«Багато стандартів не пристосовані до того, що є в Україні». Розмова про кібербезпеку на DOU Day Picnic

Що змінилося ставлення компаній до кібербезпеки за час війни? Які виклики тут є зараз і чому стандарти НАТО не завжди підходять для України? І що може зробити кожен для захисту своїх даних? Ці речі обговорили під час дискусії «Безпека персональних даних» на DOU Day Picnic.

Учасники дискусії:

• Анастасія Войтова, Head of Security Engineering в Cossack Labs;
• Юрій Шатило, Head of Cybersecurity в MODUS X;
• Олексій Думинюк, керівник з аксептансу в Україні, компанія Visa.

Модерував дискусію Олекс Майстренко, радник CDTO у Київській міській державній адміністрації та один з ведучих DOU Podcast.

Публікуємо відеозапис та скорочену текстову версію розмови.

— Анастасіє, що змінилося за останні два з половиною роки повномасштабної війни з погляду кібербезпеки?

Анастасія Войтова: Це, звісно, зміна моделей загроз, на які ми не очікували й до яких не були морально готові. Як ви знаєте, багато компаній мігрували з фізичних дата-центрів в клауди, тому що на фізичні дата-центри летять ракети. Деякі компанії спочатку мігрували з одних дата-центрів на інші, потім в клауди, потім в приватні клауди за кордоном.

Ще одна річ — до нас у 2022 році зверталося багато приватних компаній, які стали ціллю для атак. Це звичайні комерційні компанії, які не дуже займалися кібербезпекою в бізнесовому житті. Але починається вторгнення, у них багато даних і на них є таргетовані атаки. Дійсно, у нас у 2022 році було багато інцидент-респонсу.

Зараз, через 2,5 роки, я можу сказати, що компанії, які хотіли, дійсно покращили свій рівень кібербезпеки. Але це не результат роботи з нами. Змінилося ставлення до питань з кібербезпеки, змінилися моделі ризиків і загроз. Компанія зрозуміла, навіщо інвестувати в це, знайшла внутрішні й зовнішні ресурси, пішла будувати організаційну, технічну, інформаційну безпеку, і так шар за шаром. Багато ще роботи є.

— MODUS X писала про те, що з початку 2022 року було близько 27 мільйонів кібератак на енергетичну інфраструктуру і ви з ними успішно впоралися. Які зміни були в вашій компанії?

Юрій Шатило: Ще до повномасштабного вторгнення ми почали запроваджувати план міграції наших систем і даних до хмари. Держава нам дала можливість міграції на час повномасштабного вторгнення. Тому буквально за 2–2,5 місяці команда MODUS X все перенесла, в тому числі системи з кібербезпеки.

Ще допомогло створення центру реагування на кіберінциденти. Торік ми завершили впровадження технологій, людей і процесів для цього.

— CEO Visa казав, що Visa витрачає на кібербезпеку буквально мільярди доларів. Скільки з цих мільярдів йде до нас?

Олексій Думинюк: Протягом останніх років компанія інвестувала понад 10 мільярдів саме в безпеку комерції, платежів, мережі й всього, що з цим пов’язано. Наприклад, 500 мільйонів з них пішло на технології штучного інтелекту.

Якщо говорити про технології інвестицій, Україна, наприклад, у 2023 році була перша за кількістю токенізованих операцій. Що таке токен? Це, по суті, оплата вашими годинниками, телефонами, оплата збереженими картками в інтернеті. Також в цьому році ми перші у світі впровадили з «ПриватБанком» цифрову технологію аутентифікації для платежів, яка теж буде набирати оберти.

— Досвід, який ми, на жаль, зараз маємо в Україні, дуже унікальний. Чи ділитеся ви ним з міжнародними партнерами або, навпаки, берете міжнародний досвід?

Анастасія Войтова: Компанія Cossack Labs — це британсько-українська компанія. Ми є учасниками міжнародної спільноти, і ми вже є долученими до створення міжнародних стандартів з кібербезпеки. Як ви знаєте, наприклад, в OWASP є багато опенсорсних відкритих стандартів, моя команда інженерів у них контриб’ютять.

Я брала участь у технологічній конференції НАТО — ділилася нашим досвідом з data centric security. Розказувала про наш досвід майже дворічної роботи з деякими специфічними застосунками й хардверно-софтверними системами й про те, як ми будували багатошарові системи захисту даних. Це було цікаво для панів і панянок з НАТО, і дуже цікавою була їхня реакція.

Тому що можна про НАТО думати як про велику ентерпрайз-організацію, яка рухається досить повільно

Там 31-32 учасники. Стандарти НАТО — це, в першу чергу, про interoperability, про можливість цих всіх членів працювати разом. Щось нове вони впроваджують зі швидкістю найповільнішого учасника. Тому багато моментів, про які ми розказували, у них були в планах на 2032 рік, 2035 рік. А в нас воно вже працює. Ба більше, воно не просто працює, а зроблено в режимі «на вчора» дуже втомленими інженерами.

Тому так, між нами був деякий дисонанс, але партнери й союзники прислухалися. Насправді там не так все негативно, і були країни, які дуже сильно попереду. Але як організація НАТО рухається досить повільно. Зате стабільно в майбутнє.

Юрій Шатило: Дуже багато чого наші закордонні колеги навчаються саме в нас. Умовно кажучи, у них є книжки, по яких вони навчаються, але кібервійни у них немає. Сьогодні близько десяти контрактів у нас підписано, і ми ділимося з колегами тим, чим можемо. Безумовно, беремо щось від них і даємо фідбек, наскільки воно в нас може бути застосовано.

Олексій Думинюк: Visa — це міжнародна компанія. Ми є в кожній країні світу та співпрацюємо з певними державними, міжнародними установами. Відповідно, маємо різні колаборації. Зараз ми робимо акцент на співпрацю з українськими державними установами: НБУ, Міністерством цифрової інфраструктури тощо.

Звісно, ми приносимо і рекомендуємо впровадити на ринок певні технології. Якщо це безпекова вимога, то ми зі своєї сторони навіть мандатуємо її для наших партнерів, які мають дотримуватися PCI DSS абощо. Наша стратегія: бути таким собі міжнародним регулятором і співпрацювати з локальними регуляторами, не псуючи експіріенс користувача при цьому.

— В березні 2022 року вийшла нова версія PCI DSS. Ми всі пам’ятаємо, як вона впроваджувалась в Україні, оці регуляції, допомога з безпекою... Як Visa допомогла тоді?

Олексій Думинюк: Ще до початку війни ми ставили в пріоритет ці безпекові технології й вже тоді вимагали наявність PCI DSS і відповідності вимог безпеки.

Звісно, PCI DSS — це глобальний тренд, це не те, що пише Visa. Та наші технології обов’язково мають відповідати цьому. Наприклад, коли наш партнер впроваджує, наприклад, якусь технологію типу Visa Token Service, який замінює реальну картку на зашифрований токен. Або, наприклад, ми анонсували Visa Passkey в цьому році. Це інноваційна штука, яка дає можливість зашифрувати транзакцію за допомогою твоїх умовних біометричних даних. Усе це все впроваджується в межах стандартів PCI DSS, які дуже вимогливі, і з кожним роком стають ще жорсткіші й жорсткіші.

Анастасія Войтова: Маю ще доповнення щодо міжнародних стандартів і очікувань. Немає таких міжнародних стандартів, які б задовольняли security-гарантії, які ми вимагаємо зараз. Наприклад, для роботів-убивць.

Є багато міжнародних військових стандартів, вони зазвичай закриті й зроблені під компанію. Тобто йдеться про здоровенні американські військові холдинги, в яких стандарти пов’язані з тим, що вони виробляють.

Є цивільні стандарти, стандарти цивільної авіації, стандарти протоколу обміну даних з дронами. Security-вимоги до цих цивільних стандартів не передбачали, що нам треба тримати локацію оператора в секреті.

Зараз відбувається такий мікс, бо ми використовуємо багато цивільних технологій, але в військовій сфері. Інколи просто немає стандартів, щоб на них спертися. Треба, поєднати багато речей, а потім ще партнерам пояснити, чому ми зробили так, а не як пише НАТО-стандарт? Тому що цей НАТО-стандарт використовує XML, а у нас уже 2024 рік, ми хочемо швидше.

Це велика проблема насправді, тому що багато стандартів просто не пристосовані до поточного стану, який є в Україні, бо не було такого стану.

— З погляду стандартів кібербезпеки, чи готові ми вже для участі в ЄС і НАТО? Чи нам ще дуже багато роботи треба виконати, щоб відповідати їхнім стандартам?

Анастасія Войтова: За державу говорити не буду. В рамках окремих продуктів (наприклад, військової системи DELTA) — так, готові. В рамках спільноти, інших систем і державних сервісів — не знаю.

— Якщо ми говоримо про ЄС, то одна з важливих тем — це GDPR. Коли це буде в нас, і чи є якісь рухи в цьому напрямі?

Анастасія Войтова: GDPR — це не до мене питання, але у нас є закон про захист персональних даних. Звісно, GDPR як законодавство більше про права громадянина, але в нас є власний сет законів, який досить непоганий.

Ми деяким українським продуктам кажемо, що є GDPR і за ним треба дати можливість людині натиснути галочку «opt out from processing», або «видалити мої дані», або «скинути мені архів. І багато компаній не розуміють, навіщо це їм. Бо GDPR діє в ЄС, дійсно, там є штрафи, там є регулятори, а у нас? Навіщо компанії впроваджувати цю фічу серед всіх клієнтських застосунків і на бекенді, якщо це не вимагається?

Юрій Шатило: Я вірю, що колись ми будемо в Євросоюзі, і вимоги GDPR будуть розповсюджуватися на нас з вами. Але мені здається, що головна запорука успіху — це щоб вимоги того ж GDPR не були складовою корумпованих схем. Тому що з одного боку ми захищаємо персональні дані, і це дуже гарна справа. А з іншого боку даємо ще один механізм нашим органам контролю робити «маски-шоу», як це було там 5-10 років назад, особливо на IT-бізнес.

— Чи достатньо зараз держава робить для підвищення кібербезпеки? Чи хочете ви підсвітити якийсь проєкт, який підвищує кіберобізнаність людей?

Олексій Думинюк: Visa активно співпрацює з Мінцифрою, особливо з «Дією», це наші добрі друзі. Для нас важливо, щоб користувачі, які кожен день використовують платіжну картку, розуміли, як робити це безпечно.

У 2023 році була кампанія всеукраїнська «Плати безпечно», зараз в НБУ проводиться боротьба з дроперами. Завжди є люди, яким важко донести оцю безпекову необхідність. Наприклад, людям поважного віку буває складно зрозуміти, що не треба комусь диктувати пін-код чи код верифікації. Для цього ми проводимо knowledge sessions.

Окрім навчання суспільства, ми робимо й акцент на технології, які автоматично захищатимуть операції. І у Visa є такі технології, які якраз працюють на біометричних даних і ми тримаємо їх в безпеці.

Юрій Шатило: У MODUS X давно створена програма з розвитку кіберобізнаності наших співробітників і головного клієнта — це компанія групи DTEK. Наразі ми людей навчаємо на реальних сценаріях. Тобто робимо якусь фішингову атаку, тих, хто пройшов за посиланням, це такі інтерактивні ігри. І після цього користувач починає розуміти, як йому відрізнити фішинговий лист від справжнього.

Що стосується держави, на мою думку, для кіберобізнаності не зроблено нічого

Поясню, чому я так вважаю. Хто не знає, в нас ухвалена та затверджена стратегія з кібербезпеки розвитку держави на 2023 і 2024 роки. І цей план затвердили у грудні 2023 року. Десь на початку літа я зайшов на сайт подивитися статус впровадження. Дивлюся, є задача направлена на те, щоб побудувати культуру і програму розвитку з кіберобізнаності в середніх школах, в ПТУ і так далі. Стоїть статус «виконано».

Питаю у свого старшого сина: «Ти щось знаєш про кібербезпеку і кіберобізнаність?». — «Ні». Запитав у сусідів: щось у вас у школі розповідають, можливо, якісь додаткові уроки ввели? Ні, нічого. Ну, думаю, почекаю ще до кінця цього року, можливо, щось з’явиться, але, на жаль, не вірю в це.

Анастасія Войтова: Ми як компанія не дотичні до кіберобізнаності, бо працюємо саме з захистом даних, з технічною кібербезпекою. Та до початку повномасштабного вторгнення в нас був один-єдиний клієнт в Україні. Після повномасштабного вторгнення (на щастя чи на жаль) цих клієнтів стало більше. В тому числі в нас є спеціальна програма, де ми працюємо з державою на благодійних засадах, pro bono, саме для того, щоб в деяких системах і застосунках хоча б не наступали на ті самі граблі. У нас є меморандум з Мінцифрою на розробку технологій, яку ми так хочемо безплатно й опенсорсно передати, просто щоб зробити трохи ситуацію трохи кращою.

— В рамках взаємодії з різними установами чи змінилося ставлення до кібербезпеки в людей, які працюють у цих установах?

Анастасія Войтова: Ми комбінуємо метод батога і пряника. Так, у деяких, звісно, змінилося. Тому що дуже багато людей просто бояться щось робити в кібербезпеці, тому що не знають як. Це проблема навчання й обізнаності. Якщо працювати з людьми, розказувати: «Це не страшно, дивися, ти не перший це робиш, вже придумано», то дійсно, в частини людей це викликає ентузіазм і бажання щось змінювати.

Звісно, в іншої частини це викликає фрустрацію, тому що треба робити щось нове, хоча «нормально ж було». Тобто є діаметрально протилежні реакції, інколи в одній організації, в одній команді.

— Чи є щось, чим ви особливо пишаєтесь з погляду кібербезпеки в Україні?

Олексій Думинюк: Я дійсно дуже пишаюсь тим, що на початку війни все продовжило працювати. Наприклад, банально ми зробили можливість зняття коштів в касі магазину і це зняло черги в банкоматах. Ми зробили так, щоб всі банки продовжили функціонувати стабільно. Щоб працював оцей комунікаційний канал, де ви тапаєте картку, а хтось там десь отримує запит і ви отримуєте чек. Треба було швидко перейти на клауд-технології й таке інше. Також Visa одразу закрила бізнес в росії й все там заблокувала.

Але дозвольте відкотити календар на 10 років назад. Згадайте, був пластик, я зарплату я ходив отримати зарплату в банкоматі. У 2017 році в кінці з’явився Google Pay. Хто привів його сюди на ринок? Бо він не сам прийшов. Потім у 2018-му з’явився Apple Pay. Потім наші технології токенізації... Зараз ви заходите у смартфон, швидко замовляєте щось, воно приходить швидко на «Нову пошту». Наша задача — робити цей процес максимально комфортним і простим.

— Наша стійкість в енергетичній інфраструктурі вражаюча і я щиро дякую компанії DTEK за те, що ви робите. Давайте поговоримо з погляду кібербезпеки, чим ви пишаєтеся?

Юрій Шатило: На початку повномасштабного вторгнення ми розподілили команду, і всі хлопці й дівчата працювали 24/7, за що їм окремо дякую. Нам вдалося запровадити концепцію BYOK, тому що хтось перебував в бомбосховищах, у когось не було доступу до корпоративного комп’ютера. Так наш бізнес міг працювати з будь-якої точки світу і при цьому ми забезпечили головне — конфіденційність інформації.

Друге, нам вдалося створити реальну команду SOC (Security Operations Center) з 10 людей. Ми перейшли на сучасні рішення і впровадили 30-відсоткову автоматизацію, щоб людина не брала участі в тому чи іншому кіберінциденті. Плануємо до кінця року досягти 40%.

Безумовно, ми й долучаємо штучний інтелект. Бачимо й нові ризики з використанням ШІ, а і шукаємо технічні й організаційні рішення, які нам допоможуть мінімізувати ці ризики.

— Я так розумію, що ця команда і ці програмні рішення допомагають обробляти кіберподії, з яких потім виростають кіберінциденти. Про яку денну чи щотижневу кількість подій йдеться?

Юрій Шатило: Це мільйони за тиждень, але це raw data. Фактично ми обробляємо десь 100-150 кіберінцидентів на квартал. До цього у нас комплекс систем, який відпрацьовує відповідні налаштування. Наприклад, ми бачимо зараз як зловмисники знову атакують вебсервіси ДТЕК, такі як Yasno. Вони пробують вести DDOS-атаки, змінюють природу запитів, але ми стараємось йти завжди на крок попереду і маємо налагоджені системи й процеси для таких випадків.

— Анастасіє, чим ти пишаєшся чи твоя команда?

Анастасія Войтова: Ми за останні два з половиною роки доєдналися до такої великої кількості ініціатив, що я не можу виділити щось одне. Наприклад, з «Укренерго» ми долучилися до проблем генерації й диспетчеризації. Це велика кількість роботи, з нашого боку це апаратно-програмні рішення.

Також ми працювали з mission critical системами, які працюють цілодобово. Ними користуються дуже втомлені люди й це теж потрібно враховувати з погляду кібербезпеки. Бо кібербезпека — це не тільки про шифрування і захист даних, це про те, як ти співпрацюєш з користувачем.

Далі про виробників різноманітних автономних та роботизованих систем. Я бачу деяких з цих виробників в новинах і знаю, там є часточка нашого коду чи нашого продукту, і воно працює, це чудово. Стільки всього відбувається, інтенсивність подій зараз просто неймовірна.

— Ми говорили про безпеку, і майже не говорили про персональні дані. Що ви порадите змінити у своєму повсякденному житті з погляду безпеки персональних даних?

Олексій Думинюк: Я просив би не боятись технологій. Якщо немає чого приховувати, то не бійтесь, добре? У Visa, у нас взагалі стратегія вивести цей «темний кеш» в «білу» та розвивати середній і малий бізнес.

Скажімо, приходить тема Open Banking — це обмін вашими фінансовими даними між певними установами. Коли ви в якийсь момент зайдете на сайт замовити, і побачите, що там вже є ваша платіжна картка, а ви нічого не робили, то не бійтесь, будь ласка, це окей. Так само, якщо побачите значок «Click to pay». Тобто не бійтесь використовувати технології. Драйвіться, і вчіть людей навколо себе. Зробити ФОП і відкрити собі термінал в смартфоні, і приймати оплати смартфоном, це справа п’яти хвилин.

Анастасія Войтова: Довгі паролі, двофакторна аутентифікація. Є можливість — через YubiKey, немає можливості — через телефон. Якщо можете, зробіть Passkey однофакторний криптографічний ключ. Передивіться всі налаштування на телефоні, застосунки, їхні дозволи, повирубайте геолокацію. Передивіться налаштування, особливо у батьків, дідусів, бабусь на їхніх телефонах, видаліть Viber. Якщо ви йдете чи їдете і бачите військову техніку, не викладайте фотографію.

Юрій Шатило: Не постіть різну фігню в соціальних мережах. Чому? Ось старий, але все ще, на жаль, актуальний кейс. До повномасштабного вторгнення всі ми їздили на відпочинок. Середньостатистична сім’я: дружина, чоловік, діти, літак. Прилетіли, заселилися в готель, дружина відразу в інстаграмі фоточка, коктейль на фоні своїх ніг, чоловік у фейсбуці десь постить, як сидить в барі. Що в цей час робить недобросовісний сусід? Обкрадає дім. Потім сім’я повертається, і розуміє, що сталося. Тому мій основний меседж: будь ласка, фільтруйте те, що ви викладаєте, і те, що ви пишете в соціальних мережах.