Кіберризики протягом останніх кількох років стали ключовими серед усіх ризиків, що загрожують великому та малому бізнесу. Для українських компаній кількість та масштаб загроз зростають на тлі кібервійни з Росією, що триває вже 10 років. Якими є ключові виклики для бізнесу з точки зору кіберзахисту? Які проблеми продемонстрував кейс Київстара? Як захистити свій бізнес? Та чим займаються білі хакери? Про це та інше Віталій Якушев, CEO компанії 10Guards, розповів в інтерв’ю FinTech Insider.
- Віталію, розкажіть, будь ласка, трохи про вашу компанію та поняття «етичних хакерів», яке ви використовуєте.
У нас компанія з кібербезпеки. Ми займаємося послугами – не продаємо програми або апаратні продукти, а надаємо консалтинг. Відповідно до цього, у нас є два департаменти – це різні люди і за навичками, і за знаннями, і за наданими послугами.
Перший напрямок – це аудит і консалтинг, а точніше бізнес-консалтинг у сфері кібербезпеки. Ми захищаємо не просто якісь технології, а захищаємо оцифрований бізнес. Ми розбираємося в бізнесі клієнта, в процесах, розбираємося, що в конкретному бізнесі можуть пошкодити кібератаки, і даємо поради щодо створення захисту. Як саме це відбуватиметься, чи купувати для цього спеціальне обладнання, програми – клієнт вирішує самостійно, виходячи зі своїх можливостей, як фінансових, так і людських.
Другий напрямок – це якраз етичний хакінг, або білий хакінг. Таких спеціалістів ще називають «білі капелюхи» від англійського white hat – це пішло з вестернів, коли хороші ковбої були в білих капелюхах, а погані – в чорних. Дійсно, існують білі та чорні хакери, тож не варто вживати слово «хакер» лише в негативному сенсі.
Білі хакери працюють для того, щоб захищати. Вони можуть робити те ж саме, що і погані хакери з точки зору використання інструментів, підходів, тактик, технік. Але вони роблять це для того, щоб протестувати захист свого клієнта. Існують технічні аудити, які ще називаються тестами на проникнення (penetration test) – це повна або часткова імітація хакерської атаки, після якої компанії озвучують вердикт щодо того, чи можна проникнути всередину неї.
Це і є етичний хакінг, адже присутня етика, підписуються договори, є обмеження. Білі хакери демонструють, де можливий злам і дають рекомендації, що треба виправити. Чорні ж хакери знаходять вразливість і викрадають інформацію, шифрують її або знищують. Чорний хакер відрізняється від білого ще тим, що білий знає як все виправити, а чорному це знати не потрібно – йому достатньо знати як зламати і що далі з цією інформацією зробити.
- В яких сферах працюють ваші клієнти? Чи працюєте ви з фінтехом?
Мені легше сказати, з ким ми не співпрацюємо – у нас немає жодного клієнта з паливного ринку. Всі інші сфери ми охоплюємо: медичні заклади, логістичні компанії, аграрні, аптеки тощо.
Фінанси – це зарегульована сфера бізнесу, тобто від них вимагається кібербезпека в обов’язковому порядку. Через те, що покарання за невиконання регуляції дуже серйозні, фінансові установи виконують ці вимоги. Не можна сказати, що всі банки ідеально захищені, і це доводять наші тести на проникнення – ми знаходимо певні вразливості, банки зламуються. Але безпека – це процес, якому приділяється багато уваги. У цьому процесі постійно потрібен погляд зі сторони, тому банки замовляють зовнішній аудит, зовнішній консалтинг, тести на проникнення.
В Україні станом на сьогодні є ще одна група компаній, яка зобов’язана виконувати вимоги щодо кібербезпеки – це розпорядники персональних даних. Таких компаній багато, але не всі займаються захистом, тому що штраф для них наразі маленький – декілька десятків тисяч гривень. Тому з точки зору бізнесу простіше заплатити штраф, ніж будувати безпеку.
Зараз на погодженні знаходиться законопроект, згідно з яким штраф зросте до десятків мільйонів гривень. Тож коли його приймуть, дуже багато суб’єктів підприємницької діяльності, які володіють персональними даними українців, терміново почнуть будувати захист – хтось самостійно, хтось за допомогою підрядників. Іноді регуляція підштовхує бізнес до таких змін.
Окрім того, зараз в Україні регулюється захист об’єктів критичної інфраструктури та об’єктів критичної інформаційної інфраструктури. Це великі компанії, не обов’язково державні, від яких залежать життя, здоров’я, працездатність громадян України та національна безпека.Від них вимагається побудова потужного кіберзахисту – і це буде перевірятися державними органами.
- Як змінились виклики для українського бізнесу з початку війни?
Для великого бізнесу все змінилося з 2014 року – саме тоді почалася кібервійна. Кількість людей, зосереджених у кібервійськах, не така велика, тож вони більше сфокусовані на великих бізнесах. Вони хочуть нанести збиток точково, але масово. Наприклад, їм цікава компанія, яка обслуговує 70% бізнесу в Україні, як-от Linkos. Або, наприклад, компанія, яка обслуговує 70% власників банківських карток. Найбільший мобільний оператор, Укрзалізниця – такі компанії є цільовими для них.
З 2022 року, коли почалось повноштабне вторгнення, з ‘явилося багато хакерів-активістів, які працюють з обох боків – наприклад, IT-армії. Їх ефективність дуже низька, тому що людей багато, кваліфікація всіх різна і переважно низька. Це люди з енергією, бажанням допомогти державі, з високої мотивацією, але з низькою кваліфікацією. Вони рідко можуть зламати щось таке, що нанесе суттєвий збиток. Але через те, що їх багато, їх фокус дуже широкий, і він змістився в тому числі на маленький бізнес. Якщо раніше маленький бізнес вважав, що не потребує кіберзахисту, тому що нікому не цікавий, то зараз це не працює. З 2022 року будь-яка компанія України, як і будь-яка державна організація, цікава IT-армії. Відповідно, виклики змінилися – навіть маленький бізнес, який міг працювати 30 років і не цікавити хакерів, зараз потенційно під загрозою атаки.
Потужна атака – це не DDoS-атака. DDoS-атака – це купа сміттєвого трафіку, але з точки зору довгострокової шкоди вона не є потужною загрозою. Коли у хакерів закінчуються ресурси на таку атаку, компанії не треба нічого відновлювати. Страшнішим є проникнення всередину технологічної мережі, як у випадку з Київстаром. Це вимагає не тільки знань зламів, а й розуміння принципів роботи телеком-мережі, внутрішніх процесів. У хакерів, що атакували Київстар, точно були консультанти, пов ‘язані з телекомунікаціями. Я й сам працював в Київстарі й знаю, як там все влаштовано. Навіть якщо ви супер-хакер, але прийшли умовно з вулиці, ви не зможете розібратися, як покласти мережу так, щоб її відновлювали тиждень. В цьому кейсі діяли не просто групки хакерів, які самоорганізувалися. Це була структура – або ГРУ, або ФСБ, яка це робила з підключенням спеціалістів, з побудовою процесів, з узгодженнями і так далі. Інше питання, чому вони не шпигували, а знищили інфраструктуру? Можливо, їх вже відслідкували всередині і вони «гучно гупнули дверима».
- Якщо ми вже говоримо про атаку на Київстар, то які проблеми “оголив” цей кейс? І компаніям в яких сферах варто підготуватися і ще збільшити фокус на кіберзахист?
Головна проблема – гроші не вирішують. У Київстара були великі бюджети на кібербезпеку, і все одно його змогли зламати. Вирішують не гроші – вирішує результат інвестицій. В кібербезпеці немає витрат, а є інвестиції. Хто вважає, що в кібербезпеці є витрати, того рано чи пізно зламують. Такі компанії купують програми, їм пропонують новомодний антивірус – вони погоджуються. А потім виникає якась ситуація, компанію зламують. Тому головне не купувати будь-які програми, а будувати ефективний і результативний кіберзахист.
Я не впевнений на 100%, але гадаю, що до цієї кібератаки для топменеджменту Київстара кібербезпека була лише рядком у витратах. Після цієї кібератаки вони вже розуміють, для чого ці “витрати” треба робити. Зараз вони відчули 100 мільйонів доларів, які втратили. Це набагато більше, ніж потрібно на побудову кіберзахисту. Тобто, перше – не гроші головне, а ефективні та результативні інвестиції в кібербезпеку.
Друге – офіційні особи Київстару заявили, що злам був через людський фактор. Це доводить, що ви можете вибудувати будь -який захист за допомогою технології, але є золотий трикутник кіберзахисту, в який входять технології, процеси і люди. Якщо людей не навчати, якщо людський фактор не враховувати, то будь -яка компанія може бути зламана. Необхідно навчати кібергігієні не тільки нетехнічних людей, а й підтягувати кваліфікацію своїх технічних спеціалістів.
Кіберзахист повинен цікавити бізнес. Бізнес повинен розуміти на високому рівні, навіщо він вкладає гроші в кіберзахист, що саме захищають його технічні спеціалісти, які є ризики, що може статися, якщо не захищатися.
Як в більшості бізнесів формується бюджет на наступний рік? Технічний спеціаліст приходить до керівництва і каже, що треба придбати антивіруси, фаєрволи та інші програми, необхідний бюджет – умовний мільйон. Менеджмент погоджується на 200 тисяч і очікує захисту. Правильний технічний персонал озвучує той самий умовний мільйон, але пояснює, що він потрібен, аби не втратити 100 мільйонів, а також озвучує ризики. Бізнесмени дуже люблять цифри.
Проблема бізнесу у світі – не тільки в Україні – в тому, що бізнес не хоче дізнаватися, що таке кібербезпека, які є кіберризики і як вони впливають на бізнес.
Яким компаніям треба зараз хвилюватися? По-перше, я б радив усім великим компаніям перевірити, чи вони ще не зламані. Не виключено, що всередині системи вже є кібершпигуни. У кібервійськах є два підходи: кібершпигунство і кібертероризм. NotPetya, кейс Київстару – це приклади кібертероризму. Але перш ніж зламати систему, хакери займалися кібершпигунством: перебували всередині, дізнавалися якусь інформацію, викачували її. У випадку з NotPetya подальшою задачею було нанести збиток економіці України. Тож хакери розповсюдили вірус на багато бізнесів і державних структур і заблокували їх роботу. У випадку з Київстаром, як я вже казав, хакерів імовірно помітили, і вони зупинили роботу найбільшого оператора України.
Тобто, треба розуміти, що в когось всередині вже можуть перебувати шпигуни, і від цього треба відштовхуватися. Це принцип нульової довіри (zero trust), один із основних трендів у світі. Коли ми вважаємо, що нас вже зламали, і відповідно до цього відбудовуємо захист зсередини. Це не одна технологія, що здатна захистити. Це побудова процесів з використанням технологій та проведенням інших заходів.
Я б радив у першу чергу іншим мобільним операторам ретельніше ставитися до кіберзахисту. Тому що бути першим – боляче, але стати жертвою такого зламу другим – вдвічі боляче. Також треба бути готовими до цього державним ресурсам, великим логістичним і фінансовим компаніям, компаніям, які тримають велику кількість клієнтських даних. Їм варто задавати собі питання – а скільки часу ми будемо відновлюватися?
- Ви згадували про законопроект у сфері захисту даних в Україні – аналог європейського GDPR. Чи готуються компанії до цього?
Ні. Наша проблема в тому, що ті, хто працює з Європейським Союзом, і так підготувалися. Ті, хто не працює на цьому ринку, живуть за принципом «якось воно буде». А я називаю це бігом по граблях – коли отримаємо по лобі, тоді починаємо чимось займатися. Тих, хто хоче уникнути удару, в Україні дуже мало. По-перше, компанії вважають витрати на кібербезпеку саме витратами, а не інвестиціями. По-друге, деякі вважають, що європейські регулятори не зможуть їх дістати навіть у випадку порушення GDPR. Повірте, ЄС має різні важелі – санкції, обмеження в’їзду тощо. Навіщо тоді виходити на європейський ринок, якщо ви так легко готові його втратити? Тому краще – готуватися.
- Яку максимальну суму втратив бізнес від зламу на вашій практиці?
У світі, з того що я знаю, дві компанії Merck і Maersk втратили по 300 мільйонів доларів через вірус NotPetya. В Україні є інформація по кейсу Київстара – це 95 мільйонів доларів. Про наших клієнтів я не можу озвучувати цифри, але більше таких великих цифр в Україні я не знаю.
Під час ковіду траплялися випадки втрати коштів не зовсім через кібератаки, а через застосування соціальної інженерії, зокрема злам корпоративної пошти. Коли є, наприклад, дві компанії, які співпрацюють. Хакери зламують пошту однієї з них і від її імені надсилають партнеру фальшиві рахунки зі своїми реквізитами. Я знаю як мінімум три таких компанії, втрати двох із них склали 150 тисяч євро та 50 тисяч євро.
Зустрічаються невеликі втрати до 10 тисяч доларів, коли комерційні хакери зламують малі компанії, шифрують дані та вимагають викуп. Декілька тижнів тому одна українська компанія заплатила трохи більше 3 тисяч доларів у такому кейсі.
Так, це невелика сума, але якщо ви не захищаєтесь, гроші доведеться платити протягом всього шляху існування компанії.
- Які тренди у сфері кібербезпеки є нині актуальними? Та чого чекати бізнесу в 2024 році?
Ключовий тренд – це кіберстійкість. Це про те, що захиститися на 100% не може жодна компанія у світі. Є людський фактор, є проблеми з технологіями. Але для того, щоб бути стійкими, треба в першу чергу знати, що робити під час кібератаки кожному співробітнику на своєму робочому місці, починаючи з того, чи вимикати комп’ютер, чи дзвонити комусь. Тобто реагування під час кіберінциденту – головне. І не менш важливо – що робити після: як швидко відновитися, чи є для цього всі інструменти, чи маєте ви резервні копії, чи знаходяться ці резервні копії поруч чи окремо, адже вони можуть бути теж пошкоджені або не працювати. Все це і є кіберстійкістю: готуватись до атаки, знати що робити під час неї та знати як відновитися після. І на це потрібно виділяти як фінансові, так і людські ресурси.
Кіберризики вже декілька років поспіль є для компаній основними через постійну диджиталізацію. Принцип нульової довіри, кіберстійкість – це те, що дозволить вам не бути легкою жертвою.
Ну і, звичайно, якщо ми вже говоримо про тренди, то як не згадати штучний інтелект. ШІ, насправді, вже давно використовують і в нападі, і в захисті. Минулого року ця тема стала такою хайповою, тому що штучний інтелект зробили зрозумілим для нетехнічного користувача. Раніше для використання машинного навчання та штучного інтелекту необхідні були великі потужності, які були доступні лише державам чи дослідницьким інститутам. Тому доступ до тестування цих технологій був обмежений. Зараз, особливо після того, як трохи впала популярність криптовалют, дуже багато потужностей, які майнили крипту, вивільнилися, і почали використовуватися для прорахунку алгоритмів штучного інтелекту. А друге, це те, що напівпровідникова індустрія оговталася після ковіду, щоправда цього року прогнозується дефіцит електронних потужностей – очікуємо боротьбу за обчислювальні ресурси (відеокарти) і за енергію. Це буде виклик для штучного інтелекту.
Інтерфейси штучного інтелекту стали доступнішими, відповідно кіберзагрози зросли. Зараз найактуальніша загроза – це дипфейки. Це не новинка, голосові дипфейки використовуються вже декілька років, вони дуже високої якості. Великі компанії вже втрачали великі суми грошей через фальшивий дзвінок фінансового директора, наприклад. Зараз же з’явилися якісні відеодипфейки, і максимальна їх якість очікується наприкінці цього року чи на початку наступного. Це буде нова ера загроз для бізнесу, ЗМІ, політиків, громадян. Зараз до цього готуються, розробляють антидипфейкові програми. Але необхідно буде вживати і такі заходи, як наприклад, всім членам однієї сім’ї мати кодові слова.
Атаки соціальної інженерії, які експлуатують людський фактор, також будуть більш легкими для атакуючих через використання штучного інтелекту. Він прискорює в десятки та сотні разів різні процеси. Написання тексту фішингового листа, пошук інформації про потенційних жертв в інтернеті, написання нескладної шкідливої програми – все це стає простішим та швидшим для шахраїв. Раніше, щоб розібратися в оновленнях операційної системи (зворотний інжиніринг) і зробити вірус під це, йшло від двох тижнів до трьох місяців. Зараз на це витрачається від 1 до 3 діб. І сприяє такому прискоренню саме штучний інтелект. Треба розуміти, що штучний інтелект не створений для знищення людства. Але він може стати інструментом у руках людей, які хочуть створити загрозу. А якщо ми хочемо, щоб у світі добро перемогло зло, нам треба не обмежувати розвиток добра, а використовувати інші інструменти.
А очікувати цьогоріч треба того ж, що очікували в 2023 і в 2022. Ви цікаві і комерційним хакерам, і IT-арміям, а якщо ви великий бізнес, який володіє великою кількістю персональних даних, то ви цікаві кібервійськам. Вас обов’язково будуть намагатися атакувати. Треба до цього готуватися. Принцип нульової довіри, кіберстійкість – і все буде гаразд.