Ілюстративне фото з сайту Pixabay
"Якщо не "пальцем у небо", то близьким до цього способом"
За останні 8 років ринок кібербезпеки в Україні зріс учетверо і до 2029-го може зрости ще на 50%. Про це йдеться в дослідженні "Огляд ринку кібербезпеки в Україні" за січень 2025-го. Це нормальний процес реагування на виклики чи тут були вкладені якісь додаткові зусилля? І як загалом ви оцінюєте ситуацію в цій сфері, зростаємо?
Віталій Якушев: Мені важко відповісти, тому що дуже важко проводити такі дослідження в Україні. В нас немає, наприклад, окремих КВЕД (Класифікатор видів економічної діяльності – ред.) для кібербезпеки і тому все вираховується, якщо не "пальцем у небо", то близьким до цього способом, на жаль. Сказати, що дуже виросла кібербезпека в приватному секторі і зростає разом з економікою також складно. Тому що, як і інша безпека, вона залишається не першим пріоритетом, на жаль, в Україні, бо є інші, більш суттєві загрози на думку наших бізнесменів. А в державі, якщо це станом на січень, то це найімовірніше було до того, як американські донори припинили фінансування кібербезпеки. Тому що дуже велика кількість грошей виділялася американським урядом на кібербезпеку в Україні, на захист критичної інфраструктури. І саме це дозволяло зростати в тому числі ринку кібербезпеки. На жаль, не дуже українському, тому що як і на зброю гроші вони видають на своє обладнання, на свої якісь засоби, трохи на послуги кібербезпеки в Україні, але в більшості це поверталося назад у США. Тому, так, воно зростає, зацікавленість є. Це еволюційний процес в Україні, не революційний. Щоб він був революційним, повинно створитися, по-перше, законодавче підґрунтя. І воно створюється. Хоча ухвалення законів в Україні не гарантує, що вони будуть виконуватися. Але законодавство потрібне, тому що державі треба показати всім державним службовцям, що є відповідальність за невиконання якихось кіберзахисних дій. Тому що зараз відповідальності майже "нуль". Ви можете самі побачити, що ще до повномасштабного вторгнення були потужні кібератаки на державні підприємства України, але не те, що ніхто не поніс відповідальності, а немає навіть розслідування у відкритому вигляді, через що це сталося. Тобто незрозуміло – це банальна халатність, недбалість чи це була реально суперпотужна кібератака?
"Кібербезпека – це більше про обмін інформацією"
Чому так відбувається? І чи означає це, що вразливість наших систем залишається ще дуже актуальною, чи в цьому напрямку вже є якісь зрушення в позитивний бік?
Віталій Якушев: В цьому і головна проблема. Кібербезпека – це більше про обмін інформацією. Коли ми знаємо, як когось поламали, ми можемо в себе попередити подібну атаку. Або зрозуміти, як працює наш ворог, як працюють комерційні хакери. Бо вони завжди ламають. А в нас виходить, що краще на когось спихнути цю проблему і сказати: "Це умовно, "кіберпутін" зламав, якісь кібервійська, і все. А проти них.., ну що ми можемо зробити?" А інколи наші державні ресурси ламають школярі з різних країн світу, бо вони або граються, або це комерційні хакері, які хочуть заробити гроші. Вони масованими атаками зламають тисячі сайтів у світі і наші недбалі захисні дії приводять того, що серед тисяч сайтів під атакою опиняються якісь наші державні ресурси. Була і така ситуація ще до повномасштабного вторгнення. Тому дуже важливо знати, як саме нас поламали. Знають, як поламали, просто не діляться цією інформацією. Це на рівні пліток залишається. Хтось каже: "Через людину зламали, підібрали пароль, ще щось зробили". Але інколи це може бути дійсно через недбалість, наприклад, якийсь слабкий пароль. А може бути через серйозну вразливість, про яку ніхто не знав. Я фантазую, тому що я не знаю реальної правди, ніхто її не каже приватному сектору. Але така проблема може дійсно існувати досі і нею треба займатися не тільки в державному, а й в приватному секторі в тому числі. Бо в нас технології однакові, що в приватному, що в державному секторі. І знаючи загрози, ми однаково можемо їх захищати і там, і там.
"Гроші на кібербезпеку є"
Ви сказали, що на ці всі програми було дуже багато фінансування з боку, зокрема, американського уряду. Чи можу я припустити, що тепер ми стали більш вразливими?
Віталій Якушев: На щастя, ні. Тому що закладалися певні передумови, щоб ми залишалися, по-перше, захищеними, навіть коли закінчиться ця допомога. І хочу сказати, що коли нам видавали допомогу, то її мета була в тому, щоб вона працювала, коли не буде фінансування. Щоб далі ми могли робити це самостійно. А по-друге, залишилися інші донори. На щастя, є Канада, Європа, Японія, Південна Корея – ті, хто ще допомагають нам також з фінансуванням. Але я повністю згоден з думкою, що не треба сподіватися, що хтось нам допоможе. Гроші на кібербезпеку є, хто б там що не казав. Якщо подивитися бюджетні планування, то вони є, просто їх треба ефективно і результативно імплементувати в інфраструктуру. Бо чому я кажу, що для держави ця недбалість більш поширена? Так звикли чомусь, що державне – це нічиє. В приватному секторі все набагато простіше. "Київстар" зламали – мінус 100 млн євро. Їм не треба законодавча відповідальність, вони її відчувають відразу.
"99% оновлень закривають шпарини у безпеці"
Що потрібно знати пересічному користувачеві передусім про кіберзагрози, кібербезпеку і як це все працює?
Віталій Якушев: Воно однаково працює, що для державних ресурсів, що для приватних, що взагалі для людей. Коли ми говоримо про кібербезпеку – це про загрози завтрашнього дня. Вони можуть статися, можуть не статися, як будь-яка безпека. Тому рахуються наслідки. У приватному бізнесі вони вираховуються грошима інколи, інколи якимись іншими показниками, наприклад, репутацією. В державі – складніше, тому що, наприклад, як порахувати вартість людського життя? Тому тут інколи ризики рахуються як нескінченно великі і тому на них вкладаються нескінченно великі доступні гроші. А в приватному житті ми рахуємо, наприклад, у нас є якась інформація. Що буде, якщо я її втрачу? Втрачу будь-яким чином – вона стане комусь доступна, стане недоступна мені, її видалять або зашифрують. І якщо це дуже дорого мені як пам'ять, якщо це були фотографії дітей, наприклад, дорого як фінансова втрата, то ми починаємо захищатися. Тобто якщо ми порахували, що це для нас боляче і дорого, то ми починаємо захищатися. Як захищатися? Всі починають захищатися однаково. Спочатку ми робимо паролі. Одна система – окремий пароль. Якщо один пароль на все, то рано чи пізно десь цей пароль втратиться, хтось підбере цю стандартну пару "логін-пароль" і увійде до ваших ресурсів. По-друге, вмикаємо, де можна двофакторну аутентифікацію або двокрокову перевірку. Це може бути СМС, хоча СМСки не дуже рекомендую, бо їх перехоплюють або перевипускають SIM-картки. Тому краще в якомусь додатку отримуємо додатковий одноразовий пароль. Це двофакторна або двокрокова перевірка. Третє – оновлюємо все, що маємо, обов'язково до останніх версій. Ми не відкладаємо оновлення Windows, не відкладаємо оновлення MacOs, не відкладаємо оновлення Android або iOS. Чому? Тому що 99% оновлень закривають шпарини у безпеці. Ці вразливості, про які ми вже згадували.
"Соціальна інженерія"
А не може бути такого, що приходить повідомлення "оновіть", а там посилання на якийсь шахрайський ресурс?
Віталій Якушев: Це якраз четверте питання, яке треба мати на увазі – це людський фактор, соціальна інженерія, коли вас хочуть обдурити за допомогою технологій, щоб ви самі щось собі встановили. Наприклад, фейкове оновлення. Якщо ви заходите в налаштування телефону або системи і там обираєте оновлення, то там не може бути фейкового оновлення. Але якщо ви заходите на сайт і вам там пишуть, що у вас не оновлений Windows або телефон і треба клікнути сюди, то це 99% фейкове оновлення. Тому треба бути уважним.
Віталій Якушев. Фото: facebook/kaminskyihub
"Із кібербезпекою в нас 2 величезні проблеми"
Кібербезпека – відносно новий термін, але пов'язана із ним інфраструктура вже доволі суттєво розбудована. Як законодавство регулює такий вид діяльності?
Катерина Дубас: Насправді, воно регулює його як і інші злочини, наприклад, через Кримінальний кодекс. У нас є частина законодавства, яка заточена чисто під державну безпеку. Але з нею більше стикаються і працюють люди, які забезпечують безпеку якихось державних мереж, наприклад, застосунків, будь-чого. Для звичайних людей це все як в звичайний спосіб. Тобто в нас є Кодекс про адміністративні правопорушення, є Кримінальний кодекс і воно працює, по суті, як розслідування і покарання за звичайні злочини.
У нас є профільний Закон "Про основні засади забезпечення кібербезпеки України". Наскільки він ефективний практично?
Катерина Дубас: Насправді питання законодавства більш стандартне. Тобто він настільки ефективний, наскільки органи, які забезпечують розслідування і суддівські органи, які забезпечують покарання за нього, дійсно працюють, виконують і дотримуються його. Просто з кібербезпекою в нас 2 величезні проблеми. По-перше, в нас бракує людей, які дійсно кваліфіковані і можуть цим займатися, розслідувати, доказувати і так далі. По-друге, у нас насправді велика біда з культурою в цьому плані, оскільки не всі люди, яких зламують, звертаються до когось за допомогою, або навіть можуть оцінити, що їх дійсно зламали і щось йде не так. Тобто є питання навіть в тому, щоб зрозуміти, що відбувається, спробувати самому не попастися, витримувати якусь "гігієну". І якщо вже щось сталося, то правильно оцінити і звернутися до правильних органів. Тому що можна звертатися безкінечно, умовно, до президента або ще до когось, але це не допоможе. Треба звертатися конкретно до органу, який може розслідувати цю справу, завершити її і допомагати.
"Підроблені інвойси – це дуже поширена історія"
Після яких видів кіберзлочинів найчастіше звертаються по допомогу до правоохоронних органів і наскільки ці розслідування дають результати?
Катерина Дубас: З безпекою просто проблема в тому, що більшість її автоматизована. Більшість загроз, тобто ці всі розсилки, які надходять, що скачайте наш застосунок, аби захистити ваш мобільний телефон, зайдіть туди в аккаунт – це насправді дуже автоматизована річ. Тобто вони не обирають людей конкретно. А з бізнесом і з державними органами буває дуже часто, що це таргетовані атаки. Тобто за людиною деякий час слідкують, спостерігають, збирають інформацію про неї в інтернеті і намагаються це використати проти неї. Тобто це як дзвінки, про які попереджають, коли нібито можуть телефонувати діти і казати, що мамо терміново допоможе, скинь гроші. Але це більш "хитра версія". Тобто вони це підлаштовують конкретно, наприклад, під якийсь інвойс від компанії, з якою працює людина. Або видати себе за легітимного партнера. Це насправді дуже складно, це якраз соціальна інженерія. І якраз в бізнесменів тут проблема в тому, що треба дуже критично на це дивитися, перевіряти все, що надходить на електронну пошту. Тому що, наприклад, підроблені інвойси – це дуже поширена історія і з цим треба бути дуже обережним.
Катерина Дубас Фото: facebook/kateryna.dubas
Головне для людей – Нацполіція або підрозділ Кіберполіції
Мене збентежила фраза пані Катерини про автоматизацію процесу. Якщо гроші викрадають з чийогось рахунку, то вони ж все рівно йдуть у конкретну кишеню. Як з цим у нас? Як знаходять тих, хто стоїть за цими процесами?
Віталій Якушев: Тут треба розуміти, що є таргетована атака, а є масовані атаки. І вони якраз автоматизовані. Просто на всіх шлють однакове повідомлення. Хтось попався, хтось не попався, але ті, хто попався, приносять якусь копієчку. Якщо ми кажемо про масовані атаки на бізнес – там де ламаються юридичні особи, викрадаються гроші з їх рахунків, то там, як правило, бувають банки, які перед закриттям або з якихось інших причин можуть приймати такі "чорні" гроші й потім їх якимось чином виводити. Тобто через картки, їх називають ще дропи, мули – це люди, які готові за якийсь відсоток віддавати свої картки для таких незаконних операцій.
У нас зараз начебто ведеться активна боротьба з цим. Чи не дуже успішно?
Віталій Якушев: Під маркою доброго, як завжди, ведеться трошки інше. Але якщо казати про атаки на людей, коли через картки і цих дропів проводять гроші, то там настільки цей процес побудований швидко, що гроші з цих рахунків знімають буквально за пару годин. Тому правильно сказала пані Катерина, що треба звертатися до правильних правоохоронних органів. А Закон про основні засади вказує, що в нас цілих 11 суб'єктів кібербезпеки, які цим займаються. На жаль, він не каже, за що вони відповідають, але їх 11. Але головне для людей – це все ж таки Національна поліція або підрозділ Кіберполіції. Тому треба звертатися. Є онлайн-форми на сайті, можна звертатися з заявами у відділки поліції і тоді цим починають займатися. Наскільки ефективно, я не можу обговорювати, є питання. Але це той орган, який повинен допомагати в цьому питанні.
