"Информационную безопасность в стране я оцениваю на три с минусом", - Никита Кныш - Накипіло
Події

«Информационную безопасность в стране я оцениваю на три с минусом», — Никита Кныш

После атаки вируса NotPetya вопрос кибербезопасности стал в нашей стране особенно актуален. Медиапроект «Накипело» пообщался с Никитой Кнышем, организатором третьего международного форума HackIT-2017, советником Президента Украины по кибербезопасности.

Давай начнем с HackIT. Расскажи, что это и почему у вас на логотипе конь?

Начну с самого простого, наверное: почему на логотипе конь.  Концепция троянского коня была простой и понятной всем. Мы хотели создать такой образ. Мы смотрели логотипы  разных конференций, подсматривали у россиян у PHDays,  у американцев у Black Hat конференции, у них символ – шляпа, у ZeroNights – матрешки. Мы думали: что лучше всего иллюстрирует и отображает именно вирусы, кибербезопасность и нашу тематику? И вот как-то в голову пришел конь. Так и приняли решение.

Расскажи о HackIT,  зачем это тебе?

В 2015 году я был уволен из СБУ. Собственно, это был мой осознанный выбор. Я считал, что там я более ничем полезен быть не смогу и настало время делать что-то большее для страны. Служба есть служба. Она ограничивает во фразах, мнениях, идеях. Приказ есть приказ – делай так, как тебе сказали, у тебя нет вариантов.

Мне всегда хотелось объединить «белых», «черных» – любых хакеров в идее национальной борьбы против страны-агрессора - Российской Федерации. На тот момент государство предприняло первые такие шаги по созданию киберполиции. Они об этом объявили на нашем первом HackIT. Мы реально очень хотели участвовать в создании этой прекрасной структуры, которая, на наш взгляд, на тот момент должна была кардинально все изменить, создать радикально новый подход к информационной безопасности. Мы ездили в Киев, общались с координатором национальной миссии ОБСЕ и представителями этой структуры; общались с теми, кто создает киберполицию. И вот, собственно, на базе этой идеи возникла задумка, что простые обыватели, эксперты информационной безопасности, хакеры – «белые», «черные», да хоть «серые» – могут как-то объединиться и реально повлиять на события в нашей стране. И так появилась идея создать HackIT.

Мы соединили всех людей, хакеров, и одной из задач было помочь стране.  Вторым заданием было объединить «белых» хакеров, третьим – перетащить «черных» на белую сторону. Последнее, наверное, будет самой актуальной задачей.

К сожалению, в нашей стране, точнее в мире, бытует мнение, что Украина – это рай для киберпреступников. Как-то хочется это поменять, хочется доказать, что мы можем не только ломать, но и строить, приносить в этот мир что-то хорошее.

Что будет на этом форуме?

Мы ожидаем  более  двадцати спикеров со всех стран.  Приедут пакистанцы, индусы, египтяне, американцы, конечно же. Америка и Европа – топ-страны по кибербезопасности, они априори участвуют во всех  подобных форумах.

У нас будет четыре потока, каждый посвящен своему направлению. Мы постарались охватить не только узконаправленную кибербезопасность (что, безусловно, является основным приоритетом форума), но и создать  поток для финансовых технологий, менеджмента и людей, которые работают в сфере финансов.

Мы надеемся каждому донести, что хакер – это не что-то сложное, космическое, это обычный айтишник с другим образом мышления.

Мы ставим в пример Стива Возняка, который в свое время тоже начинал с хакинга. До компании Apple он создавал маленькие устройства, которые позволяли взламывать системы переговоров и звонить бесплатно массе американцев. Его за это не посадили, слава Богу, и поэтому появился продукт Apple.

В рамках HackIT будет очень много воркшопов, где люди сами смогут прикоснуться к безопасности: например, к взлому сотовой связи. К примеру, мы будем брать сайты из зала и тестировать их, показывать, как их можно взламывать прямо во время конференции. Естественно, с учетом того, что владелец этого сайта нам разрешит это сделать. Формальные процедуры все-таки будут соблюдены, потому что мы, повторюсь, лоббируем интересы исключительно «белых» хакеров и против конкретных взломов.

Давай перейдем к другой твоей ипостаси. Ты стал советником по кибербезовасности в Администрации Президента. Как ты получил эту должность и что будет входить в твои обязанности?

Как я говорил, где-то с момента начала событий 2014 года – Революции достоинства, событий на Востоке страны – я проходил службу в центральном аппарате. Я начал в середине января 2014-го и сразу попал в этот вихрь. Потом, когда я понял, что в моем родном крае, в Харькове, происходят события, которые требуют моего участия, я перевелся в Службу безопасности Украины в Харькове. И тут уже совместно с рядом инициативных ребят мы начали организовывать собрания людей — владельцев пабликов, форумов, медийных ресурсов – с целью их объединения и консолидации в информационной борьбе с российской информационной агрессией.  

Не знаю, помнишь ты это время или не помнишь, но были паблики (ХарьковLive, Харьков City и так далее),  и каждый освещал события так, как хотел. Что-то было объективно, что-то нет, между собой паблики воевали. Мы постарались их всех максимально объединить на основе  проукраинской позиции. Мы пытались объяснить людям, что у них могут быть внутренние бизнес-разногласия, идеологические противоречия, но идея целой, единой и независимой Украины должна сплотить их.

Данная деятельность не могла быть не замечена и на государственном уровне.  И, собственно, через Службу безопасности Украины, через моих бывших коллег мне предложили для начала обучать силовиков (поправлюсь, не обучать, а обмениваться опытом, в официальных письмах используется такая терминология). Это были базовые вещи, такие как сбор информации из открытых источников.

Мы передавали информацию сотрудникам киберполиции относительно деятельности крупных хакерских групп в Украине и в Харькове в частности. Это моя гражданская позиция – я против преступлений в этой сфере.

Мы также начали взаимодействовать с сотрудниками прокуратуры, чтобы уменьшить аспект давления на IT-бизнес, уменьшить медийные проблемы у силовиков, которые иногда возникают из-за банальной некомпетентности следователя или сотрудников правоохранительных органов. Я пытался объяснить им, что необязательно приходить, свинчивать и забирать все компьютеры, а можно выбрать только то, что нужно, и изъять это. Я хочу сказать, что они пошли навстречу, начали пытаться вникать. Сегодня мы проводим для них тренинги, открытые лекции, рассказываем, как вычислить то, что им нужно, и не парализовывать работу компании.

Так все-таки, как ты попал в АП?

Собственно, после всех этих событий, обучений и так далее меня пригласили побеседовать в Администрацию Президента и предложили официально, так сказать, оформить наши отношения (смеется). Вы знаете, я абсолютно не держусь за бумажку. Некоторые считают, что иметь «ксиву» – жить красиво. Мне это было не интересно еще со службы. Некоторые используют ее, чтобы ездить пьяным, размахивать перед копами и еще что-то.

Единственным, чем я размахиваю перед полицейскими, – это, наверное, удостоверение журналиста, коим я тоже являюсь.

Спустя определенное время реальной работы мне просто выдали удостоверение советника Администрации Президента. А  работаю с ними я относительно давно: наверное, больше года.

С Петром Алексеевичем виделся уже?

К сожалению, нет, еще не довелось.

Как ты считаешь, на каком уровне организована кибербезопасность в Администрации Президента (раз мы про нее говорим) и вообще в стране?

В целом информационную безопасность в стране я оцениваю на три с минусом по пятибалльной шкале. Это связано с хаотичностью действий нашего государства. Несмотря на то, что я уже вроде бы являюсь членом их команды, это моя патриотическая позиция. 

Я всегда говорю, что хаотичность нас губит. Мы то режем лошадей, то их запрягаем, потом опять запрягаем, опять режем, бежим направо, бежим налево – и так на протяжении 25 лет. Это связано с тем, что то мы “позаблоковая” страна: то стремимся в НАТО, то мы ближе к России.

То же самое происходит как на рынке, так и и на государственном уровне кибербезопасности. Каждый тянет одеяло на себя: создали киберполицию – они пытаются что-то сами делать. СБУ в 2013 году создала профильный Департамент защиты интересов государства в сфере информационной безопасности – те на себя пытаются что-то перетянуть. Нет единоначалия как такового. Когда оно появится, мне кажется, ситуация нормализуется.

Нам нужен единый центр принятия решений. Это должен быть не один человек, наверное, а команда каких-то экспертов, советников. Если это буду не я – не против. Но главное, чтоб это были умные люди. И они должны быть из IT, это очень важно. Также они не должны лоббировать интересы той или иной команды или компании.  

Нельзя взять советником специалиста, условно, Cisco, FireEye, потому что он будет советовать свои продукты, и это будет не очень объективно.

В Администрации президента все довольно неплохо с уровнем информационной безопасности. Там есть детектор, вплоть до того, что нужно выкладывать кошельки. Сейчас после некоторых известных историй нужно еще и часы снимать. Но это отдельно взятое ведомство.

Относительно страны, к сожалению, я не могу говорить с таким же энтузиазмом. Но есть и позитивные изменения – последнее решение СНБО (их три всего по кибербезопасности, последнее недавно введено в силу указом Президента). Уже видно, что оно писалось профильными специалистами. Государство уже осознало проблему и готово привлекать частных специалистов и отдавать определенные куски работы на аутсорс.

Если передать внешним источникам информационную безопасность в целом не представляется возможным из-за огромного количества информации с ограниченным доступом, то отдельные блоки можно вполне: защиту Кабинета Министров, Верховной Рады, банально почты депутатов, которые постоянно взламывают. К примеру, проводить иногда лекции по поводу социальной инженерии, это уже даст какой-то эффект. Конкретные действия смогут помочь. Пока все не так хорошо, как бы хотелось, но есть наметки системности.

Когда появился NotPetya, многие украинцы узнали о том, что у нас есть Центр киберзащиты – ведомство, которое в этой экстренной ситуации согласно официальному заявлению включилось в процесс и начало как-то мониторить, пытаться отбивать атаку. Ты знаешь что-то об этом органе?

При Совете национальной безопасности и обороны давно уже есть Киберцентр, он подчиняется напрямую Турчинову. Туда входят довольно компетентные, на мой взгляд, люди. Также включены силовые ведомства: собственно, киберполиция, СБУ, Служба внешней разведки, если не ошибаюсь, и профильное подразделение, которое занимается принятием решений в сложных ситуациях. Собственно, это первая такая ситуация, в которой они реагировали.

Нашей стране помогала компания Cisco Talos, детально раскладывающая атаку NotPetya. Она передавала данные нашим правоохранительным органам. И вот уже на уровне этого Киберцентра смогли составить более или менее нормальные рекомендации  и предупреждения, что важно.

Наша страна предупреждала людей о дальнейших кибератаках, о том, что NotPetya был только началом, вирус собирал информацию и затирал свои действия. Он был не вымогателем, он был стирателем — так называемым "вайпером.  

После этого тот самый Киберцентр принял адекватные меры и решения, и через силовиков уведомил людей о необходимости смены паролей от контроллеров доменов, о закрытии определенных портов (все эти рекомендации есть на сайте СБУ и киберполиции). И это неплохой первый пример взаимодействия, когда частная компания Cisco смогла совместно с сотрудниками киберполиции и Киберцентром составить конкретные рекомендации и шаги по недопущению следующей волны атаки.

Знаешь, меня приятно удивили действия государственных органов, потому что достаточно быстро выяснили про Medoc, что он был тоже частью этого процесса.

Я тут не совсем согласен. Я считаю, что эти действия предприняты слишком быстро. У нас проблема в том, что нельзя сразу обвинять частную компанию. Вот так сказать, что разработчики Medoc виноваты. Какое право имеют наши органы? По большому счету, представители и разработчики софта Medoc могут обратиться в суд и сказать: «Есть решения суда, где написано, что  мы виноваты? – Нет». Это частная компания.

Да, эта организация занимала относительно монопольное положение на рынке программного обеспечения для электронного документооборота. Но я считаю, что неправильным было сразу публично объявлять об этом.

Нужно было по-тихому связаться с представителями компании, «потушить» сервера, с которых шло заражение, провести объективное разбирательство и уже дальше очень осторожно о чем-то говорить.  

Ведь таким образом можно уничтожать целые ниши бизнеса. Если завтра скажут, что какой-то банк условно плохой или русский, в нашей стране такие заявления могут вызвать целую волну протестов, разбивания стекол и так далее.

Безусловно, сейчас нет сомнений, что заражение шло через сервера Medoc, но изначально с базовыми заявлениями нужно быть осторожными. У нас в стране вообще все говорят, что хотят, и это вызывает определенные проблемы. Я считаю, если ты занимаешь должность, например, руководителя какого-то силового ведомства, каждое твое заявление, каждое твое слово должно быть выверенным. Ты не можешь просто так обвинять людей  непонятно в чем, иначе это будет не правовое государство.

NotPetya, как минимум, на день парализовал работу и частных предприятий, и государственных органов в стране. Украина поняла, что вирусы – это серьезно. Скажи, а может ли компьютерный вирус стать причиной смерти человека?

Может, очень просто. Из наглядных примеров: существуют уже попытки покушений хакеров на людей через вмешательство по удаленному подключению в работу автопилота машины, в систему управления автомобиля – тормоза и так далее. Потенциально хороший вирус условно может разогнать вашу машину и заставить ее врезаться в бетонную стену, и это будет покушение или убийство.

«Черное зеркало» уже рядом. Скажи, есть «белые» хакеры - ребята, которые участвовали в конкурсе «Кибердетектив» в HackIT. Кто это такие и чем они занимались?

Мы всегда хотели быть ближе к обывателю, чтобы не было пропасти при общении айтишника с каким-нибудь филологом, при всем уважении к их профессии. Поэтому мы создали конкурс «Кибердетектив», где смоделировали определенные кейсы. Например, мошенничество на досках объявлений.

Представьте, что вы заказали условно кроссовки, какой-то шампунь, детскую игрушку, перечислили предоплату на карту и ничего не получили. В соревновании нужно было расследовать подобные кейсы, найти обидчика самостоятельно.

А еще научиться собирать первичную информацию из открытых источников, используя OSINT – технологии сбора информации с публичных источников. Также нужно было использовать социальную инженерию – был известен только номер телефона человека и нужно было узнать его адрес.  

Мы создавали целый ряд таких кейсов, где каждый желающий мог почувствовать себя в роли детектива и путем традиционного гугления, сбора информации специальными программами или руками из поисковых систем мог найти человека, своего обидчика или условного взломщика, мошенника, как угодно.

Для того чтобы наградить ребят, которые победили в этом конкурсе, вы создали новую криптовалюту. Расскажи о ней. Чем она будет обеспечиваться и какой у нее курс?

Мы создали криптовалюту не для того, чтобы наградить ребят, нет. Тогда можно было бы просто долларами отдать. Валюта создана в рамках идеи по объединению хакеров и созданию новой платформы HakinProof. Курс криптовалюты при базовом запуске будет один хакин. Один хакин равен одному доллару на базовом уровне. Дальше, если рыночная стоимость будет меняться, то криптовалюта будет зависеть только от рынка.

HakinProof  будет Bug Bounty платформой. Что такое Bug Bounty, если простыми словами? Мы создаем некую экосистему, где компании смогут взаимодействовать с профильными специалистами по информационной безопасности.

Представь, что у тебя есть сайт, тебе нужно его протестировать. Но ты не хочешь обращаться к компании А, В, С, потому что в интернете плохо пишут про компанию А, слишком хорошо про компанию В, кажется, что отзывы накручены, а компания С рассказывает тебе, что она сможет провести супер-тестирование и еще сертификат какой-то даст. Вот только проблема, что сертификат компании С вообще ничего не стоит и нигде не котируется.

Есть много таких проблем. Их решают подобные платформы. Ты приходишь на платформу, размещаешь свой сайт и создаешь правила его тестирования. Например, говоришь, что нельзя использовать DDoS (атаку на отказ в обслуживании), чтобы он просто не «лег». И дальше говоришь, что за критическую уязвимость плачу, к примеру, тысячу долларов, за среднюю – 500 долларов. Цены назначаешь абсолютно сам. И дальше хакеры со всего мира через эту платформу начинают тестировать твой сайт. Она является гарантом того, что хакеры получат оплату, а компания – качественный аудит своего продукта.

Также есть хакеры, которые нередко пишут вирусы за деньги и продают уязвимости крупных компаний, вместо того чтобы участвовать в Bug Bounty. Мы будем создавать в рамках HackIT (если соберем достаточное количество инвестиций для этого) платформу, на которой хакеры смогут продавать zero day уязвимости (так называемые уязвимости нулевого дня), а крупные компании по подписке получать к ним доступ.  

В этой части расходов будет больше всего на «лигал», чтобы сделать все в рамках закона. Такие проекты уже существуют. Мы хотим это все объединить. Создать удобный marketplace для хакеров и людей, которые желают, подчеркиваю, качественно протестировать свой продукт и получить не какой-то там сертификат, бумажку. При всем уважении, все знают PCI DSS и другие сертификаты, на сегодняшний день не гарантирующие абсолютно ничего. Мы будем предоставлять людям возможность протестировать продукт руками реальных людей, которые только тем и занимаются, что «ломают» сайты за деньги.

По сути вы делаете то же самое, что делает Павел Дуров в отношении Telegram?

Telegram открыто участвует в Bug Bounty, и Дуров открыто говорит всем: «Я заплачу 800 тысяч долларов тому, кто расшифрует информацию из скрытого чата». Насколько мне известно, на данный момент никто не получил этих денег. И это лучший способ показать, что твой продукт защищен. То же самое делают компании Dropbox, Microsoft, Google Chrome — выставляют свой браузер на тестирование.

Минутка «зрады». На «Кибердетективе»  победил россиянин, правильно?

Да, «зрада» есть (улыбается).

Все-таки, насколько миф о русских хакеров, который в последние, наверное, года три активно тиражируется в США в основном и у нас тоже, имеет под собой основание? Они действительно такие страшные, как их рисуют?

На мой взгляд, хакер – такой человек мира, который не имеет гражданства. Я приведу пример. У нас есть команда DCUA, которая является авторитетнейшей командой белых хакеров в мире. В 2016 году они занимали первое место в CTF-соревнованиях по версии довольно известного издания, которое освещает эти конкурсы. Однако то, что команда называется DCUA и ее глава – украинец  (кстати, авторитетный эксперт в сфере кибербезопасности) не означает, что она состоит исключительно из украинцев. Там большинство представителей из Кореи, Швейцарии и так далее. Она международная на самом деле.

Вопрос состоит в эффективности использования ресурсов. Россия  - это страна-бензоколонка, это мое субъективное мнение. Она неэффективно использует свои ресурсы, экспортируя газ и только на этом основывая свою экономику.

У нас государство потрясающих умов, потрясающих хакеров, айтишников, и мы неэффективно используем их. В плане использования хакеров Россия, наверное, чуть более продвинута, чем Украина. Она их лучше использует, я бы так сказал.

Ходят активные слухи о том, что они изменили ход выборов в США, а это достаточно высокий уровень.

Знаете, в какой-то степени повлияли. Сложно сказать, как все было бы, если бы не опубликовали переписку членов Демократической партии Соединенных Штатов Америки. Также трудно сказать, изменилось бы что-то во Франции, если бы Эммануэль Макрон не создал Honeypot и не наставил ловушек. Там русские хакеры полностью провалились, опубликовав фейковые документы, которые им заранее «скормили».

Опять-таки «русские» — я говорю условно, потому что СМИ так пишут. Повторюсь, нет никаких прямых доказательств, что это были русские хакеры. Да, можно сказать, что россиянам это было выгодно. Но в мире кибербезопасности не ценятся такие политические заявления, как у нас, когда, к примеру, что-то взорвалось, выходит какой-нибудь министр Фейсбука и сразу говорит: «Вот, это они виноваты: тут рука Кремля, тут российский след». Я адекватно признаю Россию страной-агрессором. Это факт, он неоспорим для меня. Но сказать, были ли это точно русские хакеры, в этой сфере — я не берусь. 

Хорошо, а атаку Petya, NotPetya ты оцениваешь как атаку против  нашей страны или нет?

Здесь очень четко можно сказать. Если б это был вирус-вымогатель, он имел бы какую-то функцию восстановления. Обычно вымогатели получают намного больше денег. Из примеров – неизвестная канадская компания заплатила 400 тысяч долларов (это одна компания!) за расшифровку файлов. Они оплатили и получили ключ. Это огромная сумма. NotPetya собрал в эквиваленте 16-17 тысяч долларов. Это в мире преступности – копейки. Он даже, наверное, не окупил, если бы его рассылали каким-то другим экзотическим способом, а не через Medoc. Он бы даже не окупил траффик, который на него потратили.

В мире киберпреступности существуют более  простые способы заработать быстрее и больше. Потому это именно имиджевая атака против Украины, чтобы показать обывателям, бабушкам в аптеках, мамам, которые пришли в супермаркет купить еды, что наше государство нас не защищает. Это атака, направленная на запугивание, и это четко прослеживается.

Собственно, я могу сказать, что она частично достигла своей цели. Если бы мы не были закалены войной на Востоке, всеми информационными вбросами, может быть, это могло бы посеять еще большую панику, дестабилизацию экономики и, как следствие, обвал курса гривны.

ПІДПИШІТЬСЯ НА TELEGRAM-КАНАЛ НАКИПІЛО, щоб бути в курсі свіжих новин

ПІДПИШІТЬСЯ НА TELEGRAM-КАНАЛ НАКИПІЛО

Оперативні та перевірені новини з Харкова