Костянтин Корсун — один з найпомітніших в Україні експертів з кібербезпеки. У минулому керівник підрозділу по боротьбі із кіберзлочинністю в СБУ, засновник першого центру реагування на надзвичайні ситуацій в Держспецзв’язку. Сьогодні працює в приватному секторі, але, як то кажуть, «за темою». В експертних же дискусіях він далеко не завжди поділяє та схвалює позицію наділених владою людей, які формують політику в цій сфері. Зокрема, чимало критичних зауважень ним висловлено на адресу додатку «Дія». Передбачаємо нерозуміння: як це? «Дія» та загалом диджиталізація країни багатьма називається однією з найуспішніших, якщо не найуспішнішою реформою влади. Тож хіба це не замах на святе? Ні, не замах. Ми точно так не вважаємо. Надто важлива ця реформа для країни та надто серйозні виклики вона породжує. Тому переконані, наш сьогоднішній співрозмовник має право висловити свою думку. Вважайте це запрошенням до дискусії. Якщо ж ви не фахівець, просто приміряйте на себе цифрове майбутнє та починайте до нього готуватися...

НЕ ДУМАЮ, ЩО ЦИФРОВЕ СТЕЖЕННЯ ЗАГРОЖУЄ ПРОТЕСТАМ

- Костянтине, Гардіан опублікувала статтю, в якій проаналізовано, зокрема, чому не спрацювали масові протести в Білорусі і чому вони стали неможливими в Росії. На думку авторів публікації, і Лукашенко, і Путін використовують китайський досвід, випробуваний у Гонконгу. Як відомо, китайці для цього почали застосувати інструменти цифрової ідентифікації, що дозволяють розпізнати ледь не кожного учасника багатотисячного мітингу - за локацією мобільника, маршрутом пересування, обличчям, навіть поставою і ходою. Можна припустити, що саме через це демократія чи мирні протести будуть приречені на неуспіх, тому що зараз кожного протестувальника, тим більше всяких там харизматів можна буде висмикувати і карати по одному. Ви згодні?

- Безумовно, всі сучасні технології беруть на озброєння як одна сторона, так і інша. Одна через соцмережі організовується та координує акції протесту. Інша сторона використовує ці ж технології для facerecognition, тобто розпізнавання облич, для відслідковування у соцмережах осіб, щоб зайти у ці групи і т. д. Нічого нового в цьому немає, вже десятиліття на найсекретніших хакерських форумах присутня або агентура спецслужб, або самі офіцери. Технологічно рішення з розпізнавання облич існували давно, а зараз технології покращилися.

Цю програму можна інтегрувати із соціальними мережами, з профілями, з контактами, з телефонною книжкою, з даними мобільного оператора. Ніхто вже не сумнівається, що в кишені у кожного з нас відповідний пристрій для такого відстеження. Адже і в Україні, і в будь-якій іншій країні спецслужби повністю контролюють всіх операторів. У них чорні скриньки стоять на мережах в передачі даних, у кожного оператора є чорна скринька, і це законодавчо обгрунтовано, тож тут взагалі ніяких проблем немає.

Чи унеможливлює це протести? Я так не думаю. Все залежить від градусу народного невдоволення. І людей, які вийшли на демонстрацію не за 200 гривень, а внаслідок якоїсь несправедливості, інструменти стеження не зупинять.

Протести постійно відбуваються і у Франції, і в Штатах і т. д. Гадаєте, поліція не використовує там інструменти стеження? Використовує. Питання в тому, що з цими даними далі робити. Тоталітарні режими будуть тиснути, приходити додому, влаштовувати підпали, викрадення, застосовувати тортури чи арешти. Але коли в державі є базові поняття про демократію, про справедливість, про норми права, правову державу, це не матиме такого продовження.

- То попри всю крутизну китайського досвіду його не варто боятися?

- Залежить від градусу невдоволення, від відчуття несправедливості, через які люди виходять на протести. Ватажків і 20, і 30, і 100 років тому виявляли без всіляких технологій, це не складно. А ось виявити усіх... Давайте уявимо. Знову таки чисто технологічно на акції протесту є 3 тисячі людей і усіх розпізнали. Звісно, що неможливо, але припустимо. 3 тисячі людей. Усі 3 тисячі зв’язали з акаунтами в соціальних мережах - встановили повністю прізвище, дату народження, профіль у Фейсбуці, номер телефону, всіх родичів. Це аналітична робота, вона може автоматизуватися. Технології допомагають це зробити швидко.

Отже, припустимо у вас є повне досьє на 3 тисячі учасників акції. А працівників поліції чи служби безпеки, які цим займаються, ну нехай, максимум, 100 людей. Це включаючи всіх: оперативний склад, слідчих, експертів, помічників, водіїв, «наружку», технічних працівників та ін. А тут 3 тисячі. Те саме, чому неможливо організувати тотальне стеження за усіма, і навіть КДБ в свої часи не міг цього зробити попри колосальний штат. Тому, що під час масових протестів задіяно дуже багато людей, в сотні разів більше, ніж працівників каральних органів з того боку і чиновників.

Ну, маєте ви повну базу і що? Ви можете прийти чи якось тиснути на півсотні людей, ну на сто людей нехай оцією всією махіною. Можна написати якісь повідомлення, усім СМС-ки розіслати... І от, прийшли 3 тисячам людей однакові СМС-ки. Результат? Це їх тільки згуртує і розізлить. А якщо персоналізувати СМС-ки і сказати, що твоя дочка ходить у таку от школу чи твоя жінка працює там ось і там, на це потрібні місяці, бо підготовка цього всього, персоналізація, розсилання – це час. І знову таки, це стане відомо. Якщо ж застосовувати викрадення, тортури, арешти, це ще складніше – навіть якщо ми кажемо про 3 тисячі, а не про 100 тисяч.

- Отже, математичний прогноз на користь демократії?

- Це просто логіка. Я над цим замислювався ще тоді, коли навчався в академії СБУ і потім працював в органах. Фізично неможливо застосувати тортури, затримання, застосувати пресинг для залякування, тому що і люди дуже різні. Той, хто знайшов в собі сили вийти на відкриту акцію протесту, вже хоробра людина. Їй треба значно більше, ніж просто СМС-ку з погрозою надіслати. Для каральних органів добре працюють показові приклади. Тобто, якщо взяти і розправитися показово, публічно засудити на десятки років двох-трьох людей, багато людей про це дізнається, побачить і реально злякається. І наступного разу подумає чи виходити чи ні. Але це все працювало і раніше.

Сьогодні технології допомагають, але проблема лежить у площині людських стосунків та понять справедливості. Коли 3 тисячі вважає так, а 100 людей чи 500 вважають інакше, зрозуміло хто переможе. І саме тому досі масові протести - найбільший виклик для влади. Технології допомагають, але не вирішують проблем.

- Питання про цифрову диктатуру. Ми знаємо, що в Китаї є ціла провінція - уйгурів, яка стала дистильованим прикладом цифрової диктатури.

- Так, про це багато написано. Там людині визначають рейтинг соціального кредиту. Якщо низький рейтинг, ти не можеш навіть до магазину зайти, зі школи тебе виженуть, з роботи виженуть. Це фашизм фактично.

- Я завжди думала, що китайська цифрова диктатура - це інший всесвіт. Але десь я вичитала, що це може стати нашим з вами майбутнім.

- Антиутопія часом стає реальністю.

- Поки що ці всі напрацювання Китаю експортують Болівія, Еквадор, Росія. Але чи можуть демократичні країни користуватися таким інструментом?

- Давно користуються. Знову ж таки більш технологічно розвинуті країни мають кращі за китайські технології. Але питання: як отримані дані застосовувати, яким чином і на основі яких процедур та законодавства? У китайської влади взагалі відносини із народом специфічні, тому що там прийнято поважати владу і комуністична партія править понад 80 років. Там не дуже прийнято бунтувати проти влади. Це лежить, швидше, в культурологічних особливостях нації. Там стабільний юань, зростаюча економіка, багатішають люди, холодильник традиційно перемагає телевізор. Тобто, піраміда Маслоу, добробут, безпека. Аж там десь нагорі якась там свобода...

- Цифрова диктатура не загрожує демократичним країнам?

- Диктатура - це антонім до демократії. Тобто, може бути цифрова диктатура, а може бути цифрова демократія. Так само просто, як просто диктатура і просто демократія. Цифрова диктатура протилежна цифровій демократії. Не може бути в демократичній країні цифрової диктатури.

- А якщо, можливо, диктатура буде по-іншому називатися?

- Ні. Насправді це взаємовиключено. Або в країні демократія і все у неї демократично, у тому числі цифрові технології, або диктатура, і там все диктаторське, у тому числі технології. Якщо під умовним терміном “цифрова диктатура” розуміти випадки стеження чи підслуховування, так, подібні скандали є і в США, і в Німеччині. Такі скандали постійно: Сноуден, Ассанж, Вікілікс та інші. Ми бачимо, що ці технології владами різних країні, і демократичних у тому числі, активно застосовуються. Але як вони потім ці матеріали, фото, листування використовують? Є поняття “5 очей”, “9 очей”, “14 очей”. Це міжнародні альянси розвідок. Приміром, “5 очей” - це США, Канада, Британія, Австралія, Нова Зеландія. Тобто, це міждержавна домовленість про обмін даними. Кожна країна за своїми громадянами десь слідкує. Але все легалізовано, проведено через закони, через міжурядові рішення, офіційно підписано, і перебуває під демократичним контролем.

Тобто, чітко визначено, що це інструменти задля боротьби проти тероризму чи забороненого контенту, гучних злочинів, вбивств та ін. Назвати це цифровою диктатурою аж ніяк не можна. Адже не йдеться про зловживання владою, пригноблення свобод, коли уряд діє не в інтересах свого народу.

- У релігійних людей є своє бачення таких процесів. У фундаменталістів і навіть поміркованих віруючих є переконання. Мовляв, ми живемо в останні часи. Рано чи пізно Господь з цим світом розправиться, і що, напевно, першим кроком буде те, що людям будуть вживляти чіп в праву руку (бо саме нею вони хрестяться). То у віруючих людей завжди є страх чи не припруть нас в матрицю якогось обов’язкового обліку.

- Припруть колись. Колись це обов’язково станеться, але ми вже будемо по-іншому до цього ставитися.

- Не будемо.

- Будемо. Для нас це вже не буде проблемою, коли це настане. Ідентифікація кожної людини так чи інакше відбудеться. Дивіться: з’явилися автомобілі, вони їздили як попало, почали гинути люди через це. Країни, одна друга, третя почали створювати правила дорожнього руху. Затвердили їх на міжнародних якихось рівнях, і вони тепер обов’язкові. На кожному автомобілі номерний знак, у кожного водійське посвідчення в кишені з точною модифікацією, з фотографією водія та ін.

Або Інтернет з’явився десь у 60-х на військовій базі в США. Але у широкий світ він вийшов наприкінці 80-х, початку 90-х... Як свого часу телефон з’явився? Не було автоматичних телефонних станцій і т.д. Це було якесь “вау” досягнення. Так само і з Інтернетом - вау, дивись, що я можу, можу миттєво переслати картинку або текст на величезну відстань без телеграфу, без телефону. А потім розпочалися процеси регулювання. І ми ще не дійшли до тотального контролю за Інтернетом, але, схоже, потихеньку влади усіх країн рухаються. Хоча багато які країни прямо законодавчо гарантують безпеку і свободу Інтернету. Але я думаю, що за 50, 70 чи 100 років цього вже не буде. І Інтернет стане повністю контрольованим, як сьогодні контрольовані поліцією та спецслужбами мобільні оператори.

Ви не відчуваєте в цьому проблему, і більшість не відчуває. Це не буде проблемою, тому що не створюватиме вам якихось перешкод чи незручностей. А часом - навпаки. Дивіться, “мінування” ТРЦ по телефону. У нас сьогодні дуже швидко їх всіх знаходять, хоча “мінування” з Росії фізично або віртуально відбувається. Я точно знаю, що усі мобільні оператори в Україні контролюються, і це законодавчо визначено.

- А месенджери?

- Месенджери ще поки ні, через наскрізне шифрування. У кожного месенджера є донори, є юрисдикція. У Сигнала (найбільш захищеного) - Швейцарія. Вотсап - це юрисдикція США, Фейсбук-месенджер - юрисдикція США. А там усі співпрацюють зі спецслужбами. Даних поки що немає, але, можливо, спецслужби мають спеціальний софт - інструментарій, щоб читати начебто зашифрований контент. Так, ми віримо всі, що повідомлення недоступні для швидкої розшифровки, але напевне цього ніхто не знає, оскільки це лежить поза полем регулювання. Ніщо не забороняє цього робити, скажімо, під приводом боротьби з тероризмом. Ви шукаєте одного терориста серед 100 тисяч людей, вам доводиться слухати весь їхній трафік і з цього величезного трафіку висмикувати потрібну вам інформацію, знаходити потрібну вам людину. Ви, може, її знайдете, а може - ні, але під час цього всього ви ще дуже багато про різних людей дізнаєтесь. Яка подальша доля цих матеріалів? Вони формально мають бути утилізовані, знищені і таке інше. Але ж це інформація, і її можна скопіювати велику кількість разів і ніхто про це не довідається.

СУСПІЛЬСТВО В США ВВАЖАЄ, ЩО НЕ МОЖЕ УРЯД СКОЮВАТИ КІБЕРЗЛОЧИНИ НАВІТЬ В ВИЩИХ ІНТЕРЕСАХ БЕЗПЕКИ КРАЇНИ

- Про кібербезпеку. Під час наших попередніх інтерв’ю ви розповідали про головні битви кібер-війни, які відбуваються в Україні. А зараз більшість атак спрямовані на США і ми перестали бути об’єктом?

- Ми не перестали бути об’єктом, ми — полігон, як і були, так і залишаємося, причому полігон для всіх зацікавлених сторін - як Росії, так і для США, і навіть - для Китаю.

- А чому США програє у війні із РФ, їхні серйозні об’єкти постійно зламують?

- США не програє.

- Де ми бачили хоча б одну заявку про їхню наступальну операцію?

- Оце цікаве питання. США все ж таки демократична країна, відтак, влада контролюється суспільством, там є важелі впливу на владу, система ваг та протидії - не лише теорія держави і права, там усе це працює і все це збалансовано. Хоча американська бюрократія набагато страшніша за нашу. Але все ж таки це демократична країна, і там не можна творити того “беспредєлу” як в Росії чи в Китаї, не можна зловживати владою, не можна порушувати права людини.

А чому США не програє? Тому що країна демократичних принципів, де влада жорстко підконтрольна, у довгостроковій перспективі завжди у виграші. Суспільство в США вважає, що не може уряд чи урядові агенції скоювати кіберзлочини навіть в якихось вищих інтересах безпеки країни, бо руйнується вся система демократичних цінностей. Навіщо тоді законодавство, суспільний договір? І якщо це не виконувати, то руйнується вся ця складна екосистема взаємовідносин у суспільстві між людьми. Якщо скоювати кіберзлочини, то виникає питання, що ми за свої податки наймали злочинців... Так це працює у демократичних країнах. І та ж сама Росія почне верещати, що нас зламали, це кіберзлочин, от ви нас тут примушуєте виконувати якісь міжнародні норми, а самі дивіться, що робите. Я думаю, це головний чинник, чому про це не повідомляється і чому американці обмежуються лише якимись прозорими натяками, вони дуже-дуже обережні.

- А наразі після кожного інциденту вони роблять Росії 1001-е “китайське попередження”.

- У Росії не дурні люди, і вони оці технології придумали не дарма, тому що розуміють певну слабкість цієї системи, попри демократичність і легітимність це в даному випадку, в кібервійнах - слабкість.

Але все ж не можна себе вести як гопник проти гопника, сила законослухняної людиної якраз у дотриманні процедур, і ми примушуємо всі разом через демократичні інститути всіх незгодних з цими законами злочинців дотримуватися їх.

Якщо ми будемо себе вести як злочинці, то це потягне за собою хаос, руйнування інституцій, коли люди розуміють, що все, немає законів, немає правил, і ми скотимося до печерного рівня, зруйнуємо цивілізацію.

- Про Дію поговоримо, взагалі про цифрові трансформації в Україні. Ви постійно критикуєте дії наших діджиталізаторів. Але насправді Дія - це зручно. Які треба ставити запобіжники, щоб ці загрози щодо нашої занадто швидкої цифрової трансформації не стали серйозною проблемою в майбутньому?

- Дивіться, Україна як була, так і залишається значною мірою полігоном для Штатів та Росії. У тому числі - полігоном випробування нових методів, нових технологій, нових засобів ведення протидії, в даному випадку, в кіберпросторі. Тому, на моє переконання, саме така реалізація додатку Дія - це глобальний експеримент, не тільки український. У нас до влади прийшли, як я їх називаю, цифрові мрійники. Ними рухають звісно позитивні ідеї, які не можна не підтримувати, коли говорити в цілому, загалом. Цифровізація - це потрібно, це природній цивілізаційний розвиток суспільства, всі ідуть цим шляхом. Це прогрес, якщо ти будеш протидіяти йому, ти програєш і підеш на звалище. Прогрес полегшує та прискорює життя, додає більше комфорту і зручності нашим роботі та дозвіллю. Крапка.

Але, повертаючись до теми глобального експерименту з Дією, багато країн, більш технологічно розвинутих, почали активно цифровізуватися десять-двадцять рокі тому. І той рівень державних діджиталізованих послуг, що у нас тільки починає з’являтися, у країнах Західної Європи вже був півтора десятки років тому. Можна було в онлайні подати в суд, продати-купити автомобіль, не виходячи з дому, та багато іншого. Але всі ці країни, хоча вони на десятиліття раніше почали ці процеси, не вживали таких радикальних заходів і не запускали таких ризикованих проєктів, як ми маємо з Дією. Бо зіткнулися з тим, що вони не можуть гарантувати безпеки цього всього.

Мобільний додаток - це складний комплекс з багатьох елементів, мобільна частина, тобто, те, що у вас в телефоні, серверна десь далеко, між ними іде протокол передачі даних. Тобто, всі ці вузли контролюються зовсім різними людьми і зовсім не урядом, а уряд може проконтролювати щось одне, скажімо умовно, безпеку серверів. Те ж, що відбувається на телефоні користувача, вони не можуть контролювати. А врахуйте, що окрім Дії, у вас є ще два десятки додатків, кожна іконка на смартфоні - це додаток, і кожен такий додаток теоретично може отримати повний контроль за вашим телефоном (все відбудеться віддалено, ви навіть не помітите цього), за іншими додатками, в тому числі за додатком Дія. І це ніхто не може контролювати. Уряди розвинених країн давно це зрозуміли. Тому вони й не поспішають з цим.

- Але ж можна буде потім законодавство підтягнути під реальну практику.

- Так. Водночас існує світова кібернаука, теорія ризиків, оцінки цих ризиків тощо. Уряди замовляють ці дослідження і вивчають, чухають потилицю і думають: давайте, мабуть, не будемо поспішати, бо щось тут забагато ризиків. У нас же це нікого не стримує. А давайте запустимо заради зручності, спробуємо? Давайте.

Чому я назвав би це глобальним експериментом? Всі ті країни, які теоретично вивчали можливі ризики, як було у нас із Прикарпаттяобленерго (найпотужніша атака на обленерго 2016 року — ред.), як у нас було з НотПетєю-Медок, усі знали, що існують ризики, вони можуть актуалізуватися за певних умов, колись, десь, в якийсь проміжок часу. Тобто, фахівці завжди знали та передбачали, що можна перехопити управління електростанцією віддалено і знеструмити цілий регіон на цілий день і, зрозуміло, викликати масове невдоволення, посіяти паніку. Згадайте, хіба не так було?

Задовго до кібервійни, на всіх серйозних професійних конференціях багато про це говорили, розказували, теоретизували Аж раптом: оп, Прикарпаттяобленерго, і всі злетілися та давай розслідувати, вивчати нарешті те, про що теоретики багато років говорили...

Схожий випадок і з цим. Уряд однієї країни не зреагував на всі можливі наслідки, про які теоретики багато розповідали, доводили графіками, науковими даними і зважився на запровадження. І тепер за цим глобальним експериментом з Дією всі з великою цікавістю спостерігають. Мовляв, а давайте подивимося, що буде з Україною. Є багато країн, які навіть фінансово сприяють, і це зручно: ти виділяєш певні кошти, хлопці, давайте робіть, а ми з безпечної відстані подивимося, чим все закінчиться.

- На всі ці ваші зауваги реформатори кажуть: поживемо — побачимо, ризики мінімальні порівняно із потенційним благом Дії.

- Я хотів би помилися, але з мого досвіду і з того, скільки людей мене підтримує, а це, зокрема, фахівці дуже високого рівня, вірогідність того, що я помиляюся в глобальному сенсі - мінімальна.

Я досліджував процеси в Швейцарії, Молдові, Естонії, країнах, які розробляли системи для онлайн - голосування. Швейцарія десь з кінця 90-х почала розробляти, Естонія - в середині 90-х. Вдалося лише одній Естонії, і то на 50 відсотків. Лише 50 відсотків виборців у них голосують онлайн. Це називається онлайн, але там є жорстка ідентифікація, там хоча б намагаються контролювати ключові точки, про які я казав. Тобто, голосуєте не з телефону, а з ІД-картки, яку тобі з паспортом у відділенні поліції видали. Подивилися на обличчя, переконалися, що ти це ти, подивилися твій паспорт, видали тобі цю картку, ти за неї щось заплатив, кардрідер тобі видали, і ти нею голосуєш. Відповідно, в цьому кардрІдері немає операційної системи, його неможливо зламати, там немає інших додатків, там немає нічого потенційно небезпечного – він потрібен лише для одного: вставити картку з чіпом.

Ось така картина в Естонії, де почали йти в цьому напрямку з середини 90-х років і прийшли до 50 відсотків голосування.

- Ви говорите про вибори?

- Так, саме про онлайн-вибори, не про Дію. Дія декларується у нас як додаток для майбутнього онлайн-голосування, це чітко прозвучало вже кілька разів.

- Від цього наче відмовлялися.

- Ні, я чітко стежу – однозначно йдеться про те, що додаток Дія буде використаний для онлайн-голосування. Повторюсь: така ідея спадала на думку багатьом у світі, але зрештою від неї відмовлялись. Швейцарія 20 років йшла до цього, але у 2019 році вони навіть на одних виборах призупинили онлайн-голосування через величезні проблеми з безпекою, які виявили під час відкритих тестувань. Молдова взагалі закрила цю програму після майже 20 років інвестування в неї коштів, вони просто в принципі відмовилися від онлайн голосування. Естонія, як я вже згадував, найдовше цим займається, але вони максимально, наскільки це можливо за їхніх обставин, убезпечили себе. Втім, навіть за таких підходів, там був великий скандал з компрометацією криптомодулів на цих картках.

Уряд Естонії 2017 року призупинив дію 760 тисяч сертифікатів естонських ID-карт через ризик викрадення цифрових особистостей громадян. Уряд закликав: прийдіть негайно до поліції, замініть вашу карту на нову або ж дистанційно перепрошийте її. Були довгі черги в поліцейські відділення, вони працювали 24 години на добу і без вихідних. Тобто, естонці пройшли довгий, складний і витратний шлях, але і він тривав двадцять років.

У нас це триває два роки, ми пішли по легкому шляху, тоді як правильний шлях - довгий та складний. Такий шлях теж прийнятний, якби йшлося лише про цифровізацію в Дії публічно доступних даних: дані з відкритих реєстрів просто автоматизуються для зручності, це взагалі не питання.

Але, вибачте, наші персональні дані, паспорти, свідоцтво про народження, водійське посвідчення - це точно не публічні дані, особливо якщо звести їх в одну, масштабну, базу. Багато країн давно про це думали, але через перестороги, пов`язані з безпекою, або відмовилися або вдалися до дуже поступового руху, почавши з якихось базових речей, з нульового циклу, відпрацьовуючи насамперед проблеми безпеки, і саме тому немає надшвидких результатів.

Натомість, виглядає так, що ми починаємо з кінця, тобто, ось дата, ми запустились, ось вже 10 мільйонів людей користуються, а тепер ми будемо думати про безпеку. У відповідальних, демократичних країнах так не діють, тож саме тому всі з великим інтересом спостерігають за нами.

- Ви - співвласник компанії, яка проводить тести на проникнення, тобто, випробовуєте на кіберміцність приватні компанії (етичний хакинг) на замовлення останніх. Чи рівень кіберобізнаності піднявся за останні роки?

- Можу точно відповісти на це питання лише в межах статистичної вибірки з наших клієнтів, яку ми, до речі, знеособлено опублікували на початку року, з нашої власної статистики. Вона в масштабах країни нерелевантна, вона нерелевантна навіть у масштабах галузі, це всього лише 50 чи 60 проектів на рік і це, може, 30-40 компаній. Ми спостерігаємо лише той факт, що серед наших клієнтів стало більше українських, з цього можна зробити висновок, що у приватному секторі (а ми працюємо винятково з приватним сектором, це принципово) з розвитком технологій розвиваються і ризики. А бізнес дуже чутливий до ризиків, адже це втрачені або недоотримані гроші, і конкурентна боротьба є дуже активною. Компанія Colonial Pipeline, нагадаю, сплатила хакерам 5 млн доларів викупу за розблокування файлів.

Це прямий ризик, а є ж безліч непрямих, є кібершпигунство, злив інформації про контракти, про клієнтів інсайдерами. Це менш очевидні ризики, але для кожного керівника кібербезпеки компанії - це щоденна робота і щоденна зусилля, цілі семінари присвячуються тому, як переконати керівництво інвестувати в кібербезпеку.

- Запитання про чорних реєстраторів і безпеку реєстрів. Це проблема МВС, чи це все таки проблема тих, хто веде реєстри, фахівців кібербезпеки?

- Це проблема реєстрів та їхніх власників. Але, якщо дивитись ширше, це величезний клубок проблем, який неможливо вирішити одним махом. У нас, здається, 340 державних баз даних та реєстрів, й кожна з них це окремий реєстр: прикордонна служба – має свої реєстри, у МВС – свої, паспорти, міграція тощо, вони зараз укрупнилися, але й при цьому у них з півтора десятки баз, до десяти баз найважливіших – ті ж паспорти, водійські посвідчення, свідоцтва про народження. А ще є такі, як сумновідома державна архітектурна будівельна інспекція, з якою купа кримінальних історій пов`язана, скандалів, намагань «віджати».

Так склалося, що ці бази історично формувалися задовго до вдосконалення технологій захисту і нападу. До того ж формувалися, як правило, з чого трапиться, на колінах, з якихось безкоштовних інструментів, крадених операційних систем. У законі про захист інформації, інформаційних систем записано, що відповідальність несе власник цієї системи. І ось, скажімо, приходить молода команда цифрових реформаторів, вони вивчають ситуацію, і бачать всю глибину проблеми: корупція, можливості для несанкціонованого доступу та маніпуляцій...

- Зокрема, внесення змін в реєстри?

- Так, але ось тут і виникає головна проблема. Це сотні відомств, сотні баз реєстрів, у кожного своя архітектура, свій стек технологій, своя мова програмування і свої поняття про кібербезпеку, про захищеність. Часто це накладається на низький рівень кваліфікації людей, які мають  дбати про безпеку. А трапляється навіть - немає співробітника, який конкретно відповідає за цю саму кібербезпеку, системному адміністратору сказали, будеш ще й за безпеку відповідати, і він «відповідає». Ініціатори цифрової реформи не могли цього не побачити. Вони побачили, жахнулися...

- І...?

- Продовжили розробляти додатки Дії, вирішивши розбиратися із реєстрами паралельно. Вони справді займаються цим. Але ось приходять вони, скажімо, в МВС, а це бізнес, навколо якого вже десятиліттями існують корупційні схеми (підрядники, перевіряльники, корупція, сірий продаж баз даних, внесення змін за великі гроші і таке інше). Зрозуміло, власники баз даних не хочуть нікого підпускати до цих баз, і кожного разу це страшний скандал, крик. Якщо їм дається розпорядження провести аудит безпеки своєї системи, власники реєстрів кажуть: дайте гроші, ми самі наймемо людей. З власного досвіду скажу: якщо власник не хоче, він саботуватиме повну об’єктивну перевірку. Але навіть якщо провели аудит, і власник спротиву не чинив, це лише відсотків 10 на шляху до повної безпеки.

Далі треба брати цей аудит: по-перше, зрозуміти, що там написано все, так, пріоритизація ризиків тощо - ось тут критичні, отут високі, отут середні, отут низькі. І треба закрити хоча б критичні або високі ризики. Хоча б так. А там жах, там практично весь звіт червоний! І щоб все виправити треба або мільйони доларів, а скоріш за все і мільйони доларів, і роки переробки практично з нуля, Але весь цей час воно зобов’язано працювати без хвилини затримки. Пригадайте, Дія дві години не працювала, і там жах був...Що в Фейсбуці творилося!

Тобто не можна перериватися, треба будувати паралельно аналогічну структуру. А власники реєстру кажуть: ми відповідальні за безпеку системи. Дайте нам 10 мільйонів! Їм кажуть: мільйон, бо знаємо, хто зробить дешевше.

Можна й так порахувати, можна на мільйон, а можна на 10 порахувати. Так само як на СТО можна на фірмовому СТО, і це буде 10 тисяч доларів, а можна в гаражі - за тисячу.

Навіть за ідеальних умов, якщо весь цей ланцюжок пройдений, і в кінці вже немає червоного у звіті, є середні і низькі ризики, з якими можна жити, миритися і т.д. Знову потрібні гроші, щоб підтримувати це в актуальному стані - раз. А по-друге - щоб розвиватися, тому що кібербезпека така штука, що, аби залишатися на місці, треба дуже швидко бігти.

Людина, відповідальна за це, має сидіти і кожен день читати новини про нові загрози і ризики. І відповідно, формувати пропозиції щодо бюджету фінансування. Можливо, просто достатньо іще одного співробітника, можливо - якийсь софт треба докупити, можливо просто полагодити існуюче, закрити ту вразливість, яку виявили.

І все це, тобто, обов’язок підтримувати все в безпечному стані, лежить на власнику реєстра. А держава Україна, ну, тобто, міністерство, воно лише за свої мережі відповідає, власні мережі. Кожен власник мережі відповідає за свій реєстр, вони його обслуговують, вони його краще за всіх знають, проблеми, недоліки і т.д. А у нас же ж перевіряльників купа. І якісь люди, які піараться на слові "кібербезпека", там створюють якісь центри, якісь кругли столи проводять, наради, надувають щоки, їздять на міжнародні конференції різні, про щось там домовляються. А за фактом вони ні за що не відповідають.

Дуже багато проблем, до речі, вирішуються без грошей, але за рахунок професіоналів, які коштують грошей. Є безкоштовні інструменти, є просто мізки. Кваліфікована людина може вирішити проблему без великих коштів, але треба заплатити цій людині. А заплатити не можуть, бюджетом не передбачено. Ось, власне, проблема, це так дуже коротко.

Як вирішує ці  проблеми Міністерство цифрової трансформації? Вони запевняють, що вдається вирішувати, зокрема, залучаючи стороннє фінансування. Наскільки я знаю, у них справді є ефективний досвід залучення іноземних грантів, коштів Євросоюзу (мережа ЦНАПів, зокрема, це проєкт того ж Євросоюзу).

- Зазвичай, я прошу в експертів хороший оптимістичний прогноз...

- Дуже хочеться дати хороший прогноз, спертися на масштабні зміни.  Я критикую, виступаю на конференціях, з медіа спілкуюся. На жаль, державні органи влади не завжди чують те, що критично важливо. Створюється більше посад державних, створюються різноманітні кіберцентри. Більше розмов ведеться про начебто захищеність, більше піару. Але дуже важко побачити реальні позитивні зміни, бажання дослухатися до конструктивної критики і до думки професійної спільноти.

Складається ситуація, коли реальна кібербезпека, там, де кращі фахівці, кращі технології, кращі знання і кращі практики – це один світ, а державна кібербезпека, чиновницька, ніби існує паралельно, і вони часто не перетинаються, живуть відокремлено. А в державному секторі критично не вистачає фахівців, навіть середнього, не те, що високого рівня. І це попри найбільшу мабуть у світі кібервійну з 2014 по 2018-й рік, яка сьогодні просто у замороженій фазі, але може відновитися будь-якої миті. Попри те, що країна пройшла через такий досвід, травматичний, супер-травматичний, якого ані Естонія, ані Грузія не мали. А ще плюс в соцмережах війни ботів, плюс маніпулювання інформацією, фейки. В Естонії цього не було, в Грузії цього не було, там просто поклали всю інфраструктуру на день-два, і все.

І ось після такого супертравматичного досвіду не зроблено висновків. Ну, висновки-то зроблені, але, боюсь, не зовсім ті, що потрібно.

Післямова

Готуючи матеріал, мала роздвоєні почуття. Як користувач мобільного додатку Дія та людина, яка стежить за розвитком цифрових послуг, не можу не вітати стрімкий поступ, який здійснює країна в цифровій сфері. Але як журналіст, який працює з експертами, багато разів переконувалася, що найнеприємніші прогнози досвідчених та захоплених своєю справою людей, мають властивість збуватися. Досвід, інтуїція, глибоке знання теми дають їм можливість передбачати майбутні події та проблеми. Зайве казати, наскільки це важливо для країни. Тож наша мета не знецінити здобутки Мінцифри, а поєднати їх з тверезим та зрілим (нехай критичним) поглядом фахівців ринку. За таких підходів Дія точно стане у довгостроковій перспективі вдалим “глобальним експериментом” та справжньою історією успіху України. Ну і ще раз просимо вважати сьогоднішні думки запрошенням до розмови, коли маєте що сказати на цю тему...

Лана Самохвалова, Київ

Фото Юлії Овсяннікової