Нещодавно стало відомо про групи китайських хакерів, які атакували декілька компаній, що надають послуги онлайн-гемблінгу. Метою зловмисників були не кошти, а бази даних та програмний код, що надає змогу шпигувати за діяльністю гральних компаній. З метою дізнатися, який же стан кібербезпеки в України, ми звернулися до Костянтина Корсуна, фахівця з інформаційної безпеки та співзасновника компанії Berezha Security. Він розповів, які ризики очікують операторів онлайн-гемблінгу та гравців та чому український уряд в принципі не готовий до впровадження ефективної політки кіберзахисту.
Костянтине, чи можете ви дати загальну характеристику ролі кібербезпеки в сучасному світі?
Кібербезпека в наші часи відіграє ключову роль, оскільки весь світ впевнено рухається до епохи цифрових технологій. Звісно, в сучасних умовах варто дотримуватись певної «гігієни» в цьому питанні, щоб не стати жертвою зловмисників. Цим правилам поведінки в цифровому просторі варто вчити і своїх дітей, оскільки вони стануть у пригоді не тільки в майбутньому, але і сьогодні. Необхідно знати, які ризики підстерігають нас в кіберпросторі, навіть якщо ми звичайні користувачі.
Ваші поради онлайн-операторам щодо кібербезпеки – з чого необхідно починати?
Без сумніву, операторам гемблінгу варто розуміти, що вони знаходяться у зоні підвищеного ризику. Бо у цьому секторі завжди є гроші, а часто – дуже великі. Нині ці загрози також стосуються й онлайн-ігор, які мають системи внутрішньоігрових покупок. І загрози старі – ризик того, що треті особи заволодіють інформацією та коштами. Треба будувати відповідні системи програмного забезпечення, із самого початку дотримуватись вимог безпеки. Нині 99% програмістів не надають достатньо уваги цьому питанню, а якщо і надають, то недостатньо вчасно. Цілком неправильно «нарощувати» системи захисту на структуру, яка не була під неї створена, – вийде свого роду натягування сови на глобус. Фундамент кібербезпеки має бути закладений вже під час створення, з використанням відповідних методик безпечної розробки, коли всі захисні алгоритми вбудовано в базисні структури програмного забезпечення.
Ігнорування цього правила призведе до сізіфової праці – допустимо, програмісти прибрали одне вразливе місце, але після нього з’явиться друге, третє і четверте. І це може тривати, допоки не стане зрозумілим, що використані на це своєрідне латання дірок ресурси давно можна було спрямувати на розробку іншого продукту, безпечного із самого початку. Знаєте, цю ситуацію можна порівняти з жартами про лінивих людей – вони роблять швидко, але якісно – щоб потім не переробляти. А ось якщо надається перевага латанню дірок – то це не ліниві працівники, які працюють абияк, щоб потім знову все переробляти.
Чим же загрожує недостатній рівень кібербезпеки гральним операторам та гравцям?
Гравці ризикують лише своїми грошима та персональними даними. А ось для операторів ризиків цілий ряд. Варто пам’ятати, що де гроші – там хакери та інші «чорні капелюхи» (користувач, який свідомо порушує кібербезпеку зі зловмисною метою чи для власної вигоди). У першу чергу, сервери операторів можна використовувати для протиправних операцій – фішингу. Якщо ж хакер має повний контроль, то він може використовувати сервер гемблінгу-ресурсу як свій злочинний командний сервер, який буде розсилати шкідливе програмне забезпечення. Таке обладнання може бути налаштовано як транзитне для різноманітних нелегальних оборудок – фінансових, хакерських, яких завгодно. І це все робиться з використанням протоколів SOCKS5 та засобів анонімізації зловмисника, і нехай власник спробує пояснити правоохоронцям, що не він організував протизаконну діяльність. Та навіть елементарне – хакер може використовувати потужності оператора для майнінгу криптовалюти.
Доступ до потужного віртуального чи фізичного сервера дає необмежені можливості для організації протиправних угод. Ще один варіант, правда, з примітивних, – це викрадення всіх даних та блокування сервера у майбутньому з подальшим вимаганням викупу від власника. Як бачите, ризики для гравців невеликі, а ось для власників – практично необмежені.
А як щодо даної проблеми в інших країнах, чи можете ви навести приклади?
На жаль, я ніколи напряму не мав справи з сектором онлайн-гемблінгу. Але зі свого досвіду можу сказати, що на Заході ця проблема доволі актуальна. Приблизно вісім років тому, працюючи в одній американській компанії з кібербезпеки, я часто помічав, що надходило багато запитів щодо безпеки саме від сектору онлайн-гемблінгу. Компанія навіть мала окремий відділ, що вивчав загрози, пропозиції на чорному ринку та методи атак саме на операторів азартних ігор в режимі онлайн. І я впевнений, що актуальності це не втратило і нині, оскільки розвитку цього напряму кібербезпеки сприяє не тільки зростання гемблінг-індустрії, а й, більшою мірою, онлайн-ігри з внутрішьноігровою валютою.
Законопроєкт № 2285-д легалізує в Україні сферу онлайн-гемблінгу і поставить над операторами контролюючий державний орган. Як ви вважаєте, чи впорається він з питанням моніторингу та забезпечення кібербезпеки?
З упевненістю на 99% скажу, що ні, не впорається. Державний регулятор не зможе забезпечити якісний та ефективний моніторинг онлайн-гемблінгу у сфері кібербезпеки.
Тут проблема в тому, що уряд недооцінює значення безпеки цифрового простору. Дивіться самі: віцепрем’єр-міністр Федоров, який наразі опікується кібербезпекою на найвищому державному рівні, вважає, за його ж словами, що її вагомість дещо перебільшена. І, звісно, це породжує відповідне ставлення до всього, що стосується безпеки в цифровому просторі, подивіться хоча б на додаток «Дія». А для онлайн-гемблінгу, як і для будь-якого онлайн-бізнесу, контроль держави у сфері цифрової безпеки критично необхідний. Якщо індустрія не буде працювати чи контроль буде некоректним, то не буде ані надходження податків, ані комфортних умов для праці. Я вважаю, що нині в уряді немає людей, які здатні належним чином забезпечити чи контролювати кібербезпеку в онлайн-гемблінгу.
Ще в серпні минулого року ми зібралися і написали про наше бачення стратегічного розвитку кібербезпеки в Україні, що для цього потрібно, принципи, ініціативи і т. д. Зустрілися справді найкращі фахівці своєї галузі, які за три зустрічі написали цей документ. Ми розповсюджували його, намагалися донести свої погляди до очей та вух усіх – і депутатів, і міністрів, і всіх інших. А результат один – тотальне ігнорування. Це просто один з прикладів ставлення урядовців до цього питання. Розуміння відсутнє, а якщо щось неясно, то вони відмовляються розуміти це і надалі.
А якщо абстрагуватися від небажання урядовців розуміти кібербезпеку, то якими мають бути перші кроки регулюючого органу?
Перш за все, не будемо торкатися складних та непростих питань повноважень цього регулятора, який досі не визначений. На мою думку, перший крок, він же найважчий, – зрозуміти важливість кібербезпеки в секторі онлайн-гемблінгу та країни загалом. А найтяжчий цей крок тому, що мають відбутися зміни в головах урядовців. Другий крок – залучити до роботи в цьому напрямі професіоналів. Наш уряд чомусь ігнорує українських фахівців, вважаючи, що західних грантів та волонтерської допомоги більше ніж достатньо.
Тобто проблем з кадровим питанням в Україні немає?
Ні, немає. Проблема лише в тому, що як в IT-секторі, так і в секторі кібербезпеки більшість наших спеціалістів працює на західні компанії за системою аутсорсингу та аутстафінгу. У нас є спільнота з декількох тисяч фахівців, які збираються на конференціях, роблять презентації і т. д. І серед них є чимало патріотів, які готові працювати за менші суми, ніж ті, які пропонують їм західні роботодавці. Але немає діалогу, держава не хоче з нами працювати.
Читайте також:Розробка грального ПЗ не є злочином – адвокат
Читайте також: Блокування сайтів нелегальних гральних закладів залежить від судів
