05.07.2019

Олександр Кардаков: Найчастіше кібербезпеку в Україні імітують

Кількість інформації, яку люди і компанії самостійно публікують про себе в мережі Інтернет, а також відомості, що потрапляють в мережу — все це ставить під загрозу таємницю листування, приватність життя, збереження комерційних і державних таємниць. Інформація в цифровому вигляді та доступ до неї стають ключовим стратегічним ресурсом, що створює гостру необхідність впровадження адекватних заходів захисту. 

Журнал «БІЗНЕС» обговорив ризики та можливості ініціативи президента України «Держава у смартфоні”, а також прогнози на наступний рік з IT-бізнесменом, власником компанії «Октава Капітал» Олександром Кардаковим.

Нещодавно Президент Зеленський розповідав про переваги проекту «Держава в смартфоні». Його ідея полягає у тому, що громадянин України повинен отримувати всі послуги в електронному режимі: від свідоцтва про народження, до реєстрації смерті. Наскільки це безпечно?

— Безумовно, повинна існувати база, єдина система, реєстри. Але чим більше ми «йдемо у смартфон», у те, що називається діджиталізація (слово, значення якого не розуміє більшість людей), тим краще ми повинні усвідомлювати: якщо щось станеться з цією інфраструктурою, ми всі залишимося «голі й босі”. Чим більше ми тяжіємо до цифровізації, чим більше автоматизуються певні процеси, тим більше ми стаємо залежними від IT. У таких умовах в економіці держави вже повинен з’явитись певний відсоток бюджету, який профільно виділяється під завдання забезпечення кібербезпеки. 

Чи були кібератаки під час виборів?

— Я вам так скажу, до виборів готувалися ретельно всі, у тому числі й держструктури. Оскільки передумови до атак були, то систему захистили достатньо добре. 

Яка в цілому ситуація з кібербезпекою в Україні? У дослідженні «Глобальний індекс кібербезпеки» за 2018 рік Україна посіла «почесне» 54 місце у світовому рейтингу з 193 можливих. Це добре чи погано?

— В цілому, це краще, ніж було у попередньому році: тоді Україна посідала 59 місце. Тобто, розуміння необхідності захищати кіберпростір поступово приходить. Але, на жаль, поки що кібербезпеку в Україні дуже часто імітують, підмінюючи реальні заходи захисту на їх «паперове» декларування. Є окремі підприємства і галузі, де кібербезпекою дійсно займаються, але цілісної державної політики, і головне – проробленої методології її реалізації, поки немає. 

Чи врегульоване питання кібербезпеки на законодавчому рівні?

— Є певні документи, які частково це описують. За кібербезпеку на кожному об’єкті, на кожному підприємстві повинен відповідати, в першу чергу, керівник. Він повинен розібратися в цьому питанні повністю. Тому що, як ми захищаємо підприємство від пожеж, так само керівник повинен зробити його стійким до кібератак. А в Україні за це ніхто не несе відповідальності. Тобто, якщо у нас завтра знову станеться аварія на атомній станції через кібератаку, то швидше за все ніхто не буде за це навіть покараний… 

Спочатку потрібно зрозуміти, що таке кібербезпека і чого вона стосується (як і у випадку з будь-якою іншою безпекою), потім на підприємствах повинні з’явитися профільні керівники- у всьому світі така посада називається CISO (Chief Information Security Officer), які будуть дійсно розумітись у своїй справі і відповідати за кібербезпеку, попереджати про всі загрози. І якщо вищим керівництвом ці загрози були проігноровані і це призвело до критичних наслідків, то він і повинен нести кримінальну відповідальність.

Хто ваш замовник: держава чи корпоративний сектор?

— У державному секторі у нас відносно небагато замовників, основний цільовий сегмент — це великий бізнес. Великий бізнес в Україні серйозно займається кібербезпекою, на сьогодні за моєю оцінкою вже близько 25% таких підприємств вибудували надійну систему кібербезпеки і кібератака, аналогічна вірусу Petya/Nyetya їм не страшна, вони зможуть витримати спрямовану атаку. Тобто, можливо, якісь втрати будуть, але вони не вплинуть на бізнес. Щоб ви розуміли, вірус Petya/Nyetya дворічної давності коштував Україні втрат близько 0,4% ВВП, третина економіки стояла три дні. 

Які галузі є найбільш вразливими? Чи справді в агросекторі та енергетиці використовується технологія «Інтернету речей», штучний інтелект, і що на підприємствах може бути потенційно вразливим?

— Насправді, усі ці технології для нас зараз — це «багато галасу з нічого», поки про це рано говорити. В агросекторі автоматизація знаходиться на початковому рівні, а про реальне поширення розподілених мереж датчиків, які власне і називають терміном «Інтернет речей», взагалі говорити не доводиться. Енергетика як галузь в Україні на сьогодні також досить слабко автоматизована. Звичайно, процеси інформатизації тривають, ми це бачимо. Але, не в останню чергу завдяки кібератакам, йдуть паралельно й процеси впровадження систем кіберзахисту, і це добре. Щодо штучного інтелекту – для  України така технологія поки що більше екзотична фраза, ніж реальність.  

Як убезпечити бізнес і звичайного користувача від атак?

— Якщо, наприклад, бухгалтер, що працює фрілансером, буде використовувати свій робочий ноутбук для розваг, ігноруватиме використання базових функцій захисту – антивірус, встановлення паролю на обліковий запис тощо, він рано чи пізно стане жертвою кіберзлочинців. У «найкращому» випадку – просто вчасно не здасть звітність, відновлюючи пошкоджену операційну систему. У найгіршому – стане причиною фінансових втрат своїх клієнтів, якщо у нього буде доступ до системи клієнт-банк. Звичайному користувачу достатньо використовувати ліцензійне програмне забезпечення – операційна система, антивірус – і виконувати основні заходи «цифрової гігієни», щоб убезпечити своє робоче місце.

Звичайно, для бізнесу цього вже може бути недостатньо, на підприємствах повинна будуватись вже ціла система захисту. А от що вона собою являтиме, залежить від багатьох факторів: галузі діяльності, масштабу підприємства, критичності для бізнесу інформаційних технологій та багатьох інших. В будь-якому випадку, побудову системи захисту доцільно починати з аналізу ризиків, оцінки можливих втрат від реалізації кібератак, і тоді вже переходити до підбору економічно й технічно обґрунтованих заходів безпеки.

На Вашу думку, якими є прогнози для ринку кібербезпеки в Україні?

— Безумовно, зростання. Світ постійно трансформується, змінюється державна політика і якщо ми справді перейдемо у державу в смартфоні, то ризики кібератак зростатимуть, а з ними зростатиме і попит на кіберзахист.