Ілюстративне фото із сайту Pixabay
Той, хто підірвався, навряд чи розкаже, що підірвався кілька разів
Що для нас означає місяць кібербезпеки? Які позитивні наслідки проведення цієї ініціативи щороку?
Позитивно, що взагалі згадують про кібербезпеку, а негативно, що це лише один місяць на рік. У світі це місяць не лише про кібербезпеку, а й про поширення інформації про кіберзагрози. Почалося це багато років тому. Років 7-8 тому Україна доєдналася до ініціативи і офіційно з’явилася на мапі країн, які також підтримують місячник кібербезпеки. Це чудова ініціатива, оскільки вона дозволяє використовувати цей інфопривід, аби трішки більше додати контенту на теле-радіоканалах і долучити публічних осіб (блогерів, інфлюенсерів) до обговорення цієї важливої теми.
Що потрібно робити, аби ваш акаунт не зламали?
Окрім надійних паролів і двофакторної перевірки, не слід вводити свій пароль на всіх сайтах, які тільки можливо. Це не важко, але питання в тому, що люди не дуже добре на цьому розуміються. Блогери залежать від цих технологій на сто відсотків. Це їхній хліб і аудиторія. Часом люди кажуть, що їх десять років не ламали, отже вони в безпеці. Але це помилкове твердження. Зараз у нас, окрім того, що десять років триває кібервійна, третій рік триває ще й повномасштабне вторгнення, яке змінило кібервійну. Адже збільшилася кількість волонтерів в десятки тисяч разів. Хакери ламають не лише державні ресурси, сайти великих компаній. Вони ламають усе, що пов’язане з Україною чи Росією. Навіть якщо людина була раніше нікому не потрібна, то зараз вона важлива, оскільки хакеру важливо нашкодити, зробити акт кібертероризму, пошкодити або вкрасти інформацію. Живий сапер також каже, що ніколи не підривався. Це помилка того, хто вижив. Той, хто підірвався, навряд чи розкаже, що підірвався кілька разів. Так само і з кібербезпекою. Можна один раз не туди вступити і зруйнується ваша цифрова ідентичність, що може мати критичні наслідки.
Якщо ви не під мікроскопом у ворога, досить двох правил. А якщо ви ціль номер один…
Як волонтерам захистити свої акаунти і кошти, які вони збирають?
У цьому випадку потрібні складніші правила. Якщо ви пересічна людина і не перебуваєте під мікроскопом у ворога, достатньо одного-двох правил. Якщо ви вже ціль номер один для кібервійськ і хакерів-активістів, тоді правил стає значно більше. У волонтерів, котрі збирають гроші, є канали комунікації з аудиторією, які слід захищати. Неважливо який це месенджер. Це не обов’язково має бути Telegram. Дуже багато є прикладів зламу військових, волонтерів саме через Signal, тому що це інструмент, який можна зламати. Зламати не саму систему Signal, а зламати вас через цей месенджер. Шахраям насправді все одно чим ви користуєтеся. Це питання лише підходу. Соцмережі – це також канал комунікації. Я не раджу користуватися TikTok, оскільки це китайська соцмережа. Наступне, що потрібно захищати – це картки і доступ до карток. Частину за вас робить банк, але коли людина "хоче", щоб її зламали, вона робить усе, щоб її зламали. Вона відключає всі засоби безпеки, ігнорує всі підказки і йде до того, щоб її зламали. Тому для волонтерів є більш технічні правила захисту. Це складні та унікальні паролі. Одна система – окремий пароль.
Генерувати паролі слід через менеджери паролів
Чи можливо згенерувати пароль, який буде дійсно якісним і зможе захистити акаунт хоча б на певний період?
Якщо пароль буде 12 і більше символів, то період, на який ви захистите свої соцмережі і все інше складатиме кілька тисяч років. Згенерувати пароль можна, але я не раджу використовувати онлайн-генератори паролів. У кожного комп’ютера і телефона є цифровий зліпок. Навіть не знаючи власника телефона, цифровий ідентифікатор є унікальний. Збираються технічні маленькі дрібниці. Які є унікальними для певного пристрою. Ви згенерували на такому пристрої пароль, потім зайшли в систему, яка підконтрольна тим, хто дає вам згенерувати і вони прив’язали вас умовно до якоїсь пошти. Вас уже пов’язали з цією поштою. Вони пароль не знають, але знають акаунт. Це третя сторона, яку можуть зламати і отримати отримати ці всі пов’язані речі.
Генерувати паролі слід через менеджери паролів. Це програми, які ставляться на пристрій і умовно можуть бути не підключені до інтернету. Відтак ви генеруєте пароль у себе на пристрої. Це набагато безпечніше. Його не потрібно запам’ятовувати, він зберігається у менеджері паролів і доступна для всіх пристроїв.
Наступний вид захисту – це двоетапна перевірка або двофакторна аутентифікація. Вона полягає у створенні окрім основного пароля, ще додаткового. Він може приходити по SMS. Використовувати SMS я не рекомендую, оскільки це не захищений канал комунікації.
"SMS не шифруються або шифруються дуже слабко"
Чи може подібне SMS прийти на клонований телефон?
SMS можуть перехоплювати за допомогою підробних базових станцій. Це недорого. Такий пристрій можна зібрати за 2 тисячі доларів. SMS не шифруються або шифруються дуже слабко і їх легко розшифрувати. Щодо клонування номерів, то воно працює трішки інакше. Існує два види підключень: контракте і анонімне. У випадку контрактного підключення ви з паспортом підписуєте контракт з оператором. Будь-яка дія з сім-картою такого абонента відбувається лише за паспортом або печаткою юридичної особи. Якщо ж ви придбали стартовий пакет на вулиці чи в магазині, ви анонімний абонент. Відтак ваша сім-карта не прив’язана до конкретної людини. Якщо хтось з вулиці прийде і попросить відновити вашу сім-карту, то оператор робить законну процедуру шляхом перевірки останніх трьох дзвінків і поповнення телефона. Шахраї цим користуються, оскільки це дуже легко зробити. Якщо людині телефонують і скидають дзвінок, багато хто перетелефоновує. Шахраям потрібні останні три набрані номери. Людина перетелефоновує і в оператора фіксується вихідний дзвінок. Далі шахрай приходить в сервісний центр мобільного оператора і робить собі нову сім-карту. Тому волонтерам, людям, які піклуються про свою безпеку, слід перейти на контракт або деанонімізувати свій номер. Це займе годину вашого часу, але знизить ризик комунікації по SMS.
Що більше цифрових сервісів, то більше загроз
Який зараз ландшафт кібербезпеки у світі? Як він змінився з повномасштабним вторгненням в Україні?
Глобально він не змінився. Як було дві групи хакерів: фінансово-мотивовані або комерційні хакери і державні хакери або хакер-волонтери, так вони і залишилися. Тобто, усі країни світу атакують дві групи хакерів. Змінюється ландшафт діджиталізації. А це впливає на рівень загроз. Це пряма залежність. Бо що більше сервісів стають цифровими, то більше стає загроз. Кібербезпека – це ризико-орієнтований підхід. Потрібно розуміти наслідки і скільки вони будуть коштувати в грошах або життях. Тому ваги цих ризиків слід оцінювати на рівні не технічного менеджменту і спускати їх на технічний рівень. Неважливо державна це структура чи приватна. Ми повинні від технічної мови кібербезпеки переходити на мову зрозумілу кожній людині. Будь-яка людина може попастися на атаки соціальної інженерії. Це такий підхід шахраїв, щоб виманити у вас інформацію.
За що має відповідати держава в кібербезпеці, а за що людина?
Держава буде максимально ефективною в кібербезпеці, якщо вона буде максимально регулювати все пов’язане з кібербезпекою. Якщо буде вимагати і жорстко карати за невиконання. Тільки на платформі Дія є кілька цифрових курсів із кібергігієни. Але скільки людей будуть їх добровільно дивитися? Є державні ресурси, які держава має захистити. Це, наприклад, реєстри тощо. Якщо людина працює з чутливими даними має або доступ до державних ресурсів, вона повинна виконувати жорсткі правила кібербезпеки. Зараз такого немає. Можливо на папері щось і є, але реального покарання за невиконання правил немає.
Віталій Якушев. Фото: ФБ-сторінка "Ukrainian Bar Association"
Включати параною, якщо запитують чутливу інформацію
Як відрізнити шахрая від справжнього співробітника банку чи поліції?
Не всі шахраї одразу залякують жертву. Людину повинно насторожити, якщо в неї випитують чутливу інформацію. Це може бути пін-код, cvv-код, код із SMS, паролі до облікових записів, переказ коштів. Це той прапорець, який сигналізує, що щось не те. Якщо ви почули щось схоже, відразу потрібно включити параною. Часто людині, яка не грала в лотерею, повідомляють, що вона виграла мільйон. І щоб його отримати, потрібно лишень заплатити якусь незначну суму. І якась частина людей все одно на це погоджується.
"Виявити, що вас прослуховують, неможливо"
Чи справді можна клонувати телефон так, щоб можна було прослуховувати телефонні дзвінки?
Прослуховування телефона можливе глобально трьома способами. Перший спосіб – через оператора. Це може бути легітимно, якщо це робить спецслужба за судовим ордером. Це може бути, якщо зламати оператора і підключитися до його системи, читати SMS, слухати голосові дзвінки, які проходять через мобільний зв'язок. Другий варіант прослуховування – це коли є підробна базова станція, через яку пропускають дзвінки і SMS. Тобто є легітимна базова станція, є телефон і між ними є підробна базова станція, до якої згідно зі стандартами мобільного зв’язку підключається телефон. У неї більший сигнал, тому до неї підключатиметься телефон. І третій варіант – програмні жучки, шпигуни. Усі в групі ризику: публічні особи, держслужбовці, волонтери, люди, які володіють секретною інформацією. Виявити, що вас прослуховують неможливо. Єдине, якщо у вас шпигуни всередині телефону, то вони будуть живитися від акумулятора і телефон сідатиме швидше. Зараз прослуховування цифрове. Жодних потріскувань, шипіння, подихів у слухавку не буде.
Кібергігієна має бути вдома і на роботі
Що кожен із нас може зробити для кіберзахисту нашої держави?
Ми повинні стати швейцарською кіберармією. Кожен повинен знати, що робити і як себе захищати. Кібергігієна має бути вдома і на роботі. Головне – зберігати тверезе мислення, коли йдеться про чутливу інформацію. Не переходити за підозрілими посиланнями. Краще передзвонити людині, яка його нібито надіслала і перепитати, чи це повідомлення справді надіслала вона.
