Як відбувається все у кібернетичному просторі, як ламається людські долі через те, що ламається комп’ютер. Що таке для тебе майбутнє?
Майбутнє – це кожна секунда, яка буде після цієї секунди, тобто все, що буде через секунду, хвилину, рік. Можливо, дуже сподіваємося 10 років, якщо ми не загинемо в ядерній війні, але майбутнє це те, що станеться, те, що стається кожної секунди, кожної хвилини після того, як.
Технологічне майбутнє. Як воно впливає на кіберпростір? Кіберпростір зараз – що це?
Ну якщо хочете філософії, то давайте тоді розвиток людства. Ми намагаємося йти до якихось сингулярностей або технологічною, яка зараз превалює або соціальної, або до чогось гібридного, яке також починає зараз дуже сильно розвиватися.
Саме в цьому майбутньому кіберпростір в будь якому з них буде займати дуже важливу частину. Якщо ми кажемо про технологічну сингулярність це, коли ми станемо кіборгами, тобто кіберпростір стане нашим основним місцем діяльності. Там є питання, чи зможемо ми оцифрувати наш біологічний мозок. Але є така ймовірність, якщо ми зможемо ці там потенціальні квантові ефекти скопіювати, тоді ми будемо повністю як віртуальна частина жити в якомусь комп’ютері або у ванночці якійсь лежати. Тобто якщо ми зможемо оцифрувати мозок, то він буде лежати в якійсь ванночці з біологічною речовиною, яка буде його живити. Або ж це буде щось гібридне: не повністю на 100% кіборги, а частково зможемо якісь елементи свого тіла робити оцифрованими або підключеними, як зараз підключають інтернет речей. Те, що було колись тупим, стало розумним – телевізор, пилосос, тощо – так і частини нашого тіла стануть розумними. Зараз є біопротези – ось уявіть, що вони будуть також підключені до інтернету. Наприклад, з’явилась нова прошивка для цього біопротезу, щоб, можна було закачати якісь нові навички. Уявіть, що ми можемо, наприклад, скачати собі на біопротези боксування або якісь елементи самозахисту. Тож ми будемо своїм мозком керувати цима біопротезами, а вони будуть вбудованими своїми якимись елементами штучного інтелекту також керувати нами. Тобто ми кажемо про те, що інколи деякі частини нашого кібернетичного тіла можуть теоретично бути підключений до інтернету. Наприклад, зараз є розробки цього інтерфейсу мозок-комп’ютер. Уявіть, що ви можете свій мозок підключити напряму до інтернету: вам не треба дивитися на екран, не треба щось вводити, щоб воно з’явилося у вас в мозку. Просто подумали про якийсь пошуковий запит і у вас з’явилася інформація в голові.
Це найближче майбутнє, це не мрія, це вже просто зараз, це справа часу, а не питання часу – не того чи буде, чи не буде. Тобто це буде стовідсотково. Ну, якщо ми, знову ж таки, як людство будемо жити через найближчі 30 років…
Тобто зараз футурологи прогнозують або мріють про майбутнє, в якому будуть вже оці гібридні елементи нашого біологічного тіла. Воно стовідсотково будуть. Частина цього майбутнього не буде стосуватися напряму кібернетичного світу. Наприклад, будуть вирощувати наші органи із наших стволових клітин, друкуватимуть на 3D-принтерах. Якщо забігати наперед про питання про кібербезпеку, уявіть, що принтер, який для вас друкує якийсь орган, зламали? Тому все одно залишатиметься так званий цифровий слід.
Пандемія зробила великий поштовх у використанні штучного інтелекту для розробки, наприклад, антибіотиків. Зараз наше найближче майбутнє буде в тому, що буде дуже багато бактерій резистентних до антибіотиків через те, що люди дуже недбало їх застосовують. Навіть коли в них віруси, а вони проти вірусу використовують антибіотики.
І зараз вже у 2020 році, якщо не помиляюся, або напочатку 2021 штучному інтелекту надали, скажімо, алгоритм, за яким вчені шукають потенційні нові антибіотики. І він декілька десятків потенційних антибіотиків знайшов, а декілька – до десятка або пару десятків – вже реальних формул, які будуть новими антибіотиком і будуть допомагати нам.
Де є наша впевненість, що якщо хтось хакне цей алгоритм з антибіотиками і під виглядом цих антибіотиків не винайде отруту? А якщо надати йому формулу отрут, які виробляли дуже багато років? Він за декілька секунд зробить отруту…
Війна. Тобто є ще одна крайність нашої цивілізації, що ми можемо самі себе винищити до настання сингулярності. Сингулярність це не найближче майбутнє. На жаль, це далеке майбутнє. Це мінімум декілька сотень років або й 1000…
ChatGPT і поріг входа в кібербезпеку
З того, що я бачу і те, що знаю можу сказати, поріг входу в кібербезпеку для скрипткі́ді (англ. script kiddie), тобто тих, хто просто використовує автоматичні скачані з інтернету, наприклад, іноземні віруси, скрипти – чому й скрипткіді. Інколи називають їх мамкини хакери. Тобто це школярі або студенти, які не знають, як працює ця програма, але запускають її і якщо вона успішно відпрацьовує, вважають себе хакером.
От для цих поріг входу знизився, тому що програм стало більше. Вони стало доступнішими. Виходить так, якщо ти вмієш встановити, грубо кажучи, Windows або Linux собі на комп’ютер і скачати з інтернету з гітхабу програму та її запустити по інструкції то вважає себе хакером.
Але тут питання в тому, що складні віруси розробляють висококваліфіковані, підкреслюю, не середньо- на низькокваліфіковані, а висококваліфіковані програмісти-хакери. Тобто вони є програмістами, які знаються на тому, як працюють системи, щоб обійти їхній захист, для того, щоб їхня програма працювала з тією ціллю, з якою вони хочуть. І для цих людей, висококваліфікованих, поріг входу з високою кваліфікацією залишився. Однак зменшився час розробки завдяки скороченню часу на виконання рутинної роботи написання коду, яка в них є вже в голові (понад 1000 строк коду). Тож вони вже знають, як все працює. Вони розуміють, як воно повинно працювати, але потрібен ось цей час для рутини – сидіти писати код, потім його перевіряти на помилки, тому що десь можна помилитися, переплутавши літери або щось інше. Зараз вони просто пишуть високорівневе технічне завдання для ChatGPT, який цю рутину у 1000 строк пише за декілька секунд або хвилин. Тобто це набагато разів пришвидшує роботу.
Як кібербезпека впливає на наші реальне життя.
Дуже багато є прикладів. Раніше казали кібербезпека – технічний андеграунд: зламують сайти, зламують якісь технології, які ні на що не впливають. Це був кінець або середина 80-х. Перша велика кібератака, яка нанесла на сьогоднішній гроші приблизно 200 мільйонів доларів збитку, була у 1988 році. Це був хробак Моріса (The Morris Worm). Він був шифрувальником. Просто сиділа людина-програміст, якій було дуже сумно на роботі. Він подумав собі: а який зараз інтернет за розміром? На дворі 1988 рік, коли у радянському союзі ще комп’ютери були як 3 поверхи. Вони були класні, в нас була класна кібернетична освіта, але комп’ютери були дуже великі та інтернету у нас ще не було. Він був можливо як локальні мережі.
А в Америці вже бізнес працював з інтернетом, інтернет банкінг вже був, а також електронна пошта. Йому було цікаво, скільки ж комп’ютерів в інтернеті. Він розробив вірус, який сам себе копіював і робив розсилку через електронну пошту по контактній книжці, яка електронній пошті. Але він не врахував те, що контактні книжки людей збігаються дуже часто на деякий відсоток. Тож почалося така лавина цих повідомлень.
Але ж тут проблема була не в спамі а в, тому, що інтернет не був такий стійкий, як зараз, не було багато каналів, не були такі широкі проміжні здатності пропускати великі трафіки. Тому просто він ліг і це було як DDoS-атака.
Але вона була спричинена саме розсилкою цих повідомлень: став бізнес. Порахували непрямі фінансові збитки. Якщо порахувати інфляцію на сьогоднішній день десь приблизно 200 мільйонів доларів. Хоча ця людина заробила 0, вона не заробляла гроші, не мала злочинних намірів, але він отримав півроку громадських робіт і стусанів від батька, тому що батько працював в пентагоні, якщо я не помиляюся.
Тоді вперше сказали, що кібератака може нанести якийсь збиток бізнесу. Кібератака, технічна атака. Потім бізнес почав ще більше діджиталізуватися і технології почали все більше впливати на бізнес. Через збитки бізнес почав розуміти цю біль.
Біль або пряма фінансова, якщо вкрали гроші, або як зараз, наприклад, крадуть криптовалюту, або непряма, якщо недозароблені гроші також враховуються в збиток. Наприклад, DDoS-атака на інтернет магазин під час чорної п’ятниці, щоб ніхто не зміг на нього зайти, а він зазвичай заробляв 10 000 доларів на годину. Відповідно магазин собі в збиток вказує, що міг би заробити за 10 годин 100 000 доларів. Він їх не заробив. А зарплатню треба платити. Відповідно, це фінансові збитки, потім репутаційні збитки.
Є такий злам як дефейс – це, коли зламують сайт, і на його сторінках розміщують якусь інформацію інколи просто як хуліганство, а в гіршому випадку інформацію, яка підриває репутацію або авторитет компанії, сайт якої зламали.
Потім з’явилися приклади кібератак, які впливають на здоров’я або життя людей. Під час того ж ковіду російські хакери, скоріш за все, російські хакери, зламували лікарні вірусами-шифрувальниками, а зараз дуже багато процесів пов’язаних з операціями. Наприклад, вони комп’ютеризовані. Комп’ютери, наприклад, працюють на Windows, а Windows було зламано під час атаки, зашифрований, тож операцію не можна провести. Жінці повинні бути зробити термінову операцію, але через те, що комп’ютери зашифрували, не змогли це зробити, і під час транспортування в іншу клініку вона померла.
Тобто це не те, що її зламали, не жінку зламали, не вбили її, якимись кіборгами або термінатором. Але через те, що не було кібербезпеки у клініці через те, що там системні адміністратори не дотримувались правил кібергігієни, змогли зламати клініку і зупинити критичні процеси. Через деякий час після цього випадку в іншій країні це, якщо не помиляюся, в Австрії, а потім в Німеччині зламали іншу клініку.
Також зашифрували інфраструктуру. Там була дитяча реанімація – не змогли допомогти вчасно новонародженій дитині, також померла.
Тобто це каже про те, що кібербезпека вже зараз, тобто не завтра, не в майбутньому, не в нашій уяві, а вона вже зараз.
Вже 5 років тому кіберзагрози вийшли з технічною андеграунду, з андеграунду впливу на бізнес і тали тією загрозу, яка впливає на життя. Якщо ми кажемо про майбутнє, то цього ставатиме набагато більше.
У нас будуть оці безпілотні автомобілі. А вони під’єднані до інтернету стовідсотково.
Чи можливо їх хакнути? Деякі моделі автомобілів можливо через супутник зупиняти, увімкнувши екстрене гальмування. Минулого тижня була новина, що Форд розробляє наступну систему: якщо, наприклад, берет авто в кредит і кредит не виплачуєте, то оператор дає команду цьому автомобілю і він від вас їде до того, хто дав вам гроші на кредит. Я впевнений, що всі виробники залишають можливість віддалено керувати автомобілями.
Питання кібербезпеки починається з будь-чого. Наприклад, робот пилосос. Минулого місяця, якщо не помиляюся, був скандал. Виявилось, що робот-пилосос, в якого є камера, фотографує все навколо і відправляє фотографії на сервер для подальшого навчання цього пилососу. За допомогою ШІ його навчають, тож чим більше вхідних даних, тим краще він навчає. Відповідно, пилосос фотографує щось, а потім якась людина каже, наприклад, оце кіт, його не треба засмоктувати. Тож пилосос працює більш розумно, але хтось цих операторів, які навчають розпізнавати фото, виклав в інтернет фото дівчини на унітазі.
Але як можна тоді зараз убезпечити себе?
Кібербезпека – це ризик. Ч можуть нас зламати прямо зараз? Чи зможуть нас зламати завтра? Ми не можемо сказати стовідсотковою вірогідністю. І це не тільки про кібербезпеку, а всю безпеку. Ось зараз ми сидимо в приміщенні. А яка вірогідність, що пролетить якась ракета? Тому будь яка безпека – власна безпека, у військовий час, безпека на будівництві (треба надягати каску чи ні). Хтось каже там, що все життя ходить у касці і жодного не було такого випадку, коли б вона знадобилась. А хтось прийшов один раз, зняв каску щось почухати голову, і в цей момент цеглина на голову впала.
Це все питання вірогідності. Збиток від цього ми розуміємо – цеглина по голові. Це без каски смерть 100%, 99%, якщо вона впаде з великої висоти. А яка вірогідність цього? Це залежить від дуже багатьох факторів.
Те саме ми кажемо про кібербезпеку. Ми всі обвішані гаджетами і когось зламують щодня, а когось жодного разу. І то, кого не зламали жодного разу, є носієм такого популярного когнітивного викривлення, як помилка того, хто вижив. Він буде всім казати, що він нічого не робить і його жодного разу не зламали.
Як я кажу, ну так дійсно давайте ми спитаємо у людей, які впали з 20-го поверху, що може трапитися. Ми не можемо спитати, тому що вони неживі, тобто всі, хто живі, не падали з 20-го поверху або з 3-го можливо падали або не з 20-го. Тому питання того, кого зламали, буде: а які є правила, щоб я міг їх виконати і кожного дня використовувати?
Але ключове, що хотів сказати про сервіси, наприклад, про Дію або про інші продукти, що є зручність є безпека, і вони ніколи не перетинаються. Тобто, якщо це стовідсотково зручно, це майже стовідсотково небезпечно.
Стовідсотково безпечно це стовідсотково незручно, наприклад, максимально надійний пароль це – 20 символів, зокрема, маленькі й великі літери, спецсимволи і цифри, А максимально крутий пароль це – 123 або одиничка, які підбираються навіть не за долі секунди, а миттєво.
І завдання майбутньої кібербезпеки, якщо ми кажемо про майбутнє, це знайти зручний компроміс, коли зручність і безпека не будуть присікатися, але вони будуть дотичні один до одного. Якщо ми будемо користуватися якимось продуктом, це буде одночасно зручно і максимально можливо безпечно для цієї ситуації.
Ось кажуть, чому банки не роблять там якусь максимальну безпеку якихось додатків, щоб людей не зламували. Вони можуть це зробити, але це буде настільки складний продукт, що вам кожного разу треба бути якісь коди вводити зі спеціальних додатків, потім згадувати якісь паролі: дівоче прізвище вашої мами, тато, як звали вашого прадідуся і кішку вашої прабабусі.
Але з’явиться новий банк, який каже – у нас такого немає. Ми не такі безпечні, ми достатньо безпечні, і всі підуть до того банку, тому що він зручніше. Тому треба розуміти, що якщо ми кажемо про будь-який продукт або про екосистему, таку як Дія (в ній є додаток і портал, і внутрішня система, працівники, які розробляють та обслуговують), то вона повинна бути захищена на кожному своєму рівні. Як будь-який державний інформаційний продукт, будь які будь-який державний реєстр, будь-які сайти мають бути захищені на всіх шарах.
Ці шари можна розбити на 3 великі частини: технології, про які ми всі знаємо, антивіруси, фаєрволи, інші новітні технології. Це процеси, для того щоб ці технології обслуговувати. Тому що будь яка технологія, якщо я не обслуговувати, тобто не налаштовувати, вона застаріває або стає шпаринкою у безпеці, через яку можна зайти.
А третє – це люди. Якщо людей не навчати, якщо люди не будуть виконувати правила кібербезпеки або кібергігієни, якщо вони не будуть підвищувати свою кваліфікацію, тому що, на жаль, коли кажуть про людей, то завжди згадують, що люди не освідчені. Вони там клікають, що попало, відкривають вкладення, віддають свої паролі. Але ж технічні спеціалісти також є шпаринкою у безпеці, тому що вони некоректно налаштовують технології або через недостатність кваліфікації. Або через Ефе́кт Да́ннінга – Крю́ґера, коли вони вважають, що вони супер-спеціалісти. А потім інші люди, в яких нема проблеми з оцінкою власної кваліфікації, адже вони підвищують кваліфікацію постійно і зламують ці технології.
Знову про ChatGPT
Більшість користується ним як скрипткіді. Ми повинні розуміти, що це не є, по-перше, пошукова система. Це мовна модель, вона може написати класний текст. І здебільшого це художні тексти. ChatGPT допомагає пришвидшувати роботу кваліфікованих спеціалістів. Тобто, якщо ти не знаєш, як зламувати сайти взагалі і спитаєш його, як зламати сайт Пентагону, він тобі надасть теоретичну інформацію зі статей з інтернету, що для цього необхідно. Наприклад, зробити розвідку, проаналізувати, що там є, які технології, чи є в цих технологіях вразливості. Визначити їхні версії та, якщо вони є, то їх про експлуатувати. А якщо ти кваліфікований, ти пишеш: на сайті Пентагону є такі розширення з такою версією. Чи є під неї якісь експлойт, а якщо нема як його дописати. Я не знаю, чи може 4 версія чату зробить цей експлойт, але у найближчому майбутньому розробить. Однак на вході необхідно, щоб ChatGPT отримав кваліфікований запит.
Як зрозуміти, що тебе зламали і чи можна убезпечитись?
Це залежить від кваліфікації того, хто встановив або зламав і кваліфікації того, хто шукає. Якщо кваліфікація того, хто шукає більше, ніж того, хто зламав, він знайде завжди. І навпаки. Є такі типи вірусів, які можуть зливати інформацію, руткіт, які ховаються на рівні операційної системи. Вони на такому глибокому рівні, на якому навіть антивірус вже не працює. Дійсно, це може бути так, якщо ви помітили, що хтось про вас знає більше, ніж повинен знати, то за логікою, потрібно, щоб у вас був антивірус, адже якщо ви не публічна особа, топ-чиновник якийсь або мільярдер, то навряд ці руткіти будуть застосовані. Як правило, використовуються відомі віруси, і це роблять скріпткіді. Їх дуже багато, вони у відкритому доступі в інтернеті, їх можна скачати встановити будь-кому на комп’ютер.
Але для того, щоб запобігти зламам, варто дотримуватися правил кібергігієни, зокрема, використовувати складні паролі. Вони повинні бути унікальними, тобто не повторюватися, і складними. Обов’язкове оновлення всіх ваших гаджетів, включно з комп’ютерами. Тому що оновлення вносить закриття цих дір у безпеці.
Є дві крайності: крайність людей в шапочках з фольги, які запараноєні, з кнопковими телефонами. До речі, декілька місяців тому сучасні кнопкові телефони, не смартфони, були заражені спеціальним ПЗ, яке зливає інформацію з телефону. Тобто.
якщо кнопковий телефон, то він повинен бути випущений 20 років тому. І є інша крайність, коли люди кажуть, що все одно про них все відомо. Тому ми шукаємо компроміс, тобто ми шукаємо зручність і безпеку для того, щоб атака нас була максимальна дорогою для злочинців, щоб вони використовували незвичайний вірус, який скачали безкоштовно в інтернеті, а замовляли за багато тисяч доларів. Спеціальний вірус під вас. І то спрацює він чи не спрацює, це ціна питання, якщо ви постійно оновлюєтесь, якщо стоїть антивірусна програма.
Отже, зламають мене чи ні, це питання часу. Якщо в вас про роль 15 символів і складний це час трильйон років. Якщо ваш пароль qwerty12, то вас зламають миттєво.
І останнє правило це соціальна інженерія. Треба її вміти розпізнавати. Це може бути там тема окремого підкасту. Фішинг, коли відправляють повідомлення з вкладенням або з посиланням на зміну паролю. Просто треба бути уважним і пильним, дивитися,
від кого прийшов цей лист. На які сайти він переадресовує. Просто тут треба по літерах уважно читати назву сайта, уважно дивитися на посилання в листах, не запускати вкладення, якщо ви їх не чекали від того відправника.
Ну і по телефону. Якщо вам телефонують і кажуть, що це служба безпеки банку і просять надати пінкод, або код з смс чи з карточки, то ви маєте сказати: так, я розумію, дайте ваші прізвище ім’я по батькові я зараз зателефоную в банк через колцентр і все вам продиктую. Тому питання в тому, що ми повинні технологічно себе захищати і бути уважними, щоб нас не зламували психологічно. Це якраз фішинг, вішинг.
Тому три з половиною правила: оновлення паролів плюс двофакторна автентифікація та соціальна інженерія (вміти розпізнавати, коли вас хочуть зламати) – це вже 80% успіху.
Поради щодо створення безпечних цифрових продуктів в рамках цифрової трансформації держави
Міністерство цифрової трансформації є об’єктом кібербезпеки, тобто над ним кібербезпека. Айтішники роблять все, щоб воно працювало в будь якій компанії, в тому числі й в державі. А спеціалісти з кібербезпеки роблять все, щоб воно працювало безпечно.
І знову ж тут зручність і безпека можуть перетинатися, а можуть не перетинатися, тому
Держспецзв’язку, кіберполіція, департамент кіберрозвідки, СБУ, наприклад, як суб’єкта кібербезпеки, повинні впливати не тільки Міністерства цифрової трансформації, а на всіх, щоб оце підганяти під під рамки безпеки. Так, дійсно, айтішники можуть бути проактивними і створювати продукти або якісь процеси, оцифровувати. Є такий термін privacy by design, тобто приватність як архітектура продукту. Робити такі продукти, які важко зламати чисто архітектурна. Або security by design, безпека як архітектура, як дизайн.
Це оце порада, як повинно бути, але ми не можемо вимагати цього, тому що є строки, є інші плани, є оцифровка. Інколи це неможливо зробити з об’єктивних причин, коли неможливо зробити безпечно якийсь продукт через певні обмеження. Тобто теоретично можуть бути обмеження, які не дозволяють зробити продукт з нуля безпечним.
Наприклад, якщо ми кажемо про приватний сектор, а не про державний, то ці обмеження – це гроші і час. Бізнес приходить, каже нам треба на завтра зробити продукт, а тут треба тільки тиждень кваліфікованим спеціалістам розроблювати архітектуру безпечно, тобто немає часу. Продукт потрібен на завтра, тому що якщо ми завтра його не випустимо, його випустять конкуренти.
Які є обмеження, щоб не випустити безпечний продукт державі, я не знаю. Можливо їх нема, а можливо, є. Можливо, якщо ми випустимо продукт, який буде зменшувати корупцію через рік, у нас за цей рік вкрадуть декілька десятків мільярдів доларів, наприклад, і ми не встигнемо зробити якусь програму. Наприклад, з укріплення нашої армії. Так, можливо, це буде не так безпечно, але за цей рік, поки ми будемо вже економити гроші, ми будемо потрохи убезпечувати продукт.
І тут треба дбати про ризики. Ризики, якщо ми запустимо небезпечний продукт: що ми можемо втратити, як це може вплинути на державу, якщо ми його не запустимо? Які ризики, скільки ми втратимо чого? І ці ризики просто порівняти. Для держави дуже важко це оцінювати через те, що в бізнесі я рахую гроші, грошима все можна порахувати. У державі деяка інформація не має, ціни вона або нульова, тому що вона публічна (деякі публічні реєстри), або вона безцінна, тому що від неї залежить життя тисяч або мільйонів людей. Тому я не можу сказати, як цей ризик порахувати в державі.
Ризик це додаток двох величин: вірогідність на збиток перемножили і отримали вартість цього ризику. А якщо у вас одна величина нескінченна, ризик завжди нескінченний і ви порівнюєте 10 мільярдів доларів на армію або нескінченні ризики. Як їх порівняти? Або 10 мільярдів на армію це також можливо життя країни, якщо ми не вкладемо ці 10 мільярдів, то армії. І це буде також два нескінченних важливих ризиків. І треба завжди пам’ятати про це. Інколи це порівняти неможливо і обирається або політичними рішеннями, а не ризиковими з точки зору кібербезпеки або кіберзагроз. Або рішеннями інших людей, їх особистими якимись почуттями, або ж, можливо, вони знають щось більше, ніж ми.
Ми дивимось і кажемо: а от ми би зробили інакше. Якщо ви робите по іншому, то ти йдеш і робиш. Багато хто пішов і повернувся, і сказав: я не можу нічого зробити, там бюрократія, там корупція. Так ось, чому ж ти критикуєш тих людей, які там всередині щось намагається зробити так само в бюрократії, в корупції, в різних обмеженнях.
Тому я кажу, що є якісь ризики, їх треба ураховувати і є підходи.
А якщо треба поради від ринку кібербезпеки, як зробити якийсь продукт безпечним, то треба звертатись до спеціалістів.