кібербезпеку

Ян Майтан очолює відділ кібербезпеки в апараті віце-прем'єр-міністра з питань інвестицій та інформатизації.

Братислава, 10 березня (TASR) - Він вивчав банківську справу та прикладну інформатику в університетах Відня та Амстердама. У 1999 році він приєднався до CA Bankverein у Відні у проектах з оцифрування та інформатизації, а згодом працював на керівних посадах у банківському секторі. Пізніше він працював директором та консультантом у консалтингових компаніях, що займалися ІТ-безпекою, управлінням проектами, проектуванням ІТ-систем та керував декількома великими проектами ІТ-безпеки. Сьогодні Ян Майтан очолює відділ кібербезпеки в апараті віце-прем'єр-міністра з питань інвестицій та інформатизації. Він відповів на запитання TASR в рамках мультимедійного проекту Особистості: обличчя, думки.


-Мало хто має стільки інформації та даних про громадян, скільки державні чи державні установи. Тим більше, що їх безпека та захист від зловживань чи хакерських атак стає актуальною проблемою. Якщо в середині 2018 року буде створено окремий розділ з питань кібербезпеки, це можна розглядати як сигнал того, що держава надає великого значення цій галузі.?-


Безумовно. Ця тема має резонанс не лише у ЗМІ, але також має значний вплив на людей та їх нормальне функціонування, хоча вони не завжди про це знають. Це як прихований вірус, який циркулює в нашому тілі, але поки у нас немає симптомів захворювання - проблема на початковій стадії виявляється лише при ретельному обстеженні. Так само в кібербезпеці загроза часто виникає не відразу. Одне з найважчих моментів - це виявити небажане вторгнення в систему. Ви вже знаєте, як це проаналізувати. Але час, який проходить від справжньої атаки до її відкриття, може становити місяці, а то й роки, примножуючи можливі наслідки. Міністерству закордонних справ Чехії знадобилося понад півтора року, щоб виявити проникнення.

-Питання кібербезпеки, напевно, старе, як і самі комп’ютери. Коли ця загроза зросла до нинішніх масштабів?-


Це тісно пов’язано з масовим розвитком мобільних технологій. Десь приблизно в 2007 році, коли почала писатись ера смартфонів, люди стали мати при собі пристрої, які, крім економічних та практичних переваг, також надають їм емоційні переваги у вигляді доступу до соціальних мереж. Коли ви використовуєте соціальні мережі, це означає, що ви дозволяєте збирати дані про свої інтереси, близьких, стосунки, а також про те, де ви перебуваєте і чим займаєтесь. Все щось коштує. Якщо у вас є соціальна мережа або пошукова система, яка є безкоштовною, було б наївно думати, що оператор такої мережі надає свої послуги безкоштовно. Ви платите йому із собою, тобто з вашими даними, геолокацією, щоб система знала, з ким ви спілкуєтесь, що ви шукаєте і що вас турбує. Така ретроспектива вашої історії пошуку - і Google може це зробити дуже приємно - ідеально викладає вашу особисту історію, тому ви можете згадати своє велике здивування, коли ви хворіли, над чим працювали, коли когось зустрічали тощо.

-Класичний приклад, коли когось турбує, скажімо, надмірна вага - і як тільки вони виявляють щось про проблему, вони починають заливати їх рекламою дієт або продуктів для схуднення.-


Так, таким чином ви можете дати людині інформацію або пораду, які можуть зацікавити її. Але що серйозніше, система навколо вас створить якусь штучну «бульбашку», яка ще більше зміцнить вас у ваших ідеях чи думках. Це можна використовувати дуже цілеспрямовано. Постачальник послуг робить це для того, щоб якомога довше тримати клієнта "в мережі", мати можливість продати свій профіль кільком сторонам і дати йому відчути, що це хороша послуга.

-Де межа законності, коли дані користувачів є не тільки підставою для невинної цільової реклами, але й можуть бути буквально використані неправильно?-


Ця межа - це, наприклад, крадіжка особистої інформації. Це означає, що ваші персональні дані будуть використовуватися для персоналізації вас, тобто для того, щоб зробити щось інше за вас. Або на основі вашої особистості будуть створені віртуальні клони, які використовуються для різних видів діяльності. Так звані Сучасна соціальна інженерія має безліч інструментів для ретельного використання своєї особистості. Це також може мати фінансові наслідки. Дуже просто, ви можете прийти сказати зарплату. Наприклад, вони змінять ваші особисті та банківські реквізити, а ваші гроші потраплять на інший рахунок, і ви про це дізнаєтесь через деякий час.

На фото: Ян Майтан, генеральний директор сектору кібербезпеки в офісі віце-прем'єр-міністра з інвестицій та інформатизації (IPVII), 10 березня 2019 року в Братиславі під час інтерв'ю в рамках мультимедійного проекту TASR Personalities: Faces, Thoughts . Фото: TASR/Павол Захар

-Що може зробити користувач Інтернету, щоб мінімізувати ризик зловживань?-


Важливо бути пильним, перевіряти, які сторінки ви переглядаєте, які програми ви використовуєте. Наприклад, я не знаю багато людей, які читають умови користування програмами та послугами. Мало хто розуміє, що дані, які ви вводите в додаток, потім подорожують по всьому світу. Донедавна будь-який вміст у вашому профілі Facebook - зображення, текст, відео - автоматично переходив у власність Facebook, який міг обробляти його на власний розсуд. На щастя, сьогодні у нас є директива про захист персональних даних - GDPR, яку повинні поважати навіть великі гравці. Однак величезна кількість даних знаходиться в руках кількох компаній на ринку, які перебувають поза юрисдикцією Словаччини та Європейського Союзу. Незважаючи на те, що вони надають послуги або продукцію громадянам ЄС, а отже, вони повинні відповідати правилам ЄС, це нелегко забезпечити і контролювати. Величезна кількість даних зосереджена в таких компаніях, як Google, Facebook, Amazon або Netflix, до яких ми маємо лише посередницьке охоплення. Також важко з’ясувати фактичні місця, де зберігаються дані.

-Що це означає?-


Коли ви вводите інформацію у своєму обліковому записі Facebook, інформація відразу розкладається і зберігається у різних фрагментах у кількох місцях світу. Можливо, у десятках глобальних центрів обробки даних. Уявіть, що системою користується мільярд користувачів, і вони очікують, що їх діяльність та запити будуть негайно оброблені. Для цього вам потрібна надзвичайно надійна система з точки зору продуктивності та доступності даних. Наразі триває дискусія щодо можливості видалення твітів у Twitter. Наприклад, якщо я пишу та публікую твіт, щоб я міг його видалити протягом години. Технічно це надзвичайно складна річ, оскільки дані твітів також фрагментовані та географічно зберігаються дуже різноманітно в багатьох місцях. Якщо ви хочете видалити повідомлення, система робить це синхронно складною проблемою продуктивності, і врешті-решт це може не спрацювати повністю. Така чудова система, це сам світ.

-Тобто, навіть якщо я видалю електронне повідомлення зі своєї папки "Вхідні", воно насправді не видаляється?-


Це не повинно означати, що його видалено. Постачальник часто просто робить його недоступним. І, маючи достатньо зусиль та грошей, ви, мабуть, змогли б знову до нього дістатися.

-Настільки ж ефективним, як прийняття Регламенту GDPR?-


GDPR, безумовно, має сенс. Цей захід часто представляють як бар’єр, ускладнення чи складність, особливо у ділових колах. Але чи можете ви придумати будь-який інший національний чи наднаціональний устрій, який би так само захищав конфіденційність та дані своїх громадян, як Європейський Союз? Водночас це лише основа для подальшого продовження. І ті, хто правильно впровадив цей стандарт і надав розумний час та зусилля для його впровадження, неодмінно повернуться. Я б також згадав про ініціативу Форуму управління Інтернетом, платформу, в якій, наприклад, беруть участь французи, навіть сам президент Макрон. Йдеться про створення простору, який би дозволив розумним регуляціям величезних гравців поза нашою юрисдикцією та змусив їх поважати нейтралітет мережі. Не лише політичне, а й думка чи культурне суспільство. Наприклад, сьогодні ви будуєте Інтернет-магістраль, і ви повинні забезпечити, щоб усі мали однаковий доступ до неї. Але припустимо, що Google використовує автомагістраль у повному профілі, для інших не залишається багато місця.

-Що може уявити неспеціаліст під цією магістраллю? Яка метафора?-


Наприклад, кабелі та мережі. І обсяг потоків даних, більшу частину яких споживають великі транснаціональні компанії.

-Якщо говорити про великих гравців, мало хто має в руках стільки даних про громадян, як державні установи, скажімо така податкова інспекція, страхові компанії, органи місцевого самоврядування. Тому ви вирішуєте питання безпеки цієї інформації в першочерговому порядку?-


Так, це переважно державний сектор як адміністратор, так і постачальник послуг. Необхідно створити умови для безпечного функціонування 300 000 працівників органів державного управління, а також для 5 з половиною мільйонів громадян, які перебувають у позиції клієнтів. Це величезний обсяг даних, який, якщо ви зведете, ви отримаєте більш ретельну картину кожного, ніж він міг би створити для себе. Оскільки людина забуває, наша пам’ять є вибірковою, але цифровий слід він не відбирає, не забуває, він вміщує все. Крім того, ви можете згадати з фізики діод, який пропускає електрику лише в одному напрямку. Тут теж після витоку даних, і особливо біометрії, вони з’являються і їх неможливо відновити. Наприклад, у нас в паспорті є цифрове зображення обличчя, у нас є відбитки пальців у міліції та медичні картки. Якщо така інформація просочиться, хтось може використовувати її та зловживати нашою особистістю. Тому необхідно розробити систему та додатки таким чином, щоб уникати подібних речей, відповідно. максимально їх усунути.

-Це досяжне завдання?-


Це досяжно, лише цьому потрібна увага, ресурси та політика - з точки зору правил, указів, директив. Таким чином, щоб, з одного боку, ми могли захищати дані превентивно та ініціативно, а також, у випадку інциденту, щоб ми могли адекватно реагувати. Ми працюємо над цим систематично, але це дуже широке коло. Стовідсоткової безпеки не можна гарантувати. Звичайно, людям не потрібно вставати рано вранці, переживаючи, що існує така загроза, їм просто потрібно бути обережними, якщо вони займаються будь-якою діяльністю у віртуальному просторі, і якщо вони дають комусь свою особу, добровільно чи примусово .

-Що ще важливіше, вкладення коштів у безпеку або навчання людей відповідальному поводженню з даними?-


І те, і інше є поступовим процесом і дійсно вимагає багато освіти, зусиль, пояснень. На початку вам може просто знати, що вам не потрібно надавати кожному своє ім’я, електронну адресу, адресу, коротше кажучи, що створена хороша система, щоб для нього було достатньо необхідної мінімальної інформації про користувача. Ми намагаємося мінімізувати зону атаки. Як і в бою, коли противники стріляли один в одного, вони повертали вбік, щоб зменшити ймовірність влучення. Що стосується цифрових даних, ми часто робимо прямо протилежне: ми стикаємось і навіть поширюємося, тому робимо все можливе, щоб зробити вплив більш імовірним. Ось чому людям важливо сприймати складність цифрового світу.

-Ви не можете вказати заходи, які вживає держава для захисту своїх респ. наші дані?-


Вони складаються з трьох шарів. Перший - це встановлення правил, т. Зв управління, освіта, контроль та аудит. Другі - це так звані CSIRT (Команда реагування на випадки комп’ютерної безпеки), групи експертів, які активно та реактивно втручаються, займаються інцидентами, аналізують та розробляють заходи безпеки. І третє - це постійний моніторинг ключових вузлів держави, так званий SOC (Операційний центр безпеки). Технічні рішення зазвичай класифікуються, і на це є причини. Стіни, тобто захисні заходи, спроектовані безпечно, але не можна повністю виключати помилки в додатках, тому, не розкриваючи деталі, ми ускладнюємо потенційному зловмиснику їх пошук і зловживання.


На фото: Ян Майтан, генеральний директор сектору кібербезпеки в офісі віце-прем'єр-міністра з інвестицій та інформатизації (IPVII), 10 березня 2019 року в Братиславі під час інтерв'ю в рамках мультимедійного проекту TASR Personalities: Faces, Thoughts . Фото: TASR/Павол Захар


-Принаймні, скажіть нам, який рівень Словаччина знаходиться в галузі кібербезпеки з міжнародної точки зору.-


Ми, скажімо, знаходимось на рівні сусідніх країн Центральної Європи. Звичайно, це залежить від того, яка це територія. Наприклад, Польща, як більша країна, має більший бюджет на безпеку і дає більше людей. Моє завдання - дивитись у майбутнє. Погляньте, де ми сьогодні перебуваємо і що ми будемо робити, щоб рухатися далі. Те, що ми плануємо зробити у галузі кібербезпеки в Словаччині, може за кілька років принципово перенести нас в інше місце.

-Нещодавно з’явилася інформація про те, що кібербезпека є одним з найбільш затребуваних термінів в Інтернеті, а також можливостей застосовуватись у цій галузі. Це справді так привабливо?-

-Сьогодні часто згадуються гібридні загрози, намагання деяких країн вплинути на демократичні вибори, а Інтернет також є середовищем для розмноження таких ризиків, як, скажімо, екстремізм, радикальні політичні течії тощо. На політичному рівні ці загрози часто недооцінюються. Громадянин може принаймні покладатися на те, що його не занижують на рівні експертів?-


Їх не занижують, ми їх сприймаємо. Звичайно, тут є гібридні загрози, і я б не наважився не вказувати їх ініціаторів. Ми стежимо за космосом, прагнемо покращити свій потенціал і домогтися прогресу і в цій галузі. Водночас у Європи складна складна позиція, бо вона правильна, вона намагається реагувати раціонально, і тому вона має проблему з т.зв. атрибуція. Це означає, що якщо ви побачите проблему, зіткнетеся з постійною атакою або навіть одноразовою атакою, ви можете сказати, що це був один зловмисник лише тоді, коли ви маєте про це повну інформацію. Але отримання такої вичерпної інформації, яка б ідентифікувала зловмисника, займає багато часу і часто дуже важко, і ви майже ніколи не впевнені на 100 відсотків. Європа, яка є справедливою, поважає закон та поважає конфіденційність, страждає у глобальному контексті, оскільки деякі інші гравці взагалі не надають значення цій концепції.