Прошедший год в украинском IT секторе ознаменовался первыми серьёзными потерями в экономике от кибератак. Как обезопасится в стране, находящейся в состоянии «гибридной» войны с могучей группировкой кибервойск врага?

Своим мнением поделился декан «Kyiv Cyber Academy» Алексей Барановский.

— Основной вопрос, который интересует пользователей: как обезопаситься от кибератак? Каким антивирусом безопасно пользоваться?

— Любым. Сейчас происходит то, о чем специалисты по кибербезопасности говорили уже давно. Возьмём, к примеру, зарубежный рынок такого софта, который более зрелый, чем у нас. У нас долгое время вложения в кибербезопасность оценивались как риск. Исходя из этого, получилось, что деньги выделяются по остаточному принципу. Антивирус – это только одно из средств, что предоставляет защиту от определенных угроз, используйте тот, на который можете выделить финансы.

Относительно «Kaspersky»: ходит слух, что он ворует информацию. Это — вполне вероятно. Но порекомендовать антивирус, который бы вызывал восхищение – невозможно, на что хватает денег, тем и пользуйтесь.

— Учитывая такую ситуацию, почему в Украине не разработан свой собственный антивирус?

— У нас он есть, даже несколько. К примеру «Zillya». Если он устраивает, то почему бы им не пользоваться? Но здесь все не просто. Качество такого софта зависит от финансирования, чем больше вложений — тем он качественнее. Есть хорошее выражение: «Если вы, в месяц, тратите на кибербезопасность меньше, чем на кофе, то вы будете взломаны».

— После атаки вирусом «Petya», начали приниматься законодательные акты для обеспечения е-безопасности, почему они не исправляют положение дел в этом вопросе?

— Дело в том, что тут присутствует определенная подмена понятий. Термин «информационная безопасность» существовал уже очень давно, в отличие от «кибербезопасность», говорить о том, что государство ничего не делало – нельзя.

У нас существует ряд нормативных документов, есть проблема в том, что они устарели, но говорить о том, что они плохие – не корректно. Первая проблема заключается в том, что они «отстали от жизни», а вторая проблема, что к их выполнению относятся формально. Определенные документы подразумевали под собой создание КСЗИ (комплексная система защиты информации), но у нас, по большей части, все КСЗИ сводилось к бумагам, по схеме «отписка».

Если взять коммерческий сектор (который не регулировался), то в нем компании сейчас стараются что-то делать. Например — НБУ когда-то заявил, что они переходят к работе по международному стандарту ISO 17799 и все банки обязаны выполнять эти требования. Инициатива хорошая, но, в тот момент, многие банки пострадали в связи с формальным отношением к работе КСЗИ. На данный момент, была выработана стратегия и принят «Закон про основные засады кибербезопасности». Можно долго вести дискуссии о том, плохой этот закон или хороший, но он, хоть в какой-то мере, устанавливает правоотношения. Основной вопрос, который беспокоил: «Кто ответственен за безопасность в Украине?». Допустим, наш департамент киберполиции не имеет следственного подразделения, то есть, они включаться в работу только по направление следователя, что указывает на ограничения их должностных обязанностей. Второй пример – Государственная служба защиты систем информации, что имеет свой департамент аудита, который занимается проверками, но все что они могут сделать – выписать акт. Главная проблема состоит в законодательной неурегулированности.

— На IGF-UA 2017 был поднят вопрос о несовершенствах современной системы образования по направление «Кибербезопасность». В свою очередь, была создана «Киевская Кибер Академия», у её выпускников уровень знания будет существенно выше?

— Мы надеемся на это. Такое себе экспериментальное направление, где мы взяли зарубежные сертификационные программы системы образования. Это программа одного, достаточно известного, вендора. Так же, мы добились хороших условий для студентов и пытаемся использовать материалы сертификационных курсов в качестве подготовительных. Не смотря на спорные вопросы по этим материалам, они всё равно лучше той базы, что даётся в наших вузах, хотя бы из-за новизны.

— Если уровень образования выпускников академии будет лучше, то какие гарантии, что они все не уедут работать за границу?

— Так это же хорошо, хорошо если уедут! Мы же остаемся здесь.

— Но кто же будет заниматься киберобороной в Украине?

— Если мой студент решит уехать работать за границу – это его выбор. Тем более, если он едет за рубеж, благодаря приобретенным в академии знаниям. Это награда для меня – преподавателя. Что касается работы в Украине, то мы давайте опять вернемся к теме финансов. Люди будут работать здесь, если будут достойные зарплаты. И сейчас, понемногу, понимание этого приходит, что не только у программистов должны быть хорошие зарплаты, но и у безопасников.

— Исходя из того, что власть не проявляет особой активности, а молодых хороших специалистов не хватает, как выводить страну из проблемы?

— Задача государства, на мой взгляд, регуляторная. Что касается, в общем, проблем безопасности, то я бы Государство отнес к достаточно важному моменту, но не считаю это главной проблемой. Самое основное — это правильное финансирование.

P.S.

Так получилось, что в момент записи этого интервью, в своем фейсбук-аккаунте один из ключевых экспертов украинского IT рынка написал такой пост:

Наверное не сразу выпускники Алексея Барановского смогут на равных бороться с вызовами такого уровня. Но — начало этому процессу положено.