Как современные государства выстраивают свою кибероборону и почему некоторые правительства используют хакеров в своих целях. СОВА поговорила с Олжасом Сатиевым – президентом казахстанского Центра анализа и расследования кибератак (ЦАРКА) и CEO компании WebTotem, который принимал участие в онлайн конференции в Грузии - Tech Touch (touch.ge/tech) 29-31 мая. Его сервис по мониторингу сайтов - WebTotem - занял первое место на саммите в Сингапуре как лучшее решение для бизнеса, а в прошлом году был принят в один из польских стартап акселераторов. Они занимаются легальным взломом серверов своих клиентов для проверки уровня безопасности.
— В марте в Грузии стало известно о взломе списков избирателей. При этом в октябре в стране пройдут парламентские выборы. Возрастают ли в предвыборный период риски, связанные с кибератаками?
— Предвыборный период – один из активных периодов для различных правительственных хакеров и так называемых «активистов». Кроме того, мы все стараемся двигаться в направлении электронных выборов, так как это удобнее и прозрачнее. Но, вместе с тем, появляются и риски того, что система может быть скомпрометирована хакерами.
— Есть ли еще какие-то уязвимые периоды?
— Хакеры – очень творческие личности. Для них любой новый тренд – это возможность хорошо заработать денег. Для примера – текущая ситуация с Covid-19. Хакеры активно используют пандемию, чтобы распространять свои вирусы и трояны.
Во время своего выступления на Tech Touch я также привел небольшую аналитику по доменной зоне .GE в Грузии. Мы промониторили около 16 000 грузинских сайтов и собрали различного рода статистику. И показатель, который может заинтересовать: в момент сканирования наша система WebTotem обнаружила 68 зараженных сайтов в Грузии.
— Как устроен современный механизм кибератак и как их расследуют?
— Сегодня хакеры больше двигаются в сторону автоматизации кибератак. Пишут свои инструментарии по мониторингу всего интернета в поисках сайтов со стандартными паролями или устаревшим программным обеспечением. Очень яркий кейс – когда вы создаете свой веб-сайт в интернете и у вас все еще стоит стандартный пароль к панели администрирования сайтом, в этот момент хакеры могут получить доступ к вашему веб-ресурсу и ждать, пока на нем заработает новый сайт с пользователями.
Если говорить о расследованиях, это всегда непросто. Необходимо сотрудничество с различными международными организациями и обмен данными между CERT (Службы реагирования на компьютерные инциденты по всему миру). Зачастую хакеры не атакуют сайты в своей стране, и в этом случае процесс расследования может затянуться, так как нужно отправлять запросы по международной линии.
— В чем заключается инициатива ЦАРКА и насколько она эффективна?
— ЦАРКА – негосударственная организация. Мы являемся частным CERT. В Казахстане мы занимаемся популяризацией информационной безопасности в стране, но, помимо этого, у нас есть и собственные продукты, с которыми мы вышли на зарубежный рынок (к примеру, WebTotem).
Мы добились того, что в Казахстане приняли Индекс киберготовности, и за несколько лет Казахстан с 118 места улучшил свои показатели до 40-го. Помимо этого, наш WebTotem мониторит все киберпространство страны и снизил время реагирования на веб-инциденты с 30 дней до одного.
— Западные страны часто обвиняют Россию в причастности к хакерским атакам. Есть ли превентивные меры, способные минимизировать угрозу?
— Нужно понимать, что в современном мире у многих стран есть свои киберармии. Для превентивных мер нужно мониторить свою доменную зону. Создавать вокруг государственных веб-ресурсов единый киберщит. И конечно же, взращивать собственную киберармию, которая будет проверять на безопасность собственную страну. Если у вас не будет понимания того, как атакуют ваши веб-ресурсы, то защитить себя будет довольно проблематично.
— Какие действенные новации появились в киберсегменте в последнее время?
— Сейчас активно появляются стартапы, которые используют машинное обучение и искусственный интеллект для обнаружения и предотвращения атак. Пользователь системы может пропустить атаку или не заметить ее, но правильно написанный алгоритм будет точен в большинстве случаев.
— Кажется, всемирная сеть превращается в глобальное виртуальное поле боя. Может ли такая киберреальность угрожать международной стабильности?
— Хакерские группировки сейчас организованы так же, как и мировые преступные группировки. Они могут работать удаленно из разных стран, они хорошо организованы, у них есть свои департаменты, бухгалтерия и иерархия. Некоторые хакерские группировки насчитывают даже сотни человек. Нужно укреплять обмен информацией между государствами. Самая большая проблема заключается в том, что наказать человека в другой стране – сложно.
— Какие страны сегодня являются наиболее уязвимыми с точки зрения возможных кибератак?
— В основном, конечно, это страны, которые находятся в состояние холодной войны. В Южной Корее, например, очень хорошо поставлены бизнес-процессы в части информационной безопасности, потому что рядом находится сосед, у которого довольно сильная хакерская команда. Израиль уделяет много вниманию выращиванию стартапов в области кибербезопасности.
— Современная мировая архитектура безопасности опирается на договоры и конвенции, сдерживающие распространение оружия. Не пора ли начать договариваться и о безопасности в глобальной сети?
— ООН уже признала кибероружие – оружием массового поражения. К сожалению, не всегда удается доказать, с какой именно страны был совершен акт киберагрессии. Никто не мешает правительственным хакерам, например, размещать свои сервера в другой стране и организовывать атаки через них.