. Йдеться про еволюцію, почалось все з того, що користувачі мали пасворди, потім додали двофакторну авторизацію. Зараз наступний крок, коли паролю вже нема. І в стандарті FIDO у вас може не бути навіть логіну, є FIDO-ключ, який допомагає автентифікувати користувача у всіх системах.
Юрій: Пін-код вводиться на комп’ютері, тоді за протоколом FIDO він шифрується і відправляється на пристрій і таким чином його розблокує. Ця технологія не дужа відома в Україні, але всі великі вендори, як-от Microsoft, Apple, Google, підтримують її. Тож перевірка власника девайсу відбувається за допомогою біометрики, а якщо її немає, то через пін-код.
— Якщо ви переходите, наприклад, з іОS на щось інше?
Юрій: Треба реєструвати новий ключ безпеки на Android. І додати ключ безпеки до облікового запису.
Олег: У вас в пристрої вбудований автентифікатор, ключі не експортуються. На сьогодні приватні криптографічні ключі зберігаються в криптографічному сховищі ключів і не передаються. Коли вам треба додати ще один пристрій, немає можливості синхронізувати це поки що, але ми над цим працюємо.
Про роботу під час війни: «Нам надійшов запит на 60 тисяч ключів від підприємств критичної інфраструктури»
— Нещодавно Держспецзв’язку повідомило, що Україна розгортає рішення Hideez і Yubico в державних установах для забезпечення захисту від несанкціонованого доступу. Розкажіть про свою роботу під час війни.
Юрій: У перший місяць війни я прийшов до Олега і запропонував співпрацювати, щоб захистити Україну. Віцепрезидент військових стратегій — це моя офіційна роль. Я консультую бізнеси щодо кібербезпеки, наприклад минулого тижня виступав на конференції Identiverse 2022 щодо першої у світі кібервійни.
Ми почали з критичної інфраструктури, тому що атаки на неї можуть призвести до великих проблем. Передусім йдеться про акаунти адмінів у держорганах і тих, хто контролює тепло/енерго/світло/водопостачання населенню тощо. Якщо зламати їхні акаунти, буде колапс, бо ці системи перестануть працювати. Користувачі, які залучені в критичну інфраструктуру, з війною отримали великий стрес. Вони працюють не в офісі та в різних умовах. Хтось просто забув пароль, а якщо його зламали, людина не може зайти до свого облікового запису.
Велика кількість кібератак і велика кількість співробітників у стресі призвели до значної кількості успішних кібератак. І треба було блокувати акаунти людей, щоб вони їх не використовували. Водночас вони повинні мати доступ до системи та працювати далі. Переозброєння користувачів ключами безпеки — це рішення, яке розв’язує дві проблеми: перша — користувач не повинен знати свій пароль і вводити його по 20 разів на день. Не потрібно його щомісяця змінювати, він постійний, бо це ключ безпеки. Друга — немає атак, а навіть якщо вони є, користувач отримує на пошту фішинговий лист і заходить туди, але ключ безпеки там не буде працювати.
Олег: Так, наші рішення на 100% відбивають фішингові атаки та перебір паролів. Паролів більше нема. Нема що підбирати. Коли ми переводимо компанії на безпарольну автентифікацію, ці хакерські методи не працюють.
Ми маємо два типи ключів — програмні та апаратні — Hideez Key. Це бездротовий цифровий ключ, універсальний ідентифікатор, зберігач паролів і генератор одноразових паролів. Це наша власна розробка: є серверна і клієнтська частини.
Ми почали пропонувати свої ключі безпеки безкоштовно тим державним органам критичної інфраструктури, які були під великою кількістю кібератак. На жаль, ми не мали великого складу в Україні, й пристрої швидко закінчились. 10 000 ключів ми наразі впровадили. А нам надійшов запит на 60 тисяч ключів від підприємств критичної інфраструктури. Цикл виробництва пристроїв тривалий, а захищати дані потрібно вже, тож ми звернулися по допомогу.
Ми сконтактували з компанією Yubico — це світовий лідер у виробництві ключів безпеки з головним офісом у США. Вона є одним із розробників стандарту FIDO. Компанія запропонувала нам надати 30 тисяч ключів як донат для українських державних підприємств.
Юрій: Першим кроком була сертифікація цих ключів у Державній службі спеціального зв’язку та захисту інформації України, щоб держоргани могли використовувати їх. Ми сертифікувалися, маємо експертний висновок на Ubikey 5 — п’яту генерацію ключів. І зараз їх завозимо як гуманітарну допомогу і передаємо держструктурам офіційно і безплатно.
— Держспецзв’язок мав перевірити та сертифікувати це?
Юрій: Так, і вони зробили це швидко. Зазвичай ця процедура складна, триває пів року чи й рік, а нам затвердили за тиждень. Працювало багато експертів-криптографів над перевіркою і нам видали експертний висновок про те, що можна впроваджувати ключі безпеки. Ми передали шість тисяч ключів у ДССЗЗІ для їхніх внутрішніх потреб, а вони, своєю чергою, розподілили певну кількість серед військових частин.
Також у нас є запити на впровадження їх у великі компанії. В однієї з них 11 тисяч співробітників.
Про фішинг: «Це атаки не на технологію, а на людину»
— А від чого ми захищаємо ці структури?
Олег: Ми працюємо з ДССЗЗІ РНБО та іншими провайдерами критичної інфраструктури, Міністерством цифрової трансформації. На початку війни кількість кібератак зросла в 400 разів. За статистикою наших провайдерів, торік було 21 тисяча атак, 768 тисяч за перший місяць війни. На четвертий місяць війни ми бачимо збільшення атак у
Більшість атак — фішинг і перебір паролів.
Юрій: Протоколи FIDO секційно закріплені. Коли ви заходите на сайт google.com і логінитесь паролем, Google не знає, чи пароль прийшов від google.com. Так працює наш веб: всі можуть робити запити одне одному. Цю проблему ми вирішили кардинально: на кожен автентифікаційний івент ми додаємо інформацію про сесію. Коли ви логінитесь в Google, ваш пристрій підписує відповідь: коли буде зв’язок з сервером, з’явиться сесійна інформація про те, що це точно google.com. Ваша сесія має бути захищена HTTPS/TLS-протоколом, і це запобігає фішингу.
Я проаналізував нинішні фішингові атаки та дійшов висновку, що у перші місяці вони були масовими, через два місяці вороги перейшли до перебору паролів, а зараз відбувається цілеспрямований фішинг і на користувачів, і на підприємства критичної інфраструктури.
При цьому є багато неефективних тренінгів для користувачів, як захистити себе від нього, як зрозуміти, чи це він. Я був на десятку таких і регулярно їх критикую. Люди — не машини й не можуть стовідсотково розпізнати фішинг. Тому ми розробили протокол так, що користувачу не треба про це думати, бо браузер вже знає, що у вас захищена сесія із сервісом. Тому якщо ви зайшли на фейсбук з 0 (нулем) замість о (букви «о»), то ця відповідь буде невалідна.
Олег: Підхід до вирішення фішингу за допомогою тренінгу робить гірше користувачу, бо в нього виникає обманливе почуття безпеки. Він думає, що може розпізнати фішинг, поки його не хакнуть.
Наше рішення фундаментально вбудоване в браузер-протокол, який бере на себе усі перевірки. Фішинг — це не атаки на технологію, це атаки на людину.
Юрій: FIDO — це не звичайний пароль. Пароль — це секрет, який знає користувач і сайт, коли користувач заходить. А в нашій технології немає секрету. Вона заснована на тому, що є приватний публічний ключ. Він генерується всередині ключа безпеки користувача й ніколи не покидає периметр цього пристрою. За допомогою ключа вебсервіс може створити певний запит, формулу, яку тільки користувач може активізувати через пін-код або біометрику.
— Ви сказали, що є запит на 60 тисяч ключів, а ваш партнер надав 30 тисяч. Ті держустанови чи бізнеси, які не мають вашого рішення, як захищаються від вразливостей?
Олег: Є різні ключі безпеки. Є апаратні, а є програмне рішення, яке дозволяє використовувати телефон, планшет, ноутбук як ключ безпеки. Деяким користувачам і компаніям достатньо мати програмне рішення, і ми його надаємо безкоштовно.
А щоб виготовити та впровадити більше апаратних ключів, ми працюємо з донорами — американськими компаніями.
Юрій: Деякі держоргани мають кваліфікованих працівників, наприклад Міністерство цифрової трансформації. Вони технічно прокачані. У міністерства вже є ентерпрайз-рішення від Google. Залежно від потреби ми можемо налаштувати їм платформенні автентифікатори на телефонах абощо. Їм ключі не потрібні.
Ключі ми даємо маленькими партіями та пропрацьовуємо всі технічні потреби. Даємо тільки ті, які потрібні на пряме впровадження. Тому в нас 60 тисяч заявок.
Зараз ми працюємо з партнерами над фінансуванням, адже 30 000 ключів — це вже 1,5 млн доларів допомоги. Наша мета — до кінця року впровадити 100 тисяч ключів. А до кінця наступного року — мільйон, щоб зробити Україну найсильнішою кібердержавою у світі.
— Через ваші сервери не проходять персональні дані посадовців?
Юрій: Ключі безпеки спілкуються напряму між ключем та браузером та вашим сайтом. Немає search finding connection, тобто комунікації через треті сервери тощо. Якщо ми деплоїмо наше рішення, то автентифікація відбувається через наш сервер. Якщо ви логінитесь в Google, то це йде в Google.
Олег: Інформація нікуди не передається. Кожна структура будує свою інфраструктуру, і все працює в середині неї. Якщо не потрібна інфраструктура, то в офлайн-режимі все працює без єдиної точки керування обліковими записами. Деяким військовим органам не потрібен інтернет, в них свій канал зв’язку. Там теж можна використовувати ключі безпеки для шифрування диску. Відкрити диск або флешку без ключа безпеки неможливо.
Юрій: Коли ви логінитесь на міністерські сайти, там немає третьої сторони, куди йде інформація. Все відбувається між вами та вашим пристроєм. І ще пристрої не заточені під специфічну систему. Ви можете використовувати один і той самий ключ на різних сайтах, він підтримує багато акаунтів одночасно. Багато сервісів можна прив’язати до одного ключа безпеки.
— Які атаки можуть бути ще, від яких ваше рішення не захистить?
Олег: Це як головний вхід у корпоративну систему. Є багато атак: на мережеву інфраструктуру, DDoS-атаки тощо. І вони спрямовані на різні речі. Ми говоримо про двері в кожній системі, які мають бути захищені надійним ключем.
Юрій: Фішинг і підбір паролів — це найлегший варіант атаки. Знайти злиту базу даних користувачів з України, відфільтрувати провайдерів критичної інфраструктури та підібрати паролі. Або створити фейкову сторінку. Є багато інструментів, які роблять це швидко.
Інші атаки більш таргетовані та потребують спеціалістів, яких в росії нема. Треба бути повним довбнем, щоб працювати на агресора. За словами наших партнерів, навіть кіберкримінал не хоче взаємодіяти з путінськими злочинцями. У росії нема потенціалу на інші атаки, тому вони стараються зробити фішинг і перебір паролів. Це стандартна схема у світі.
Google у себе впровадив понад мільйон ключів. Працівники компанії, субконтрактори, усі, хто хоч якось дотичний до бренду Google, користуються ключами безпеки. У 2018 році Google повідомили, що з 2014 року у них не було жодної успішної фішинг-атаки на внутрішню систему.
— У Держспецзв’язку розповідали, що використовуватимуть можливості віддаленого управління обліковими засобами та робочими пристроями. Чи може це мати супутні ризики кібератак і зламу, щоб заволодіти даними з віддалених пристроїв, на вашу думку?
Олег: Якщо ми захищаємо цей доступ ключами безпеки, то ризиків немає. Це ще одна велика мета впровадження для віддалених працівників.
Це почалось ще з часів пандемії, а зараз через війну багато співробітників працює віддалено і виїхали в інші регіони або взагалі за межі Україні. Для цих користувачів корисно мати ключі безпеки для безпарольного доступу для корпоративних систем.
Про кібербезпеку в Україні: «Наша держава зараз на рівні 2015 року. І треба дуже постаратися, щоб перескочити у 2022-й»
— Які в нас є прогалини в кібербезпеці? Дасте рекомендації для звичайних користувачів?
Юрій: Не у всіх організаціях є політики щодо кібербезпеки. Багато людей використовують власні імейли для роботи. Ми як користувачі дуже ліниві. Тому перевикористовуємо паролі, і ця інформація є цінною для росії. Вони можуть вкрасти ваші гроші, знайти ваші акаунти та використовувати проти вас.
Для українців кібербезпека є такою ж фундаментальною, як ЗСУ. Бо ми бачили приклади фільтраційних таборів, через які проходять наші люди. Якщо окупанти можуть отримати доступ до вашої інформації, то у вас будуть проблеми. Доступ до ваших сторінок і сторінок ваших сімей — це можливість вас дискредитувати, шантажувати родину. Для України безпека даних — питання життя або смерті, і це жахливо.
Якщо говорити про поради, як захиститися від кібератак, то для звичайних користувачів правила не змінились:
- Вмикайте двофакторну автентифікацію. Навіть якщо це смс.
- Віддавайте перевагу парольним менеджерам: Dashlane, Lastpass, OnePass тощо.
- Використовуйте захищені рішення для комунікації. Не Telegram, у якого є фундаментальні проблеми з кібербезпекою. Росія його застосовує для шпигування за журналістами, дисидентами. Було багато прикладів цього. В росії та Україні Telegram дуже популярний, на Заході — ні. Якщо у вас є більш конфіденційна інформація, вам потрібно використовувати кращі рішення для безпеки. Наприклад, Signal, WhatsApp.
- Не відкривайте незнайомі файли.
- Тримайте систему оновленою. Завжди оновлюйте свої пристрої до останніх версій.
- Якщо у ваших пристроїв вдома є дефолтні паролі, їх теж треба змінити.
Не оновлювати пристрої — це застаріла інформація, яка йде з
— За вашими словами, український ринок для вас новий. Можливо, поділитесь, які особливості помітили?
Олег: Ринок України складний, бо в нас немає досвіду і фахівців, які мають глибокі знання впровадження сучасних технологій кіберзахисту. Переважно, коли кажете у держустанові «ключі безпеки», ніхто не знає, що це. У більшості держорганів дуже застаріла інфраструктура. Нема співробітників, які можуть налаштувати обладнання правильно, оновити його. Апаратна частина застаріла.
Більшість айтівців, які працюють в державних органах, не розуміють англійську мову на високому рівні. Тож зараз ми робимо кілька великих кроків назустріч державі. Зокрема, проводимо курси про кіберзахист. Готуємо матеріали для айтівців, які будуть ці системи контролювати, менеджити тощо.
Велику частину методології та документації потрібно перекладати українською мовою. Тут ми зберігаємо всю інформацію з використання ключів безпеки.
Юрій: Коли ми спілкуємось про автентифікацію і кібербезпеку в Україні та порівнюємо із США чи Європою, то наша держава зараз на рівні 2015 року. І треба дуже постаратися, щоб перескочити у
Олег: На щастя, ми бачимо, що люди, які займаються кібербезпекою та кібератаками в росії, не дуже фахові. Технології, які вони використовують, давно відомі, і захистися від них теж не складно. Але радіти рано, це теж змінюється. Підвищується наша обороноздатність у кіберпросторі, водночас посилюються і видозмінюються кібернапади з боку росіян. Тому нам треба оновлювати систему, вчити фахівців сучасних методів кіберзахисту і впроваджувати повсюдно Security policy. У Штатах вони, наприклад, оновлюються щороку, залежно від того, що відбувається у кіберпросторі. Треба, щоб усі розуміли, що потрібно робити, аби не було дуже боляче.
Юрій: Але треба сказати, що попри мінуси та проблеми Україна дуже стійко та достойно бореться у кіберпросторі навіть із застарілими технологіями. Останні два роки РНБО і Держспецзв’язку розробляла кіберстратегію. Вона неідеальна, але нині добре захищає. І ще міжнародні спеціалісти з кіберзахисту на нашому боці, і це круто.