Недавно стало известно о группах китайских хакеров, атаковавших несколько компаний, предоставляющих услуги онлайн-гемблинга. Целью злоумышленников были не денежные средства, а базы данных и программный код, предоставляющий возможность шпионить за деятельностью игорных компаний. С целью узнать, каково состояние кибербезопасности в Украине, мы обратились к Константину Корсуну, специалисту по информационной безопасности и соучредителю компании Berezha Security. Он рассказал, какие риски ожидают операторов онлайн-гемблинга и игроков и почему украинское правительство в принципе не готово к внедрению эффективной политики киберзащиты.
Константин, можете ли вы дать общую характеристику роли кибербезопасности в современном мире?
Кибербезопасность в наше время играет ключевую роль, поскольку весь мир уверенно движется к эпохе цифровых технологий. Конечно, в современных условиях следует придерживаться определенной «гигиены» в этом вопросе, чтобы не стать жертвой злоумышленников. Этим правилам поведения в цифровом пространстве стоит учить и своих детей, поскольку они пригодятся не только в будущем, но и сегодня. Необходимо знать, какие риски подстерегают нас в киберпространстве, даже если мы обычные пользователи.
Ваши советы онлайн-операторам по кибербезопасности: с чего необходимо начинать?
Без сомнения, операторам гемблинга следует понимать, что они находятся в зоне повышенного риска. Поскольку в этом секторе всегда есть деньги, а часто – очень большие. Сейчас эти угрозы также относятся и к онлайн-играм, которые имеют системы внутриигровых покупок. И старые угрозы – риск того, что третьи лица завладеют информацией и средствами. Надо строить соответствующие системы программного обеспечения, с самого начала соблюдать требования безопасности. Сейчас 99% программистов не придают достаточного внимания этому вопросу, а если и предоставляют, то недостаточно вовремя. Совершенно неправильно «наращивать» системы защиты на структуру, которая не была под нее создана, – получится своего рода натягивание совы на глобус. Фундамент кибербезопасности должен быть заложен уже при создании, с использованием соответствующих методик безопасной разработки, когда все защитные алгоритмы встроены в базисные структуры программного обеспечения.
Игнорирование этого правила приведет к сизифову труду – допустим, программисты убрали одно уязвимое место, но после него появится второе, третье и четвертое. И это может продолжаться, пока не станет ясно, что используемые на это своеобразное латание дыр ресурсы давно можно было направить на разработку другого продукта, безопасного с самого начала. Знаете, эту ситуацию можно сравнить с шутками про ленивых людей – они делают быстро, но качественно – чтобы потом не переделывать. А вот если предпочитают латание дыр – то это не ленивые работники, работающие как-нибудь, чтобы потом снова все переделывать.
Чем же грозит недостаточный уровень кибербезопасности игорным операторам и игрокам?
Игроки рискуют только своими деньгами и персональными данными. А вот для операторов рисков целый ряд. Стоит помнить, что где деньги – там хакеры и другие «черные шляпы» (пользователь, который сознательно нарушает кибербезопасность со злонамеренной целью или для собственной выгоды). В первую очередь серверы операторов можно использовать для противоправных операций – фишинга. Если же хакер имеет полный контроль, то он может использовать сервер гемблинга-ресурса как свой преступный командный сервер, который будет рассылать вредоносное программное обеспечение. Такое оборудование может быть настроено как транзитное для различных нелегальных сделок – финансовых, хакерских, каких угодно. И это все делается с использованием протоколов SOCKS5 и средств анонимизации злоумышленника, и пусть владелец попытается объяснить правоохранителям, что не он организовал противозаконную деятельность. И даже элементарное – хакер может использовать мощности оператора для майнинга криптовалюты.
Доступ к мощному виртуальному или физическому серверу дает неограниченные возможности для организации противоправных сделок. Еще один вариант, правда, из примитивных, – это похищение всех данных и блокировка сервера в будущем с последующим вымогательством выкупа от владельца. Как видите, риски для игроков небольшие, а вот для владельцев – практически неограниченны.
Читайте также: Реклама онлайн казино: как сделать в рамках закона?
А как насчет данной проблемы в других странах, можете ли вы привести примеры?
К сожалению, я никогда напрямую не имел дела с сектором онлайн-гемблинга. Но по своему опыту могу сказать, что на Западе эта проблема довольно актуальна. Примерно восемь лет назад, работая в одной американской компании по кибербезопасности, я часто замечал, что поступало много запросов безопасности именно от сектора онлайн-гемблинга. Компания даже имела специальный отдел, который изучал угрозы, предложения на черном рынке и методы атак именно на операторов азартных игр в режиме онлайн. И я уверен, что актуальности это не потеряло и сейчас, поскольку развитию данного направления кибербезопасности способствует не только рост гемблинг-индустрии, но и в большей степени онлайн-игры с внутриигровой валютой.
Законопроект № 2285-д легализует в Украине сферу онлайн-гемблинга и поставит над операторами контролирующий государственный орган. Как вы считаете, справится ли он с вопросом мониторинга и обеспечения кибербезопасности?
С уверенностью на 99% скажу, что нет, не справится. Государственный регулятор не сможет обеспечить качественный и эффективный мониторинг онлайн-гемблинга в сфере кибербезопасности.
Здесь проблема в том, что правительство недооценивает значение безопасности цифрового пространства. Смотрите сами: вице-премьер-министр Федоров, который сейчас занимается кибербезопасностью на высшем государственном уровне, считает, по его же словам, что ее значимость несколько преувеличена. И, конечно, это порождает соответствующее отношение ко всему, что касается безопасности в цифровом пространстве, посмотрите хотя бы на приложение «Дия». А для онлайн-гемблинга, как и для любого онлайн-бизнеса, контроль государства в сфере цифровой безопасности критически необходим. Если индустрия не будет работать или контроль будет некорректным, то не будет ни поступления налогов, ни комфортных условий для работы. Я считаю, что сейчас в правительстве нет людей, которые способны должным образом обеспечить или контролировать кибербезопасность в онлайн-гемблинге.
Еще в августе прошлого года мы собрались и написали о нашем видении стратегического развития кибербезопасности в Украине, что для этого нужно, принципы, инициативы и т. д. Встретились действительно лучшие специалисты в своей отрасли, которые за три встречи написали этот документ. Мы распространяли его, пытались донести свои взгляды до глаз и ушей всех – и депутатов, и министров, и всех остальных. А результат один – полное игнорирование. Это просто один из примеров отношения чиновников к этому вопросу. Понимание отсутствует, а если что-то неясно, то они отказываются понимать это и в дальнейшем.
А если абстрагироваться от нежелания чиновников понимать кибербезопасность, то какими должны быть первые шаги регулирующего органа?
Прежде всего не будем касаться сложных и непростых вопросов полномочий этого регулятора, который до сих пор не определен. По моему мнению, первый шаг, он же самый главный, – понять важность кибербезопасности в секторе онлайн-гемблинга и страны в целом. А тяжелый этот шаг потому, что должны произойти изменения в головах чиновников. Второй шаг – привлечь к работе в этом направлении профессионалов. Наше правительство почему-то игнорирует украинских специалистов, считая, что западных грантов и волонтерской помощи более чем достаточно.
То есть проблем с кадровым вопросом в Украине нет?
Нет. Проблема лишь в том, что как в IT-секторе, так и в секторе кибербезопасности, большинство наших специалистов работает на западные компании по системе аутсорсинга и аутстаффинга. У нас есть сообщество из нескольких тысяч специалистов, которые собираются на конференциях, делают презентации и т. д. И среди них есть немало патриотов, которые готовы работать за меньшие суммы, чем те, которые предлагают им западные работодатели. Но нет диалога, государство не хочет с нами работать.
Читайте также: Разработка игр для онлайн казино: что должны знать операторы?
Читайте также: Чем опасен бонусхантинг казино?
