Світ 2018-12-27 17:08 Лапаєв Юрій

Андреас Геґґман: «Людину можна розглядати як першу лінію оборони»

Під час 28-го Економічного форуму, який відбувся в польському місті Криниця-Здруй, Тиждень поспілкувався з британським дослідником у сфері кібербезпеки, щоб обговорити правила кібергігієни та методи захисту найвразливіших категорій користувачів інформаційних систем.

Які виклики ви бачите у сфері кібербезпеки?


— Кібербезпека є надзвичайно широким поняттям, отже, можна виділити багато різних викликів і загроз. Якщо дивитися з тактичного рівня, то слід назвати впровадження квантових обчислень. Ця технологія здатна зруйнувати багато наявних принципів криптографічного захисту, на яких побудовані сучасні системи. Незабаром з’являться й інші технології, а також і геополітичні події, які, ймовірно, впливатимуть на кібербезпеку. Їх не завжди вдається передбачити, однак на них, безумовно, потрібно реагувати. Вони можуть варіюватися від міжнародних конфліктів до простіших речей, як-от ноутбук із важливими даними, який може втратити якийсь високопосадовець. Виклики з’яв­ля­ти­муться як у площині технологій, так і в площині політики й регулювання. Треба створювати рішення, які будуть гнучкими, і водночас намагатися брати до уваги всі згадані складові, але таким чином, щоб це не ставало занадто обтяжливим із погляду ресурсів. Тож я вважаю, що виклики у сфері кібербезпеки багатогранні, їх формулювання залежить від того, із ким ви маєте справу, якого сектору вони стосуються, які проблеми намагаються вирішити. Вони будуть різними для тих, хто працює на об’єктах критичної інфраструктури, у сфері освіти чи в неурядових організаціях.

 

Читайте також: Європейські дипломати поповнили список жертв кібератак

 

Чи справді людина — найвразливіший елемент системи кібербезпеки?


— Я гадаю, що і так, і ні. Адже часто людина справді є легкою ціллю, її простіше скомпрометувати. Таких прикладів безліч. Водночас людину можна розглядати як першу лінію оборони. І якщо ви зможете достатньо якісно її навчити та натренувати, вона може стати ефективнішою, ніж більшість доступних технічних рішень. Звичайно, технічні засоби захисту корисні, однак часто їх вважають певною перешкодою продуктивності, тоді як вони мають створюватися для ефективного використання людиною. Не можна зосереджуватися на одному замість іншого. Щоб людина не була найвразливішим місцем системи, треба зробити так, щоб вона стала найсильнішим. Потрібно її озброїти знаннями, найкращими практиками та розумінням того, чому кібербезпека важлива. А також надати їй такі зручні у використанні технічні засоби, із якими вона зможе ефективно працювати, не створювати їй перешкод. Дуже часто розробники забувають про користувача, працюючи над своїм продуктом, що в результаті призводить до появи незручних програмних або технічних засобів. Таке нерідко трапляється саме у сфері кібербезпеки. Класичним прикладом може стати технологія шифрування пошти PGP, яка надзвичайно незручна у використанні.

 

Це наша ціна, яку ми платимо за технічний прогрес?


— Усі нові технології характеризуються якимись перевагами та недоліками, деякі навіть становлять пряму загрозу. Ми маємо певним чином пристосовуватися до цього й намагатися передбачати, які саме виклики з’являться разом із технологіями та як вони вплинуть на те, чим ми зараз займаємося. У деяких випадках йдеться про радикальні зміни. Таким став інтернет у масштабах, наприклад, комунікацій. Однак сам собою цифровий світ — це насправді ті операції, які ми завжди робили, просто тепер вони нам даються набагато швидше та в більшій кількості. 

 

Читайте також: Ян Ліпавський: «Кібербезпека стане першочерговою темою майбутньої співпраці між Україною та ЄС»

 

Які методи та підходи можуть бути ефективними в галузі кібербезпеки?


— Знову-таки, це дуже загальне питання для всього спектра завдань у кіберсфері. Утім, якщо казати про людину, яка намагається захистити себе як особистість, — це може бути правильною відправною точкою. Перша річ, яку потрібно зробити, — поставити самому собі запитання: від кого ви намагаєтеся захиститися, що вам загрожує та чого хочете уникнути або принаймні зменшити негативний вплив? Як людину, вас напевне найбільше турбуватиме можлива компрометація через ваші особисті дані. Ми зараз не кажемо про соціальні мережі, я маю на увазі банківські рахунки. На щастя, наявна культура безпеки працює таким чином, що саме банк бере на себе більшість ризиків та ударів, а в разі компрометації рахунків установа має відшкодувати всю заподіяну вам шкоду. Щоб це припинити, банки пропонують користуватися безпековими сервісами. Наприклад, вони видають пристрої двофакторної ідентифікації, і це чудово.


Наразі досить спірним є погляд, мовляв, якщо ви хочете змусити людину покращити її особисту інформаційну безпеку, то маєте покласти на неї відповідальність за ймовірну шкоду. Адже неможливо просто делегувати власну безпеку комусь, кожен має стати більш пильним, інакше платитиме в разі проблем. Страхування може стати цікавим інструментом для цього. Можна надихнути людей уважніше ставитися до їхньої безпеки через впровадження спеціального кіберстрахування: що кращі практики з безпеки, то меншими стають страхові внески. Страхові компанії вже кілька років намагаються вирішити це питання, і час покаже, чи справді покращиться безпека.

 

Читайте також: Майкл Стріт: «НАТО шукає можливість покращити взаємодію між силами з різних країн»


Особисто я вважаю, що мають значення прості речі. Вони, можливо, банальні, але реально дієві. Це встановлення складних паролів. Паролі — жахливий механізм, але, на жаль, ми надто до нього прив’язалися. Рішенням також може стати використання менеджера паролів, завдяки якому треба пам’ятати єдину складну комбінацію, а решта будуть автоматизовані для всіх сайтів, які плануєте відвідати. Ще один момент — бути хоча б трішечки уважнішими до того, що саме розміщуєте в інтернеті, особливо якщо йдеться про загальнодоступні форуми, і розуміти різницю між публічним доступом та доступом «тільки для друзів» у соціальних мережах. Серед інших порад:


• використовуйте на вашому смартфоні пароль або ідентифікацію за відбитком пальця;
• не треба підключати USB-носії, якщо ви не знаєте їхнього походження;
• не відкривайте додатки до електронної пошти. Це дещо спірне питання, адже саме заради того вона й створювалася: щоб обмінюватися файлами та посиланнями. Тож ключове тут: якщо ви не знаєте відправника або не довіряєте йому, то маєте бути обережними; 
• перевірте, чи вимкнені у вас макроси в Microsoft Office. 

 

Ці кроки прості, однак їх можна назвати своєрідною кібергігієною. Як і її медичний аналог, вона складається з таких невеличких вимог. Ви миєте руки, коли йдете до ванної кімнати, — так само маєте блокувати ваш ПК, покидаючи робоче місце. Дрібні звички можуть дати значний результат.

 

Як бути зі старшим поколінням, особливо з тими, хто працює у важливих урядових організаціях?


— Багато з того, що ми обговорили вище, може стати в пригоді. Звичайно, є також і технічні рішення для обмеження потенційної шкоди, яку здатні заподіяти користувачі. Якщо вони клікнуть на шкідливому додатку чи підозрілому посиланні, можуть бути відкриті в спеціальних «пісочницях», отже, шкідливе програмне забезпечення не пошириться у вашій мережі. Однак це технічне рішення проблем людської природи. А нам потрібні людські. Користувачі насправді не мають бути технічними експертами, їм не треба глибокого розуміння того, що та як там функціонує. Однак вони мають розуміти ризики, пов’язані з їхньою поведінкою. Для урядових організацій бажано мати команди підтримки користувачів, які, наприклад, перевіряли б підозрілі додатки до пошти. Та головне — треба певним чином заохочувати правильну поведінку. Якщо ви бачите, що ваші працівники повідомляють про загрози й роблять це коректно, маєте їх за це якось винагороджувати за принципом батога та пряника. Однак стимулювання правильної поведінки ефективніше, ніж покарання за помилки. 

 

Перейдімо до іншої вразливої категорії: як захистити дітей та навчити їх кібербезпеки?


— Це не дуже відрізняється від попередньої відповіді. Діти мають схожі проблеми, однак дещо відмінні напрямки. Якщо старше покоління не розуміє технологію, бо вона для них занадто нова, то молодше знає, як нею користуватися, але тільки поверхово, на прикладному рівні. Вони експерти в користуванні Instagram, Facebook та Snapchat, утім, не знають, як це насправді працює. А якщо ти розумієш, які принципи закладені глибше, тоді відчуватимеш, коли щось може становити загрозу чи, навпаки, бути безпечним. Однак не всі хочуть ставати вченими у сфері комп’ютерних наук і насправді не мусять ними бути.

 

Читайте також: Крістін Дюґуен: «Повністю відокремити пропаганду від журналістики ніколи не буде легко»

 

Коли найкращий час для того, щоб пояснити це дітям?


— Я вважаю, це слід робити ще до того, як вони ознайомляться з якимись пристроями. Ви не починаєте керувати автомобілем, не вивчивши правил дорожнього руху, потрібно мати якусь теорію та практику. Не треба змушувати людей вивчати всі закони та принципи, пов’язані з кібербезпекою, це контрпродуктивно. Але може виявитися корисним ще в малому віці дізнатися про її основи. Батьків я закликаю хоча б у двох словах розповісти своїм дітям про безпечну поведінку в мережі до того, як до їхніх рук потрапить смартфон чи планшет. Це питання батьківської відповідальності. 

 

Хто в такому разі може бути прикладом для дітей?


— Поп-зірки або герої мультфільмів. Було б чудово, якби, наприклад, Джастін Бібер долучився до цього. Їм, зіркам, навіть не потрібно щось казати, вони мають лише демонструвати правильне поводження. Діти копіюють соціальні ролі своїх батьків, знаменитостей або друзів. Якщо вони помітять, що хтось поводиться певним чином, то спробують робити так само. Тому йдеться про створення правильних прикладів за допомогою мультфільмів для молодших і зірок для підлітків. Однак я дуже скептично ставлюся до ідеї, що комусь захочеться дивитися спеціальний мультфільм про кібербезпеку п’ятничними вечорами. Отже, ми маємо певним чином вбудувати це в наявні кінострічки та мультфільми. Те саме й щодо поп-зірок. Не спрацює, якщо вони просто вийдуть на сцену та скажуть: «Добре, а тепер давайте всі станемо кібербезпечними». Повідомлення ефективне тільки тоді, коли люди, які його доносять, самі ж його виконують. Ви маєте практикувати те, що просуваєте. Це справедливо не лише для зірок, а й для батьків. 

 

--------------

Андреас Геґґман здобув ступінь магістра на кафедрі воєнних студій при Королівському коледжі у Лондоні. Завершує здобуття ступеня доктора в Центрі докторантури при Королівському коледжі Галловей. Його наукова робота присвячена застосуванню комп’ютерних ігор для освіти у сфері кібербезпеки. Також він працював над розробкою комп’ютерних ігор, у галузі управління торгівлею та оборонному секторі. Наразі обіймає посаду аналітика з дослідження можливих ризиків у компанії Willis Towers Watson, фокусуючись на кібербезпеці, геополітиці та перспективних тенденціях.